المعلومات القانونية
ملحق معالجة البيانات لاتفاقية خدمة المستخدم النهائي (EUSA)
تاريخ التحديث الأخير: 15 مايو 2026
يُدمج ملحق معالجة البيانات هذا ("DPA") في أحكام وشروط اتفاقية خدمة المستخدم النهائي ("EUSA") المبرمة بين Avetta والمورّد، ويشكل جزءًا منها. ويحدد هذا الملحق الشروط والمتطلبات والأحكام الإضافية التي ستحصل Avetta بموجبها على البيانات الشخصية، أو تتداولها، أو تعالجها، أو تفصح عنها، أو تنقلها، أو تخزنها عند تقديم الخدمات بموجب اتفاقية خدمة المستخدم النهائي (EUSA). تحمل جميع المصطلحات التي لم تُعرف بوضوح في هذا الملحق ذات المعاني المسندة إليها في اتفاقية خدمة المستخدم النهائي (EUSA).
1. التعريفات والتفسير.
1.1 التعريفات.
"تشريعات حماية البيانات المعمول بها": تعني القوانين واللوائح المعمول بها في معالجة الطرف المعني للبيانات الشخصية فيما يخص اتفاقية خدمة المستخدم النهائي (EUSA)، بما في ذلك، حسب الاقتضاء: (1) اللائحة العامة لحماية البيانات (الاتحاد الأوروبي) 2016/679 الصادر عن البرلمان الأوروبي والمجلس ("GDPR")، بصيغتها المعدلة والمكملة، حسب الحالة، بموجب قوانين ولوائح الدول الأعضاء في الاتحاد الأوروبي ذات الصلة التي يعمل فيها المورّد بشكل مباشر أو غير مباشر؛ و(2) قانون حماية البيانات في المملكة المتحدة لعام 2018 واللائحة العامة لحماية البيانات في المملكة المتحدة ("UK GDPR")؛ و(3) قانون الخصوصية الأسترالي لعام 1988 ومبادئ الخصوصية الأسترالية؛ و(4) قانون خصوصية المستهلك في كاليفورنيا لعام 2018، بصيغته المعدلة بموجب قانون حقوق الخصوصية في كاليفورنيا لعام 2020، وأي لوائح أو إرشادات ذات صلة (يُشار إليها مجتمعة باسم "قانون CCPA")؛ و(5) قانون حماية المعلومات الشخصية والوثائق الإلكترونية الكندي ("PIPEDA")؛ و(6) القانون العام البرازيلي لحماية البيانات الشخصية (Lei Geral de Proteção de Dados Pessoais)، القانون رقم 13.709/2018، وأي لوائح أو قرارات أو توجيهات صادرة عن الهيئة البرازيلية لحماية البيانات (ANPD، وفقًا للاختصار البرتغالي) (يُشار إليها مجتمعة باسم "LGPD")؛ و(7) أي قوانين أو قواعد أو لوائح أو توجيهات أو متطلبات حكومية أخرى، دولية أو فيدرالية أو حكومية أو إقليمية أو محلية، تتعلق بالخصوصية أو حماية البيانات، سواءً أكانت سارية المفعول حاليًا أم عند دخولها حيز التنفيذ مستقبلًا.
"البنود التعاقدية القياسية البرازيلية (BR SCCs)": تعني البنود التعاقدية القياسية لعمليات نقل البيانات الدولية المعتمدة من الهيئة البرازيلية لحماية البيانات (ANPD) بموجب القرار رقم 19/2024 الصادر عن مجلس إدارة الهيئة (CD/ANPD) (بصيغته المعدلة أو المستبدلة من وقت لآخر).
"صاحب البيانات": يعني الفرد صاحب البيانات الشخصية والذي تدور حوله البيانات الشخصية حيث تتعلق به أو تحدد هويته، بشكل مباشر أو غير مباشر.
"إطار خصوصية البيانات" يشتمل على إطار خصوصية البيانات بين الاتحاد الأوروبي والولايات المتحدة، وامتداد المملكة المتحدة له، وإطار خصوصية البيانات بين سويسرا والولايات المتحدة، وهي الأطر التي وضعتها وزارة التجارة الأمريكية والمفوضية الأوروبية وحكومة المملكة المتحدة والإدارة الاتحادية السويسرية، على التوالي، لتعزيز التجارة عبر الأطلسي؛ وذلك لتزويد المؤسسات الأمريكية بآليات موثوقة لنقل البيانات الشخصية إلى الولايات المتحدة من المنطقة الاقتصادية الأوروبية (EEA) والمملكة المتحدة (وجبل طارق) وسويسرا، مع ضمان حماية البيانات بما يتوافق مع قوانين الاتحاد الأوروبي والمملكة المتحدة وسويسرا.
"المنطقة الاقتصادية الأوروبية (EEA)": تشير إلى جميع الدول الأعضاء في الاتحاد الأوروبي بالإضافة إلى أيسلندا والنرويج وليختنشتاين.
"البنود التعاقدية القياسية للاتحاد الأوروبي (EU SCCs)": تعني البنود التعاقدية القياسية الصادرة عن المفوضية الأوروبية لنقل البيانات الشخصية من الاتحاد الأوروبي إلى دول ثالثة، كما هو منصوص عليه في ملحق قرار المفوضية (EU) 2021/914، وتتوفر نسخة منها على الرابط التاليhttps://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en.
"البيانات الشخصية": تعني أي معلومات تعالجها Avetta والتي (1) تحدد هوية فرد أو تتعلق بفرد يمكن تحديد هويته بشكل مباشر أو غير مباشر من تلك البيانات بمفردها أو بالاشتراك مع معلومات أخرى في حوزة Avetta أو تحت سيطرتها، أو (2) تحددها تشريعات حماية البيانات المعمول بها بخلاف ذلك كبيانات شخصية محمية أو معلومات شخصية.
"المعالجة ويعالج وعمليات المعالجة": تعني أي نشاط يتضمن استخدام البيانات الشخصية، أو أي تعريف آخر تضعه تشريعات حماية البيانات المعمول بها لمصطلحات "المعالجة" أو "يعالج" أو "عمليات المعالجة". ويشمل ذلك الحصول على البيانات، أو تسجيلها، أو الاحتفاظ بها، أو إجراء أي عملية أو مجموعة عمليات عليها، بما في ذلك تنظيمها، أو تعديلها، أو استرجاعها، أو استخدامها، أو الإفصاح عنها، أو مسحها، أو تدميرها. تشمل المعالجة أيضًا نقل البيانات الشخصية إلى جهات خارجية.
"الخرق الأمني": يعني أي خرق للأمن يؤدي إلى إتلاف البيانات الشخصية، أو فقدانها، أو تعديلها، أو الإفصاح غير المصرح به عنها، أو الوصول إليها، سواء كان ذلك بشكل عرضي أو غير قانوني.
"طلب حقوق صاحب البيانات": يعني ممارسة صاحب البيانات لحقوقه بموجب تشريعات حماية البيانات المعمول بها.
"ملحق المملكة المتحدة" يعني ملحق نقل البيانات الدولي الصادر عن مكتب مفوض المعلومات في المملكة المتحدة والمضاف إلى البنود التعاقدية القياسية للمفوضية الأوروبية، وتتوفر نسخة منه على الارتباط https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/international-transfers/appropriate-safeguards/what-are-standard-data-protection-clauses-the-uk-idta-and-the-addendum/.
