المعلومات القانونية

ملحق معالجة البيانات لاتفاقية الاشتراك الرئيسية (MSA)

تاريخ التحديث الأخير: 31 يناير 2025

يُدمج ملحق معالجة البيانات هذا ("DPA") في اتفاقية الاشتراك الرئيسية لـ Avetta ("الاتفاقية الرئيسية") المبرمة بين Avetta والعميل، ويشكل جزءًا منها. ويحدد هذا الملحق الشروط والمتطلبات والأحكام الإضافية التي ستحصل Avetta بموجبها على البيانات الشخصية، أو تتداولها، أو تعالجها، أو تفصح عنها، أو تنقلها، أو تخزنها عند تقديم الخدمات بموجب الاتفاقية الرئيسية. تحمل جميع المصطلحات التي لم تُعرف بوضوح في هذا الملحق ذات المعاني المسندة إليها في الاتفاقية الرئيسية.

1. التعريفات والتفسير.

1.1 التعريفات.

"تشريعات حماية البيانات المعمول بها": تعني القوانين واللوائح المعمول بها في معالجة الطرف المعني للبيانات الشخصية فيما يتعلق بالاتفاقية الرئيسية، بما في ذلك، حسب الاقتضاء: (1) القانون العام لحماية البيانات (الاتحاد الأوروبي) 2016/679 الصادرة عن البرلمان الأوروبي والمجلس ("GDPR")، بصيغتها المعدلة والمكملة، حسب الحالة، بموجب قوانين ولوائح الدول الأعضاء في الاتحاد الأوروبي ذات الصلة التي يعمل فيها العميل بشكل مباشر أو غير مباشر؛ و(2) قانون حماية البيانات في المملكة المتحدة لعام 2018 والقانون العام لحماية البيانات في المملكة المتحدة ("UK GDPR")؛ و(3) قانون الخصوصية الأسترالي لعام 1988 ومبادئ الخصوصية الأسترالية؛ و(4) قانون خصوصية المستهلك في كاليفورنيا لعام 2018، بصيغته المعدلة بموجب قانون حقوق الخصوصية في كاليفورنيا لعام 2020، وأي لوائح أو إرشادات ذات صلة (يُشار إليها مجتمعة باسم "قانون CCPA")؛ و(5) قانون حماية المعلومات الشخصية والوثائق الإلكترونية الكندي ("PIPEDA")؛ و(6) أي قوانين أو قواعد أو لوائح أو توجيهات أو متطلبات حكومية أخرى، دولية أو فيدرالية أو حكومية أو إقليمية أو محلية، تتعلق بالخصوصية أو حماية البيانات، سواء كانت سارية المفعول حاليًا أو عند دخولها حيز التنفيذ مستقبلًا.

"صاحب البيانات": يعني الفرد صاحب البيانات الشخصية والذي تدور حوله البيانات الشخصية والذي تتعلق به أو تحدد هويته، بشكل مباشر أو غير مباشر.

"إطار خصوصية البيانات" يشتمل على إطار خصوصية البيانات بين الاتحاد الأوروبي والولايات المتحدة، وامتداد المملكة المتحدة له، وإطار خصوصية البيانات بين سويسرا والولايات المتحدة، وهي الأطر التي وضعتها وزارة التجارة الأمريكية والمفوضية الأوروبية وحكومة المملكة المتحدة والإدارة الاتحادية السويسرية، على التوالي، لتعزيز التجارة عبر الأطلسي؛ وذلك لتزويد المؤسسات الأمريكية بآليات موثوقة لنقل البيانات الشخصية إلى الولايات المتحدة من المنطقة الاقتصادية الأوروبية (EEA) والمملكة المتحدة (وجبل طارق) وسويسرا، مع ضمان حماية البيانات بما يتوافق مع قوانين الاتحاد الأوروبي والمملكة المتحدة وسويسرا.

"المنطقة الاقتصادية الأوروبية (EEA)": تشير إلى جميع الدول الأعضاء في الاتحاد الأوروبي بالإضافة إلى أيسلندا والنرويج وليختنشتاين.

"البنود التعاقدية القياسية للاتحاد الأوروبي (EU SCCs)": تعني البنود التعاقدية القياسية الصادرة عن المفوضية الأوروبية لنقل البيانات الشخصية من الاتحاد الأوروبي إلى دول ثالثة، كما هو منصوص عليه في ملحق قرار المفوضية (EU) 2021/914، وتتوفر نسخة منها على الرابط التاليhttps://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en.

"البيانات الشخصية": تعني أي معلومات تعالجها Avetta والتي (1) تحدد هوية فرد أو تتعلق بفرد يمكن تحديد هويته بشكل مباشر أو غير مباشر من تلك البيانات بمفردها أو بالاشتراك مع معلومات أخرى في حوزة Avetta أو تحت سيطرتها، أو (2) تحددها تشريعات حماية البيانات المعمول بها بخلاف ذلك كبيانات شخصية محمية أو معلومات شخصية.

"المعالجة ويعالج وعمليات المعالجة": تعني أي نشاط يتضمن استخدام البيانات الشخصية، أو أي تعريف آخر تضعه تشريعات حماية البيانات المعمول بها لمصطلحات "المعالجة" أو "يعالج" أو "عمليات المعالجة". ويشمل ذلك الحصول على البيانات، أو تسجيلها، أو الاحتفاظ بها، أو إجراء أي عملية أو مجموعة عمليات عليها، بما في ذلك تنظيمها، أو تعديلها، أو استرجاعها، أو استخدامها، أو الإفصاح عنها، أو مسحها، أو تدميرها. تشمل المعالجة أيضًا نقل البيانات الشخصية إلى جهات خارجية.

"الخرق الأمني": يعني أي خرق للأمن يؤدي إلى إتلاف البيانات الشخصية، أو فقدانها، أو تعديلها، أو الإفصاح غير المصرح به عنها، أو الوصول إليها، سواء كان ذلك بشكل عرضي أو غير قانوني.

"طلب حقوق صاحب البيانات": يعني ممارسة صاحب البيانات لحقوقه بموجب تشريعات حماية البيانات المعمول بها.

"ملحق المملكة المتحدة" يعني ملحق نقل البيانات الدولي الصادر عن مكتب مفوض المعلومات في المملكة المتحدة والمدمج في البنود التعاقدية القياسية للمفوضية الأوروبية، وتتوفر نسخة منه على الرابط https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/international-transfers/international-data-transfer-agreement-and-guidance.

1.2 تشكل الجداول جزءًا من ملحق معالجة البيانات (DPA) هذا، ويسري مفعولها كما لو كانت منصوصًا عليها بالكامل في متنه. تتضمن أي إشارة إلى ملحق معالجة البيانات (DPA) هذا الجداول التابعة له.

1.3 تشمل الإشارة إلى الكتابة أو الصيغ المكتوبة رسائل البريد الإلكتروني.

1.4 في حال وجود تعارض أو غموض بين أي من أحكام ملحق معالجة البيانات (DPA) هذا وأحكام الاتفاقية الرئيسية، تسود أحكام ملحق معالجة البيانات هذا؛ وفي حال وجود تعارض بين أي من أحكام ملحق معالجة البيانات هذا وأي أحكام واردة في الجدول (أ)، تسود الأحكام المعمول بها في الجدول (أ).

2. الأدوار ونطاق المعالجة.

2.1 أدوار الأطراف. يقر كل من العميل وAvetta ويوافقان على ما يلي:

(أ) تكون Avetta معالج بيانات بالقدر الذي تتم فيه معالجة البيانات الشخصية نيابةً عن العميل وتحت توجيهه.

(ب) تكون Avetta مراقب بيانات بالقدر الذي تكون فيه معالجة البيانات الشخصية لأغراض Avetta الخاصة فيما يتعلق بتقديم الخدمات أو لمصالح أعمال Avetta المشروعة، مثل الفوترة، وإدارة الحساب، والدعم الفني، ومنع التهديدات الأمنية وكشفها، وتطوير المنتجات، والاستخدامات التحليلية، والمبيعات والتسويق (على سبيل المثال، إرسال النشرات الإخبارية لمستخدمين المسؤولين لدى العميل).

