تخطي إلى المحتوى

Exabeam Confronts AI Insider Threats Extending Behavior Detection and Response to OpenAI ChatGPT and Microsoft Copilot — Read the Release.

احصل على عرض توضيحي

سياسة أمان بيانات الموردين لشركة Exabeam

فيما يتعلق بالمنتجات و/أو الخدمات ("الحلول") المحددة في الاتفاقية السارية بين EXABEAM والطرف الآخر المحدد في الاتفاقية ("المقاول") ("الاتفاقية"), تتوقع الأطراف أن يقوم المقاول، وعند الاقتضاء، مقاولوه من الباطن، بمعالجة البيانات المحمية من وقت لآخر، والتي قد تكون EXABEAM، أو الشركات التابعة لها، أو عملاء EXABEAM أو الشركات التابعة لها، هي المتحكم في البيانات بموجب تشريعات حماية البيانات (كما هو معرف أدناه). يتفق المقاول وEXABEAM على شروط سياسة أمان البيانات هذه ("السياسة")، كما يتم تحديثها من قبل EXABEAM من وقت لآخر، لضمان وضع تدابير كافية لحماية هذه البيانات المحمية كما هو مطلوب بموجب تشريعات حماية البيانات. سيسعى المقاول بنشاط للحصول على والامتثال الصارم لأي نسخ محدثة من هذه السياسة.

1. التعريفات. ما لم يتم تعريفه خلاف ذلك هنا، فإن المصطلحات المكتوبة بحروف كبيرة المستخدمة في هذه السياسة سيكون لها نفس المعنى كما هو موضح في الاتفاق.

1.1 "الدولة الكافية" تعني دولة أو إقليم يتم التعرف عليه بموجب تشريعات حماية البيانات من وقت لآخر على أنه يوفر حماية كافية للبيانات المحمية.

1.2 "الملحق" يعني كيانًا يتحكم فيه مباشرةً أو غير مباشرةً، أو يتم التحكم به، أو يكون تحت السيطرة المشتركة مع طرف. لأغراض هذه السياسة، تعني "السيطرة" الملكية أو السيطرة، مباشرةً أو غير مباشرةً، على ما لا يقل عن خمسين في المئة (50%) أو أكثر من جميع الأسهم القابلة للتصويت (أو الأوراق المالية أو الحقوق الأخرى) التي يحق لها التصويت لانتخاب المديرين أو أي سلطة حاكمة أخرى.

1.3 “CCPA” تعني قانون خصوصية المستهلك في كاليفورنيا لعام 2018، كما تم تعديله أو إضافته من وقت لآخر.

1.4 “المعلومات السرية” تعني أي وجميع المعلومات المتعلقة بشركة Exabeam، والشركات التابعة لها، والعملاء، أو الزبائن (بما في ذلك البرمجيات، الشيفرة المصدرية والمواصفات، الأسرار التجارية، المعلومات التقنية، التوقعات والاستراتيجيات التجارية، معلومات الموظفين، معلومات بطاقات الائتمان أو غيرها من المعلومات المالية، وحقوق الملكية الخاصة بأطراف ثالثة المقدمة للطرف الآخر بسرية) التي يتم وضع علامة عليها أو تحديدها على أنها “سرية” أو “ملكية”؛ وإذا تم الكشف عنها شفهيًا أو بطريقة أخرى في شكل ملموس، يتم تأكيدها كتابيًا على هذا النحو خلال ثلاثين (30) يومًا من هذا الكشف؛ أو بخلاف ذلك تكون من النوع الذي تم الكشف عنه بطريقة يفهم بها الشخص المعقول أن المعلومات الم disclosed هي سرية أو ملكية. دون تقييد ما سبق، تعتبر جميع البرمجيات والوثائق “معلومات سرية” لشركة EXABEAM، وتعتبر جميع بيانات العملاء “معلومات سرية” لشركة Exabeam وعملائها.

1.5 “بيانات العملاء” تعني أي بيانات متاحة للمقاول خلال مدة الاتفاقية، بما في ذلك على سبيل المثال لا الحصر البيانات التي تم تحميلها إلى بيئة SaaS، بما في ذلك أي معلومات تعريف شخصية، وأي مخرجات من Exabeam، أو الشركات التابعة لها، أو العملاء، أو استخدام العميل لبيئة SaaS.

1.6 "تشريعات حماية البيانات" تعني جميع قوانين الخصوصية واللوائح المعمول بها على أي بيانات محمية يتم معالجتها بموجب أو فيما يتعلق بهذه السياسة والاتفاق، بما في ذلك على سبيل المثال لا الحصر، توجيه حماية البيانات 95/46/EC (كما قد يتم استبداله بـ GDPR، وتوجيه الخصوصية والاتصالات الإلكترونية 2002/58/EC، وCCPA، وقانون حماية البيانات في المملكة المتحدة لعام 2018، وجميع التشريعات الوطنية التي تنفذ أو تكمل ما سبق.

1.7 "GDPR" تعني اللائحة (الاتحاد الأوروبي) 2016/679 من البرلمان الأوروبي ومجلس 27 أبريل 2016 بشأن حماية الأشخاص الطبيعيين فيما يتعلق بمعالجة البيانات المحمية وبشأن الحركة الحرة لهذه البيانات، وإلغاء التوجيه 95/46/EC (اللائحة العامة لحماية البيانات).

1.8 "PCI DSS" تعني معيار أمان البيانات الذي يتم نشره وتحديثه من وقت لآخر بواسطة مجلس معايير أمان صناعة بطاقات الدفع، أو أي مجلس أو وكالة خلفية تتضمن متطلبات لإدارة الأمان، والسياسات، والإجراءات، وهندسة الشبكات، وتصميم البرمجيات، وغيرها من التدابير الوقائية الحيوية للبيانات الإلكترونية.

