डेटा प्रसंस्करण समझौता

यह Data Processing Agreement (DPA) उस स्थिति में लागू होता है जहाँ आप (Customer, Controller) Kapsule Cloud Services का उपयोग अन्य व्यक्तियों (Data Subjects) की व्यक्तिगत जानकारी को प्रोसेस करने के लिए करते हैं। यह आपके और Kapsule Group Limited (Kapsule Cloud, हम, हमारे, Processor) के बीच Terms of Service का एक भाग है।

यह DPA New Zealand Privacy Act 2020 की आवश्यकताओं को प्रतिबिंबित करता है। जहाँ आप अन्य लागू गोपनीयता कानूनों के अधीन हैं (उदाहरण के लिए, EU General Data Protection Regulation, UK GDPR, या Australian Privacy Act 1988), इस DPA के प्रासंगिक प्रावधान, हमारी Privacy Policy और Sub-processors List के साथ पढ़े गए, उन कानूनों के तुलनीय सुरक्षा प्रदान करने का इरादा रखते हैं। जहाँ किसी विदेशी कानून के साथ आपकी अनुपालन को समर्थन देने के लिए अतिरिक्त संविदात्मक उपाय आवश्यक हैं, हम इन्हें अनुरोध पर विचार करेंगे।

यदि आप Services का उपयोग केवल अपनी स्वयं की व्यक्तिगत जानकारी को प्रोसेस करने के लिए कर रहे हैं (और अन्य व्यक्तियों की व्यक्तिगत जानकारी को नहीं), तो यह DPA लागू नहीं होता; केवल Privacy Policy लागू होती है।

इस DPA में:

«Applicable Privacy Laws» का अर्थ है Privacy Act 2020 और कोई भी अन्य गोपनीयता या डेटा सुरक्षा कानून जो Services का उपयोग करके Customer की व्यक्तिगत जानकारी की प्रोसेसिंग पर लागू होता है।

«Controller» का अर्थ है वह प्राकृतिक या कानूनी व्यक्ति जो व्यक्तिगत जानकारी की प्रोसेसिंग के उद्देश्यों और साधनों का निर्धारण करता है।

«Customer Personal Information» का अर्थ है वह व्यक्तिगत जानकारी जिसे हम आपकी ओर से Data Subjects के संबंध में Services का उपयोग करके प्रोसेस करते हैं।

«Data Subject» का अर्थ है कोई पहचाना गया या पहचाने योग्य प्राकृतिक व्यक्ति जिससे Customer Personal Information संबंधित है।

«Notifiable Privacy Breach» का अर्थ Privacy Act 2020 की धारा 112 में दी गई परिभाषा है (गोपनीयता का ऐसा उल्लंघन जिसने गंभीर नुकसान का कारण बना हो या इसकी संभावना हो)।

«Personal Information» का अर्थ Privacy Act 2020 में दी गई परिभाषा है।

«Processor» का अर्थ है कोई व्यक्ति जो Controller की ओर से व्यक्तिगत जानकारी की प्रोसेसिंग करता है।

«Processing» का अर्थ है व्यक्तिगत जानकारी पर किया गया कोई भी ऑपरेशन या ऑपरेशन का समूह, चाहे वह स्वचालित साधनों से किया गया हो या नहीं।

«Sub-processor» का अर्थ है कोई तीसरा पक्ष जिसे हम अपनी ओर से Customer Personal Information की प्रोसेसिंग के लिए नियुक्त करते हैं।

«Standard Contractual Clauses» का अर्थ है मानक डेटा सुरक्षा खंड जो किसी मान्यता प्राप्त डेटा सुरक्षा प्राधिकरण द्वारा अपनाए गए हैं (उदाहरण के लिए, European Commission की EU Standard Contractual Clauses) जो प्रतिबंधात्मक अंतर-सीमा डेटा स्थानांतरण नियमों वाले क्षेत्राधिकार से व्यक्तिगत डेटा के स्थानांतरण के लिए।

अन्य पूंजीकृत शब्दों के अर्थ Terms of Service में दिए गए हैं।

#2.1 भूमिकाएँ। ग्राहक व्यक्तिगत जानकारी के संबंध में, आप नियंत्रक हैं और हम प्रोसेसर हैं। आप ग्राहक व्यक्तिगत जानकारी के संग्रह और प्रसंस्करण की वैधता के लिए जिम्मेदार हैं, जिसमें सभी आवश्यक गोपनीयता सूचनाएँ प्रदान करना, सभी आवश्यक सहमतियाँ प्राप्त करना, और डेटा विषयों के साथ अपने व्यवहार में सभी लागू गोपनीयता कानूनों का अनुपालन करना शामिल है।