2.2 معالجة العميل للبيانات الشخصية. يقر العميل ويوافق على ما يلي:

(أ) يتحمل العميل المسؤولية المنفردة عن دقة البيانات الشخصية المقدمة إلى Avetta وجودتها وقانونيتها (سواء قدمها العميل أو أصحاب البيانات التابعين له).

(ب) يلتزم العميل بعدم تحميل أو تقديم أي بيانات شخصية إلى Avetta إلا إذا كان قد حصل عليها من أصحاب البيانات بما يتوافق مع تشريعات حماية البيانات المعمول بها.

(ج) يلتزم العميل بضمان الحصول على كافة الموافقات والإخطارات اللازمة، واستيفاء جميع المتطلبات الأخرى المنصوص عليها في تشريعات حماية البيانات المعمول بها، وذلك لتمكين النقل القانوني للبيانات الشخصية (بما في ذلك البيانات الحساسة) إلى Avetta، والسماح لـ Avetta بمعالجة البيانات الشخصية في ولايات قضائية متعددة وفقًا للاتفاقية الرئيسية وملحق معالجة البيانات هذا (DPA).

(د) في الحالات التي تكون فيها الموافقة هي الأساس القانوني لمعالجة البيانات الشخصية أو عندما تكون مطلوبة لغرض استخدام الخدمات، يلتزم العميل، في جميع الأوقات، بإتاحة والإبقاء على (1) آلية للحصول على هذه الموافقة من أصحاب البيانات، و(2) آلية تتيح لأصحاب البيانات سحب تلك الموافقة؛ على أن يتم ذلك في كلتا الحالتين وفقًا لتشريعات حماية البيانات المعمول بها.

(هـ) ألا يؤدي استخدام العميل للخدمات إلى انتهاك حقوق أي من أصحاب البيانات.

2.3 تفاصيل معالجة البيانات. يوضح الجدول (ب) الفئات العامة للبيانات الشخصية، وأنواع أصحاب البيانات، وغيرها من تفاصيل المعالجة التي ستجريها Avetta فيما يتعلق بتقديم الخدمات وفقًا للاتفاقية الرئيسية.

3. التزامات Avetta.

3.1 ستعالج Avetta البيانات الشخصية فقط للأغراض المحددة لعملية النقل كما هو موضح في الجدول (ب). ويجوز لـ Avetta معالجة البيانات الشخصية لغرض آخر: (1) في حال حصولها على موافقة مسبقة من صاحب البيانات، أو (2) عندما يكون ذلك ضروريًا لإنشاء دعاوى قانونية أو ممارستها أو الدفاع عنها في سياق إجراءات إدارية أو تنظيمية أو قضائية محددة؛ أو (3) عندما تسمح تشريعات حماية البيانات المعمول بها باستخدام البيانات الشخصية لأغراض ثانوية للأغراض المحددة المنصوص عليها في الجدول (ب) دون الحاجة لموافقة صاحب البيانات. في الحدود التي تعمل فيها Avetta بصفتها معالج بيانات لصالح العميل، تلتزم Avetta بمعالجة البيانات الشخصية وفقًا لتعليمات العميل. يتفق الطرفان على أن تكون تعليمات العميل ضمن نطاق الاتفاقية الرئيسية، ويجب على العميل الحصول على موافقة كتابية مسبقة من Avetta بشأن أي تعليمات إضافية. تلتزم Avetta بإخطار العميل على الفور إذا تبين لها، وفقًا لتقديرها، أن تلك التعليمات تنتهك أيًا من تشريعات حماية البيانات المعمول بها. حيثما انطبق ذلك، يكون العميل مسؤولًا عن أي مراسلات أو إخطارات أو تقديم مساعدة و/أو الحصول على أي تفويضات قد تكون مطلوبة فيما يتعلق بأصحاب البيانات.

3.2 تلتزم Avetta، مع مراعاة طبيعة عمليات المعالجة التي تجريها والمعلومات المتاحة لديها، بتقديم المساعدة المعقولة للعميل للوفاء بالتزامات الامتثال الخاصة به بموجب تشريعات حماية البيانات المعمول بها، شريطة أن يتحمل العميل كافة التكاليف التي تتكبدها Avetta فيما يتعلق بتقديمها لتلك المساعدة. وقد تشمل التزامات الامتثال المذكورة الالتزام بإجراء تقييم لأثر عمليات المعالجة على حماية البيانات الشخصية ("تقييم أثر حماية البيانات")، وذلك في الحالات التي يُحتمل أن تؤدي فيها المعالجة إلى مخاطر عالية تمس حقوق الأفراد الطبيعيين وحرياتهم.

4. موظفو Avetta.

4.1 تضمن Avetta أن جميع الموظفين الذين لديهم صلاحية الوصول إلى البيانات الشخصية أو المشاركين في معالجتها: (1) قد خضعوا للتدريب اللازم بشأن تشريعات حماية البيانات المعمول بها فيما يتعلق بالتعامل مع البيانات الشخصية، وأنهم على دراية كاملة بكل من واجبات Avetta وواجباتهم والتزاماتهم الشخصية بموجب تلك التشريعات وملحق معالجة البيانات (DPA) هذا؛ و(2) يخضعون لالتزام مناسب بشأن السرية (سواء كان واجبًا تعاقديًا أو قانونيًا).

4.2 تتخذ Avetta خطوات معقولة لضمان موثوقية أي من موظفيها الذين لديهم صلاحية الوصول إلى البيانات الشخصية، ونزاهتهم وجدارتهم بالثقة.

5. الأمن.

5.1 مع مراعاة طبيعة المعالجة ونطاقها وسياقها وأغراضها، وتكاليف التنفيذ، فضلًا عن تفاوت احتمالية وشدة المخاطر التي تمس حقوق أصحاب البيانات وحرياتهم؛ فقد نفذت Avetta تدابير فنية وتنظيمية ملائمة لضمان مستوى من الأمن يتناسب مع تلك المخاطر، بما في ذلك تدابير الأمن الموضحة في الملحق الثاني للجدول (ب). ويجوز لـ Avetta مراجعة الملحق الثاني وتحديثه من وقت لآخر، شريطة ألا تؤدي هذه التحديثات إلى انتقاص جوهري من المستوى الأمني العام للخدمات أو للبيانات الشخصية.

5.2 يتحمل العميل مسؤولية مراجعة المعلومات التي توفرها Avetta والمتعلقة بأمن البيانات، وإجراء تقدير مستقل بشأن ما إذا كانت الخدمات تلبي متطلبات العميل والتزاماته القانونية بموجب تشريعات حماية البيانات المعمول بها.

6. الخرق الأمني وفقدان البيانات الشخصية.

6.1 تلتزم Avetta بإخطار العميل دون تأخير فور علمها بوقوع أي خرق أمني، وتقديم المساعدة المعقولة واللازمة لتمكين العميل من الوفاء بالتزامات الإبلاغ عن الخرق المنصوص عليها في تشريعات حماية البيانات المعمول بها، وضمن الأطر الزمنية التي تتطلبها تلك التشريعات. يتعين إرسال إخطار Avetta إلى البريد الإلكتروني المسجل من قبل العميل ضمن الخدمات، وفي حال عدم وجود بريد إلكتروني مسجل، يقر العميل بأن وسيلة الإخطار ستخضع للتقدير المعقول لشركة Avetta، مما قد يؤثر سلبًا على قدرة Avetta على الإخطار في الوقت المناسب. تلتزم Avetta باتخاذ خطوات معقولة لاحتواء أي خرق أمني، والتحقيق فيه، وتخفيف آثاره دون أي إبطاء. في حال اشتباه العميل في وقوع أي خرق أمني، يلتزم العميل بالإبلاغ عن ذلك فورًا عبر البريد الإلكتروني infosec@avetta.com.