1.9 "البيانات الشخصية" تعني جميع البيانات التي يتم تعريفها على أنها "البيانات الشخصية" في تشريعات حماية البيانات والتي يتم تقديمها بشكل مباشر أو غير مباشر من قبل EXABEAM إلى المقاول، أو التي يتم الوصول إليها أو تخزينها أو معالجتها بطريقة أخرى من قبل المقاول أو معالجيه الفرعيين (حسب الاقتضاء) لأغراض تقديم الحل إلى EXABEAM.

1.10 “البيانات المحمية” تعني جميع المعلومات السرية، وبيانات العملاء، والبيانات الشخصية الخاصة بشركة Exabeam، والشركات التابعة لها، والعملاء.

1.11 "المعالجة"، "التحكم في البيانات"، "معالج البيانات"، "موضوع البيانات" و "السلطة الإشرافية" ستكون لها المعاني المنسوبة إليها في تشريعات حماية البيانات.

1.12 "البنود التعاقدية القياسية / SCC" تعني قرار المفوضية التنفيذية (الاتحاد الأوروبي) 2021/914 بتاريخ 4 يونيو 2021 بشأن البنود التعاقدية القياسية لنقل البيانات الشخصية إلى دول ثالثة وفقًا للائحة (الاتحاد الأوروبي) 2016/679 للبرلمان الأوروبي والمجلس المتاحة على https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX%3A32021D0914&locale=en.

1.13 “UK Addendum” تعني ملحق نقل البيانات الدولية إلى SCCs الصادر عن المفوض بموجب S119A(1) من قانون حماية البيانات لعام 2018، النسخة B1.0، سارية اعتبارًا من 21 مارس 2022 ومتاحة على https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf.

2. معالجة البيانات

2.1 نطاق وأدوار الأطراف. يقر الأطراف ويوافقون على أنه فيما يتعلق بمعالجة البيانات المحمية، فإن EXABEAM هو المتحكم في البيانات، وCONTRACTOR هو معالج البيانات.

2.2 الامتثال للقوانين. سيلتزم كل طرف بجميع القوانين والقواعد واللوائح المعمول بها والملزمة له في تنفيذ التزاماته بموجب هذه السياسة، بما في ذلك تشريعات حماية البيانات.

2.3 تعليمات المعالجة. سيقوم المقاول بمعالجة البيانات المحمية وفقًا للاتفاقية السارية بين إكزبيم والمقاول ومع التعليمات المكتوبة المعقولة من إكزبيم، حيث تكون هذه التعليمات متوافقة مع شروط الاتفاقية وهذه السياسة.

3. نقل البيانات

3.1 لا يجوز للمقاول، ولا لأي من معالجيه الفرعيين، الوصول إلى البيانات المحمية أو نقلها أو معالجتها خارج بلد المنشأ دون الحصول على موافقة كتابية مسبقة من EXABEAM.

3.2 بقدر ما يتم أي معالجة للبيانات المحمية من قبل المقاول في أي دولة خارج المنطقة الاقتصادية الأوروبية (باستثناء إذا كانت في دولة كافية)، توافق الأطراف على أن بنود العقد القياسية ستطبق فيما يتعلق بتلك المعالجة وسيلتزم المقاول بالتزامات 'مستورد البيانات' في بنود العقد القياسية وستلتزم EXABEAM بالتزامات 'مُصدّر البيانات'. يجب على المقاول معالجة البيانات الشخصية المقدمة فيما يتعلق بالاتفاقية الموضوعية فقط نيابة عن EXABEAM، وأي معالجة من هذا القبيل ستكون خاضعة للوحدة 3 من بنود العقد القياسية. يجب أن يتم تقديم جميع الإشعارات من قبل المقاول إلى المتحكمين، أو أصحاب البيانات، أو السلطة الإشرافية بموجب بنود العقد القياسية بسرعة إلى EXABEAM، وتوافق EXABEAM على إبلاغ المتحكمين المناسبين، أو أصحاب البيانات، أو السلطة الإشرافية نيابة عن المقاول. توافق الأطراف على أن الانتخابات بموجب الوحدة 3 من بنود العقد القياسية ستكون كما يلي:

  1. "البند 7 ("بند الرسو") لن ينطبق؛
  2. "البند 9 ("استخدام المعالجات الفرعية") يجب أن يتضمن الخيار 2 ("الموافقة الكتابية العامة") مع فترة إشعار مدتها ستين (60) يومًا للاعتراضات، شريطة ألا يتم معالجة البيانات الشخصية خارج بلد المنشأ دون موافقة كتابية مسبقة من EXABEAM؛"
  3. "البند 11(أ) ("التعويض") لا يشمل الخيار المذكور؛"
  4. "البند 17 ("القانون الحاكم") يجب أن يتضمن الخيار الثاني مع دولة العضو جمهورية أيرلندا؛ و"
  5. "البند 18 ("اختيار المنتدى والاختصاص") يجب أن يتضمن محاكم جمهورية أيرلندا."

تتفق الأطراف على أن الملحق الأول، الملحق الثاني، والملحق الثالث لهذه السياسة ستعمل كملحقات خاصة باتفاقيات الأطراف.

3.3 إذا قام المقاول، في تنفيذ الاتفاق، بنقل أي بيانات محمية إلى معالج فرعي (قد يشمل ذلك، على سبيل المثال لا الحصر، أي من الشركات التابعة للمقاول) ودون الإخلال بالمادة 7، حيث سيقوم هذا المعالج الفرعي بمعالجة البيانات المحمية خارج المنطقة الاقتصادية الأوروبية أو المملكة المتحدة، يجب على المقاول قبل أي نقل من هذا القبيل التأكد من وجود آلية لتحقيق الكفاية فيما يتعلق بتلك المعالجة، مثل: (i) متطلبات تنفيذ المقاول أو الحصول على تنفيذ الطرف الثالث نيابة عن EXABEAM لبنود تعاقدية قياسية معتمدة من قبل السلطات الأوروبية بموجب تشريعات حماية البيانات والمحددة في الملحق 1 (أو السلطات البريطانية، حسب الاقتضاء)؛ أو (ii) وجود أي ضمانات أخرى معتمدة بشكل خاص لنقل البيانات (كما هو معترف به بموجب تشريعات حماية البيانات) و/أو وجود قرار بالكفاية من السلطة المعنية (كما هو منصوص عليه بموجب تشريعات حماية البيانات).