1.2 تشكل الجداول جزءًا من ملحق معالجة البيانات (DPA) هذا، ويسري مفعولها كما لو كانت منصوصًا عليها بالكامل في متنه. تتضمن أي إشارة إلى ملحق معالجة البيانات (DPA) هذا الجداول التابعة له.
1.3 تشمل الإشارة إلى الكتابة أو الصيغ المكتوبة رسائل البريد الإلكتروني.
1.4 في حال وجود تعارض أو غموض بين أي من أحكام ملحق معالجة البيانات (DPA) هذا وأحكام اتفاقية خدمة المستخدم النهائي (EUSA) تسود أحكام ملحق معالجة البيانات هذا؛ وفي حال وجود تعارض بين أي من أحكام ملحق معالجة البيانات هذا وأي أحكام واردة في الجدول (أ)، تسود الأحكام المعمول بها في الجدول (أ).
2. الأدوار ونطاق المعالجة.
ينطبق ملحق معالجة البيانات (DPA) هذا فقط على البيانات الشخصية التي يتم الإفصاح عنها، أو نقلها، أو تقديمها، أو إتاحتها بأي شكل آخر من قِبل المورّد أو نيابةً عنه إلى Avetta فيما يخص الخدمات.
2.1 أدوار الأطراف. يقر كل من المورّد وAvetta ويوافقان على ما يلي:
(أ) تكون Avetta معالج بيانات في حدود ما يتم من معالجة للبيانات الشخصية نيابةً عن المورّد ووفقًا لتوجيهاته، مثل معالجة البيانات الشخصية الخاصة بالمورّد (بما في ذلك البيانات الشخصية لموظفيه وعماله) الواردة في نماذج التأهيل المسبق/الامتثال، وأي وثائق أو محتوى عملاء آخر يقدمه المورّد (بما في ذلك ما يقدمه مستخدموه المصرح لهم) إلى الموقع لمشاركتها مع عملائه.
(ب) تكون Avetta مراقب بيانات بالقدر الذي تكون فيه معالجة البيانات الشخصية لأغراض Avetta الخاصة فيما يتعلق بتقديم خدمات Avetta أو لمصالح أعمال Avetta المشروعة، مثل الفوترة، وإدارة الحساب، والدعم الفني، ومنع التهديدات الأمنية وكشفها، وتطوير المنتجات، والاستخدامات التحليلية، والمبيعات والتسويق (على سبيل المثال، إرسال النشرات الإخبارية لمستخدمين المسؤولين لدى المورّد).
2.2 معالجة المورّد للبيانات الشخصية. يقر المورّد ويوافق على ما يلي:
(أ) يتحمل المورّد المسؤولية المنفردة عن دقة البيانات الشخصية المقدمة إلى Avetta و/أو الموقع (سواء قدمها المورّد أو أصحاب البيانات التابعين له) وجودتها وقانونيتها.
(ب) يلتزم المورّد بعدم تحميل أو تقديم أي بيانات شخصية إلى Avetta و/أو الموقع إلا إذا كان قد حصل عليها من أصحاب البيانات بما يتوافق مع تشريعات حماية البيانات المعمول بها.
(ج) يلتزم المورّد بضمان الحصول على كافة الموافقات والإخطارات اللازمة، واستيفاء جميع المتطلبات الأخرى المنصوص عليها في تشريعات حماية البيانات المعمول بها، وذلك لتمكين النقل القانوني للبيانات الشخصية (بما في ذلك البيانات الحساسة) إلى Avetta، والسماح لـ Avetta بمعالجة البيانات الشخصية في ولايات قضائية متعددة وفقًا لاتفاقية خدمة المستخدم النهائي (EUSA) وملحق معالجة البيانات هذا (DPA).
(د) في الحالات التي تكون فيها الموافقة هي الأساس القانوني لمعالجة البيانات الشخصية أو عندما تكون مطلوبة لغرض استخدام خدمات Avetta، يلتزم المورّد، في جميع الأوقات، بإتاحة والإبقاء على (1) آلية للحصول على هذه الموافقة من أصحاب البيانات، و(2) آلية تتيح لأصحاب البيانات سحب تلك الموافقة؛ على أن يتم ذلك في كلتا الحالتين وفقًا لتشريعات حماية البيانات المعمول بها.
(هـ) ألا يؤدي استخدام المورّد لخدمات Avetta إلى انتهاك حقوق أي من أصحاب البيانات.
2.3 تفاصيل معالجة البيانات. يوضح الجدول (ب) الفئات العامة للبيانات الشخصية، وأنواع أصحاب البيانات، وغيرها من تفاصيل المعالجة التي ستجريها Avetta فيما يتعلق بتقديم خدمات Avetta وفقًا لاتفاقية خدمة المستخدم النهائي (EUSA).
3. التزامات Avetta.
3.1 ستعالج Avetta البيانات الشخصية فقط للأغراض المحددة لعملية النقل كما هو موضح في الجدول (ب). ويجوز لـ Avetta معالجة البيانات الشخصية لغرض آخر: (1) في حال حصولها على موافقة مسبقة من صاحب البيانات، أو (2) عندما يكون ذلك ضروريًا لإنشاء دعاوى قانونية أو ممارستها أو الدفاع عنها في سياق إجراءات إدارية أو تنظيمية أو قضائية محددة؛ أو (3) عندما تسمح تشريعات حماية البيانات المعمول بها باستخدام البيانات الشخصية لأغراض ثانوية للأغراض المحددة المنصوص عليها في الجدول (ب) دون الحاجة لموافقة صاحب البيانات. في الحدود التي تعمل فيها Avetta بصفتها معالج بيانات لصالح المورّد، تلتزم Avetta بمعالجة البيانات الشخصية وفقًا لتعليمات المورّد. يتفق الطرفان على أن تكون تعليمات المورّد ضمن نطاق اتفاقية خدمة المستخدم النهائي (EUSA)، ويجب على المورّد الحصول على موافقة كتابية مسبقة من Avetta بشأن أي تعليمات إضافية. يتعين على Avetta إخطار المورّد على الفور إذا تبين لها، وفقًا لتقديرها، أن هذه التعليمات تنتهك أيًا من تشريعات حماية البيانات المعمول بها، وإذا أخفق المورّد في تقديم تعليمات أو اتخاذ إجراء تصحيحي خلال 10 أيام من تاريخ هذا الإخطار، فبإمكان Avetta – فقط في الحدود اللازمة للامتثال لتشريعات حماية البيانات المعمول بها – تعليق معالجة البيانات الشخصية المتأثرة، أو حظر الوصول إليها أو إزالتها من الموقع أو حذفها بشكل آمن إذا لزم الأمر. يتعين على Avetta توثيق الأساس الذي استندت إليه في اتخاذ هذا الإجراء وإخطار المورّد بذلك دون تأخير غير مبرر. حيثما انطبق ذلك، يكون المورّد مسؤولًا عن أي مراسلات أو إخطارات أو تقديم مساعدة و/أو الحصول على أي تفويضات قد تكون مطلوبة فيما يتعلق بأصحاب البيانات.
