GoDaddy - 資料處理補充附件
本資料處理補充附件 (「補充附件」) 係由 GoDaddy.com, LLC, a Delaware limited liability company 及其聯盟商 (「GoDaddy」) 和您 (「客戶」) 所執行,並屬於我們的通用服務條款、隱私權政策以及所有涵蓋服務所遵守的補充條例 (統稱「服務條款」) 之附錄及補充條款。
1.定義1.1 除非本補充附件另有定義,否則本補充附件內所有未定義之大寫詞彙皆以服務條款內的意義為準。
「聯盟商」意指控制 GoDaddy、受其控制或共同控制的任意實體。
「涵蓋服務」表示可能含有我們處理個人資料在內的託管服務,並須遵守以下協議的條款與條件:(1) email 行銷服務、(2) 主機服務、(3) 網路商店/快速購物車、(4) 建站神器服務、(5) Workspace 服務。
「客戶資料」意指由 GoDaddy 處理在 GoDaddy 網路內代替客戶遵從服務條款並與條款相關之任何資料主體的個人資料。
「資料保護法律」意指所有適用於本協議規範之處理個人資料的資料保護或隱私權法律及法規,包括但不限於 (i) 澳洲隱私原則 (Australian Privacy Principles) 及澳洲隱私法 (Australian Privacy Act) (1998)、(ii) 巴西一般資料保護法案 (Lei Geral de Proteção de Dados,LGPD)、(iii) 加州消費者隱私保護法案 (California Consumer Privacy Act,CCPA)、(iv) 加拿大聯邦個資及電子文件資料保護法 (Personal Information Protection and Electronic Documents Act,PIPEDA)、(v) 歐盟 GDPR、(vi) 任何遵守或根據 GDPR 制定的國家資料保護法律、(vii) 歐盟電子隱私指示 (指令 2002/58/EC)、(viii) 新加坡 2012 年個人資料保護法 (Personal Data Protection Act 2012,PDPA)、(ix) 瑞士聯邦 1992 年 6 月 19 日資料保護法及其條例,以及 (x) 英國 GDPR 或 2018 年資料保護法,各法案得經過修訂或取代。
「EEA」意指歐洲經濟區。
「歐盟 GDPR」意指歐洲議會法規 (EU) 2016/679 (Regulation (EU) 2016/679 of the European Parliament) 與歐洲理事會於 2016 年 4 月 27 日針對在處理個人資料與自由移動該資料上保護自然人所下之決議,並廢除指令 95/46/EC。
「歐盟標準契約條款」意指歐洲聯盟委員會 2021 年 6 月 4 日決議 2021/914 所核准的標準資料保護條款,該決議已納入本文供參。您可以到 EUR-Lex 網站下載模式二 (控管者對處理方) 歐盟標準契約條款及模式三 (處理方對控管者) 歐盟標準契約條款。
「GoDaddy 網路」意指由 GoDaddy 進行控管,並用來提供涵蓋服務的 GoDaddy 資料中心設施、伺服器、網路設備與主機軟體系統 (例如虛擬防火牆)。
「安全性事件」意指破壞 GoDaddy 安全性標準之安全性,導致 GoDaddy 管理或控管的系統內部任何客戶資料意外或非法遭到破壞、喪失、變更、未授權揭露或遭到存取的情況。
「安全性標準」意指此補充附件附錄 2 的安全性標準。