3.4 بقدر ما يتم استخدام ملحق المملكة المتحدة كآلية مناسبة لمعالجة البيانات المحمية:

3.4.1 ستكون EXABEAM هي "المُصدّر"، وCONTRACTOR سيكون هو "المستورد"؛ و

3.4.2 "المصدر" سيكون الخيار المحدد لجدول 4.

4. تدقيقات الأمان

4.1 الأمان. يمثل المقاول ويضمن أنه سيحافظ على تدابير تقنية وتنظيمية مناسبة ضد المعالجة غير المصرح بها وغير القانونية للبيانات المحمية، وضد الفقدان العرضي أو التدمير، والأضرار التي تلحق بالبيانات المحمية، وأن المقاول قد طور ويواصل الحفاظ على برنامج أمان مكتوب شامل يعكس ما سبق، والذي سيتم تقديمه إلى EXABEAM سنويًا. دون تقييد ما سبق، يجب أن يتضمن برنامج الأمان هذا تفاصيل حول الضوابط المشتركة المطلوبة، مثل التدريب الدوري على الترميز الآمن، والاختبارات الثابتة والديناميكية التي تم إجراؤها، وتحديد المخاطر للثغرات والتطبيقات، ونقاط التفتيش في عملية تسليم البرمجيات لضمان إجراء اختبارات الأمان. يجب أن تشمل التدابير الوقائية، ولكن لا تقتصر على، تثبيت برامج النسخ الاحتياطي ومنع فقدان البيانات على النقاط النهائية التي تتلقى الوصول إلى البيانات المحمية. يجب على المقاول الحفاظ على ضوابط لضمان الحفاظ على وضعه الأمني، مثل إدارة التصحيحات، ومنع الفيروسات والبرامج الضارة، والنسخ الاحتياطية، وبناء المعدات القياسية وتكويناتها. يجب تحديث الحلول لضمان استخدام أحدث الإصدارات فقط. يوافق المقاول على الامتثال لجميع سياسات وإجراءات EXABEAM، التي قد يتم إبلاغ المقاول بها من وقت لآخر.

4.2 يجب على المقاول تقليل استخدام البيانات المحمية إلى الحد الأدنى الممكن، والحفاظ على تشفير البيانات المحمية أثناء التخزين والنقل، على أي جهاز يخزن أو يعالج المعلومات، بغض النظر عما إذا كانت البيانات المحمية مقصودة لتكون على الجهاز أم لا. لأغراض هذه السياسة، يعني "التشفير" الحلول المقبولة وفقًا للمعايير الصناعية التي تعتبر معقولة تجاريًا ومتاحة تجاريًا من بائعين معترف بهم في الصناعة، مع تفضيل الحد الأدنى الحالي من AES (معيار التشفير المتقدم) وطول مفتاح لا يقل عن 128 بت. يجب على المقاول مراجعة معيار التشفير المستخدم بشكل دوري لضمان الامتثال لهذا القسم. دون تقييد ما سبق، يجب على المقاول عدم نقل أي بيانات محمية إلكترونيًا من موقع إلى آخر ما لم يستخدم المقاول شهادة رقمية على خادم الويب لتمكين استخدام بروتوكولات SSL وHTTPS بحيث يتم تشفير جميع عمليات نقل البيانات وصور الشاشة عبر الإنترنت. يجب فك تشفير حزم البيانات التي تحتوي على بيانات محمية داخل جدار حماية المقاول فقط؛ يجب نقل جميع البيانات عبر الإنترنت عبر حزم مشفرة. يجب استخدام شهادة رقمية على خادم الويب لتمكين استخدام TLS 1.2 أو أعلى حيث ستصبح الإصدارات السابقة غير صالحة وبروتوكولات HTTPS للسماح بتشفير جميع عمليات نقل البيانات وصور الشاشة عبر الإنترنت. يجب على المقاول عدم نقل البيانات المحمية عبر أي تقنية لاسلكية أو بريد إلكتروني أو الإنترنت ما لم يكن الاتصال مشفرًا باستخدام خوارزميات أو آليات معيارية لم يتم إهمالها أو لم تُظهر أنها عرضة للهجوم. يجب على المقاول الحفاظ على تدابير تكنولوجية وإجرائية وإدارية مناسبة بحيث يتم تشفير جميع البيانات المحمية عند نقلها عبر الإنترنت العامة بين المقاول وEXABEAM. يجب تكوين مخازن البيانات لكلمات المرور ورموز PIN لتوفير أعلى مستوى ممكن من النزاهة. يجب تخزين كلمات المرور ورموز PIN (بما في ذلك كلمات المرور/رموز PIN غير البشرية والمؤقتة) بتنسيق مشفر.

4.3 يجب على المقاول استخدام المصادقة متعددة العوامل لأي وصول إلى البيانات المحمية، بما في ذلك على سبيل المثال لا الحصر أي اتصالات وصول عن بُعد أو أي تطبيق أو خدمة تتعلق ببيانات العملاء المتاحة للجمهور.

4.4 سيقوم المقاول (CONTRACTOR) بالحفاظ على عملية حفظ السجلات وخطة استمرارية الأعمال لجميع البيانات المحمية. يجب على المقاول تقديم هذه السياسات والخطط إلى EXABEAM عند الطلب.

4.5 يجب على المقاول (CONTRACTOR) تقديم المساعدة المعقولة تجارياً كما تطلبها EXABEAM بشكل معقول (مع الأخذ في الاعتبار طبيعة المعالجة والمعلومات المتاحة للمقاول) لـ EXABEAM فيما يتعلق بـ: (i) التزامات EXABEAM بموجب تشريعات حماية البيانات فيما يتعلق بتقييمات تأثير حماية البيانات (كما هو معرف في اللائحة العامة لحماية البيانات - GDPR)؛ (ii) الإشعارات للسلطة الإشرافية و/أو الاتصالات مع الأفراد المعنيين من قبل EXABEAM استجابةً لأي حادث أمني (كما هو معرف أدناه)؛ و (iii) امتثال EXABEAM لالتزاماته بموجب اللائحة العامة لحماية البيانات (GDPR) فيما يتعلق بأمان المعالجة.