6.2 في حدود المعلومات المتاحة، تلتزم Avetta بتزويد العميل بمعلومات في الوقت المناسب بشأن الخرق الأمني، بما في ذلك، على سبيل المثال لا الحصر: طبيعة الخرق الأمني وتبعاته، والتدابير التي اتخذتها و/أو اقترحتها Avetta لتخفيف آثار الخرق أو احتوائه، وحالة التحقيق الذي تجريه Avetta، ونقطة اتصال يمكن من خلالها الحصول على معلومات إضافية، وفئات وسجلات البيانات المعنية وعددها التقريبي. لا يجوز تفسير المراسلات الصادرة عن Avetta أو نيابةً عنها إلى العميل فيما يتعلق بالخرق الأمني على أنها إقرار من جانب Avetta بوقوع أي خطأ أو مسؤولية فيما يتعلق بذلك الخرق.

7. نقل البيانات الشخصية عبر الحدود؛ البنود التعاقدية المطلوبة.

7.1 يقر العميل ويوافق على أنه يجوز لشركة Avetta نقل البيانات الشخصية والوصول إليها ومعالجتها على نطاق عالمي، وذلك حسبما تقتضيه الضرورة لتقديم الخدمات.

7.2 في الحالات التي تنص فيها تشريعات حماية البيانات المعمول بها على آليات محددة لنقل البيانات الشخصية إلى Avetta و/أو بنود تعاقدية لمعالجة البيانات الشخصية من قبلها (ويُشار إليها مجتمعة باسم "آليات النقل")، تلتزم Avetta بإتاحة آليات النقل المحددة تلك (في حدود ما تدعمه Avetta بشكل عام) في الجدول (أ).

7.3 إذا نصت تشريعات حماية البيانات المعمول بها على متطلبات إضافية لنقل البيانات الشخصية و/أو بنود تعاقدية لمعالجتها، توافق Avetta على التعاون مع العميل بشكل معقول لضمان امتثاله لتلك المتطلبات، كما ستعمل على تحديث آليات النقل الواردة في الجدول (أ) متى كان ذلك مناسبًا. يوافق العميل على إبرام أي مستندات إضافية واتخاذ أي إجراءات أخرى قد تكون لازمة بشكل معقول لإضفاء الأثر القانوني على آلية النقل الإضافية أو المعدَّلة.

8. المعالجون الفرعيون.

8.1 يوافق العميل على أنه، في حدود عمل Avetta بصفة معالج بيانات، يجوز لها الاستعانة بالمعالجين الفرعيين المدرجين في قائمة المعالجين الفرعيين لدى Avetta، وذلك لمعالجة البيانات الشخصية فيما يتعلق بتقديم الخدمات. تلتزم Avetta بإخطار العميل بأي تغييرات قبل 10 أيام على الأقل من منح التصريح لأي معالج فرعي جديد أو استبدال أي معالج موجود، وذلك من خلال نشر المعالجين الفرعيين المقترحين في قائمة المعالجين الفرعيين لدى Avetta. يتحمل العميل مسؤولية التحقق من هذا الموقع الإلكتروني بانتظام لمعرفة التحديثات. إذا كان لدى العميل أي اعتراض مشروع على تعيين معالج فرعي جديد يتعلق بامتثال Avetta لملحق معالجة البيانات هذا (DPA)، فستبذل Avetta جهودًا معقولة للتعامل مع اعتراض العميل. إذا تعذر التوصل إلى حل، يحق لشركة Avetta، وفقًا لتقديرها المنفرد، إما عدم تعيين المعالج الفرعي الجديد، أو السماح للعميل بتعليق الاتفاقية الرئيسية أو إنهائها دون أي مسؤولية على أي من الطرفين. لا تلتزم Avetta برد أي مبالغ تم دفعها بموجب الاتفاقية الرئيسية. يقر العميل ويوافق كذلك على أنه، في حدود عمل Avetta بصفة مراقب بيانات، يجوز لها الاستعانة بمزودي الخدمة الإضافيين الموضحين في قائمة المعالجين الفرعيين لدى Avetta للأغراض المبينة فيها.

9. طلبات حقوق أصحاب البيانات.

9.1 يوافق كل من الطرفين على تقديم المساعدة اللازمة بشكل معقول لتمكين الطرف الآخر من الامتثال لأي طلبات حقوق أصحاب البيانات ضمن المهل الزمنية التي تفرضها تشريعات حماية البيانات المعمول بها.

10. طلبات وصول الجهات الخارجية إلى البيانات.

10.1 تلتزم Avetta بإخطار العميل بأي طلب للإفصاح عن البيانات الشخصية الخاصة به صادر عن هيئة حكومية أو رقابية أو سلطة إنفاذ قانون، ما لم يكن ذلك محظورًا بموجب القانون أو بموجب أمر ملزم قانونًا صادر عن تلك الهيئة أو الوكالة.

11. المدة والإنهاء.

11.1 يدخل ملحق معالجة البيانات (DPA) هذا حيز التنفيذ في تاريخ نفاذ الاتفاقية الرئيسية أو عند تقديم أول بيانات شخصية إلى Avetta، أيهما أسبق، ويظل ساري المفعول وبكامل أثره القانوني طالما ظلت الاتفاقية الرئيسية سارية.

11.2 يظل أي بند من بنود ملحق معالجة البيانات (DPA)، والذي ينص صراحةً أو ضمنًا على دخوله حيز التنفيذ أو استمرار نفاذه في تاريخ إنهاء الاتفاقية الرئيسية أو بعده بغرض حماية البيانات الشخصية، ساريًا وبكامل أثره القانوني.

12. إعادة البيانات وإتلافها.

12.1 بناءً على طلب كتابي من العميل، تلتزم Avetta بتزويد العميل بنسخة من البيانات الشخصية الخاصة به، أو تمكينه من الوصول إليها، سواء كانت في حوزتها أو تحت سيطرتها، وذلك بالصيغة المتفق عليها بين الطرفين، بشرط تقديم الطلب قبل أن تتخلص Avetta من تلك البيانات الشخصية.

12.2 عقب إنهاء الاتفاقية الرئيسية، ستلتزم Avetta، خلال فترة زمنية معقولة، بحذف أو إتلاف البيانات الشخصية الخاصة بالعميل المتعلقة بملحق معالجة البيانات (DPA) هذا والموجودة في منصة البرمجيات كخدمة (SaaS) بشكل آمن. لن ينطبق هذا المتطلب في الحالات التالية: (1) بالقدر الذي يكون فيه الاحتفاظ بالبيانات الشخصية ضروريًا لاستيفاء أي متطلبات قانونية، أو تنظيمية، أو ضريبية، أو محاسبية، أو متعلقة بتقديم التقارير، أو ضروريًا لرفع دعاوى قانونية أو ممارستها أو الدفاع عنها إذا اعتقدت Avetta بشكل معقول بوجود احتمال لنشوء نزاع قضائي؛ و(2) بالنسبة للبيانات الشخصية الموجودة في أنظمة النسخ الاحتياطي، إلى حين استبدال هذه النسخ أو محوها وفقًا لسياسة النسخ الاحتياطي الخاصة بـ Avetta، وفي هذه الحالة، تلتزم Avetta بعزل تلك البيانات وحمايتها من أي معالجة أخرى، باستثناء ما يقتضيه القانون المعمول به، إلى أن يصبح الحذف ممكنًا.

13. التدقيق.