「敏感資料」意指 (a) 社會安全碼、護照編號、駕照編號或類似識別號碼 (或任何部份內容);(b) 信用卡或簽帳金融卡號碼 (不含縮減過後的信用卡或簽帳金融卡 (後四碼))、財務資訊、銀行帳戶號碼或密碼;(c) 職業、財務、基因、生物或健康資訊;(d) 種族、民族、政治或宗教歸屬、工會會員資格,或性生活或性向相關資訊;(e) 帳戶密碼、母親原名,或出生日期;(f) 刑事犯罪記錄;或 (g) 其他任何符合 GDPR 或其他適用之隱私全集資料保護相關法律或實踐「特殊資料類別」定義的資訊或資訊組合。
「再處理方」意指由處理方聘請,代替控管者處理資料的任意處理方。
「英國 GDPR」意指按照 2018 年英國歐洲聯盟 (脫離) 法 (UK European Union (Withdrawal) Act 2018) 及按照該法案制定的適用次要法規而修改並納入英國法規的歐盟 GDPR。
「英國國際資料傳輸附件」意指英國資訊委員會對歐盟標準契約條款所提出的國際資料傳輸附件,版本 B1.0,生效日期為 2022 年 3 月 21 日,此附件已納入本文供參。您可以至英國資訊委員會網站下載英國國際資料傳輸附件
1.2 在本附件中,「個人資料」、「資料主體」、「處理」、「控管者」及「處理方」等詞彙皆以歐盟 GDPR 定義為準,不考量任何資料保護法律。
2.資料處理範疇與各方之間的關係2.1 GoDaddy 作為處理方。各方皆知悉並同意:(i) GoDaddy 為資料保護法律規範客戶資料的處理方;(ii) 客戶為資料保護法律規範客戶資料所適用的控管者或處理方;且 (iii) 各方在客戶資料處理方面須遵守資料保護法律所規範的各方義務。
2.2 資料處理詳情。由 GoDaddy 進行客戶資料處理之主旨為依照服務條款執行涵蓋之服務。GoDaddy 只應為達下列目的而代表客戶並根據客戶之指示文件處理客戶資料:(i) 依照服務條款進行處理;(ii) 由終端使用者在使用涵蓋之服務時進行處理;(iii) 依照其他由客戶提供的合理指示文件 (如透過 email 提供),且該指示內容符合服務條款規定。GoDaddy 不應:(a) 處理、保留、使用、販售或揭露客戶資料 (除非在根據服務條款或法律要求之情況下提供涵蓋之服務必須進行以上行為);(b) 將此等客戶資料販售給任何第三方;(c) 在 GoDaddy 及客戶的直接商業關係以外的範疇保留、使用或揭露該等客戶資料。
為免疑慮,客戶的客戶資料處理指示應遵守任何適用之資料保護法律。客戶應全權負責客戶資料的正確性、品質及合法性,以及客戶獲取客戶資料的方式。如果客戶是客戶資料控管者,則客戶知悉並同意:(i) 您必須使用適當商業資源,以明確的方式揭露任何涵蓋服務內的資料收集、分享、使用等行為,並取得相關同意;且 (ii) 您必須清楚說明,在您使用涵蓋服務後,終端使用者的資料可能會在使用者原生國家/地區以外的地方進行處理。如果客戶是客戶資料處理方,則客戶保證和客戶資料相關的指示和行動,包括任命 GoDaddy 成為其他處理方在內,皆已通過相關控管者的授權。如果指示內容違反資料保護法律,GoDaddy 無須遵守客戶指示。本補充附件內文之處理期間、性質與目的,以及所處理的個人資料主體類型、類別等定義請見本補充附件之附錄 1 (「處理詳情」)。
3.客戶資料的機密性除遵守法律規定或執法機關之有效命令 (如傳票或法院命令) 外,GoDaddy 不會向政府或其他第三方揭露客戶資料。GoDaddy 收到有效的民事傳票後,在允許的範圍內,GoDaddy 將會盡力以 email 或郵寄方式為客戶提供合理的命令通知,以利客戶尋求保護令或其他合宜救濟。
4.安全性的共享責任模式4.1 GoDaddy 已針對 GoDaddy 網路按照本節之敘述 (進一步之敘述請參見本補充附件附錄 2 - 安全性標準) 施行並在未來繼續維持技術與組織方法。GoDaddy 尤其會施行並維持下列技術與組織方法,以便維護 (i) GoDaddy 網路之安全性;(ii) 設施之實體安全性;(iii) 員工與轉包商對 (i) 存取之控制權;以及 (iv) 測試與評估 GoDaddy 技術與組織方法施行成效之程序。若我們無法遵守此處所述之義務,則會盡最快速度提供書面通知 (透過我們的網站或 email 通知)。