3.2 تلتزم Avetta، مع مراعاة طبيعة عمليات المعالجة التي تجريها والمعلومات المتاحة لديها، بتقديم المساعدة المعقولة للمورّد للوفاء بالتزامات الامتثال الخاصة به بموجب تشريعات حماية البيانات المعمول بها، شريطة أن يتحمل المورّد كافة التكاليف التي تتكبدها Avetta فيما يتعلق بتقديمها لتلك المساعدة. وقد تشمل التزامات الامتثال المذكورة الالتزام بإجراء تقييم لأثر عمليات المعالجة على حماية البيانات الشخصية ("تقييم أثر حماية البيانات")، وذلك في الحالات التي يُحتمل أن تؤدي فيها المعالجة إلى مخاطر عالية تمس حقوق الأفراد الطبيعيين وحرياتهم.
4. موظفو Avetta.
4.1 تضمن Avetta أن جميع الموظفين الذين لديهم صلاحية الوصول إلى البيانات الشخصية أو المشاركين في معالجتها: (1) قد خضعوا للتدريب اللازم بشأن تشريعات حماية البيانات المعمول بها فيما يتعلق بالتعامل مع البيانات الشخصية، وأنهم على دراية كاملة بكل من واجبات Avetta وواجباتهم والتزاماتهم الشخصية بموجب تلك التشريعات وملحق معالجة البيانات (DPA) هذا؛ و(2) يخضعون لالتزام مناسب بشأن السرية (سواء كان واجبًا تعاقديًا أو قانونيًا).
4.2 تتخذ Avetta خطوات معقولة لضمان موثوقية أي من موظفيها الذين لديهم صلاحية الوصول إلى البيانات الشخصية، ونزاهتهم وجدارتهم بالثقة.
5. الأمن.
5.1 مع مراعاة طبيعة المعالجة ونطاقها وسياقها وأغراضها، وتكاليف التنفيذ، فضلًا عن تفاوت احتمالية وشدة المخاطر التي تمس حقوق أصحاب البيانات وحرياتهم؛ فقد نفذت Avetta تدابير فنية وتنظيمية ملائمة لضمان مستوى من الأمن يتناسب مع تلك المخاطر، بما في ذلك تدابير الأمن الموضحة في الملحق الثاني للجدول (ب). ويجوز لـ Avetta مراجعة الملحق الثاني وتحديثه من وقت لآخر، شريطة ألا تؤدي هذه التحديثات إلى انتقاص جوهري من المستوى الأمني العام لخدمات Avetta أو للبيانات الشخصية.
5.2 يتحمل المورّد مسؤولية مراجعة المعلومات التي توفرها Avetta والمتعلقة بأمن البيانات، وإجراء تقدير مستقل بشأن ما إذا كانت خدمات Avetta تلبي متطلبات المورّد والتزاماته القانونية بموجب تشريعات حماية البيانات المعمول بها.
6. الخرق الأمني وفقدان البيانات الشخصية.
6.1 تلتزم Avetta بإخطار المورّد دون تأخير فور علمها بوقوع أي خرق أمني، وتقديم المساعدة المعقولة واللازمة لتمكين المورّد من الوفاء بالتزامات الإبلاغ عن الخرق المنصوص عليها في تشريعات حماية البيانات المعمول بها، وضمن الأطر الزمنية التي تتطلبها تلك التشريعات. يتعين إرسال إخطار Avetta إلى البريد الإلكتروني المسجل من قبل المورّد ضمن خدمات Avetta، وفي حال عدم وجود بريد إلكتروني مسجل، يقر المورّد بأن وسيلة الإخطار ستخضع للتقدير المعقول لشركة Avetta، مما قد يؤثر سلبًا على قدرة Avetta على الإخطار في الوقت المناسب. تلتزم Avetta باتخاذ خطوات معقولة لاحتواء أي خرق أمني، والتحقيق فيه، وتخفيف آثاره دون أي إبطاء. في حال اشتباه المورّد في وقوع أي خرق أمني، يُرجى الإبلاغ عنه فورًا عبر البريد الإلكتروني infosec@avetta.com.
6.2 في حدود المعلومات المتاحة، تلتزم Avetta بتزويد المورّد بمعلومات في الوقت المناسب بشأن الخرق الأمني، بما في ذلك، على سبيل المثال لا الحصر: طبيعة الخرق الأمني وتبعاته، والتدابير التي اتخذتها و/أو اقترحتها Avetta لتخفيف آثار الخرق أو احتوائه، وحالة التحقيق الذي تجريه Avetta، ونقطة اتصال يمكن من خلالها الحصول على معلومات إضافية، وفئات وسجلات البيانات المعنية وعددها التقريبي. لا يجوز تفسير المراسلات الصادرة عن Avetta أو نيابةً عنها إلى المورّد فيما يتعلق بالخرق الأمني على أنها إقرار من جانب Avetta بوقوع أي خطأ أو مسؤولية فيما يتعلق بذلك الخرق.
7. نقل البيانات الشخصية عبر الحدود؛ البنود التعاقدية المطلوبة.
7.1 يقر المورّد ويوافق على أنه يجوز لشركة Avetta نقل البيانات الشخصية والوصول إليها ومعالجتها على نطاق عالمي، وذلك حسبما تقتضيه الضرورة لتقديم خدمات Avetta.
7.2 في الحالات التي تنص فيها تشريعات حماية البيانات المعمول بها على آليات محددة لنقل البيانات الشخصية إلى Avetta و/أو بنود تعاقدية لمعالجة البيانات الشخصية من قبلها (ويُشار إليها مجتمعة باسم "آليات النقل")، تلتزم Avetta بإتاحة آليات النقل المحددة تلك (في حدود ما تدعمه Avetta بشكل عام) في الجدول (أ).
7.3 إذا نصت تشريعات حماية البيانات المعمول بها على متطلبات إضافية لنقل البيانات الشخصية و/أو بنود تعاقدية لمعالجتها، توافق Avetta على التعاون مع المورّد بشكل معقول لضمان امتثاله لتلك المتطلبات، كما ستعمل على تحديث آليات النقل الواردة في الجدول (أ) متى كان ذلك مناسبًا. يوافق المورّد على إبرام أي مستندات إضافية واتخاذ أي إجراءات أخرى قد تكون لازمة بشكل معقول لإضفاء الأثر القانوني على آلية النقل الإضافية أو المعدَّلة.
8. المعالجون الفرعيون.
8.1 يوافق المورّد على أنه، في حدود عمل Avetta بصفة معالج بيانات، بإمكان Avetta الاستعانة بالمعالجين الفرعيين المدرجين في قائمة المعالجين الفرعيين لدى Avetta، وذلك لمعالجة البيانات الشخصية فيما يخص تقديم خدمات Avetta. تلتزم Avetta بإخطار المورّد بأي تغييرات قبل 10 أيام على الأقل من منح التصريح لأي معالج فرعي جديد أو استبدال أي معالج فرعي موجود، وذلك من خلال نشر المعالجين الفرعيين المقترحين في قائمة المعالجين الفرعيين لدى Avetta. يتحمل المورّد مسؤولية التحقق من هذا الموقع الإلكتروني بانتظام لمعرفة التحديثات. إذا كان لدى المورّد أي اعتراض مشروع على تعيين معالج فرعي جديد يتعلق بامتثال Avetta لملحق معالجة البيانات هذا (DPA)، فستبذل Avetta جهودًا معقولة للتعامل مع اعتراض المورّد. إذا تعذر التوصل إلى حل، يحق لشركة Avetta، وفقًا لتقديرها المنفرد، إما عدم تعيين المعالج الفرعي الجديد، أو السماح للمورّد بتعليق اتفاقية المستخدم النهائي (EUSA) أو إنهائها دون أي مسؤولية على أي من الطرفين. لا تلتزم Avetta برد أي مبالغ تم دفعها بموجب اتفاقية خدمة المستخدم النهائي (EUSA).