13.1 بناءً على طلب كتابي ودون أي تكلفة إضافية على العميل، تلتزم Avetta بمنح العميل و/أو ممثله من جهة خارجية المؤهل بشكل مناسب (ويُشار إليهم مجتمعين باسم "المدقق")، حق الوصول إلى الوثائق المطلوبة بشكل معقول والتي تثبت امتثال Avetta لالتزاماتها بموجب ملحق معالجة البيانات (DPA) هذا، وذلك في شكل عمليات التدقيق أو الشهادات ذات الصلة المدرجة في الملحق الثاني من الجدول (ب)، مثل ISO/IEC 27001:2022 و ISO/IEC 27701:2019 و ISO/IEC 27017:2015 و ISO/IEC 27018:2019 و ISO/IEC 22301:2019 ("شهادات ISO")، بالإضافة إلى تقرير SOC 2 من النوع الثاني. تلتزم Avetta أيضًا بالرد على استبيانات التدقيق الكتابية المقدمة من المدقق، وعقد اجتماعات عبر الهاتف أو حضوريًا (على نفقة العميل) للإجابة على الأسئلة اللاحقة، بشرط: (1) ألا تغطي استبيانات التدقيق هذه أي مواضيع أو مجالات تم تناولها بالفعل في شهادات ISO أو تقرير تدقيق SOC 2 من النوع الثاني؛ و (2) ألا يمارس العميل هذا الحق أكثر من مرة واحدة في السنة، إلا إذا اقتضت تعليمات سلطة حماية بيانات مختصة ذلك. يجوز لـ Avetta أن تطلب من المدقق إبرام اتفاقية سرية منفصلة معها قبل إجراء أي مراجعة للتقارير أو أي عملية تدقيق لشركة Avetta، كما يجوز لـ Avetta الاعتراض كتابيًا على ذلك المدقق إذا تبين لها، وفقًا لتقديرها المعقول، أنه غير مؤهل بشكل مناسب أو أنه منافس مباشر لها. يترتب على أي اعتراض من هذا القبيل تبديه Avetta تعيين العميل لمدقق آخر. يتحمل العميل وحده كافة المصروفات التي يتكبدها المدقق فيما يتعلق بأي مراجعة للتقارير أو أي عملية تدقيق.

14. أحكام عامة.

14.1 يتفق الطرفان على أن ملحق معالجة البيانات (DPA) هذا يحل محل ويجبّ أي ملحق لمعالجة البيانات، أو مرفق، أو مستند ملحق، أو بنود تعاقدية قياسية قد سبق وأبرمها كل من Avetta والعميل فيما يتعلق بالخدمات. يجوز لـ Avetta تحديث ملحق معالجة البيانات (DPA) هذا من حين لآخر (على سبيل المثال، استجابةً لأي تغييرات في قوانين حماية البيانات المعمول بها، أو نتيجة لعملية اندماج أو استحواذ أو إعادة تنظيم مؤسسية أو أي حدث مماثل آخر، أو إطلاق ميزات أو وظائف أو منتجات أو خدمات جديدة، أو إجراء تغييرات جوهرية على أي من الخدمات الحالية)؛ شريطة ألا يؤدي أي تحديث من هذا القبيل إلى تقليل مستوى خصوصية البيانات الشخصية أو أمنها بشكل جوهري. ستنشر Avetta النسخة المحدثة في ملحق معالجة البيانات لاتفاقية الاشتراك الرئيسية (MSA)، أو أي موقع إلكتروني لاحق تحدده Avetta.

14.2 تخضع مسؤولية Avetta بموجب ملحق معالجة البيانات (DPA) هذا أو فيما يتعلق به، بما في ذلك المسؤولية بموجب البنود التعاقدية القياسية للاتحاد الأوروبي (EU SCCs)، للاستثناءات وقيود المسؤولية الواردة في الاتفاقية الرئيسية. لا يجوز لـ Avetta، بأي حال من الأحوال، تقييد أو استبعاد مسؤوليتها تجاه أصحاب البيانات، أو المسؤولية المفروضة عليها من قِبل سلطات حماية البيانات المختصة.

14.3 باستثناء ما تنص عليه البنود التعاقدية القياسية للاتحاد الأوروبي (EU SCCs) صراحةً وبالقدر الذي تنص عليه، أو ما تقتضيه تشريعات حماية البيانات المعمول بها، لا يمنح ملحق معالجة البيانات (DPA) هذا أي حقوق لجهات خارجية مستفيدة؛ إذ إن الغرض منه هو مصلحة الطرفين المتعاقدين وخلفائهم والمتنازل لهم المسموح لهم فقط، وليس لصالح أي شخص آخر، ولا يجوز لأي شخص آخر إنفاذ أي حكم من أحكامه.

14.4 يخضع ملحق معالجة البيانات (DPA) هذا، وأي إجراء يتعلق به، للقوانين المحددة في الاتفاقية الرئيسية ويُفسر وفقًا لها، دون إعمال لأي من مبادئ تنازع القوانين. يوافق الطرفان على الاختصاص القضائي الشخصي للمحاكم المحددة في الاتفاقية الرئيسية وعلى مكان انعقادها.

14.5 إذا تبيّن، لأي سبب من الأسباب، أن أي حكم من أحكام ملحق معالجة البيانات (DPA) هذا باطل أو غير قابل للإنفاذ، فإن الأحكام الأخرى للملحق تظل سارية وقابلة للإنفاذ. دون الحد من عمومية ما تقدم، يوافق العميل على أن المادة 14.2 (حدود المسؤولية) ستظل سارية المفعول بغض النظر عن عدم قابلية إنفاذ أي حكم من أحكام ملحق معالجة البيانات (DPA) هذا.

الجدول (أ)

آليات النقل والبنود التعاقدية الإلزامية

يحدد الجدول (أ) آليات النقل التي تدعمها Avetta. لا تسري آلية النقل ولا تُدرج ضمن ملحق معالجة البيانات (DPA) هذا إذا كانت لا تنطبق على عمليات نقل البيانات من العميل إلى Avetta. إذا كانت أي من آليات النقل المدرجة سارية، أو أصبحت سارية بموجب تشريعات حماية البيانات المعمول بها، فتُعتبر موقعة من قِبل الطرفين (إذا كانت التوقيعات مطلوبة) وتُدرج ضمن ملحق معالجة البيانات (DPA) هذا.

1. إطار خصوصية البيانات. فيما يتعلق بنقل البيانات الشخصية إلى الولايات المتحدة، أتمت Avetta إجراءات التصديق الذاتي على إطار خصوصية البيانات بين الاتحاد الأوروبي والولايات المتحدة، وامتداد المملكة المتحدة التابع له، وإطار خصوصية البيانات بين سويسرا والولايات المتحدة؛ وهي أطر تديرها وزارة التجارة الأمريكية. لمزيد من المعلومات، يُرجى الرجوع إلى إشعار إطار خصوصية البيانات الخاص بـ Avetta، والمتوفر في سياسة إطار خصوصية البيانات.

2. البنود التعاقدية القياسية للاتحاد الأوروبي (EU SCCs). عندما تتضمن المعالجة عمليات نقل للبيانات الشخصية إلى Avetta خارج المنطقة الاقتصادية الأوروبية (EEA)، ولا يوجد أساس قانوني آخر للنقل الدولي (على سبيل المثال، في حال تم إبطال إطار خصوصية البيانات المعمول به)، تخضع عمليات النقل هذه للبنود التعاقدية القياسية للاتحاد الأوروبي (EU SCCs)، وتحديدًا:

في الحالات التي تعمل فيها Avetta بصفتها مراقبًا للبيانات، تسري الوحدة الأولى من البنود التعاقدية القياسية للاتحاد الأوروبي (الخاصة بنقل البيانات من مراقب إلى مراقب)، مكملةً بالشروط الواردة أدناه، على عمليات نقل البيانات الشخصية بين العميل و Avetta:
1. يتم إعمال النص الاختياري الوارد في البند 7 (بند الانضمام).
2. لا يتم إعمال النص الاختياري الوارد في البند 11(أ) (الإنصاف).
3. بالنسبة للبند 17، يتم إعمال الخيار الأول، وتكون قوانين بلجيكا هي القانون الحاكم.
4. بالنسبة للبند 18(ب)، تكون المحاكم المختارة هي محاكم بلجيكا.
في الحالات التي يكون فيها العميل مراقبًا للبيانات وتكون Avetta معالجًا للبيانات فيما يتعلق بعملية المعالجة، يسري إعمال الوحدة الثانية من البنود التعاقدية القياسية للاتحاد الأوروبي (الخاصة بنقل البيانات من مراقب إلى معالج)، مكملةً بالشروط الواردة أدناه:
1. يتم إعمال النص الاختياري الوارد في البند 7 (بند الانضمام).
2. بالنسبة للبند 9(أ)، تم اختيار الخيار الثاني (تفويض كتابي عام)، وتكون الفترة الزمنية المحددة هي عشرة (10) أيام.
3. لا يتم إعمال النص الاختياري الوارد في البند 11(أ) (الإنصاف).
4. بالنسبة للبند 17، يتم إعمال الخيار الأول، وتكون قوانين بلجيكا هي القانون الحاكم.
5. بالنسبة للبند 18(ب)، تكون المحاكم المختارة هي محاكم بلجيكا.
تُعتبر الملحقات الأول والثاني والثالث من البنود التعاقدية القياسية للاتحاد الأوروبي (EU SCCs) مكتملة بالمعلومات الواردة في الجدول (ب).

