本文件補充了附件二:Vtiger 與客戶之間根據 GDPR(歐盟通用資料保護條例)第 28 條(處理者)簽訂的資料處理附錄 (DPA) 的技術和組織措施。
Vtiger 根據 GDPR 第 32 條(處理安全)實施技術和組織措施。這些措施根據可行性和最新技術不斷改進,包括積極的 ISO 27001 認證以增強安全性和保護。
在 Vtiger,我們致力於維護和執行各種政策、標準和流程,以保護員工存取的個人資料和其他資料。我們對資料保護的奉獻包括擁有專門的隱私和安全團隊、為外部各方提供資料保護、確保整個組織的一致保護、嚴格控制分包商以及定期進行審核和認證。我們定期更新這些措施,以確保它們符合行業標準。
在適用的情況下,以下技術和組織措施的描述將根據這些資料類別進行區分。
已採取措施防止未經授權的個人存取用於處理個人資料的資料處理系統。
| 技術措施 |
|
| 組織措施 |
|
雖然 Vtiger 優先考慮資料安全,但承認雲端運算中的共享責任模型也很重要。 Vtiger利用AWS、DigitalOcean、OV等雲端服務供應商(CSP)提供雲端資源。這些 CSP 保護底層基礎設施並維護強大的安全控制。有關如何找到 ISP 安全控制的更多詳細信息 點擊這裡.
已採取安全措施來防止未經授權存取資料處理系統。
| 技術措施 |
|
| 組織措施 |
|
Vtiger 員工存取與客戶控制
Vtiger 員工只能透過安全介面存取 Vtiger 產品和客戶資料。只有當客戶在其設定中明確啟用此存取權限時,才會授予此存取權限。所有訪問請求都會被仔細記錄以供審計之用。
Vtiger 根據需要限制員工對特定人員的訪問,確保只有授權人員才能出於合法原因查看客戶資料。存取客戶應用程式的目的是:
已採取措施確保只有經過授權的個人才能存取資料處理系統。在處理、使用和預存程序中,未經適當授權,不得讀取、複製、修改或刪除個人資料。
| 技術措施 |
|
| 組織措施 |
|
採取措施嚴格資料隔離實踐,以確保為不同目的收集的資料保持隔離。這包括邏輯分離,其中資料被分類並儲存在系統內的不同部分中,以及潛在的物理分離,其中資料儲存在完全不同的硬體上。
| 技術措施 |
|
| 組織措施 |
|
透過使用先進的方法,採取措施保護傳輸中和靜態的資料。
| 技術措施 |
傳輸中的資料加密(動態)
靜態資料加密(儲存)
|
| 組織措施 |
|
已採取措施防止在電子傳輸期間或儲存在資料儲存裝置上時未經授權存取個人數據,確保其無法被讀取、複製、變更或刪除。
| 技術措施 |
|
| 組織措施 |
|
這些措施旨在驗證和審查誰在資料處理系統中輸入、修改或刪除了個人資料。日誌記錄控制不同等級的輸入,例如作業系統、網路、防火牆、資料庫和應用程式。
| 技術措施 |
|
| 組織措施 |
|
已採取措施保護個人資料免受意外破壞或遺失(例如,UPS、空調、消防、資料備份、安全資料媒體儲存)。
| 技術措施 |
|
| 組織措施 |
|
已採取措施在發生實體或技術事件時快速恢復對個人資料的存取。
| 技術措施 |
|
| 組織措施 |
|
資料保護管理 (DPM) 包含一套全面的策略和一組實踐,用於保護、管理和保護敏感資訊的整個生命週期。這包括控制存取、防止未經授權的使用以及確保發生事件時的資料復原。
| 技術措施 |
|
| 組織措施 |
|
已採取措施支援安全漏洞回應和資料外洩流程。
| 技術措施 |
|
| 組織措施 |
|
根據 GDPR 第 25 條,我們已採取措施遵守設計和預設資料保護原則。
| 技術措施 |
|
| 組織措施 |
|
我們已採取措施確保代表客戶處理的個人資料僅按照客戶的指示進行處理。
| 技術措施 |
|
| 組織措施 |
|