8.2 يقر المورّد ويوافق كذلك على أنه، في حدود عمل Avetta بصفة مراقب بيانات، يجوز لها الاستعانة بمزودي الخدمة الإضافيين الموضحين في قائمة المعالجين الفرعيين لدى Avetta للأغراض المبينة فيها.
9. طلبات حقوق أصحاب البيانات.
9.1 يوافق كل من الطرفين على تقديم المساعدة اللازمة بشكل معقول لتمكين الطرف الآخر من الامتثال لأي طلبات حقوق أصحاب البيانات ضمن المهل الزمنية التي تفرضها تشريعات حماية البيانات المعمول بها.
10. طلبات وصول الجهات الخارجية إلى البيانات.
10.1 تلتزم Avetta بإخطار المورّد بأي طلب للإفصاح عن البيانات الشخصية الخاصة به صادر عن هيئة حكومية أو رقابية أو سلطة إنفاذ قانون، ما لم يكن ذلك محظورًا بموجب القانون أو بموجب أمر ملزم قانونًا صادر عن تلك الهيئة أو الوكالة.
11. المدة والإنهاء.
11.1 يدخل ملحق معالجة البيانات (DPA) هذا حيز التنفيذ في تاريخ نفاذ اتفاقية خدمة المستخدم النهائي (EUSA) أو عند تقديم أول بيانات شخصية إلى Avetta، أيهما أسبق، ويظل ساري المفعول وبكامل أثره القانوني طالما ظلت اتفاقية خدمة المستخدم النهائي (EUSA) سارية.
11.2 يظل أي بند من بنود ملحق معالجة البيانات (DPA)، والذي ينص صراحةً أو ضمنًا على دخوله حيز التنفيذ أو استمرار نفاذه في تاريخ إنهاء اتفاقية خدمة المستخدم النهائي (EUSA) أو بعده بغرض حماية البيانات الشخصية، ساريًا وبكامل أثره القانوني.
12. إعادة البيانات وإتلافها.
12.1 بناءً على طلب المورّد، تلتزم Avetta بتزويد المورّد بنسخة من البيانات الشخصية الخاصة به، أو تمكينه من الوصول إليها، سواء كانت في حوزتها أو تحت سيطرتها، وذلك بالصيغة القياسية المعتمدة لدى Avetta، بشرط تقديم الطلب قبل أن تتخلص Avetta من تلك البيانات الشخصية.
12.2 بعد إنهاء اتفاقية خدمة المستخدم النهائي (EUSA)، ستلتزم Avetta، خلال فترة زمنية معقولة، بالحذف أو الإتلاف الآمن للبيانات الشخصية الخاصة بالمورّد والموجودة في الموقع. لن ينطبق هذا المتطلب في الحالات التالية: (1) بالقدر الذي يكون فيه الاحتفاظ بالبيانات الشخصية ضروريًا لاستيفاء أي متطلبات قانونية، أو تنظيمية، أو ضريبية، أو محاسبية، أو متعلقة بتقديم التقارير، أو ضروريًا لرفع دعاوى قانونية أو ممارستها أو الدفاع عنها إذا اعتقدت Avetta بشكل معقول بوجود احتمال لنشوء نزاع قضائي؛ و(2) بالنسبة للبيانات الشخصية الموجودة في أنظمة النسخ الاحتياطي، إلى حين استبدال هذه النسخ أو محوها وفقًا لسياسة النسخ الاحتياطي الخاصة بـ Avetta، وفي هذه الحالة، تلتزم Avetta بعزل تلك البيانات الشخصية وحمايتها من أي معالجة أخرى، باستثناء ما يقتضيه القانون المعمول به، إلى أن يصبح الحذف ممكنًا.
13. التدقيق.
13.1 بناءً على طلب كتابي ودون أي تكلفة إضافية على المورّد، تلتزم Avetta بمنح المورّد و/أو ممثله من جهة خارجية المؤهل بشكل مناسب (ويُشار إليهم مجتمعين باسم "المدقق")، حق الوصول إلى الوثائق المطلوبة بشكل معقول والتي تثبت امتثال Avetta لالتزاماتها بموجب ملحق معالجة البيانات (DPA) هذا، وذلك في شكل عمليات التدقيق أو الشهادات ذات الصلة المدرجة في الملحق الثاني من الجدول (ب)، مثل ISO/IEC 27001:2022 و ISO/IEC 27701:2019 و ISO/IEC 27017:2015 و ISO/IEC 27018:2019 و ISO/IEC 22301:2019 ("شهادات ISO")، بالإضافة إلى تقرير SOC 2 من النوع الثاني. تلتزم Avetta أيضًا بالرد على استبيانات التدقيق الكتابية المقدمة من المدقق، وعقد اجتماعات عبر الهاتف أو حضوريًا (على نفقة المورّد) لإجابة الأسئلة اللاحقة، بشرط: (1) ألا تغطي استبيانات التدقيق هذه أي مواضيع أو مجالات تم تناولها بالفعل في شهادات ISO أو تقرير تدقيق SOC 2 من النوع الثاني؛ و(2) ألا يمارس المورّد هذا الحق أكثر من مرة واحدة في السنة، إلا إذا اقتضت تعليمات سلطة حماية بيانات مختصة ذلك أو في حالة حدوث خرق أمني. يجوز لـ Avetta أن تطلب من المدقق إبرام اتفاقية سرية منفصلة معها قبل إجراء أي مراجعة للتقارير أو أي عملية تدقيق لشركة Avetta، كما يجوز لـ Avetta الاعتراض كتابيًا على ذلك المدقق إذا تبين لها، وفقًا لتقديرها المعقول، أنه غير مؤهل بشكل مناسب أو أنه منافس مباشر لها. يترتب على أي اعتراض من هذا القبيل تبديه Avetta تعيين المورّد لمدقق آخر. يتحمل المورّد بمفرده جميع المصروفات الناشئة عن المدقق فيما يخص أي مراجعة للتقارير أو أي تدقيق، ما لم تكن هذه المراجعة أو التدقيق مطلوبين بسبب خرق أمني.
14. أحكام عامة.