4.6 سيفصل المقاول بيئة الإنترنت المستخدمة لتقديم الحل إلى EXABEAM عن بيئة الإنترنت المستخدمة من قبل موظفي المقاول الداخليين. يجب على المقاول الحفاظ على جميع البيانات المحمية مفصولة بشكل مادي ومنطقي عن البيانات المحمية الأخرى. للتوضيح، يجب على المقاول الحفاظ على الفصل المادي والمنطقي لكل عميل أو زبون أو تابع للبيانات المحمية المقدمة من EXABEAM. سيقوم المقاول بإنشاء قواعد جدار الحماية الخاصة به بناءً على مبدأ الحد الأدنى من الوصول المطلوب. للتوضيح، سيسمح جدار الحماية فقط بحركة المرور الضرورية لعمل الحل، وسيتم حظر أي حركة مرور غير ضرورية.

4.7 يتعين على المقاول، على نفقته الخاصة، الاحتفاظ بطرف ثالث مستقل لإجراء اختبارات اختراق للبيئة على الأقل مرة واحدة سنويًا مع معالجة وتصحيح الثغرات المكتشفة. سيستخدم المقاول طرفًا ثالثًا موثوقًا لإجراء هذه الاختبارات، معتمدًا من معايير الصناعة المعترف بها كونه مؤهلاً لأداء اختبارات الاختراق. يجب على المقاول تقديم نتائج أي من هذه الاختبارات إلى EXABEAM واتخاذ الإجراءات المناسبة بسرعة لمعالجة أي نقاط ضعف، بما في ذلك، على سبيل المثال لا الحصر، الامتثال لتوصيات EXABEAM لمعالجة وتصحيح الثغرات وفقًا للجداول الزمنية التالية بناءً على مستوى الأهمية: 3 أيام للحرجة، 4 أسابيع للعالية، و6 أشهر للمتوسطة.

4.8 لا يجوز للمقاول استخدام أي جهاز محمول، مثل الهواتف الذكية، أو وحدات التخزين USB، أو بطاقات الذاكرة الفلاشية، و/أو الأقراص المرنة لتخزين أو معالجة البيانات المحمية دون الحصول على موافقة كتابية مسبقة من EXABEAM.

4.9 يجب على المقاول مراقبة أنماط حركة مرور الشبكة ومطابقة السجلات لمراقبة الحركة المشبوهة من خلال عملية أو أكثر (مثل إدارة معلومات الأمان والأحداث أو برامج SIEM).

4.10 يجب على المقاول التأكد من تفعيل مسارات التدقيق وأنها نشطة للأنظمة والتطبيقات المستخدمة للوصول إلى البيانات المحمية أو تخزينها أو معالجتها أو نقلها. يجب على المقاول أيضًا إنشاء عملية لربط جميع الوصول إلى هذه الأنظمة والتطبيقات. بالإضافة إلى ذلك، يجب على المقاول التأكد من وجود سياسات وإجراءات أمنية لمراجعة السجلات الأمنية على أساس يومي أو أسبوعي، مع ضرورة متابعة الاستثناءات. سيتم تقديم تقارير أمان لشبكة المقاول والحل إلى EXABEAM عند طلب EXABEAM. عند طلب EXABEAM، سيقوم المقاول بتوفير تقارير تدقيق مستقلة من طرف ثالث تتعلق بالأنظمة المعنية بدعم معالجة البيانات المحمية.

4.11 يجب على المقاول (CONTRACTOR) إبلاغ EXABEAM مسبقًا عن أي تغييرات مادية في نظامه أو بيئة التكنولوجيا الخاصة به، بما في ذلك التغييرات في الموقع الفعلي حيث يتم تخزين البيانات أو حيث يتم تنفيذ الخدمات الأساسية. ستقوم EXABEAM بتقييم التغييرات لتحديد ما إذا كانت هذه التغييرات تؤثر على امتثالها للمتطلبات التنظيمية المعمول بها. ستقوم EXABEAM بإبلاغ المقاول عن جهود التصحيح اللازمة لمعالجة أي تغييرات تؤدي إلى عدم الامتثال.

4.12 يجب على المقاول الحفاظ على ضوابط لضمان السلامة والأمان المادي لمرافقه وأنظمته، مثل تحديد ضوابط الوصول المحيطية بشكل فريد (مثل بطاقات ذكية أو أنظمة بيومترية) والمراقبة. يجب أن يكون الوصول إلى المناطق التي تحتوي على بيانات محمية مقيدًا بناءً على مبدأ أقل امتياز. يجب تأمين الوصول إلى غرف الخوادم ومراكز البيانات من خلال المصادقة متعددة العوامل.

4.13 الشهادات. يجب على المقاول استخدام مدققين خارجيين للتحقق من كفاية تدابير الأمان الخاصة به. سيتم إجراء هذا التدقيق: (i) على الأقل سنويًا؛ (ii) وفقًا لمبادئ خدمات الثقة (SOC) 2 أو أي معايير مماثلة أخرى و (iii) بواسطة طرف ثالث مستقل مخول بإجراء مثل هذه التدقيقات في الصناعة ذات الصلة حسب اختيار المقاول ونفقاته. يجب على المقاول تقديم تحديثات حول الامتثال لحالة العمل والشهادات إلى EXABEAM على أساس ربع سنوي. سيستخدم المقاول فقط الأجهزة المملوكة للشركة والمكونة بشكل آمن (أي الأجهزة غير الشخصية أو الأجهزة الهجينة للاستخدام الشخصي/العمل) للاتصال بشبكات وأنظمة EXABEAM أو للوصول إلى البيانات المحمية أو معالجتها أو استخدامها.