3. ملحق المملكة المتحدة. عندما تتضمن المعالجة عمليات نقل للبيانات الشخصية إلى Avetta خارج المملكة المتحدة، ولا يوجد أساس قانوني آخر للنقل الدولي (على سبيل المثال، في حال تم إبطال إطار خصوصية البيانات المعمول به)، تخضع عمليات النقل هذه لملحق المملكة المتحدة، مكملًا بالشروط الواردة أدناه:

يكون أطراف ملحق المملكة المتحدة هذا هم أنفسهم أطراف ملحق معالجة البيانات (DPA).
تكون البنود التعاقدية القياسية للاتحاد الأوروبي (EU SCCs) التي يعدّلها ملحق المملكة المتحدة بتعديلها هي ذاتها البنود المشار إليها في القسم 2 من هذا الجدول (أ)، ويتم استكمال الجداول من 1 إلى 3 من ملحق المملكة المتحدة بالمعلومات ذات الصلة بناءً على ذلك.
لأغراض الجدول 4 من ملحق المملكة المتحدة، يتم اختيار "المستورد".
ينص الجزء 2 من ملحق المملكة المتحدة على ما يلي: "الجزء 2: البنود الإلزامية للملحق المعتمد، وهي نموذج الملحق B.1.0 الصادر عن مكتب مفوض المعلومات (ICO) والمعروض على البرلمان وفقًا للمادة 119(أ) من قانون حماية البيانات لعام 2018 في 2 فبراير 2022، كما جرى تعديله بموجب القسم 18 من تلك البنود الإلزامية."

4. البنود التعاقدية القياسية السويسرية. عندما تتضمن المعالجة عمليات نقل للبيانات الشخصية إلى Avetta خارج سويسرا، ولا يوجد أساس قانوني آخر للنقل الدولي (على سبيل المثال، إذا لم يعد إطار خصوصية البيانات المعمول به آلية نقل صالحة)، تخضع عمليات النقل هذه للبنود التعاقدية القياسية للاتحاد الأوروبي (EU SCCs) المشار إليها في القسم 2 من هذا الجدول (أ)، باستثناء ما يلي:

يجب عدم تفسير مصطلح "الدولة العضو" بطريقة تؤدي إلى استبعاد أصحاب البيانات في سويسرا من إمكانية رفع دعاوى قضائية للمطالبة بحقوقهم في محل إقامتهم المعتاد (سويسرا)، وذلك وفقًا للبند 18(ج) من هذه البنود التعاقدية القياسية.
في الحالات التي تخضع فيها عمليات النقل حصرًا للقانون الفيدرالي لحماية البيانات ("FADP")، تُفهم الإشارات الواردة إلى القانون العام لحماية البيانات (GDPR) على أنها إشارات إلى القانون الفيدرالي لحماية البيانات (FADP).
في الحالات التي تخضع فيها عمليات النقل لكل من القانون الفيدرالي لحماية البيانات (FADP) والقانون العام لحماية البيانات (GDPR)، تُفهم الإشارات الواردة إلى القانون (GDPR) على أنها إشارات إلى القانون (FADP) وذلك بالقدر الذي تخضع فيه تلك العمليات للقانون (FADP).

5. البنود التعاقدية بشأن قانون CCPA. عندما تتضمن المعالجة بيانات شخصية لمقيمين في ولاية كاليفورنيا، يلتزم الأطراف بالإضافة إلى ذلك بما يلي:

تلتزم Avetta بما يلي: (1) الاقتصار على جمع البيانات الشخصية أو استخدامها أو الاحتفاظ بها أو الإفصاح عنها للأغراض المسموح بها والموضحة في الاتفاقية الرئيسية وقانون CCPA، وليس لأي غرض تجاري آخر؛ و(2) عدم بيع أي بيانات شخصية أو مشاركتها لأغراض الإعلانات السلوكية عبر السياقات؛ و(3) عدم جمع البيانات الشخصية أو استخدامها أو الاحتفاظ بها أو الإفصاح عنها خارج نطاق علاقة العمل المباشرة مع العميل، إلا بالقدر الضروري لتقديم الخدمات؛ و(4) عدم دمج البيانات الشخصية التي تتلقاها Avetta من العميل (أو نيابةً عنه) مع بيانات شخصية تجمعها نيابةً عن شخص أو أشخاص آخرين، إلا لغرض عمل لا يتضمن إعلانات سلوكية عبر السياقات ويكون مسموحًا به بموجب قانون CCPA؛ و(5) توفير مستوى من حماية الخصوصية لا يقل عن المستوى الذي يتطلبه قانون CCPA فيما يتعلق بالبيانات الشخصية. تقر Avetta بإدراكها لهذه القيود والتزامها بالامتثال لها.
يتمتع العميل بالحق في: (1) مراقبة امتثال Avetta لملحق معالجة البيانات (DPA) هذا، و(2) اتخاذ الخطوات المعقولة والمناسبة لضمان استخدام البيانات الشخصية من قبل Avetta بما يتوافق مع قانون CCPA. تلتزم Avetta بإخطار العميل في حال قررت أنها لم تعد قادرة على الوفاء بأي من التزاماتها بموجب قانون CCPA؛ وفي هذه الحالة، تلتزم Avetta بالعمل مع العميل واتخاذ كافة الخطوات المعقولة والمناسبة لوقف أي عملية معالجة وتصحيحها إلى حين امتثال تلك المعالجة لقانون CCPA وملحق معالجة البيانات (DPA) هذا.

الجدول (ب)

تفاصيل معالجة البيانات الشخصية

يشكل هذا الجدول (ب) جزءًا لا يتجزأ من ملحق معالجة البيانات (DPA)، ويصف عمليات المعالجة التي ستجريها Avetta فيما يتعلق بتقديم الخدمات.

المرفق الأول – وصف معالجة البيانات

أ. قائمة الأطراف

مُصدر البيانات:

الاسم:	وفقًا لما يقدمه العميل
العنوان:	وفقًا لما يقدمه العميل
اسم جهة الاتصال، والمنصب، وتفاصيل الاتصال:	وفقًا لما يقدمه العميل
الأنشطة ذات الصلة بالبيانات المنقولة بموجب ملحق معالجة البيانات (DPA) هذا:	استخدام الخدمات وفقًا للاتفاقية الرئيسية.
التوقيع والتاريخ:	يُعدّ هذا الملحق (ب) مُبرمًا تلقائيًا بمجرد إبرام الطرفين للاتفاقية الرئيسية.
الدور (مراقب/معالج):	مراقب

مستورد البيانات:

الاسم:	Avetta, LLC
العنوان:	1330 Post Oak Blvd., Suite 600, Houston, TX 77056, USA
اسم جهة الاتصال، والمنصب، وتفاصيل الاتصال:	مسؤول الخصوصية privacy@avetta.com
الأنشطة ذات الصلة بالبيانات المنقولة بموجب ملحق معالجة البيانات (DPA) هذا:	عمليات المعالجة اللازمة لتقديم الخدمات للعميل. عمليات المعالجة اللازمة للمصالح المشروعة لشركة Avetta كما هو موضح في سياسة خصوصية Avetta ("سياسة الخصوصية") المتاحة في سياسة الخصوصية.
التوقيع والتاريخ:	يُعدّ هذا الملحق (ب) مُبرمًا تلقائيًا بمجرد إبرام الطرفين للاتفاقية الرئيسية.
الدور (مراقب/معالج):	معالج بيانات بالقدر الذي تتم فيه المعالجة نيابةً عن العميل. مراقب بيانات فيما يتعلق بأنشطة المعالجة الأخرى، بما في ذلك أنشطة المعالجة اللازمة للمصالح المشروعة لشركة Avetta كما هو موضح في سياسة الخصوصية.