#2.2 प्रलेखित निर्देश। हम ग्राहक व्यक्तिगत जानकारी का प्रसंस्करण केवल निम्नलिखित रूप में करेंगे: (a) सेवा शर्तों के अनुसार सेवाएँ प्रदान करने के लिए आवश्यकतानुसार; (b) आपके उचित, प्रलेखित निर्देशों के अनुसार (सेवा शर्तें, KPanel में आप जो विन्यास विकल्प बनाते हैं, और कोई अन्य लिखित निर्देश जो आप हमें देते हैं, आपके प्रलेखित निर्देश माने जाते हैं); और (c) जैसा कि हमारे लिए लागू कानून द्वारा आवश्यक है, जिस स्थिति में हम प्रसंस्करण से पहले कानूनी आवश्यकता के बारे में आपको सूचित करेंगे, जब तक कि उस कानून द्वारा जनहित के महत्वपूर्ण आधारों पर प्रतिषिद्ध न किया गया हो।

#2.3 असंगत निर्देश। यदि हमारी युक्तिसंगत राय में, आपका कोई निर्देश लागू गोपनीयता कानून का उल्लंघन करता है, तो हम आपको सूचित करेंगे। जहाँ ग्राहक व्यक्तिगत जानकारी का प्रसंस्करण करने से हम लागू गोपनीयता कानून का उल्लंघन करेंगे, वहाँ हम ग्राहक व्यक्तिगत जानकारी का प्रसंस्करण करने से इनकार कर सकते हैं।

#3.1 हम सुनिश्चित करेंगे कि हमारी ओर से ग्राहक व्यक्तिगत जानकारी को संसाधित करने के लिए अधिकृत कोई भी व्यक्ति गोपनीयता दायित्वों से बंधा हो, चाहे वह अनुबंध के माध्यम से हो या कानून के माध्यम से, और उसे जानकारी की गोपनीय प्रकृति के बारे में सूचित किया जाए।

#3.2 ग्राहक व्यक्तिगत जानकारी तक पहुंच आवश्यकता के अनुसार सीमित है और एक्सेस नियंत्रण, अनिवार्य द्वि-कारक प्रमाणीकरण, और ऑडिट लॉगिंग द्वारा संरक्षित है।

#4.1 हम ग्राहक व्यक्तिगत सूचना को अनधिकृत या गैरकानूनी प्रसंस्करण, आकस्मिक हानि, विनाश या क्षति से बचाने के लिए उपयुक्त तकनीकी और संगठनात्मक उपाय लागू करेंगे और बनाए रखेंगे। वर्तमान उपाय इस DPA के परिशिष्ट B में और kapsulecloud.com/legal/security पर सारांशित हैं।

#4.2 हम अपने सुरक्षा उपायों की नियमित रूप से समीक्षा करेंगे और अद्यतन करेंगे ताकि अत्याधुनिक स्थिति, कार्यान्वयन की लागत, प्रसंस्करण की प्रकृति, दायरा, संदर्भ और उद्देश्य, तथा डेटा विषयों के अधिकारों और स्वतंत्रता के जोखिम को ध्यान में रखा जा सके।

#4.3 हम आपको सूचित किए बिना समग्र सुरक्षा में भारी कमी नहीं करेंगे।

#5.1 प्राधिकरण। आप हमें kapsulecloud.com/legal/sub-processors पर सूचीबद्ध उप-प्रोसेसर को नियुक्त करने के लिए प्राधिकृत करते हैं ताकि वे ग्राहक व्यक्तिगत सूचना को प्रोसेस कर सकें।

#5.2 उप-प्रोसेसर शर्तें। हम प्रत्येक उप-प्रोसेसर के साथ एक लिखित संविदा करेंगे जो डेटा संरक्षण दायित्वों को लागू करता है जो इस DPA में निहित दायित्वों से कम सुरक्षात्मक नहीं हैं, जिसमें गोपनीयता, सुरक्षा और सीमित प्रोसेसिंग के दायित्व शामिल हैं।