14.1 يتفق الطرفان على أن ملحق معالجة البيانات (DPA) هذا يحل محل ويجبّ أي ملحق لمعالجة البيانات، أو مرفق، أو مستند ملحق، أو بنود تعاقدية قياسية قد سبق وأبرمها كل من Avetta والمورّد فيما يتعلق بخدمات Avetta. بإمكان Avetta تحديث ملحق معالجة البيانات (DPA) هذا من حين لآخر (على سبيل المثال، استجابةً لأي تغييرات في تشريعات حماية البيانات المعمول بها، أو نتيجة لعملية اندماج أو استحواذ أو إعادة تنظيم مؤسسية أو أي حدث مماثل آخر، أو إطلاق ميزات أو وظائف أو منتجات أو خدمات جديدة، أو إجراء تغييرات جوهرية على أي من خدمات Avetta الحالية)؛ بشرط ألا يؤدي أي تحديث من هذا النوع إلى تقليل جوهري لمستوى خصوصية البيانات الشخصية أو أمنها. ستنشر Avetta النسخة المحدثة في ملحق معالجة البيانات لاتفاقية خدمة المستخدم النهائي (EUSA)، أو أي موقع إلكتروني لاحق تحدده Avetta.
14.2 تخضع مسؤولية Avetta بموجب ملحق معالجة البيانات (DPA) هذا أو فيما يتعلق به، بما في ذلك المسؤولية بموجب البنود التعاقدية القياسية للاتحاد الأوروبي (EU SCCs)، للاستثناءات وقيود المسؤولية الواردة في اتفاقية خدمة المستخدم النهائي (EUSA). لا يجوز لـ Avetta، بأي حال من الأحوال، تقييد أو استبعاد مسؤوليتها تجاه أصحاب البيانات، أو المسؤولية المفروضة عليها من قِبل سلطات حماية البيانات المختصة.
14.3 باستثناء ما تنص عليه البنود التعاقدية القياسية للاتحاد الأوروبي (EU SCCs) صراحةً وبالقدر الذي تنص عليه، أو ما تقتضيه تشريعات حماية البيانات المعمول بها، لا يمنح ملحق معالجة البيانات (DPA) هذا أي حقوق لجهات خارجية مستفيدة؛ إذ إن الغرض منه هو مصلحة الطرفين المتعاقدين وخلفائهم والمتنازل لهم المسموح لهم فقط، وليس لصالح أي شخص آخر، ولا يجوز لأي شخص آخر إنفاذ أي حكم من أحكامه.
14.4 يخضع ملحق معالجة البيانات (DPA) هذا، وأي إجراء يتعلق به، للقوانين المحددة في اتفاقية خدمة المستخدم النهائي (EUSA) ويُفسر وفقًا لها، دون إعمال لأي من مبادئ تنازع القوانين. يوافق الطرفان على الولاية القضائية الشخصية للمحاكم المحددة في اتفاقية خدمة المستخدم النهائي (EUSA) وعلى مكان انعقادها.
14.5 إذا تبيّن، لأي سبب من الأسباب، أن أي حكم من أحكام ملحق معالجة البيانات (DPA) هذا باطل أو غير قابل للإنفاذ، فإن الأحكام الأخرى للملحق تظل سارية وقابلة للإنفاذ. دون الحد من عمومية ما تقدم، يوافق المورّد على أن المادة 14.2 (حدود المسؤولية) ستظل سارية المفعول بغض النظر عن عدم قابلية إنفاذ أي حكم من أحكام ملحق معالجة البيانات (DPA) هذا.
الجدول (أ)
آليات النقل والبنود التعاقدية الإلزامية
يحدد الجدول (أ) آليات النقل التي تدعمها Avetta. لا تسري آلية النقل ولا تُدرج ضمن ملحق معالجة البيانات (DPA) هذا إذا كانت لا تنطبق على عمليات نقل البيانات من المورّد إلى Avetta. إذا كانت أي من آليات النقل المدرجة سارية، أو أصبحت سارية بموجب تشريعات حماية البيانات المعمول بها، فتُعتبر موقعة من قِبل الطرفين (إذا كانت التوقيعات مطلوبة) وتُدرج ضمن ملحق معالجة البيانات (DPA) هذا.
1. إطار خصوصية البيانات. فيما يتعلق بنقل البيانات الشخصية إلى الولايات المتحدة، أتمت Avetta إجراءات التصديق الذاتي على إطار خصوصية البيانات بين الاتحاد الأوروبي والولايات المتحدة، وامتداد المملكة المتحدة التابع له، وإطار خصوصية البيانات بين سويسرا والولايات المتحدة؛ وهي أطر تديرها وزارة التجارة الأمريكية. لمزيد من المعلومات، يُرجى الرجوع إلى إشعار إطار خصوصية البيانات الخاص بـ Avetta، والمتوفر في سياسة إطار خصوصية البيانات.
2. البنود التعاقدية القياسية للاتحاد الأوروبي (EU SCC). عند اشتمال المعالجة على نقل البيانات الشخصية خارج المنطقة الاقتصادية الأوروبية (EEA) إلى Avetta، وعدم وجود أساس قانوني آخر للنقل الدولي (على سبيل المثال، في حال تم إبطال إطار خصوصية البيانات المعمول به)، فسيخضع النقل للبنود التعاقدية القياسية للاتحاد الأوروبي (EU SCC)، وتحديدًا:
أ. في الحالات التي تعمل فيها Avetta بصفتها مراقبًا للبيانات، تسري الوحدة الأولى من البنود التعاقدية القياسية للاتحاد الأوروبي (الخاصة بنقل البيانات من مراقب إلى مراقب)، مكملةً بالشروط الواردة أدناه، على عمليات نقل البيانات الشخصية بين المورّد و Avetta:
أولًا. يتم إعمال النص الاختياري الوارد في البند 7 (بند الانضمام).
ثانيًا. لا يتم إعمال النص الاختياري الوارد في البند 11(أ) (الإنصاف).
ثالثًا. بالنسبة للبند 17، يتم إعمال الخيار الأول، وتكون قوانين بلجيكا هي القانون الحاكم.
رابعًا. بالنسبة للبند 18(ب)، تكون المحاكم المختارة هي محاكم بلجيكا.
ب. في الحالات التي يكون فيها المورّد مراقبًا للبيانات وتكون Avetta معالجًا للبيانات فيما يتعلق بعملية المعالجة، يسري إعمال الوحدة الثانية من البنود التعاقدية القياسية للاتحاد الأوروبي (الخاصة بنقل البيانات من مراقب إلى معالج)، مكملةً بالشروط الواردة أدناه:
أولًا. يتم إعمال النص الاختياري الوارد في البند 7 (بند الانضمام).
ثانيًا. بالنسبة للبند 9(أ)، تم اختيار الخيار الثاني (تفويض كتابي عام)، وتكون الفترة الزمنية المحددة هي عشرة (10) أيام.
ثالثًا. لا يتم إعمال النص الاختياري الوارد في البند 11(أ) (الإنصاف).
رابعًا. بالنسبة للبند 17، يتم إعمال الخيار الأول، وتكون قوانين بلجيكا هي القانون الحاكم.
خامسًا. بالنسبة للبند 18(ب)، تكون المحاكم المختارة هي محاكم بلجيكا.
ج. تُعتبر الملحقات الأول والثاني والثالث من البنود التعاقدية القياسية للاتحاد الأوروبي (EU SCCs) مكتملة بالمعلومات الواردة في الجدول (ب).