ب. وصف عملية النقل

فئات أصحاب البيانات الذين تُنقل بياناتهم الشخصية:	المستخدمون المسؤولون لدى العميل الذين يصلون إلى الخدمات أو يستخدمونها من خلال حساب العميل. عمال العميل (إذا كان العميل مشتركًا في منتج/منتجات العمال من Avetta لموظفيه). زوار العميل (إذا كان العميل مشتركًا في الخدمة ذات الصلة).
فئات البيانات الشخصية المنقولة:	المستخدمون المسؤولون لدى العميل: بيانات اتصال العمل (مثل الاسم، والمسمى الوظيفي، والبريد الإلكتروني، ورقم الهاتف، وعنوان المراسلة)؛ بيانات الموقع (عنوان IP)؛ بيانات ملف التعريف (مثل الدور الوظيفي، واللغة المفضلة)؛ البيانات التقنية وبيانات الاستخدام (مثل بيانات تسجيل الدخول، وإعدادات المنطقة الزمنية والموقع، ومعلومات النظام حول المتصفحات والأجهزة المستخدمة للوصول إلى الخدمات، ومعلومات حول كيفية استخدام الخدمات)؛ البيانات البيومترية (إذا تواصل المستخدم المسؤول مع فريق دعم Avetta وقدم موافقة صريحة على استخدام صوته لأغراض المصادقة)؛ بيانات المعاملات (مثل حالة اشتراك العميل وسجله، ولكن فقط إذا كانت البيانات الشخصية واردة ضمن بيانات المعاملات)؛ و بيانات التسويق والاتصالات (مثل تفضيلات المورّد بخصوص التسويق والاتصال، والآراء، وتفاعلات دعم العملاء، ولكن فقط إذا كانت البيانات الشخصية واردة في مثل هذه البيانات). عمال العميل (إذا كان العميل مشتركًا في منتج/منتجات العمال من Avetta لموظفيه): أي بيانات شخصية يقدمها العميل و/أو عماله إلى Avetta، والتي قد تتضمن: بيانات الهوية (مثل الاسم، ورقم التعريف، ورمز الاستجابة السريعة QR أو البطاقة التعريفية، والمسمى الوظيفي، وتاريخ الميلاد، ومحل الميلاد، والجنس، وحالة المواطنة)؛ بيانات التواصل (مثل البريد الإلكتروني، ورقم الهاتف، وعنوان السكن/المراسلة، وجهة اتصال الطوارئ وعلاقتها، ومعلومات أقرب الأقرباء)؛ بيانات ملف التعريف (مثل صورة الملف الشخصي، واللغة المفضلة، وصاحب العمل، وطواقم العمل التي ينتمي إليها العمال، ومواقع العمل، وأدوار العمل، والدورات والتقييمات المسجل بها)؛ البيانات الصحية (مثل حالة التطعيم، ونتائج فحص الكحول والمخدرات، والسجلات الطبية أو الشهادات بالقدر الذي يطلبه العميل)؛ البيانات البيومترية (إذا تواصل العامل مع فريق دعم Avetta وقدم موافقة صريحة على استخدام صوته لأغراض المصادقة، أو إذا كان العامل يحضر إلى موقع عمل يتطلب بصمات الأصابع للمصادقة على هويته)؛ البيانات المهنية (مثل المهنة، والكفاءات الوظيفية، وإثبات كفاءات العمل، والشهادات المهنية، وحالة التدريب، والمؤهلات الأكاديمية والتاريخ الدراسي، والاعتمادات، والخبرة العملية)؛ بيانات المراسلات (مثل تفضيلات الاتصال)؛ و الفئات الأخرى من أي بيانات شخصية يقدمها العميل و/أو عماله إلى Avetta. بيانات ملف التعريف التي تنشئها Avetta فيما يتعلق بالعمال، والتي قد تتضمن المعرّف الفريد، وحالة الاشتراك، وحالة الامتثال للمتطلبات التي يضعها المورّد أو عملاؤه، و/أو مفتاح (مفاتيح) الوصول إلى الموقع؛ بيانات المعاملة(فقط إذا كانت البيانات الشخصية للعمال واردة ضمن بيانات المعاملات)؛ بيانات الموقع (مثل عنوان IP، ومواقع العمل، والمواقع الجغرافية عند تسجيل الدخول إلى أنظمة التحكم في الوصول إلى الموقع)؛ البيانات التقنية وبيانات الاستخدام (مثل بيانات تسجيل الدخول، وإعدادات المنطقة الزمنية والموقع، ومعلومات النظام حول المتصفحات والأجهزة المستخدمة للوصول إلى الخدمات، ومعلومات حول كيفية استخدام الخدمات). زوار العميل (إذا كان العميل مشتركًا في الخدمة ذات الصلة): أي بيانات شخصية يقدمها العميل و/أو زائروه إلى Avetta، والتي قد تتضمن: بيانات الهوية (مثل الاسم، ورقم التعريف، والمسمى الوظيفي، وتاريخ الميلاد، ومحل الميلاد، والجنس)؛ بيانات الاتصال مثل عنوان البريد الإلكتروني، ورقم الهاتف، وعنوان السكن/المراسلة)؛ بيانات ملف التعريف (مثل صورة ملف التعريف، واللغة المفضلة، والدورات والتقييمات المسجل بها)؛ البيانات البيومترية (إذا تواصل الزائر مع فريق دعم Avetta وقدم موافقة صريحة على استخدام صوته لأغراض المصادقة، أو إذا كان الزائر يحضر إلى موقع عمل يتطلب بصمات الأصابع للمصادقة على هويته)؛ البيانات المهنية (مثل المهنة وحالة التدريب)؛ بيانات المراسلات (مثل تفضيلات الاتصال)؛ و والفئات الأخرى من أي بيانات شخصية يقدمها العميل و/أو زائروه إلى Avetta. بيانات ملف التعريف التي تنشئها Avetta فيما يتعلق بالزوار؛ بيانات المعاملة (فقط إذا كانت البيانات الشخصية للزوار واردة ضمن بيانات المعاملات). بيانات الموقع (مثل عنوان IP). البيانات التقنية وبيانات الاستخدام (مثل بيانات تسجيل الدخول، وإعدادات المنطقة الزمنية والموقع، ومعلومات النظام حول المتصفحات والأجهزة المستخدمة للوصول إلى الخدمات، ومعلومات حول كيفية استخدام الخدمات).
البيانات الحساسة المنقولة (إن وجدت) والقيود أو الضمانات المطبقة التي تراعي تمامًا طبيعة البيانات والمخاطر التي تنطوي عليها، مثل التحديد الصارم للغرض، وقيود الوصول (بما في ذلك قصر الوصول على الموظفين الذين خضعوا لتدريب متخصص)، والاحتفاظ بسجل للوصول إلى البيانات، وقيود النقل اللاحق أو تدابير أمنية إضافية:	يجوز جمع البيانات البيومترية من أصحاب البيانات بموافقتهم الصريحة كما هو موضح أعلاه. قد يحتوي المحتوى الذي يرفعه أو يقدمه العميل و/أو عماله/زائريه على فئات خاصة من البيانات، والتي يحدد العميل وحده نطاقها وفقًا لتقديره. تشمل هذه الفئات الخاصة من البيانات، على سبيل المثال لا الحصر، المعلومات التي تكشف عن الأصول العرقية أو الإثنية، والعضوية النقابية، ومعالجة البيانات المتعلقة بصحة الفرد. بالإضافة إلى ذلك، يجوز جمع بيانات الموقع الجغرافي فيما يتعلق بالخدمات (على سبيل المثال، تُجمع بيانات الموقع الجغرافي عند تسجيل العامل دخوله إلى أنظمة التحكم في الوصول إلى الموقع). تتم حماية أي فئات خاصة من هذه البيانات من خلال تطبيق تدابير الأمان الموضحة في الملحق (ب).
تكرار النقل (على سبيل المثال، ما إذا كانت البيانات تُنقل لمرة واحدة أم بشكل مستمر):	يتم النقل بشكل مستمر طوال مدة الاتفاقية الرئيسية.
طبيعة المعالجة:	عمليات المعالجة اللازمة لتقديم الخدمات للعميل. عمليات المعالجة اللازمة للمصالح المشروعة لشركة Avetta كما هو موضح في سياسة الخصوصية.
الغرض (الأغراض) من نقل البيانات والمعالجة اللاحقة:	المعالجة اللازمة لتوفير الخدمات. عمليات المعالجة اللازمة للمصالح المشروعة لشركة Avetta كما هو موضح في سياسة الخصوصية.
الفترة التي سيتم الاحتفاظ بالبيانات الشخصية خلالها، أو المعايير المستخدمة لتحديد تلك الفترة في حال عدم إمكانية تحديدها:	تعيد Avetta البيانات الشخصية أو تحذفها وفقًا للقسم 12 من اتفاقية معالجة البيانات (DPA) هذه.
بالنسبة لعمليات النقل إلى معالجي البيانات (المعالجين الفرعيين)، حدد أيضًا موضوع المعالجة وطبيعتها ومدتها:	تتوفر تفاصيل المعالجين (المعالجين الفرعيين) عبر الرابط: المعالجون الفرعيون لدى Avetta.