#5.3 नए उप-प्रोसेसर की सूचना। हम आपको किसी भी नए उप-प्रोसेसर के बारे में सूचित करेंगे जो ग्राहक व्यक्तिगत सूचना को प्रोसेस करेगा, कम से कम तीस (30) दिन पहले कि वह उप-प्रोसेसर प्रोसेसिंग शुरू करे। सूचना ईमेल के माध्यम से और उप-प्रोसेसर पृष्ठ पर पोस्टिंग के माध्यम से दी जाएगी।

#5.4 आपत्ति। आप सामान्य आधार पर आपत्ति कर सकते हैं (उदाहरण के लिए, प्रस्तावित उप-प्रोसेसर की सुरक्षा, अनुपालन या क्षेत्राधिकार के बारे में एक प्रलेखित चिंता) 30-दिन की अवधि के भीतर [email protected] को ईमेल करके। यदि हम आपकी आपत्ति को सामान्य रूप से समायोजित नहीं कर सकते (उदाहरण के लिए, उप-प्रोसेसर को स्विच करके या विन्यास को संशोधित करके), आप प्रभावित सेवा को समाप्त कर सकते हैं और प्रासंगिक बिलिंग चक्र के अप्रयुक्त हिस्से के लिए किसी भी पूर्व-भुगतान शुल्क की आनुपातिक वापसी प्राप्त कर सकते हैं।

#5.5 उप-प्रोसेसर के लिए दायित्व। हम ग्राहक व्यक्तिगत सूचना के संबंध में अपने उप-प्रोसेसर के कार्यों और चूकों के लिए आपके प्रति दायित्वबद्ध रहते हैं जैसे कि वे हमारे अपने थे।

#6.1 हम प्रसंस्करण की प्रकृति को ध्यान में रखते हुए, डेटा विषयों से लागू गोपनीयता कानूनों के तहत उनके अधिकारों का प्रयोग करने के अनुरोधों का जवाब देने में आपकी सहायता के लिए उचित सहायता प्रदान करेंगे, जिसमें पहुंच, सुधार, विलोपन, प्रतिबंध और पोर्टेबिलिटी के अधिकार शामिल हैं।

#6.2 यदि हम डेटा विषय से कोई अनुरोध प्राप्त करते हैं जो सेवाओं के आपके उपयोग से संबंधित है, तो हम: (a) डेटा विषय को आप (नियंत्रक) के पास भेजेंगे; और (b) जब तक कानूनी रूप से निषिद्ध न हो, बिना अनुचित देरी के आपको अनुरोध के बारे में सूचित करेंगे।

#6.3 सहायता KPanel की पहुंच, निर्यात और विलोपन सुविधाओं के माध्यम से प्रदान की जाती है जहां ये पर्याप्त हों, और जहां तकनीकी सुविधाएं अनुरोध को पूरा नहीं कर सकती वहां मैनुअल समर्थन के माध्यम से प्रदान की जाती है।

#6.4 हम मैनुअल सहायता के लिए एक उचित शुल्क ले सकते हैं जो नियमित समर्थन से कफायदी रूप से अधिक हो, जहां अनुरोध स्पष्टतः निराधार या अत्यधिक हो।

#7.1 अधिसूचना। हम आपको किसी भी पुष्टि किए गए Notifiable Privacy Breach की अधिसूचना देंगे जो Customer Personal Information को प्रभावित करता है, बिना अनुचित देरी के, और किसी भी स्थिति में इसके बारे में जानकारी प्राप्त करने के बहत्तर (72) घंटों के भीतर।

#7.2 अधिसूचना की सामग्री। अधिसूचना में निम्नलिखित शामिल होगी, जहाँ तक ज्ञात हो और समय पर उचित रूप से उपलब्ध हो: (a) उल्लंघन की प्रकृति, जिसमें, जहाँ संभव हो, Data Subjects की श्रेणियाँ और प्रभावित अभिलेखों की अनुमानित संख्या; (b) उल्लंघन के संभावित परिणाम; (c) उल्लंघन को संबोधित करने और इसके संभावित प्रतिकूल प्रभावों को कम करने के लिए हम द्वारा किए गए या प्रस्तावित किए गए उपाय; और (d) आगे की सूचना के लिए संपर्क बिंदु।

#7.3 बाद की अपडेटें। जहाँ प्रारंभिक अधिसूचना के समय कुछ सूचना उपलब्ध नहीं है, हम इसे शीघ्र ही व्यावहारिक रूप से आगे की अपडेटें प्रदान करेंगे।