4.2 GoDaddy 提供數種安全性功能,讓客戶得以在涵蓋服務的相關範圍內選擇使用。客戶應負責 (a) 適當設定涵蓋服務、(b) 使用和涵蓋服務相關之可用控制 (包含安全性控制) 確保持續享有處理系統與服務之機密性、完整性、可得性與彈性、(c) 在發生實體或技術事件時,使用和涵蓋服務相關之可用控制 (包含安全性控制) 讓客戶及時還原客戶資料之可得性和存取權 (例如備份及定期封存客戶資料),以及 (d) 施行客戶認為維護客戶資料之合適安全性、保護、刪除的步驟,包含使用加密技術保護客戶資料不受未經授權之存取及方法控制客戶資料之存取權。
5.資料主體之權利考慮涵蓋服務之性質,GoDaddy 提供特定的控制方法,使客戶得選擇使用,並用其取得、修正、刪除、限制使用,或分享涵蓋服務所述之客戶資料。客戶得使用這些控制方法作為技術及組織方法,以便協助遵守適用資料保護法律之相關義務,包含與回應資料主體的要求相關之義務。若商業上合理,且在法律必要或允許範圍內,則在 GoDaddy 直接收到資料主體依照適用之資料保護法律要求執行以上權利時 (「資料主體要求」),GoDaddy 應即時通知客戶。另外,客戶使用涵蓋服務若限制其處理資料主體要求之能力時,若客戶有所要求,則 GoDaddy 得在法律允許且合宜之範圍內由客戶負擔成本 (若有),以此提供商業上合理之協助,以便處理該要求。
6.再處理6.1 授權再處理方。客戶同意 GoDaddy 得透過再處理方完成其服務條款、本補充附件之契約義務,或代其提供特定服務,如提供支援服務。客戶在此同意 GoDaddy 以本節方式使用再處理方。
6.2 再處理方義務。當 GoDaddy 依照第 6.1 節使用任意授權再處理方時:
(i) GoDaddy 會限制再處理方對客戶資料的存取權,讓其只能在對客戶或任何服務條款所規範的終端使用者維持涵蓋服務或提供涵蓋服務必要的時候進行存取。GoDaddy 會禁止再處理方以其他目的存取客戶資料;
(ii) 本補充附件之範圍內,若再處理方所提供之資料處理服務和 GoDaddy 提供之服務相同,則 GoDaddy 會和再處理方建立書面協議,GoDaddy 將要求再處理方遵守 GoDaddy 在此補充附件中所須遵守,且實質上相似的契約義務;且
(iii) GoDaddy 將持續負責遵守本補充附件之義務,另外,若因再處理方之任意作為或不作為導致 GoDaddy 違反 GoDaddy 在本補充附件規範之義務,也須同樣為其負責。
6.3 新再處理方。 我們可能會不定期按照此補充附件的條款聘請新的再處理方, 這種情形下,我們會在任何新再處理方獲取客戶資料的 30 天前進行通知 (藉由我們的網站或 email 通知)。如果您的客戶不認可新的再處理方,則客戶得在透過我們接到通知後 10 天內提供書面的終止通知 (內含不認可的理由說明),並以此終止任意涵蓋服務。如果涵蓋服務屬於產品組合或購物組合的一部份,則終止涵蓋服務等同終止整體組合。
7.安全性事件7.1 安全性事件。若 GoDaddy 察覺安全性事件,則 GoDaddy 須儘速進行下列事項:(a) 通知客戶瞭解安全性事件;且 (b) 進行合理步驟減輕該安全性事件之影響,並儘可能減少帶來之損失。
7.2 GoDaddy 之協助。為在客戶須按照適用資料保護法律而執行之資料滲透通知上協助客戶,GoDaddy 將會在通知中列出以上安全性事件之資訊,由於涵蓋服務之性質,GoDaddy 可在合理範圍內向客戶揭露 GoDaddy 已得之資訊與揭露該等資訊須遵守的限制條件,如機密性等。