4.14 إجراء التدقيق. يجب على المقاول تقديم التعاون والمساعدة المعقولة لـ EXABEAM و/أو مراجعي حساباتها لتمكين EXABEAM من الوفاء بالمتطلبات المعمول بها بموجب تشريعات حماية البيانات. لكي تمارس EXABEAM حقها في التدقيق بموجب تشريعات حماية البيانات، سيوفر المقاول عند الطلب: (i) تقرير تدقيق لا يزيد عمره عن 12 شهرًا من مدقق خارجي مستقل ومسجل يوضح أن التدابير الفنية والتنظيمية للمقاول كافية ومتوافقة مع معيار تدقيق صناعي مقبول مثل ISO 27001 أو SOC2؛ و (ii) معلومات إضافية بحوزة المقاول أو تحت سيطرته تتعلق بأنشطة معالجة البيانات التي يقوم بها المقاول بموجب هذه السياسة، حسب الحاجة، وطلبها من سلطة إشرافية في الاتحاد الأوروبي.

يحق لشركة EXABEAM، مرة واحدة سنويًا كحد أقصى، تدقيق وفحص المقاول والمقاولين الفرعيين (إن وجدوا) لضمان الالتزام بشروط الاتفاقية بما في ذلك، على سبيل المثال لا الحصر، الالتزام بهذه السياسة؛ شريطة أنه يمكن لشركة EXABEAM إجراء تدقيق أكثر من مرة سنويًا في حالة حدوث خرق أمني. يوافق المقاول على التعاون مع شركة EXABEAM فيما يتعلق بأي تدقيق أو فحص من هذا القبيل، والذي قد يتضمن تقديم جميع المعلومات اللازمة لشركة EXABEAM لإثبات الالتزام بهذه السياسة.

يجب على EXABEAM أن تعطي المقاول إشعارًا معقولًا بأي تدقيق أو تفتيش سيتم إجراؤه بموجب هذه السياسة، وأن تبذل جهودًا معقولة لتجنب التسبب في (أو، إذا لم يكن بالإمكان تجنبه، لتقليل) أي اضطراب في أعمال المقاول أثناء وجود موظفيها في تلك المنشآت خلال إجراء هذا التدقيق أو التفتيش؛ شريطة، مع ذلك، أن شرط الإشعار المذكور أعلاه لن ينطبق في حالة حدوث خرق أمني، أو إذا كان المقاول في خرق مادي لأي من التزاماته بموجب هذه السياسة، أو الاتفاقية، أو أي تشريع لحماية البيانات.

4.15. السجلات. يجب على المقاول، كما هو مطلوب بموجب تشريعات حماية البيانات، أن يوفر لشركة EXABEAM المعلومات التي بحوزته أو تحت سيطرته والتي قد تطلبها EXABEAM بشكل معقول لإثبات التزام المقاول بالالتزامات المفروضة على معالجي البيانات بموجب تشريعات حماية البيانات فيما يتعلق بمعالجة البيانات المحمية.

4.16 الحذف. بمجرد أن يصبح ذلك ممكنًا بشكل معقول، وفي جميع الأحوال خلال ثلاثين (30) يومًا (أو في وقت أقرب عند الطلب من EXABEAM) من إنهاء أو انتهاء الاتفاقية أو أي فترة سارية بموجبها، يجب على المقاول حذف جميع بيانات العميل المحمية (بما في ذلك النسخ منها) التي تم استلامها أو الوصول إليها أو معالجتها وفقًا لهذه السياسة. ومع ذلك، يجب على المقاول حذف جميع البيانات المحمية بناءً على طلب كتابي من EXABEAM. يجب على المقاول تقديم شهادة بتدمير البيانات على الفور، ولكن في جميع الأحوال لا تتجاوز عشرة (10) أيام، بعد التدمير.

يجب أن تتضمن التدابير لحذف البيانات المحمية، على الأقل، ما يلي:

(أ) حرق أو طحن أو تمزيق الأوراق التي تحتوي على بيانات محمية بحيث لا يمكن قراءة المعلومات أو إعادة بنائها بشكل عملي؛

(ب) ضمان تدمير أو مسح الوسائط الإلكترونية التي تحتوي على بيانات محمية بحيث لا يمكن قراءة المعلومات أو إعادة بنائها بشكل عملي؛ و/أو

(ج) التأكد من أن أي طرف ثالث يقوم بالأنشطة الموصوفة في (أ) و(ب) نيابة عن المقاول يفعل ذلك بطريقة تتماشى مع هذه السياسة.

يجب على المقاول التأكد من أنه لا يحتفظ بالبيانات المحمية ما لم يُطلب ذلك بموجب هذه السياسة أو القانون المعمول به. مع مراعاة ما سبق، يجب أن تتطلب سياسة التخلص من البيانات الخاصة بالمقاول مراجعة وتدمير هذه المعلومات بشكل دوري، على أن يكون ذلك على الأقل مرة واحدة في الأسبوع.

4.17 معايير PCI DSS. يجب على المقاول الحفاظ على الامتثال لمعايير PCI DSS وفقًا لما هو منشور. يجب على المقاول الحفاظ على هذا الامتثال سنويًا، على نفقته الخاصة، وعند الطلب، تقديم الوثائق الكافية لشركة EXABEAM لإثبات امتثاله لهذه المعايير. يحق لشركة EXABEAM إجراء تدقيق سنوي للمقاول للتحقق من الامتثال لمعايير PCI DSS، بما في ذلك إتمام أي تدقيق من طرف ثالث مطلوب كجزء من تحقيق جنائي. سيكون هذا الحق في التدقيق بالإضافة إلى أي حقوق تدقيق أخرى منصوص عليها هنا.