ج. السلطة الإشرافية المختصة

تحديد السلطة (السلطات) الإشرافية المختصة وفقًا للمادة 13 من البنود التعاقدية القياسية للاتحاد الأوروبي (EU SCCs):

في حال انطباق القانون العام لحماية البيانات في الاتحاد الأوروبي (EU GDPR)، تُحدد السلطة الإشرافية المختصة وفقًا للمادة 13 من البنود التعاقدية القياسية للاتحاد الأوروبي (EU SCCs).
في حال انطباق القانون العام لحماية البيانات في المملكة المتحدة (UK GDPR)، يكون مكتب مفوض المعلومات في المملكة المتحدة هو السلطة المختصة.

المرفق الثاني - التدابير الأمنية التقنية والتنظيمية

نظرة عامة

لقد صُممت تطبيقات Avetta القائمة على نموذج البرمجيات كخدمة ("خدمات SaaS") منذ البداية مع وضع المعايير الأمنية في الاعتبار. تم تصميم بنية خدمات SaaS لمنصتي Connect و Workforce Management بمجموعة متنوعة من الضوابط الأمنية عبر كل طبقة معالجة؛ وذلك للتصدي لمجموعة واسعة من المخاطر الأمنية. تخضع هذه الضوابط الأمنية للتغيير؛ ومع ذلك، فإن أي تغييرات يتم إجراؤها ستكفل الحفاظ على الوضع الأمني العام لمنصة البرمجيات كخدمة (SaaS) أو تحسينه.

تُطبق مجالات الضوابط الأمنية الرئيسية الموضحة أدناه على كافة مكونات خدمات SaaS لمنصتي Avetta Connect و Workforce Management. تستضيف Avetta خدمات SaaS الخاصة بها على منصات مزودي خدمات الحوسبة السحابية، حيث تعتمد بشكل أساسي على Amazon Web Services (AWS)، وفي حالات محدودة على Equinix.

عمليات التدقيق والشهادات

جميع خدمات SaaS الخاصة بشركة Avetta معتمدة بموجب المعايير التالية: ISO/IEC 27001:2022، وISO/IEC 27701:2019، وISO/IEC 27017:2015، وISO/IEC 27018:2019، بالإضافة إلى ISO/IEC 22301:2019 (شهادات ISO"). وتراجع Avetta مدى التزامها السنوي بهذه الشهادات عبر إجراء عمليات تدقيق لضوابطها الداخلية. تخضع نتائج عمليات التدقيق هذه لمراجعة لجنة نظم إدارة أمن المعلومات والخصوصية، والتي تضم في عضويتها ممثلين عن فريق القيادة التنفيذية العليا في Avetta.

تعتمد Avetta بشكل أساسي على أقاليم AWS العالمية لتوفير عمليات الحوسبة والتخزين لخدمات SaaS الخاصة بها. توفر AWS مرافق من الفئة الأولى حاصلة على اعتمادات متعددة، بما في ذلك تقارير SOC2، وشهادات ISO التالية: ISO/IEC 27001:2022، وISO/IEC 27701:2019، وISO/IEC 27017:2015، وISO/IEC 27018:2019، وISO/IEC 22301:2019، وISO/IEC 20000-1:2018، بالإضافة إلى ISO/IEC 9001:2015. كما توفر مرافق AWS أحدث وسائل الحماية المادية حيث يتم تخزين بيانات عملاء Avetta ومعالجتها. تستخدم Avetta شركة Equinix كمزود لخدمات الحوسبة السحابية لمنصة Workforce Management في مناطق معينة. تحتفظ شركة Equinix أيضًا بالعديد من الشهادات والاعتمادات، بما في ذلك ISO/IEC 27001، وISO/IEC 22301، وISO/IEC 14001، وISO/IEC 9001، وISO/IEC 50001، بالإضافة إلى تقارير SOC 1 النوع الثاني وSOC 2 النوع الثاني. لمزيد من المعلومات حول مزودي خدمات الحوسبة السحابية، يرجى زيارة: https://aws.amazon.com/compliance/programs/ و https://www.equinix.com/data-centers/asia-pacific-colocation/australia-colocation/sydney-data-centers/sy6.

التعافي من الكوارث واستمرارية الأعمال

لضمان الحفاظ على مستويات عالية من جاهزية أنظمة خدمات SaaS، تستخدم Avetta مركز بيانات مخصصًا من AWS للنسخ الاحتياطي والانتقال التلقائي، يقع في موقع جغرافي منفصل عن منشأة معالجة بيانات التشغيل الفعلي المعتادة. يضمن ذلك قدرة Avetta على الاستجابة السريعة لأي حدث بيئي أو فيزيائي أو عرضي قد يتسبب في انقطاع الخدمة في مرفق تشغيل AWS.

تعتمد Avetta خطة شاملة للتعافي من الكوارث واستمرارية الأعمال، تخضع للمراجعة مرة واحدة سنويًا على الأقل. تتيح هذه المراجعة لموظفي Avetta الإلمام بخطط الطوارئ في حال وقوع حدث قد يتسبب في تعطيل أنشطة العمل المعتادة في الشركة.

تم تصميم أنظمة Avetta لدعم نقطة التعافي المستهدفة (RPO) في أقل من ساعتين، وزمن التعافي المستهدف (RTO) في أقل من 4 ساعات.

تجري Avetta أيضًا عملية تقييم شاملة للمخاطر بصفة منتظمة؛ لضمان تنفيذ استراتيجيات وضوابط مناسبة للحد من المخاطر داخل المؤسسة.

الاستجابة للحوادث

تعتمد Avetta خطة شاملة للاستجابة للحوادث. تتيح هذه الخطة، جنبًا إلى جنب مع العمليات والإجراءات ذات الصلة، لموظفي Avetta الاستجابة السريعة لأي خرق أمني مشتبه به أو محتمل، أو أي نشاط مشبوه للأمن السيبراني داخل بيئة Avetta. سيتولى فريق الاستجابة للحوادث، بقيادة أعضاء مؤهلين من الفريق الأمني، إجراء تقييم لأي موقف من هذا القبيل، ووضع خطط عمل واستراتيجيات تخفيف مناسبة. في حال تأكد حدوث الخرق المشتبه به، سيتّبع فريق الاستجابة للحوادث بروتوكولات محددة للتحرك الفوري والاستجابة المناسبة للحد من النشاط الضار، مع الحفاظ على الأدلة الجنائية الرقمية. كما سيتم اتباع إجراءات الإخطار أيضًا.