7.3 失敗安全性事件。客戶同意,處理失敗的安全性事件不受此補充附件規範。處理失敗的安全性事件意指導致客戶資料或 GoDaddy 任何儲存客戶資料的網路、設備、設施遭到非經授權的存取之事件,可能包含但不限於針對防火牆或邊緣伺服器進行之 ping 或其他廣播攻擊、通訊埠掃描、非必要之登入嘗試、阻斷服務攻擊、封包監聽 (或其他對流量資料進行非經授權之存取,且並未存取標題以外之區域的行為) 或類似事件。
7.4 通知。若發生任何安全性事件,則會透過 GoDaddy 選擇之方式通知一位或多位客戶之管理員,包含透過 email 通知。客戶應自行負責確保客戶管理員於 GoDaddy 管理主控台內維護一份正確之聯絡資訊,並確保傳輸常保安全。
7.5 GoDaddy 不承認疏失:本節文內所述 GoDaddy 針對安全性事件進行回報或回覆的義務,不可理解為 GoDaddy 對該次安全性事件承認任何疏失,或 GoDaddy 有任何責任;
8.客戶權利8.1 獨立決策。客戶需負責檢視 GoDaddy 就資料安全性及其安全性標準提供之資訊,並獨立決定涵蓋服務是否符合客戶之要求與法定義務,以及客戶在此補充附件內所述之義務。提供這類資訊的目的為協助客戶遵守適用資料保護法律所規範的客戶義務。客戶同意,涵蓋服務及 GoDaddy 施行及維護的安全性標準可提供符合個人資料風險程度的安全性 (考量最新技術、施行成本,以及處理個人資料和個人風險的性質、範疇、脈絡及目的)。
8.2 客戶稽查權。客戶有權寄送書面形式的特定要求到服務條款所列的地址 (每次要求之間需等候合理的時間),藉此確認 GoDaddy 是否有遵守本補充附件所述的涵蓋服務規範。在要求得當,且稽查或調查範圍合宜下,若 GoDaddy 拒絕遵從客戶指示,則客戶有權終止本補充附件及服務條款。
9.傳輸客戶資料9.1 美國處理。除非服務條款另有註記,否則客戶資料將傳輸至英國或 EEA 之外,且在美國進行處理。
9.2 歐盟標準契約條款之應用。歐盟標準契約條款模式二 (控管者對處理方) 以及歐盟標準契約條款模式三 (處理方對控管者) 將適用於在 EEA 外直接或透過繼續傳送傳輸至歐洲聯盟委員會未認可之國家的客戶資料,以便提供合宜等級的客戶資料保護措施。這些歐盟標準契約條款不適用於在 EEA 外直接或透過繼續傳送傳輸的客戶資料。儘管有上述規定,但歐盟標準契約條款不適用於在 EEA 之外為合法傳輸個人資料而按照已知標準傳輸之資料,如為根據服務條款提供涵蓋服務有所必要,或已取得您的同意之情形等。
- 針對各個適用的模式:
- 不遵守歐盟標準契約條款之條款 7 的選用擴充條款;
- 遵守歐盟標準契約條款之條款 9 的選項 2,至於發出書面通知前的再處理方變更請見本補充附件的 6.3 節 (新再處理方) 說明;
- 不遵守歐盟標準契約條款之條款 11 的選用語言;
- 歐盟標準契約條款之條款 17 (選項 1) 受德國法律規範;
- 歐盟標準契約條款之條款 18(b) 所述之爭議交由德意志聯邦共和國法院處理;
- 在歐盟標準契約條款附錄 I 部分 A 中:
- 各方清單
資料輸出方:本補充附件內,資料輸出方即為稱為「客戶」之實體
簽名與日期:資料輸出方以電子形式接受資料輸入方的服務條款當日,資料輸出方即視為已簽署本處的歐盟標準契約條款。
角色:(模式二) 控管者或 (模式三) 處理方
資料輸入方:GoDaddy.com, LLC
聯絡資訊:資料保護經理人辦公室 – privacy@godaddy.com
簽名與日期:資料輸出方以電子形式接受資料輸入方的服務條款當日,資料輸入方即視為已簽署本處的歐盟標準契約條款。