4.18 قانون حماية خصوصية المستهلك في كاليفورنيا (CCPA). إذا قام المقاول بمعالجة البيانات المحمية لسكان كاليفورنيا، فسوف يلتزم المقاول بدقة بقانون CCPA. على وجه التحديد، يوافق المقاول على ما يلي: (أ) يعمل المقاول فقط كمزود خدمة (كما هو محدد في CCPA) فيما يتعلق بالبيانات المحمية لسكان كاليفورنيا، وتحدد EXABEAM وحدها الأغراض ووسائل معالجة البيانات المحمية؛ (ب) لن يبيع المقاول (كما هو محدد في CCPA) البيانات المحمية لسكان كاليفورنيا، ويعترف الطرفان ويوافقان على أن EXABEAM لا تبيع البيانات المحمية للمقاول فيما يتعلق بالخدمات. لأغراض الامتثال لقانون CCPA، يشهد المقاول بأنه يفهم وسيلتزم بالمتطلبات والقيود المنصوص عليها في هذه السياسة، وبالنسبة لأي بيانات محمية تخضع لقانون CCPA، لن يحتفظ المقاول أو يستخدم أو يكشف عن البيانات المحمية: (1) لأي غرض آخر غير الغرض المحدد لأداء الخدمات المحددة في الاتفاقية؛ أو (2) خارج العلاقة التجارية المباشرة بين EXABEAM والمقاول.

5. إشعار الخرق

يحتفظ المقاول بسياسات وإجراءات استجابة الحوادث الأمنية، ويجب، بقدر ما يسمح به القانون: (1) إبلاغ EXABEAM على الفور، وفي جميع الأحوال خلال أربع وعشرين (24) ساعة بعد أن يصبح على علم، بأي خرق فعلي أو مشتبه به للأمن يؤدي إلى التدمير العرضي أو غير القانوني، أو الفقدان، أو التغيير، أو الكشف غير المصرح به، أو الوصول إلى البيانات المحمية التي تم نقلها أو تخزينها أو معالجتها بطريقة أخرى بواسطة المقاول ("حادث أمني"); (2) مع الأخذ في الاعتبار طبيعة المعالجة والمعلومات المتاحة للمقاول في الوقت الذي أصبح فيه على علم بالحادث الأمني، اتخاذ خطوات معقولة للتخفيف من الآثار وتقليل أي ضرر ناتج عن الحادث الأمني; و (3) تقديم التعاون والمساعدة التجارية المعقولة خلال مثل هذه التحقيقات لمعالجة هذه الحادثة.

6. موظفو المقاول

6.1 يجب على المقاول (CONTRACTOR) التأكد من أن موظفيه المعنيين بمعالجة البيانات المحمية (Protected Data) على علم بالطبيعة السرية لهذه البيانات، وأنهم قد تلقوا التدريب المناسب بشأن مسؤولياتهم، وأنهم قد وقعوا على اتفاقيات سرية مكتوبة. دون الإخلال بما سبق، يجب على المقاول (CONTRACTOR) تنفيذ والحفاظ على برنامج توعية بالأمن مستمر لتثقيف وتدريب الموظفين والمقاولين الفرعيين المعتمدين، على الأقل سنويًا، والذي يتناول بشكل جوهري متطلبات الأمان لهذه السياسة والقانون المعمول به.

6.2 يجب على المقاول ضمان أن يكون الوصول إلى البيانات المحمية محدودًا على الأفراد المعنيين بتقديم الحل ووفقًا لهذه السياسة والاتفاقية. يجب أن تتبع تفويضات المستخدمين أقل من الممارسات الأفضل في الصناعة، مع الالتزام بمفاهيم الوصول بأقل امتياز، وضرورة معرفة الأعمال، والمساءلة الفردية، وفصل الواجبات عند استخدام وصيانة آلية مصادقة قوية. يجب تعطيل أو تغيير حسابات وكلمات مرور الأنظمة الافتراضية في أنظمة الإنتاج التي تدعم الحل المقدم إلى EXABEAM قبل أن يقوم العميل بإدخال هذه الأنظمة في الإنتاج. عند الطلب من EXABEAM، سيتم تقديم تقرير عن المستخدمين الحاليين للنظام ووصولهم. سيتم إزالة المستخدمين الذين لم يعودوا بحاجة إلى الوصول إلى النظام على الفور.

6.3 يجب على المقاول اتخاذ خطوات معقولة تجارياً لضمان موثوقية أي من موظفي المقاول المشاركين في معالجة البيانات المحمية.

6.4 قام المقاول بتعيين موظف لحماية البيانات وفريق حوكمة سيقوم بتقديمه لشركة EXABEAM.

6.5 يجب على المقاول الامتثال لجميع القوانين المحلية والولائية والفيدرالية المعمول بها عند إجراء تحقق من خلفية الموظفين. يوافق المقاول على أنه يجب عليه، كحد أدنى، إجراء التحقق من الخلفية التالية لجميع موظفي المقاول: (أ) التحقق من الهوية؛ (ب) الحق القانوني في العمل في البلد المعين؛ (ج) التحقق من العنوان؛ (د) التحقق من العمل لدى آخر اثنين (2) من أصحاب العمل أو آخر ثلاث (3) سنوات؛ (هـ) فحوصات الأشخاص المعرضين سياسياً (PEP)؛ (و) فحوصات الائتمان/الإفلاس؛ (ز) فحوصات الديكتاتورية ووسائل الإعلام؛ (ح) الفحوصات التنظيمية؛ (ط) التحقق من التعليم، بما في ذلك التحقق من الدرجات والشهادات و/أو الدبلومات؛ (ي) البحث عن الجرائم الفيدرالية في الولايات المتحدة خلال السنوات السبع (7) الماضية (أو ما يعادلها محلياً للموظفين الدوليين للمقاول)؛ (ك) فحص الجرائم الفيدرالية والمحلية خلال السنوات السبع (7) الماضية (أو ما يعادلها محلياً للموظفين الدوليين للمقاول)؛ (ل) التأكد من أن كل موظف من موظفي المقاول قد تم فحصه من أجل ما يلي: سجل وزارة العدل للجرائم الجنسية، العقوبات الصحية (FCIS) (بما في ذلك مكتب المفتش العام للصحة والخدمات الإنسانية، إدارة الخدمات العامة، إدارة مكافحة المخدرات، إدارة الغذاء والدواء، مكتب نزاهة البحث، TRICARE، وإلغاء FDA)، العقوبات العالمية والتنفيذ (بما في ذلك مكتب التحقيقات الفيدرالي، إدارة مكافحة المخدرات الأمريكية، وزارة العدل الأمريكية، عقوبات الأمم المتحدة، الحظر الأمريكي، ضوابط تجارة الدفاع الأمريكية، تجميد الأصول الأوروبية، مكتب مراقبة الأصول الأجنبية، مؤسسة تأمين الودائع الفيدرالية، هيئة تنظيم الصناعة المالية، لجنة الأوراق المالية والبورصات الأمريكية، تجميد الأصول في الاتحاد الأوروبي، والبنك الدولي).