3. ملحق المملكة المتحدة. عند اشتمال المعالجة على نقل البيانات الشخصية خارج المملكة المتحدة إلى Avetta، وعدم وجود أساس قانوني آخر للنقل الدولي (على سبيل المثال، في حال تم إبطال إطار خصوصية البيانات المعمول به)، فسيخضع النقل لملحق المملكة المتحدة، مُكملًا بالشروط الواردة أدناه:
أ. يكون أطراف ملحق المملكة المتحدة هذا هم أنفسهم أطراف ملحق معالجة البيانات (DPA).
ب. تكون البنود التعاقدية القياسية للاتحاد الأوروبي (EU SCCs) التي يعدّلها ملحق المملكة المتحدة بتعديلها هي ذاتها البنود المشار إليها في القسم 2 من هذا الجدول (أ)، ويتم استكمال الجداول من 1 إلى 3 من ملحق المملكة المتحدة بالمعلومات ذات الصلة بناءً على ذلك.
ج. لأغراض الجدول 4 من ملحق المملكة المتحدة، يتم اختيار "المستورد".
د. ينص الجزء 2 من ملحق المملكة المتحدة على ما يلي: "الجزء 2: البنود الإلزامية للملحق المعتمد، وهي نموذج الملحق B.1.0 الصادر عن مكتب مفوض المعلومات (ICO) والمعروض على البرلمان وفقًا للمادة 119(أ) من قانون حماية البيانات لعام 2018 في 2 فبراير 2022، كما جرى تعديله بموجب القسم 18 من تلك البنود الإلزامية."
4. البنود التعاقدية القياسية السويسرية. عند اشتمال المعالجة على نقل البيانات الشخصية خارج سويسرا إلى Avetta، وعدم وجود أساس قانوني آخر للنقل الدولي (على سبيل المثال، إذا لم يعد إطار خصوصية البيانات المعمول به آلية نقل صالحة)، فسيخضع النقل للبنود التعاقدية القياسية للاتحاد الأوروبي (EU SCC) المشار إليها في القسم 2 من هذا الجدول (أ)، باستثناء الآتي:
أ. يجب عدم تفسير مصطلح "الدولة العضو" بطريقة تؤدي إلى استبعاد أصحاب البيانات في سويسرا من إمكانية رفع دعاوى قضائية للمطالبة بحقوقهم في محل إقامتهم المعتاد (سويسرا)، وذلك وفقًا للبند 18(ج) من هذه البنود التعاقدية القياسية.
ب. في الحالات التي تخضع فيها عمليات النقل حصرًا للقانون الفيدرالي لحماية البيانات ("FADP")، تُفهم الإشارات الواردة إلى القانون العام لحماية البيانات (GDPR) على أنها إشارات إلى القانون الفيدرالي لحماية البيانات (FADP).
ج. في الحالات التي تخضع فيها عمليات النقل لكل من القانون الفيدرالي لحماية البيانات (FADP) والقانون العام لحماية البيانات (GDPR)، تُفهم الإشارات الواردة إلى القانون (GDPR) على أنها إشارات إلى القانون (FADP) وذلك بالقدر الذي تخضع فيه تلك العمليات للقانون (FADP).
5. البنود التعاقدية القياسية البرازيلية (BR SCC). عندما تشتمل المعالجة على نقل البيانات الشخصية خارج البرازيل إلى Avetta، وفي حال عدم وجود قرار كافٍ سارٍ المفعول صادر عن الهيئة البرازيلية لحماية البيانات (ANPD) بشأن البلد المستهدف أو عدم توفر أساس قانوني آخر للنقل الدولي، فإن النقل يخضع للبنود التعاقدية القياسية البرازيلية (BR SCC)، والمبينة بالكامل على الارتباط: https://www.avetta.com/legal/eusa-br-sccs.
6. البنود التعاقدية بشأن قانون خصوصية المستهلك في كاليفورنيا (CCPA). عندما تتضمن المعالجة بيانات شخصية لمقيمين في ولاية كاليفورنيا، يلتزم الأطراف بالإضافة إلى ذلك بما يلي:
أ. تلتزم Avetta بالآتي: (1) الاقتصار على جمع البيانات الشخصية أو استخدامها أو الاحتفاظ بها أو الإفصاح عنها للأغراض المسموح بها والموضحة في اتفاقية خدمة المستخدم النهائي (EUSA) وقانون CCPA، وليس لأي غرض تجاري آخر؛ و(2) عدم بيع أي بيانات شخصية أو مشاركتها لأغراض الإعلانات السلوكية عبر السياقات؛ و(3) عدم جمع البيانات الشخصية أو استخدامها أو الاحتفاظ بها أو الإفصاح عنها خارج نطاق علاقة العمل المباشرة بين Avetta والمورّد، إلا بالقدر الضروري لتقديم خدمات Avetta؛ و(4) عدم دمج البيانات الشخصية التي تتلقاها Avetta من المورّد (أو نيابةً عنه) مع بيانات شخصية تجمعها نيابةً عن شخص أو أشخاص آخرين، إلا لغرض عمل لا يتضمن إعلانات سلوكية عبر السياقات ويكون مسموحًا به بموجب قانون CCPA؛ و(5) توفير مستوى من حماية الخصوصية لا يقل عن المستوى الذي يتطلبه قانون CCPA بخصوص البيانات الشخصية. تقر Avetta بإدراكها لهذه القيود والتزامها بالامتثال لها.
ب. يتمتع المورّد بالحق في: (1) مراقبة امتثال Avetta لملحق معالجة البيانات (DPA) هذا، و(2) اتخاذ الخطوات المعقولة والمناسبة لضمان استخدام البيانات الشخصية من قبل Avetta بما يتوافق مع قانون CCPA. تلتزم Avetta بإخطار المورّد في حال قررت أنها لم تعد قادرة على الوفاء بأي من التزاماتها بموجب قانون CCPA؛ وفي هذه الحالة، تلتزم Avetta بالعمل مع المورّد واتخاذ كافة الخطوات المعقولة والمناسبة لوقف أي عملية معالجة وتصحيحها إلى حين امتثال تلك المعالجة لقانون CCPA وملحق معالجة البيانات (DPA) هذا.
7. آليات النقل الأخرى. في حدود ما تتطلبه تشريعات حماية البيانات المعمول بها في أي ولاية قضائية لم يتم التطرق إليها صراحةً في هذا الجدول (أ) من وجود آلية نقل تعاقدية لنقل البيانات الشخصية من المورّد إلى Avetta، فإن النموذج المطبق من البنود التعاقدية القياسية للاتحاد الأوروبي (EU SCCs) يُعتبر – في الحدود التي تسمح بها تلك التشريعات الخاصة بحماية البيانات – مدرجًا في ملحق معالجة البيانات هذا (DPA) ومُعدلًا فقط في الحدود اللازمة لعمليات النقل هذه، بما في ذلك استبدال الإشارات إلى "الاتحاد الأوروبي" و"الاتحاد" و"الدول الأعضاء في الاتحاد الأوروبي"، وتعديل الإشارات إلى قوانين حماية البيانات في الاتحاد الأوروبي (بما في ذلك اللائحة العامة لحماية البيانات للاتحاد الأوروبي "EU GDPR")، بما يقابلها من إشارات إلى الولاية القضائية المعنية وتشريعات حماية البيانات المعمول بها في تلك الولاية.