角色:處理方
- 各方清單
- 在歐盟標準契約條款附錄 I 部分 B 中:
- 傳輸說明
補充附件附錄 1 將說明傳輸個人資料之資料主體類別。
補充附件附錄 1 將說明傳輸的個人資料類別。本補充附件附錄 1 將說明傳輸的敏感資料。
服務條款期間內將以規定頻率持續傳輸。
第 2.2 節及補充附件附錄 1 將說明處理性質。
第 2.2 節及本補充附件附錄 1 將說明資料傳輸及後續處理之目的。
本補充附件附錄 1 將說明個人資料留存期間。
標準契約條款附錄 III 將規範傳輸至 (再) 處理方的主旨、性質及處理期間。
- 傳輸說明
- 在歐盟標準契約條款附錄 I 部分 C 中:
- 適任監理主管機關
適任監理主管機關為北萊茵-威斯伐倫州資料保護及資訊自由委員會 (「LDI NRW」)。
- 適任監理主管機關
- 在歐盟標準契約條款附錄 II 中:
補充附件附錄 2 將說明資料輸入方採取的技術及組織安全性措施。 - 在歐盟標準契約條款附錄 III 中:
本補充附件附錄 3 列有再處理方清單。
9.3 Application of UK International Data Transfer Addendum. The UK International Data Transfer Addendum will apply to Customer Data transferred via Covered Services from the United Kingdom, either directly or via onward transfer, to any country not recognized by the competent United Kingdom regulatory authority or governmental body as providing an adequate level of protection for Customer Data. The UK International Data Transfer Addendum will not apply to Customer Data that is not transferred, either directly or via onward transfer, outside the United Kingdom. Notwithstanding the foregoing, the UK International Data Transfer Addendum will not apply where the data is transferred in accordance with a recognized compliance standard for the lawful transfer of Customer Data outside the United Kingdom, such as when necessary for the performance of Covered Services pursuant to the Terms of Service or with your consent.
- 進行由英國國際資料傳輸附件規範之資料傳輸時,視為已簽訂英國國際資料傳輸附件 (已納入本補充附件供參) 並已完成下列內容:
- 英國國際資料傳輸附件表格 1 的各方詳細資訊及重要聯絡資訊位於本補充附件的第 9.2 (i)(f) 節內。
- 英國國際資料傳輸附件表格 2 的歐盟標準契約條款資訊、本英國國際資料傳輸附件遵守的模式與指定條款位於本補充附件的第 9.2 (歐盟標準契約條款) 節內。