#7.4 सहयोग। हम किसी भी आवश्यक जाँच, प्राधिकारियों को अधिसूचना, प्रभावित Data Subjects को अधिसूचना, और समस्या समाधान में आपके साथ उचित रूप से सहयोग करेंगे।

#7.5 ग्राहक की जिम्मेदारी। आप यह मूल्यांकन करने के लिए जिम्मेदार हैं कि क्या कोई उल्लंघन आपके लागू कानून के तहत Notifiable Privacy Breach है और Office of the Privacy Commissioner, प्रभावित Data Subjects, या अन्य नियामकों को आवश्यक अधिसूचना देने के लिए। हम आपको ऐसा करने के लिए उचित रूप से आवश्यक सूचना प्रदान करेंगे।

#8.1 सूचना। हम आपको इस DPA के साथ अनुपालन प्रदर्शित करने के लिए आवश्यक सूचना उपलब्ध कराएंगे, जिसमें kapsulecloud.com/legal/security पर सुरक्षा विवरण, उप-प्रोसेसर्स की सूची, और कोई भी तृतीय-पक्ष ऑडिट रिपोर्ट या प्रमाणपत्र जो हमारे पास हैं (यदि कोई हो) शामिल हैं।

#8.2 ऑन-साइट ऑडिट। जहां खंड 8.1 में दी गई सूचना आपके द्वारा लिखित रूप में उठाए गए किसी विशेष मुद्दे के संबंध में इस DPA के साथ अनुपालन प्रदर्शित करने के लिए पर्याप्त नहीं है, आप निम्नलिखित शर्तों पर इस DPA के साथ हमारे अनुपालन की ऑडिट कर सकते हैं: (a) ऑडिट आपकी लागत पर आयोजित किए जाते हैं (हमारी सहायता की उचित लागत सहित); (b) आप हमें कम से कम तीस (30) दिनों की लिखित सूचना देते हैं; (c) ऑडिट हमारे सामान्य व्यावसायिक घंटों के दौरान होते हैं; (d) ऑडिट किसी भी बारह (12) माह की अवधि में एक बार से अधिक आयोजित नहीं किए जाते हैं, सिवाय इसके कि आपको प्रभावित करने वाले एक पुष्टि किए गए सूचनीय गोपनीयता उल्लंघन के बाद, जिस स्थिति में उचित सूचना पर एक अतिरिक्त ऑडिट किया जा सकता है; (e) ऑडिट हमारे संचालन में अनुचित रूप से हस्तक्षेप नहीं करता है या अन्य ग्राहकों की सूचना की गोपनीयता में समझौता नहीं करता है; (f) ऑडिटर को योग्य, हमारे प्रतिद्वंद्वियों से स्वतंत्र, और हमारे लिए स्वीकार्य शर्तों पर गोपनीयता दायित्वों द्वारा बाध्य होना चाहिए; (g) हम, अपने विकल्प पर, तृतीय-पक्ष ऑडिट रिपोर्ट या प्रमाणपत्र की प्रतियां प्रदान करके (जहां उपलब्ध हों) या सुरक्षा प्रश्नावली का जवाब देकर अपने ऑडिट दायित्वों को पूरा कर सकते हैं।

#8.3 आप हमें किसी भी ऑडिट रिपोर्ट और किसी भी निष्कर्ष की प्रति प्रदान करेंगे, और हम सहमत अवधि के भीतर महत्वपूर्ण निष्कर्षों को संबोधित करने के लिए उचित प्रयास करेंगे।

#9.1 आप स्वीकार करते हैं कि हमारे कुछ Sub-processors न्यूजीलैंड के बाहर स्थित हैं। वर्तमान स्थानों को kapsulecloud.com/legal/sub-processors पर दर्शाया गया है।

#9.2 जहां Customer Personal Information को न्यूजीलैंड के बाहर हस्तांतरित किया जाता है, हम यह सुनिश्चित करेंगे कि तुलनीय सुरक्षा उपाय लागू हों, जिनमें शामिल हैं: (a) Sub-processor को इस बात का विषय बनाना कि वह गोपनीयता कानून के अधीन है जो, हमारे विचार में, Privacy Act 2020 के समान सुरक्षा प्रदान करता है; या (b) Sub-processor के साथ संविदात्मक सुरक्षा उपाय में प्रवेश करना जो तुलनीय सुरक्षा की आवश्यकता रखते हैं (उदाहरण के लिए, जहां उपयुक्त हो वहां Standard Contractual Clauses के संदर्भ द्वारा); या (c) हस्तांतरण के लिए आपकी व्यक्त अनुमति प्राप्त करना।