الجدول (ب)
تفاصيل معالجة البيانات الشخصية
يشكل هذا الجدول (ب) جزءًا لا يتجزأ من ملحق معالجة البيانات (DPA)، ويصف عمليات المعالجة التي ستجريها Avetta فيما يتعلق بتقديم خدمات Avetta.
المرفق الأول – وصف معالجة البيانات
أ. قائمة الأطراف
مُصدر البيانات:
مستورد البيانات:
ب. وصف عملية النقل
ج. السلطة الإشرافية المختصة
المرفق الثاني - التدابير الأمنية التقنية والتنظيمية
نظرة عامة
لقد صُممت تطبيقات Avetta القائمة على نموذج البرمجيات كخدمة ("خدمات SaaS") منذ البداية مع وضع المعايير الأمنية في الاعتبار. تم تصميم بنية خدمات SaaS لمنصتي Connect و Workforce Management بمجموعة متنوعة من الضوابط الأمنية عبر كل طبقة معالجة؛ وذلك للتصدي لمجموعة واسعة من المخاطر الأمنية. تخضع هذه الضوابط الأمنية للتغيير؛ ومع ذلك، فإن أي تغييرات يتم إجراؤها ستكفل الحفاظ على الوضع الأمني العام لمنصة البرمجيات كخدمة (SaaS) أو تحسينه.
تُطبق مجالات الضوابط الأمنية الرئيسية الموضحة أدناه على كافة مكونات خدمات SaaS لمنصتي Avetta Connect و Workforce Management. تستضيف Avetta خدمات SaaS الخاصة بها على منصات مزودي خدمات الحوسبة السحابية، حيث تعتمد بشكل أساسي على Amazon Web Services (AWS)، وفي حالات محدودة على Equinix.
عمليات التدقيق والشهادات
جميع خدمات SaaS الخاصة بشركة Avetta معتمدة بموجب المعايير التالية: ISO/IEC 27001:2022، و ISO/IEC 27701:2019، و ISO/IEC 27017:2015، و ISO/IEC 27018:2019، و ISO/IEC 22301:2019 ("شهادات ISO"). وتراجع Avetta مدى التزامها السنوي بهذه الشهادات عبر إجراء عمليات تدقيق لضوابطها الداخلية. تخضع نتائج عمليات التدقيق هذه لمراجعة لجنة نظم إدارة أمن المعلومات والخصوصية، والتي تضم في عضويتها ممثلين عن فريق القيادة التنفيذية العليا في Avetta.
تعتمد Avetta بشكل أساسي على أقاليم AWS العالمية لتوفير عمليات الحوسبة والتخزين لخدمات SaaS الخاصة بها. توفر AWS مرافق من الفئة الأولى حاصلة على اعتمادات متعددة، بما في ذلك تقارير SOC2، وشهادات ISO التالية: ISO/IEC 27001:2022، وISO/IEC 27701:2019، وISO/IEC 27017:2015، وISO/IEC 27018:2019، وISO/IEC 22301:2019، وISO/IEC 20000-1:2018، بالإضافة إلى ISO/IEC 9001:2015. كما توفر مرافق AWS أحدث وسائل الحماية المادية حيث يتم تخزين بيانات عملاء Avetta ومعالجتها. تستخدم Avetta شركة Equinix كمزود لخدمات الحوسبة السحابية لمنصة Workforce Management في مناطق معينة. تحتفظ شركة Equinix أيضًا بالعديد من الشهادات والاعتمادات، بما في ذلك ISO/IEC 27001، وISO/IEC 22301، وISO/IEC 14001، وISO/IEC 9001، وISO/IEC 50001، بالإضافة إلى تقارير SOC 1 النوع الثاني وSOC 2 النوع الثاني. لمزيد من المعلومات حول مزودي خدمات الحوسبة السحابية، يرجى زيارة: https://aws.amazon.com/compliance/programs/ و https://www.equinix.com/data-centers/asia-pacific-colocation/australia-colocation/sydney-data-centers/sy6.
التعافي من الكوارث واستمرارية الأعمال
لضمان الحفاظ على مستويات عالية من جاهزية أنظمة خدمات SaaS، تستخدم Avetta مركز بيانات مخصصًا من AWS للنسخ الاحتياطي والانتقال التلقائي، يقع في موقع جغرافي منفصل عن منشأة معالجة بيانات التشغيل الفعلي المعتادة. يضمن ذلك قدرة Avetta على الاستجابة السريعة لأي حدث بيئي أو فيزيائي أو عرضي قد يتسبب في انقطاع الخدمة في مرفق تشغيل AWS.
تعتمد Avetta خطة شاملة للتعافي من الكوارث واستمرارية الأعمال، تخضع للمراجعة مرة واحدة سنويًا على الأقل. تتيح هذه المراجعة لموظفي Avetta الإلمام بخطط الطوارئ في حال وقوع حدث قد يتسبب في تعطيل أنشطة العمل المعتادة في الشركة.
تم تصميم أنظمة Avetta لدعم نقطة التعافي المستهدفة (RPO) في أقل من ساعتين، وزمن التعافي المستهدف (RTO) في أقل من 4 ساعات.
تجري Avetta أيضًا عملية تقييم شاملة للمخاطر بصفة منتظمة؛ لضمان تنفيذ استراتيجيات وضوابط مناسبة للحد من المخاطر داخل المؤسسة.
الاستجابة للحوادث
تعتمد Avetta خطة شاملة للاستجابة للحوادث. تتيح هذه الخطة، جنبًا إلى جنب مع العمليات والإجراءات ذات الصلة، لموظفي Avetta الاستجابة السريعة لأي خرق أمني مشتبه به أو محتمل، أو أي نشاط مشبوه للأمن السيبراني داخل بيئة Avetta. سيتولى فريق الاستجابة للحوادث، بقيادة أعضاء مؤهلين من الفريق الأمني، إجراء تقييم لأي موقف من هذا القبيل، ووضع خطط عمل واستراتيجيات تخفيف مناسبة. في حال تأكد حدوث الخرق المشتبه به، سيتّبع فريق الاستجابة للحوادث بروتوكولات محددة للتحرك الفوري والاستجابة المناسبة للحد من النشاط الضار، مع الحفاظ على الأدلة الجنائية الرقمية. كما سيتم اتباع إجراءات الإخطار أيضًا.
التشفير
تعتمد خدمات SaaS الخاصة بشركة Avetta تشفير البيانات المخزنة باستخدام معيار التشفير المتقدم AES-256. كما يتم تشفير عناصر بيانات إضافية باستخدام أساليب SALT. تحافظ عمليات التشفير هذه على درجة عالية من السرية وسلامة البيانات الخاصة بالعملاء. يتم الحفاظ على الفصل المنطقي للبيانات في خدمات SaaS الخاصة بشركة Avetta، بما يضمن عدم إمكانية الوصول إلى بيانات أي عميل من قِبل مصادر غير مصرح لها. يتم التحكم في الوصول إلى بيانات العملاء من خلال نظام فريد لإدارة الهوية والوصول، يشتمل على سمات تمنع المستخدمين غير المصرح لهم من الوصول إلى تلك البيانات.