- 在英國國際資料傳輸附件表格 3 內:
- 各方清單位於本補充附件的第 9.2 (i)(f) 節內。
- 傳輸說明位於本補充附件的附錄 1 (處理詳情) 第 1 節 (處理性質與目的) 內。
- 附錄 II 位於本補充附件的附錄 2 內
- 再處理方清單位於本補充附件附錄 3 內。
- 英國國際資料傳輸附件表格 4 的輸入方與輸出方得按照英國國際資料傳輸附件條款終止英國國際資料傳輸附件。
本補充附件在我們終止按照服務條款進行處理之前都將維持有效 (「終止日期」)。
11.返還或刪除客戶資料如「涵蓋服務」一文所述,客戶得取得控制方式,並得以用來取得或刪除客戶資料。終止日期過三十 (30) 天後,系統將會刪除客戶資料,藉此遵守特定涵蓋服務的條款。客戶知悉,客戶須負責在終止日期之前匯出任何想在終止日期之後保留的客戶資料。
12.責任限制此補充附件內所有參與方都須遵守服務條款內規範的責任例外與限制條款。客戶同意,任何因客戶無法遵守此補充附件規定之義務與其他任何適用資料保護法律,導致或連帶導致 GoDaddy 招致客戶資料相關之法律懲罰時,將屬於且減低 GoDaddy 在服務條款內明列之責任,且視同為客戶在服務條款內明列之責任。
13.服務條款全文;衝突若和本補充附件之主旨有關,則本補充附件將取代所有由客戶和 GoDaddy 所在先前或同期建立之陳述、理解、協議或溝通,無論是文書或是口頭皆然,包含 GoDaddy 與客戶之間就個人資料處理和個人資料自由轉移等面向所締結之任意資料處理條款。 若歐盟標準契約條款或英國國際資料傳輸附件和本附件或服務條款內的其他條款發生衝突或有不一致的內容,則以適用的歐盟標準契約條款或英國國際資料傳輸附件為準。除非本補充附件另有修訂,否則服務條款將維持完整效力。 若服務條款和本補充附件有所衝突,則以本補充附件之條款為準。
附錄 1
處理詳情
1.處理之性質與目的。 為依照服務條款與客戶在使用涵蓋服務期間之指示提供涵蓋服務之所需,GoDaddy 將會處理客戶資料。
2.處理時間。為遵守本補充附件第 10 及 11 節內容,GoDaddy 將在服務條款生效當日處理客戶資料。儘管有上述條款,若適用法律或法規 (包括適用之資料保護法律) 有所規範,則 GoDaddy 得留存客戶資料或該等資料任意部份,不過該等客戶資料必須按照本補充附件以及適用資料保護法律的條款進行保護。
3.資料類別。客戶得在使用涵蓋服務時上傳個人資料,其範圍將由客戶全權決定與控制,內容得包含但不限於以下各種資料主體相關之個人資料:
- 客戶 (須為自然人) 的潛在客戶、客戶、企業夥伴及經銷商
- 客戶的潛在客戶、客戶、企業夥伴及經銷商的員工或聯絡人
- (自然人) 客戶的員工、代理商、顧問、自由從業者
- 讓由客戶授權之客戶使用者使用涵蓋服務
4.個人資料類別。客戶得在使用涵蓋服務時上傳個人資料,其類型與範圍將由客戶全權決定與控制,內容得包含但不限於以下各種個人資料主體:
- 姓名
- 地址
- 電話號碼
- 出生日期
- email 地址
- 其他由我們收集且可以直接或間接辨識資料主體身分的資料。
5.敏感資料或特殊資料類別。客戶得在使用涵蓋服務時上傳敏感資料,該等資料類型及範圍由客戶主觀全權瘸定並控管。在透過涵蓋服務傳輸或處理任何敏感資料前,客戶須負責採取限制或保護措施,以便完整對應該等資料的性質與風險。
附錄 2
安全性標準
I. 技術與組織方法
我們致力於保障客戶的資訊。 考量最佳實踐,執行成本、處理性質、範疇、環境與目的,以及自然人發生風險可能性與嚴重性,我們會執行下列技術與組織方法。 當選擇方法時,我們會考量系統的機密性、完整性、可得性與韌性。
II. 資料隱私權計畫