يجب على موظفي المقاول عدم: (أ) استخدام أو حيازة أو توزيع أو شراء أو بيع المخدرات أو الكحول (باستثناء الحصول على إذن مناسب) أثناء وجودهم في منشآت إكزبيم أو أثناء الانخراط في أعمال إكزبيم؛ (ب) التوجه إلى أو أداء العمل لصالح إكزبيم مع وجود مخدرات أو كحول غير مصرح بها في أجسامهم بنسبة تزيد عن 0.04% من مستوى الكحول في الدم؛ أو (ج) رفض الخضوع لعمليات التفتيش الروتينية على شخصهم وممتلكاتهم الشخصية وممتلكات إكزبيم أو المقاول المعينة أثناء دخولهم أو مغادرتهم منشآت إكزبيم. يجب على المقاول إجراء اختبارات المخدرات على الموظفين الذين يتوجهون إلى منشآت إكزبيم أو الذين يشاركون في أعمال إكزبيم.

يوافق المقاول على إزالة واستبدال، من أجل الوفاء بالتزاماته تجاه EXABEAM بموجب الاتفاقية، أي من موظفيه الذين يُكتشف أنهم في انتهاك، أو يُشتبه بشكل معقول من قبل EXABEAM في انتهاكهم لما سبق.

7. المقاولون الفرعيون

7.1 التعاقد من الباطن. لا يجوز للمقاول تعيين مقاولين فرعيين أو أي أطراف ثالثة للوفاء بالتزاماته التعاقدية بموجب الاتفاقية أو هذه السياسة دون الحصول على موافقة خطية مسبقة من إكزبيم.

8. طلبات الأفراد المتعلقة بالبيانات؛ الحذف

حيثما كان ذلك مطلوبًا بموجب تشريعات حماية البيانات، يجب على المقاول (CONTRACTOR) إبلاغ EXABEAM على الفور إذا تلقى طلبًا من شخص معني بالبيانات (Data Subject) للوصول إلى بياناته المحمية أو تصحيحها أو حذفها، أو إذا اعترض شخص معني بالبيانات على معالجة تلك البيانات، أو قدم طلبًا لنقل البيانات فيما يتعلق بتلك البيانات المحمية (معًا، "طلب شخص معني بالبيانات"). يجب على المقاول بذل جهود تجارية معقولة لمساعدة EXABEAM في الرد على طلب شخص معني بالبيانات، بشرط أن تكون EXABEAM قد وجهت إلى EXABEAM للقيام بذلك. لن يستجيب المقاول بشكل مستقل لطلبات من المستخدمين النهائيين لـ EXABEAM دون موافقة خطية مسبقة من EXABEAM، باستثناء تأكيد أن الطلب يتعلق بـ EXABEAM. إلى الحد الذي لا تستطيع فيه EXABEAM معالجة طلب شخص معني بالبيانات، يجب على المقاول، بناءً على طلب EXABEAM، تقديم المساعدة المعقولة لتسهيل الرد على هذا الطلب. توافق EXABEAM على دفع الرسوم المطبقة للمقاول مقابل تقديم هذه المساعدة، وفقًا لمعدلات المقاول القياسية المقدمة من المقاول لـ EXABEAM.

9. عام

9.1 التفسير. باستثناء ما تم تعديله بموجب هذه السياسة، ستظل الاتفاقية سارية المفعول بالكامل. إذا كان هناك تعارض بين الاتفاقية وهذه السياسة، فإن هذه السياسة ستطبق بقدر ما يتعلق الموضوع بمعالجة البيانات المحمية.

9.2 قابلية الفصل. إذا تم اعتبار أي بند من هذه السياسة غير قابل للتنفيذ من قبل محكمة ذات اختصاص، فسيتم فصله، وستظل بقية الشروط سارية المفعول.

9.3 القانون الحاكم والاختصاص القضائي. تخضع هذه السياسة لقانون الاتفاقية.

9.4 التعويض. بغض النظر عن أي قيود على المسؤولية منصوص عليها في هذه الاتفاقية أو أي اتفاقيات أخرى، بما في ذلك بيانات العمل، بين الأطراف، يلتزم المقاول بتعويض وإعفاء شركة إكزبيم وموظفيها وأمنائها وموظفيها والشركات التابعة لها ووكلائها والمقاولين من الباطن وأي من عملائها، من أي وجميع المطالبات أو العقوبات أو الغرامات أو التكاليف أو المسؤوليات أو الأضرار، بما في ذلك على سبيل المثال لا الحصر أتعاب المحاماة المعقولة، التي تتكبدها شركة إكزبيم نتيجة أو فيما يتعلق بـ: (i) انتهاك المقاول لأي من الالتزامات بموجب هذه السياسة أو أي وصول أو استخدام أو إفصاح عن البيانات المحمية بما يتعارض مع أحكام هذه السياسة؛ أو (ii) أي غرامات أو عقوبات حكومية، أو مطالبات من طرف ثالث، أو أضرار، أو غرامات، أو تكاليف، أو أي ضرر ذي صلة مرتبط بانتهاك أو خرق للقانون المعمول به. بغض النظر عن أي شيء يتعارض مع ذلك في الاتفاقية، فإن أي خرق لهذه السياسة من قبل المقاول والالتزامات التعويضية المذكورة أعلاه لن تخضع لأي قيود على المسؤولية المنصوص عليها في الاتفاقية.