تُطبَّق التدابير الأمنية في Avetta استنادًا إلى منهجية "الحد الأدنى من الصلاحيات"، مما يعني أن الوصول إلى بيانات محددة ووظائف النظام يقتصر فقط على الموظفين الذين تقتضي حاجة العمل وصولهم إليها.
ضوابط أمن تطبيقات الويب
يقتصر وصول العملاء إلى خدمات SaaS على بروتوكولات الاتصال الآمنة، من إصدار TLS 1.2 أو إصدارات أعلى. يؤدي هذا إلى إنشاء قناة تشفير تتيح نقل البيانات بشكل آمن بين المستخدم النهائي وخدمات SaaS. يكفل ذلك حماية بيانات العملاء أثناء عمليات نقل البيانات.
تتيح إدارة خدمات SaaS للعملاء إمكانية تفعيل مستخدمي الخدمة أو إلغاء تفعيلهم، وإدارة صلاحيات الوصول المرتبطة بهم حسب الضرورة. كما تتيح هذه الخدمات للعملاء تفعيل خاصية المصادقة متعددة العوامل للوصول إلى الحسابات، وذلك عبر ميزة تسجيل الدخول الموحد المتوافقة مع مزودي خدمة الهوية SAML 2.0. علاوة على ذلك، تمكّن خدمات SaaS العملاء من تفعيل سياسات مخصصة لكلمات المرور، بما يضمن توافقها مع السياسات المؤسسية الخاصة بكل عميل.
الشبكة
تستخدم خدمات SaaS ضوابط الشبكة الخاصة بمزود الخدمة السحابية لتقييد حركة البيانات الواردة والصادرة. تُستخدم مجموعات الأمان لحصر نشاط الشبكة على نقاط الاتصال المصرح بها فقط. تعتمد خدمات SaaS بنية تحتية للشبكة متعددة الطبقات، تشمل بيئات افتراضية متعددة ومنفصلة منطقيًا عبر Cloudflare، مع الاستفادة من المناطق الخاصة، والمناطق منزوعة السلاح (DMZs)، والمناطق غير الموثوقة ضمن البنية التحتية للخدمة السحابية.
المراقبة والتدقيق
تخضع أنظمة وشبكات خدمات SaaS للمراقبة المستمرة لرصد الحوادث الأمنية، وسلامة الأنظمة، وأي اختلالات في الشبكة، بالإضافة إلى مراقبة أنشطة المعالجة، ومستويات معالجة البنية التحتية، ومدى توافر الخدمة. تستخدم Avetta نظامًا لكشف التسلل لمراقبة نشاط الشبكة، حيث يقوم بتنبيه أعضاء الفريق المعنيين في Avetta عند رصد أي سلوك مشبوه. كما تُطبق جدران حماية تطبيقات الويب لجميع خدمات الويب العامة.
تتولى Avetta تسجيل أحداث التطبيقات، والشبكة، والمستخدمين، وأنظمة التشغيل، وحفظها في خادم سجلات النظام المحلي ونظام إدارة الأحداث والمعلومات الأمنية (SIEM). تخضع هذه السجلات للتحليل والمراجعة بشكل آلي لرصد أي أنشطة مشبوهة أو تهديدات أمنية. يتم تصعيد أي اختلالات في نشاط النظام مع اتخاذ الإجراءات الملائمة التي قد تتطلبها الحالة. تستخدم Avetta أنظمة إدارة الأحداث والمعلومات الأمنية التي توفر تحليلًا أمنيًا مستمرًا لشبكات Avetta وبيئتها الأمنية، حيث يتم تسجيل كافة التنبيهات وعمليات الرصد والتقارير المتعلقة بمؤشرات الأنشطة المحتملة أو المشبوهة. ويتولى موظفو العمليات التقنية (DevOps) والأمن السيبراني في Avetta إدارة كافة هذه القدرات والأنشطة.
إدارة الثغرات الأمنية
تجري Avetta تقييمات دورية للثغرات الأمنية في تطبيقات الويب، وتحليلًا ثابتًا للأكواد البرمجية، بالإضافة إلى تقييمات أمنية خارجية؛ وذلك كجزء من برنامجها الأمني الشامل لضمان تطبيق الضوابط الأمنية المناسبة وعملها بفعالية. تتعاقد Avetta، بشكل نصف سنوي، مع جهات خارجية مستقلة متخصصة في فحص الثغرات واختبار الاختراق لإجراء تقييمات شاملة لثغرات الشبكة وتطبيقات الويب. يتضمن نطاق عمليات التدقيق الخارجية هذه التحقق من الامتثال لمعيار مشروع أمن تطبيقات الويب المفتوحة (OWASP) لأخطر عشر ثغرات أمنية في تطبيقات الويب. تُدمج نتائج تقييم الثغرات الأمنية في دورة حياة تطوير البرمجيات ("SDLC") الخاصة بـ Avetta لمعالجة الثغرات التي تم رصدها. تُحدد الثغرات الأمنية حسب أولويتها وتُدرج في نظام تذاكر الدعم الداخلي الخاص بـ Avetta، لمتابعتها حتى تمام المعالجة.
تطوير البرمجيات الآمن
تتبع Avetta ممارسات التطوير الآمن ضمن دورة حياة تطوير البرمجيات (SDLC) الخاصة بها. تشمل هذه الممارسات استخدام أدوات التحليل الثابت للأكواد البرمجية وأدوات التحليل في الوقت الفعلي. كما تُجرى مراجعات النظراء للأكواد البرمجية قبل اعتماد نشرها في بيئة الإنتاج. تطبق Avetta بيئات معالجة منفصلة تشمل: الإنتاج، والاختبار/ ضمان الجودة، والبيئة التجريبية. كما يتعين على مطوري البرمجيات في Avetta تلقي تدريب سنوي على البرمجة الآمنة.
فريق الأمن السيبراني في Avetta
تمتلك Avetta فريقًا أمنيًا متخصصًا يقوده مدير للأمن السيبراني حاصل على درجة الماجستير في الأمن السيبراني. يُجري الفريق تدريبات أمنية دورية وشاملة على مستوى الشركة، وتمارين أمنية، بالإضافة إلى اختبارات دورية للثغرات الأمنية واختبارات الاختراق. ومن خلال هذه الجهود، يضمن فريق الأمن السيبراني إجراء اختبارات وتقييمات دورية لمدى فعالية التدابير التقنية والتنظيمية، وذلك لضمان أمن معالجة بيانات العملاء.
كما يشارك فريق الأمن السيبراني في عمليات التدقيق السنوية والحصول على الشهادات المعتمدة، ويحرص على حضور الندوات المتخصصة في الأمن السيبراني.
الخصوصية وحماية البيانات
تلتزم Avetta بسياسات صارمة لأمن المعلومات وحماية البيانات الشخصية. تحدد هذه السياسات الإجراءات المتبعة لضمان حماية معلومات العملاء. كما توضح الضوابط المطبقة، والتي تشمل إرشادات الاحتفاظ بالبيانات، وضوابط الوصول والمصادقة، وإرشادات الاستخدام المقبول، بالإضافة إلى معايير خصوصية البيانات.
المرفق الثالث – قائمة المعالجين الفرعيين
تتوفر قائمة المعالجين الفرعيين الحاليين لشركة Avetta على الرابط التالي: المعالجون الفرعيون لدى Avetta.