我們的資料隱私權計畫成立之目的為維持一份全球通用的資料管理框架,並在資訊生命週期內提供安全防護。此計畫由資料保護經理人領導,並由經理人監督隱私權實踐及安全性方法的實施情形。 我們會定期測試、評估及評量其資料隱私權計畫和安全性標準的成效。
1.機密性。「機密性意指個人資料將受保護,不會在非經授權的情況下遭到揭露。」
我們使用各種實體且合理之方法保護其客戶個人資料之機密性。方法包含:
實體安全防護
- 備有實體存取控制系統 (徽章存取控制、安全性事件監控等)
- 監視系統,包含警示與 (適合使用之) CCTV 監控
- 備有清理桌面政策與控制 (鎖定無人使用之電腦、上鎖檔案櫃等)
- 訪客存取權管理系統
- 摧毀實體媒體與文件資料 (切碎或消磁等)
存取控制與防止未經授權之存取行為
- 設有使用者存取限制,並根據不同責任歸屬提供/審核以角色為基礎的存取權限
- 高強度之驗證及授權方法 (多重要素認證、憑證認證、自動停用/登入等)
- 中央管理密碼與高強度/複雜度之密碼政策 (最低長度、字元複雜度、密碼過期時效等)
- email 與網路的控制存取
- 防毒管理
- 入侵防禦系統管理
加密
- 以高強度密碼協定加密外部與內部通訊
- 加密非使用中的個人資料與敏感資料 (資料庫、共享目錄等)
- 為公司電腦與筆記型電腦設有完整磁碟加密
- 儲存媒體之加密
- 與公司網路之遠端連線將以 VPN 進行加密
- 保護加密金鑰生命週期
資料最少化
- PII/SPI 最少化之應用、除錯與安全性紀錄
- 為個人資料進行擬匿名化,防止直接識別某人身分
- 以功能 (測試、佈建、即時) 分隔儲存資料
- 將資料依不同存取權角色進行合理分隔
- 個人資料有明確的留存時間
安全測試
- 為重要公司網路及儲存個人資料之平台進行滲透測試
- 定期掃描網路及漏洞
2.完整性。「完整性意指確保資料正確 (完整無缺) 且系統功能正確。當完整性一詞和『資料』連用時,表示該資料完整且未經變更。」
備有合宜變更與記錄管理控制,另有可維持個人資料完整性的存取權控制,如:
變更與釋出管理
- 變更及釋出管理程序包含 (影響分析、核准、測試、安全性查核、佈建、監控等)
- 產品環境提供之依角色與功能分類 (責任分隔) 存取權
記錄與監控
- 存取與變更資料的記錄
- 集中稽查與安全性記錄
- 監控資料傳輸之完全性與正確性 (端對端查核)
3. 可得性。「若使用者可持續以規定方式進行使用,則保證擁有服務與 IT 系統、IT 應用、IT 網路功能或資訊之可得性。」
我們會施行適當之一貫安全方法維護其服務和其服務內的資料:
- 為重要服務定期執行故障轉移測試
- 重要系統之延伸效能/可得性監控與報告
- 事件回應計畫
- 重要資料皆有複製或進行備份 (雲端備份/硬碟/資料庫複製等)
- 有安排軟體、基礎建設與安全性維護 (軟體更新、安全性修補檔等)
- 在異地與/或地理上分隔的位置上建立高韌性的備援冗餘系統 (叢集伺服器、鏡像資料庫、高可得性之設定等)
- 使用不會中斷的電源供應,以及備援的冗餘硬體與網路系統
- 備有安全警示系統
- 重要機房備有實體保護方法 (突波保護器、加高地板、冷卻系統、火焰/煙霧感測器、制火系統等)
- 維持可得性的 DDOS 防護措施
- 讀取及壓力測試
4. 資料處理指示。「資料處理指示要確保個人資料處理過程遵守資料控管者的指示與相關的公司方法」
我們已建立內部隱私權政策、協議,並定期執行員工隱私權訓練,確保依照客戶之偏好與指示處理個人資料。
- 在員工契約內備有隱私權與機密性等詞彙
- 為員工定期執行資料隱私權與安全性訓練
- 與再處理方制定合宜之契約條款,以維持指示控制權
- 定期為外部服務提供商執行隱私權檢查
- 提供客戶完整控制資料處理偏好設定的權利
- 定期安全稽查
附錄 3 - GoDaddy 再處理方