9.5 معيار إدارة نقاط النهاية لمقاولي EXABEAM. يجب على المقاول وموظفيه الامتثال للمتطلبات المنصوص عليها في معيار إدارة نقاط النهاية لمقاولي Exabeam المحدد في https://www.exabeam.com/legal/exabeam-contractor-endpoint-management-standard/.

الملحق 1

البنود التعاقدية القياسية

  1. قائمة الأطراف

مصدّر البيانات: مصدّر البيانات هو EXABEAM Inc. (“EXABEAM”)

مستورد البيانات: مستورد البيانات هو الطرف المحدد كمقاول.

  • وصف النقل

فئات من الأشخاص الذين يتم نقل بياناتهم الشخصية.

تشمل فئات موضوعات البيانات عملاء المصدرين للبيانات (المتحكمون) وموظفيهم، بما في ذلك أعضاء الدليل النشط للعميل، والذي قد يكون داخليًا أو خارجيًا، أو أفراد آخرين يختارهم المتحكمون للمراقبة من خلال استخدام منتجات Exabeam.

………………………..

فئات البيانات الشخصية المنقولة. قد تتعلق البيانات الشخصية المنقولة بالفئات التالية من البيانات (تنطبق فقط إذا كان الأشخاص المعنيون هم أشخاص طبيعيون):

الاسم الأول واسم العائلة

معلومات الاتصال (بما في ذلك العنوان البريدي، عنوان البريد الإلكتروني، الهاتف)

شركة و/أو صاحب العمل

العنوان و/أو المنصب

بيانات إضافية كما تم إدخالها حسب تقدير مصدّر البيانات.

………………………..

تم نقل البيانات الحساسة (إذا كان ذلك مناسبًا) وتطبيق القيود أو التدابير الأمنية التي تأخذ بعين الاعتبار طبيعة البيانات والمخاطر المرتبطة بها، مثل تحديد الأغراض بشكل صارم، قيود الوصول (بما في ذلك الوصول فقط للموظفين الذين خضعوا لتدريب متخصص)، الاحتفاظ بسجل للوصول إلى البيانات، قيود على النقل الإضافي أو تدابير أمنية إضافية.

سيتم إدخال البيانات الحساسة فقط وفقًا لتقدير المتحكم. قد تشمل هذه البيانات الحساسة معلومات صحية مثل المعلومات الصحية المحمية (PHI) كما هو معرف بموجب قانون HIPAA.

………………………..

تكرار النقل (مثل ما إذا كانت البيانات تُنقل بشكل متقطع أو بشكل مستمر).

وفقًا لتقدير مصدر البيانات.

…………………………

طبيعة المعالجة

ستتضمن المعالجة فقط الأنشطة اللازمة لتقديم الحل لشركة EXABEAM.

…………………………

أغراض نقل البيانات والمعالجة اللاحقة

ستتضمن المعالجة فقط الأنشطة اللازمة لتقديم الحل لشركة EXABEAM.

………………………..

الفترة التي ستحتفظ فيها البيانات الشخصية، أو، إذا لم يكن ذلك ممكنًا، المعايير المستخدمة لتحديد تلك الفترة.

ستكون مدة المعالجة حتى أقرب الأجلين: (1) انتهاء أو إنهاء الاتفاقية؛ أو (2) التاريخ الذي لم تعد فيه المعالجة ضرورية لأغراض أي من الطرفين في أداء التزاماته بموجب الاتفاقية، ما لم يتم الاتفاق على خلاف ذلك كتابة.

……………………..

لعمليات النقل إلى المعالجات (الفرعية)، يجب أيضًا تحديد موضوع المعالجة وطبيعتها ومدة المعالجة.

تعتبر معالجة البيانات بواسطة المعالجات الفرعية ضرورية لتمكين EXABEAM من الوفاء بحقوقها والتزاماتها المنصوص عليها في الاتفاقية أو هذه السياسة.

ستكون مدة المعالجة من قبل المعالجات الفرعية حتى أقرب الأجلين: (1) انتهاء أو إنهاء الاتفاقية؛ أو (2) التاريخ الذي لم تعد فيه المعالجة ضرورية لأغراض أي من الطرفين في تنفيذ التزاماته بموجب الاتفاقية، ما لم يتم الاتفاق على خلاف ذلك كتابة.

……………………..

  • سلطة إشرافية كفؤة

حدد السلطة الإشرافية المختصة وفقًا للبند 13.

انظر القسم 3.2 من هذه السياسة.

………………………….

ملحق 2

البنود التعاقدية القياسية

التدابير الإضافية التي يجب أن ينفذها مستورد البيانات هي كما يلي:

  1. الالتزام بسياسة أمان بيانات البائع الخاصة بشركة Exabeam، المتاحة على https://www.exabeam.com/vendor-data-security-policy/;
  2. موقع جغرافي واحد للتخزين؛
  3. الحفاظ على شهادة SOC 2 من النوع الثاني؛
  4. البيانات مشفرة في حالة السكون وأثناء النقل وفقًا لمعايير التشفير المعتمدة من NIST؛ و
  5. طرق الحذف الخاصة بـ NIST.

يحق لمصدر البيانات تعديل هذا الملحق الثاني و/أو تقديم تعليمات إضافية للمعالجة من وقت لآخر من خلال تقديم إشعار كتابي. يجب على مستورد البيانات التأكد من أن أي معالجات فرعية معتمدة لمستورد البيانات تمتثل وتنفذ التدابير المنصوص عليها في هذا الملحق الثاني.

الملحق 3

البنود التعاقدية القياسية

I. قائمة المعالجات الفرعية

سيتأكد المقاول من توفير قائمة بالمُعالجين الفرعيين الحاليين لشركة إكزبيم.

إشعار

يجب تقديم إشعار بالتغييرات المتعلقة بالمعالج الفرعي وفقًا لشروط SCCs، ويجب إرساله عبر البريد الإلكتروني إلى [email protected].