#9.3 इस DPA में प्रवेश करके, आप Privacy Policy के खंड 7 और इस DPA के खंड 5 में वर्णित हस्तांतरण को अधिकृत करते हैं, खंड 9.2 में सुरक्षा उपायों के आधार पर।

#10.1 सेवाओं की अवधि के दौरान, आप KPanel के माध्यम से हमारे मानक निर्यात उपकरणों (CSV, JSON, संग्रह डाउनलोड, या डेटाबेस डम्प, डेटा प्रकार के आधार पर) का उपयोग करके ग्राहक व्यक्तिगत जानकारी निर्यात कर सकते हैं।

#10.2 सेवाओं की समाप्ति पर और आपके विकल्प पर, हम: (a) समाप्ति के बाद तीस (30) दिनों की अवधि के लिए ग्राहक व्यक्तिगत जानकारी को निर्यात के लिए उपलब्ध रखेंगे (यह 'अनुग्रह अवधि'); और (b) इसके बाद, सक्रिय प्रणालियों से ग्राहक व्यक्तिगत जानकारी को स्थायी रूप से हटाएंगे।

#10.3 एन्क्रिप्टेड बैकअप प्रतियों को अगले निर्धारित घूर्णन चक्र पर, सक्रिय प्रणालियों से विलोपन के बाद सबसे अधिक तीस (30) दिनों में हटाया जाएगा।

#10.4 हम समाप्ति के बाद ग्राहक व्यक्तिगत जानकारी को बनाए रख सकते हैं जहां कानून द्वारा आवश्यक हो (उदाहरण के लिए, Tax Administration Act 1994 के तहत बिलिंग और कर रिकॉर्ड, या कानूनी दावे का बचाव करने के लिए)। किसी भी ऐसी प्रतिधारण को आवश्यक न्यूनतम तक सीमित किया जाएगा, और जानकारी इस DPA में गोपनीयता और सुरक्षा दायित्वों के अधीन बनी रहेगी।

#11.1 सेवा की शर्तों में दायित्व प्रावधान (जिसमें खंड 16 में दायित्व की सीमा शामिल है) इस DPA पर लागू होते हैं।

#11.2 खंड 11.1 के प्रति पूर्वाग्रह के बिना, इस DPA में कुछ भी किसी पक्ष के धोखाधड़ी, धोखाधड़ी वाले मिसप्रेजेंटेशन, जानबूझकर कदाचार, या किसी भी ऐसे दायित्व की सीमा नहीं रखता है जिसे लागू गोपनीयता कानूनों के तहत कानूनी रूप से सीमित नहीं किया जा सकता।

#11.3 जहां हम आपकी विफलता के परिणामस्वरूप या इसके संबंध में एक नियामक दंड का सामना करते हैं, इस DPA या लागू गोपनीयता कानूनों के तहत अपने दायित्वों का पालन करने में, उस दंड की राशि को आप से वसूली योग्य हानि के रूप में माना जाएगा, सेवा की शर्तों में सीमाओं के अधीन।

#11.4 SLA के तहत सेवा क्रेडिट इस DPA के तहत क्रेडिट नहीं हैं।

#12.1 यह DPA तब प्रभावी होता है जब आप सेवाओं का उपयोग पहली बार करते हैं (या 15 मई 2026, जो भी बाद में हो) और सेवाओं के समाप्त होने और खंड 10 के तहत हमारी विलोपन दायित्वों के पूर्ण होने तक जारी रहता है।

#12.2 हम इस DPA को समय-समय पर कानून में परिवर्तन या हमारे संचालन में परिवर्तन को प्रतिबिंबित करने के लिए अपडेट कर सकते हैं। सामग्री परिवर्तनों की अग्रिम सूचना कम से कम तीस (30) दिन पहले दी जाएगी।

#13.1 यदि इस DPA और Customer Personal Information के प्रसंस्करण के संबंध में Terms of Service या Privacy Policy के बीच कोई विरोध है, तो यह DPA प्रमुख होगा।

#13.2 यदि इस DPA और किसी Applicable Privacy Law के किसी अनिवार्य प्रावधान के बीच कोई विरोध है, तो विरोध की सीमा तक अनिवार्य प्रावधान प्रमुख होगा।

गोपनीयता अधिकारी

Kapsule Group Limited, Christchurch, New Zealand.