التشفير

تعتمد خدمات SaaS الخاصة بشركة Avetta تشفير البيانات المخزنة باستخدام معيار التشفير المتقدم AES-256. كما يتم تشفير عناصر بيانات إضافية باستخدام أساليب SALT. تحافظ عمليات التشفير هذه على درجة عالية من السرية وسلامة البيانات الخاصة بالعملاء. يتم الحفاظ على الفصل المنطقي للبيانات في خدمات SaaS الخاصة بشركة Avetta، بما يضمن عدم إمكانية الوصول إلى بيانات أي عميل من قِبل مصادر غير مصرح لها. يتم التحكم في الوصول إلى بيانات العملاء من خلال نظام فريد لإدارة الهوية والوصول، يشتمل على سمات تمنع المستخدمين غير المصرح لهم من الوصول إلى تلك البيانات.

تُطبَّق التدابير الأمنية في Avetta استنادًا إلى منهجية "الحد الأدنى من الصلاحيات"، مما يعني أن الوصول إلى بيانات محددة ووظائف النظام يقتصر فقط على الموظفين الذين تقتضي حاجة العمل وصولهم إليها.

ضوابط أمن تطبيقات الويب

يقتصر وصول العملاء إلى خدمات SaaS على بروتوكولات الاتصال الآمنة، من إصدار TLS 1.2 أو إصدارات أعلى. يؤدي هذا إلى إنشاء قناة تشفير تتيح نقل البيانات بشكل آمن بين المستخدم النهائي وخدمات SaaS. يكفل ذلك حماية بيانات العملاء أثناء عمليات نقل البيانات.

تتيح إدارة خدمات SaaS للعملاء إمكانية تفعيل مستخدمي الخدمة أو إلغاء تفعيلهم، وإدارة صلاحيات الوصول المرتبطة بهم حسب الضرورة. كما تتيح هذه الخدمات للعملاء تفعيل خاصية المصادقة متعددة العوامل للوصول إلى الحسابات، وذلك عبر ميزة تسجيل الدخول الموحد المتوافقة مع مزودي خدمة الهوية SAML 2.0. علاوة على ذلك، تمكّن خدمات SaaS العملاء من تفعيل سياسات مخصصة لكلمات المرور، بما يضمن توافقها مع السياسات المؤسسية الخاصة بكل عميل.

الشبكة

تستخدم خدمات SaaS ضوابط الشبكة الخاصة بمزود الخدمة السحابية لتقييد حركة البيانات الواردة والصادرة. تُستخدم مجموعات الأمان لحصر نشاط الشبكة على نقاط الاتصال المصرح بها فقط. تعتمد خدمات SaaS بنية تحتية للشبكة متعددة الطبقات، تشمل بيئات افتراضية متعددة ومنفصلة منطقيًا عبر Cloudflare، مع الاستفادة من المناطق الخاصة، والمناطق منزوعة السلاح (DMZs)، والمناطق غير الموثوقة ضمن البنية التحتية للخدمة السحابية.

المراقبة والتدقيق

تخضع أنظمة وشبكات خدمات SaaS للمراقبة المستمرة لرصد الحوادث الأمنية، وسلامة الأنظمة، وأي اختلالات في الشبكة، بالإضافة إلى مراقبة أنشطة المعالجة، ومستويات معالجة البنية التحتية، ومدى توافر الخدمة. تستخدم Avetta نظامًا لكشف التسلل لمراقبة نشاط الشبكة، حيث يقوم بتنبيه أعضاء الفريق المعنيين في Avetta عند رصد أي سلوك مشبوه. كما تُطبق جدران حماية تطبيقات الويب لجميع خدمات الويب العامة.

تتولى Avetta تسجيل أحداث التطبيقات، والشبكة، والمستخدمين، وأنظمة التشغيل، وحفظها في خادم سجلات النظام المحلي ونظام إدارة الأحداث والمعلومات الأمنية (SIEM). تخضع هذه السجلات للتحليل والمراجعة بشكل آلي لرصد أي أنشطة مشبوهة أو تهديدات أمنية. يتم تصعيد أي اختلالات في نشاط النظام مع اتخاذ الإجراءات الملائمة التي قد تتطلبها الحالة. تستخدم Avetta أنظمة إدارة الأحداث والمعلومات الأمنية التي توفر تحليلًا أمنيًا مستمرًا لشبكات Avetta وبيئتها الأمنية، حيث يتم تسجيل كافة التنبيهات وعمليات الرصد والتقارير المتعلقة بمؤشرات الأنشطة المحتملة أو المشبوهة. ويتولى موظفو العمليات التقنية (DevOps) والأمن السيبراني في Avetta إدارة كافة هذه القدرات والأنشطة.

إدارة الثغرات الأمنية

تجري Avetta تقييمات دورية للثغرات الأمنية في تطبيقات الويب، وتحليلًا ثابتًا للأكواد البرمجية، بالإضافة إلى تقييمات أمنية خارجية؛ وذلك كجزء من برنامجها الأمني الشامل لضمان تطبيق الضوابط الأمنية المناسبة وعملها بفعالية. تتعاقد Avetta، بشكل نصف سنوي، مع جهات خارجية مستقلة متخصصة في فحص الثغرات واختبار الاختراق لإجراء تقييمات شاملة لثغرات الشبكة وتطبيقات الويب. يتضمن نطاق عمليات التدقيق الخارجية هذه التحقق من الامتثال لمعيار مشروع أمن تطبيقات الويب المفتوحة (OWASP) لأخطر عشر ثغرات أمنية في تطبيقات الويب. تُدمج نتائج تقييم الثغرات الأمنية في دورة حياة تطوير البرمجيات ("SDLC") الخاصة بـ Avetta لمعالجة الثغرات التي تم رصدها. تُحدد الثغرات الأمنية حسب أولويتها وتُدرج في نظام تذاكر الدعم الداخلي الخاص بـ Avetta، لمتابعتها حتى تمام المعالجة.

تطوير البرمجيات الآمن

تتبع Avetta ممارسات التطوير الآمن ضمن دورة حياة تطوير البرمجيات (SDLC) الخاصة بها. تشمل هذه الممارسات استخدام أدوات التحليل الثابت للأكواد البرمجية وأدوات التحليل في الوقت الفعلي. كما تُجرى مراجعات النظراء للأكواد البرمجية قبل اعتماد نشرها في بيئة الإنتاج. تطبق Avetta بيئات معالجة منفصلة تشمل: الإنتاج، والاختبار/ ضمان الجودة، والبيئة التجريبية. كما يتعين على مطوري البرمجيات في Avetta تلقي تدريب سنوي على البرمجة الآمنة.

فريق الأمن السيبراني في Avetta

تمتلك Avetta فريقًا أمنيًا متخصصًا يقوده مدير للأمن السيبراني حاصل على درجة الماجستير في الأمن السيبراني. يُجري الفريق تدريبات أمنية دورية وشاملة على مستوى الشركة، وتمارين أمنية، بالإضافة إلى اختبارات دورية للثغرات الأمنية واختبارات الاختراق. ومن خلال هذه الجهود، يضمن فريق الأمن السيبراني إجراء اختبارات وتقييمات دورية لمدى فعالية التدابير التقنية والتنظيمية، وذلك لضمان أمن معالجة بيانات العملاء.

كما يشارك فريق الأمن السيبراني في عمليات التدقيق السنوية والحصول على الشهادات المعتمدة، ويحرص على حضور الندوات المتخصصة في الأمن السيبراني.

الخصوصية وحماية البيانات

تلتزم Avetta بسياسات صارمة لأمن المعلومات وحماية البيانات الشخصية. تحدد هذه السياسات الإجراءات المتبعة لضمان حماية معلومات العملاء. كما توضح الضوابط المطبقة، والتي تشمل إرشادات الاحتفاظ بالبيانات، وضوابط الوصول والمصادقة، وإرشادات الاستخدام المقبول، بالإضافة إلى معايير خصوصية البيانات.

المرفق الثالث – قائمة المعالجين الفرعيين

تتوفر قائمة المعالجين الفرعيين الحاليين لشركة Avetta على الرابط التالي: المعالجون الفرعيون لدى Avetta.