ईमेल: [email protected]

A.1 विषय वस्तु। सेवा की शर्तों में वर्णित क्लाउड होस्टिंग, डोमेन पंजीकरण, ईमेल होस्टिंग और संबंधित सेवाओं का प्रावधान।

A.2 अवधि। सेवाओं की अवधि के लिए, साथ ही Grace Period और खंड 10 में निर्धारित किसी भी कानूनी प्रतिधारण की अवधि के लिए।

A.3 प्रकृति और उद्देश्य। संग्रहण, संचरण, बैकअप, सुरक्षा, प्रतिकृति, अनुक्रमणिका, प्रारूप रूपांतरण (तकनीकी अनुकूलता के लिए), दुरुपयोग की रोकथाम, बिलिंग, और सेवाओं के संचालन के लिए आवश्यक अन्य प्रसंस्करण।

A.4 ग्राहक व्यक्तिगत सूचना की श्रेणियां। आपके द्वारा निर्धारित और अपलोड की गई। इसमें शामिल हो सकते हैं: नाम, संपर्क विवरण (ईमेल, फोन, पता), खाता प्रमाण-पत्र, पहचान सत्यापन सूचना, भुगतान सूचना, लेनदेन डेटा, IP पते, डिवाइस पहचानकर्ता, फोटो और अन्य छवियां, वेबसाइटों और अनुप्रयोगों की सामग्री, ईमेल की सामग्री, संदेश मेटाडेटा, ग्राहक संबंध प्रबंधन रिकॉर्ड, समर्थन संचार, और कोई अन्य व्यक्तिगत सूचना जिसे आप सेवाओं के माध्यम से प्रसंस्करण करना चुनते हैं।

A.5 डेटा विषयों की श्रेणियां। आपके द्वारा निर्धारित। इसमें शामिल हो सकते हैं: आपके कर्मचारी, ठेकेदार, एजेंट, ग्राहक, संभावित ग्राहक, आपूर्तिकर्ता, सदस्य, अंतिम-उपयोगकर्ता, दाता, और अन्य व्यक्ति जिनकी व्यक्तिगत सूचना आप सेवाओं के माध्यम से प्रसंस्करण करना चुनते हैं।

A.6 विशेष श्रेणियां। आपको सेवाओं में कोई विशेष-श्रेणी या संवेदनशील व्यक्तिगत सूचना (जैसे स्वास्थ्य सूचना, बायोमेट्रिक सूचना, आपराधिक रिकॉर्ड, धार्मिक विश्वास, यौन अभिविन्यास, या ट्रेड यूनियन सदस्यता) अपलोड नहीं करना चाहिए, जब तक कि उपयुक्त अतिरिक्त सुरक्षा उपायों के बारे में हमारी पूर्व लिखित सहमति न हो। यदि आप हमारी सहमति के बिना ऐसी सूचना अपलोड करते हैं, तो आप ऐसा करने की वैधता के लिए जिम्मेदार हैं और किसी भी संबंधित दावों के संबंध में हमें क्षतिपूरक करते हैं।

A.7 प्रसंस्करण की आवृत्ति और अवधि। सतत, सेवाओं की अवधि के लिए।

हम निम्नलिखित तकनीकी और संगठनात्मक उपायों को लागू करते हैं, जिन्हें हम समग्र सुरक्षा को बनाए रखने या सुधारने के लिए समय-समय पर अपडेट कर सकते हैं:

B.1 सूचना सुरक्षा नीतियां और शासन। प्रलेखित सूचना सुरक्षा और गोपनीयता नीतियां, कम से कम वार्षिक रूप से समीक्षा की जाती हैं। अनुपालन के लिए जिम्मेदार नामित गोपनीयता अधिकारी। कर्मचारी गोपनीयता और सुरक्षा प्रशिक्षण नियुक्ति पर और उसके बाद वार्षिक रूप से। उत्पादन प्रणालियों तक पहुंच वाले कर्मचारियों पर पृष्ठभूमि जांच, जहां कानूनी रूप से अनुमति हो।

B.2 पहुंच नियंत्रण। न्यूनतम-विशेषाधिकार सिद्धांतों के आधार पर कठोर भूमिका-आधारित पहुंच नियंत्रण। उत्पादन प्रणालियों तक पहुंच वाले सभी कर्मचारियों के लिए अनिवार्य दो-कारक प्रमाणीकरण। आवधिक पहुंच समीक्षा और भूमिका परिवर्तन या प्रस्थान पर तुरंत निरसन। उत्पादन और गैर-उत्पादन वातावरण का पृथक्करण। विशेषाधिकार प्राप्त पहुंच लॉगिंग।

B.3 एन्क्रिप्शन और डेटा सुरक्षा। सभी डेटा संचरण के लिए TLS एन्क्रिप्शन (कम से कम TLS 1.2)। ऑफ-साइट बैकअप (restic) और संवेदनशील डेटा स्टोर के लिए विश्राम में एन्क्रिप्शन। Cloudflare R2 (ओशिनिया क्षेत्र) में संग्रहीत Restic-एन्क्रिप्टेड ऑफ-साइट बैकअप। मास्टर रिकवरी कुंजियों की ऑफ-लाइन प्रतियों के साथ सुरक्षित कुंजी प्रबंधन।

B.4 नेटवर्क और प्रणाली सुरक्षा। ग्राहक वातावरण के बीच नेटवर्क विभाजन। Cloudflare के माध्यम से वेब एप्लिकेशन फ़ायरवॉल और DDoS सुरक्षा। ऑपरेटिंग सिस्टम, रनटाइम और अनुप्रयोगों की नियमित सुरक्षा पैचिंग। इंटरनेट के सामने के बुनियादी ढांचे की कमजोरी स्कैनिंग। आवधिक पेनिट्रेशन परीक्षण।

B.5 लॉगिंग, निगरानी और घटना प्रतिक्रिया। पहुंच, परिवर्तन और सुरक्षा घटनाओं की केंद्रीकृत लॉगिंग। प्लेटफॉर्म स्वास्थ्य और सुरक्षा संकेतों की 24x7 निगरानी। परिभाषित गंभीरताओं और एस्केलेशन पथ के साथ प्रलेखित घटना प्रतिक्रिया योजना। Privacy Act 2020 और इस DPA के खंड 7 के साथ संरेखित सूचनीय गोपनीयता उल्लंघन अधिसूचना प्रक्रिया।

B.6 बैकअप, व्यावसायिक निरंतरता और आपदा पुनः प्राप्ति। ग्राहक साइट डेटा और ईमेल डेटा के दैनिक एन्क्रिप्टेड ऑफ-साइट बैकअप। कम से कम तीस (30) दिनों का ऑफ-साइट बैकअप प्रतिधारण, उच्च योजनाओं पर लंबे समय तक प्रतिधारण। प्रलेखित आपदा-पुनः प्राप्ति प्रक्रियाएं और runbooks। नियमित पुनर्स्थापना परीक्षण।

B.7 कर्मचारी और उप-प्रोसेसर। सभी कर्मचारियों के लिए गोपनीयता प्रतिबद्धताएं। सभी उप-प्रोसेसर के साथ लिखित अनुबंध जो इस DPA से कम सुरक्षात्मक नहीं हैं। उप-प्रोसेसर की निरंतर उपयुक्तता के लिए वार्षिक समीक्षा।

B.8 भौतिक सुरक्षा। Tier III या समकक्ष डेटा केंद्र में संचालित उत्पादन सर्वर नियंत्रित भौतिक पहुंच, 24x7 सुरक्षा, पर्यावरणीय नियंत्रण और अग्नि दमन के साथ।

B.9 एप्लिकेशन सुरक्षा। कोड समीक्षा, निर्भरता स्कैनिंग और पूर्व-रिलीज परीक्षण सहित सुरक्षित सॉफ्टवेयर विकास जीवनचक्र। रहस्य प्रबंधन का उपयोग (स्रोत कोड में कोई रहस्य नहीं)। उत्पादन परिवर्तन के लिए अनिवार्य कोड समीक्षा।

B.10 डेटा पृथक्करण और विलोपन। ग्राहक डेटा का तार्किक पृथक्करण। इस DPA के खंड 10 के साथ संरेखित प्रलेखित डेटा विलोपन प्रक्रियाएं। डेटा विषय के पहुंच, सुधार और विलोपन अनुरोधों को संभालने के लिए प्रलेखित प्रक्रियाएं।

इन उपायों का अधिक विस्तृत संस्करण kapsulecloud.com/legal/security पर प्रकाशित है और समय-समय पर अपडेट किया जाता है।