ข้อตกลงการประมวลผลข้อมูล

Botpress ข้อตกลงการประมวลผลข้อมูล (DPA)

DPA นี้เป็นส่วนเสริมและถือเป็นส่วนหนึ่งของข้อตกลงระหว่างนิติบุคคลของ Botpress กลุ่มที่ระบุไว้ในเงื่อนไขการบริการและลูกค้า DPA นี้จะมีผลบังคับใช้เมื่อรวมเข้าในข้อตกลงดังกล่าวโดยการอ้างอิง

1. คำจำกัดความ

1.a คำศัพท์ที่ใช้ตัวพิมพ์ใหญ่ซึ่งไม่ได้กำหนดไว้ในที่นี้ จะมีความหมายตามที่กำหนดไว้ในข้อตกลง

1.b ใน DPA นี้:

(ก) “ ข้อตกลง ” มีความหมายตามที่กำหนดไว้ในเงื่อนไขการบริการ

(b) “ กลุ่ม Botpress ” หมายความว่า Botpress และบริษัทในเครือใดๆ ของบริษัทดังกล่าว

(c) “ ข้อมูลส่วนบุคคลของรัฐแคลิฟอร์เนีย ” หมายถึงข้อมูลส่วนบุคคลที่ได้รับการคุ้มครองโดย CCPA

(d) “ กฎหมายคุ้มครองข้อมูลของแคนาดา ” หมายถึง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลและเอกสารอิเล็กทรอนิกส์ SC 2000, c 5 และพระราชบัญญัติว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลในภาคเอกชน CQLR c P-39.1 ตามที่อาจมีการแก้ไข แทนที่ หรือแทนที่ได้

(e) “ CCPA ” หมายถึง ประมวลกฎหมายแพ่งของรัฐแคลิฟอร์เนีย มาตรา 1798.100 เป็นต้นไป (เรียกอีกอย่างว่า พระราชบัญญัติความเป็นส่วนตัวของผู้บริโภคของรัฐแคลิฟอร์เนีย พ.ศ. 2561)

(f) “ ผู้บริโภค” “ ธุรกิจ ” “ ขาย ” และ “ ผู้ให้บริการ ” จะมีความหมายตามที่กำหนดไว้ใน CCPA

(g) “ ผู้ควบคุม ” หมายถึง บุคคลใดๆ ที่เพียงลำพังหรือร่วมกับผู้อื่น กำหนดจุดประสงค์และวิธีการในการประมวลผลข้อมูลส่วนบุคคล

(h) “ กฎหมายคุ้มครองข้อมูล ” หมายถึงกฎหมายที่บังคับใช้ทั่วโลกที่เกี่ยวข้องกับการคุ้มครองข้อมูลและความเป็นส่วนตัวซึ่งใช้กับฝ่ายหนึ่งของ DPA นี้ รวมถึงแต่ไม่จำกัดเพียงกฎหมายคุ้มครองข้อมูลของยุโรป กฎหมายคุ้มครองข้อมูลของแคนาดา และ CCPA ในแต่ละกรณีตามที่แก้ไข ยกเลิก รวบรวม หรือแทนที่เป็นครั้งคราว

(i) “ เจ้าของข้อมูล ” หมายถึง บุคคลซึ่งข้อมูลส่วนบุคคลเกี่ยวข้องด้วย

(j) “ ยุโรป ” หมายถึงสหภาพยุโรป เขตเศรษฐกิจยุโรป และ/หรือรัฐสมาชิก สวิตเซอร์แลนด์ และสหราชอาณาจักร

(k) “ กฎหมายคุ้มครองข้อมูลของยุโรป ” หมายถึงกฎหมายคุ้มครองข้อมูลที่บังคับใช้ในยุโรป โดยอาจมีการแก้ไข แทนที่ หรือแทนที่ได้

(l) “ ข้อมูลยุโรป ” หมายถึงข้อมูลส่วนบุคคลที่อยู่ภายใต้การคุ้มครองของกฎหมายคุ้มครองข้อมูลของยุโรป

(m) “ พันธมิตรที่ได้รับอนุญาต ” หมายถึง พันธมิตรลูกค้าใดๆ ที่ (i) ได้รับอนุญาตให้ใช้บริการซอฟต์แวร์ตามข้อตกลง (ii) มีคุณสมบัติเป็นผู้ควบคุมข้อมูลส่วนบุคคลที่ประมวลผลโดย Botpress และ (iii) อยู่ภายใต้กฎหมายคุ้มครองข้อมูลของยุโรป

(n) “ บุคคล ” ให้ตีความอย่างกว้างและรวมถึงบุคคลธรรมดา บริษัท บริษัทจำกัด ห้างหุ้นส่วนจำกัด บริษัท สมาคม ห้างหุ้นส่วน ทรัสต์หรือมรดก กิจการร่วมค้า หน่วยงานของรัฐหรือหน่วยงานย่อยทางการเมือง หรือหน่วยงานอื่นใด

(o) “ ข้อมูลส่วนบุคคล ” หมายถึง ข้อมูลใด ๆ ที่เกี่ยวข้องกับบุคคลที่ได้รับการระบุตัวตนหรือสามารถระบุตัวตนได้

(p) “ การประมวลผล ” หรือ “ กระบวนการ ” หมายถึงการดำเนินการใดๆ หรือชุดการดำเนินการที่ดำเนินการโดยผู้ประมวลผลข้อมูลส่วนบุคคล ไม่ว่าจะโดยวิธีอัตโนมัติหรือไม่ก็ตาม

(q) “ ผู้ประมวลผล ” หมายถึงบุคคลที่ประมวลผลข้อมูลส่วนบุคคลในนามของผู้ควบคุม

(r) “ ผู้ควบคุมดูแล ” หมายถึง บุคคลหรือหน่วยงานบังคับใช้กฎหมายหรือหน่วยงานอื่นที่มีอำนาจควบคุม ดูแล หรือหน่วยงานของรัฐ (ไม่ว่าจะอยู่ภายใต้โครงการตามกฎหมายหรืออื่นๆ) เหนือการประมวลผลข้อมูลส่วนบุคคลทั้งหมดหรือบางส่วนที่เกี่ยวข้องกับการให้บริการหรือการรับบริการ รวมถึงแต่ไม่จำกัดเพียง หน่วยงานกำกับดูแลการคุ้มครองข้อมูลของยุโรป

(s) “ การละเมิดความปลอดภัย ” หมายถึง การละเมิดความปลอดภัยที่นำไปสู่การทำลาย การสูญเสีย การเปลี่ยนแปลง การเปิดเผยโดยไม่ได้รับอนุญาต หรือการเข้าถึงข้อมูลส่วนบุคคลที่ส่ง จัดเก็บ หรือประมวลผลด้วยวิธีอื่นโดยไม่ได้ตั้งใจหรือผิดกฎหมาย Botpress และ/หรือผู้ประมวลผลย่อยที่เกี่ยวข้องกับการให้บริการ โดยไม่รวมเหตุการณ์ที่ไม่ก่อให้เกิดการละเมิดความปลอดภัยของข้อมูลส่วนบุคคล เช่น ความพยายามเข้าสู่ระบบที่ไม่สำเร็จ การปิง การสแกนพอร์ต การโจมตีแบบปฏิเสธบริการ และการโจมตีเครือข่ายอื่น ๆ บนไฟร์วอลล์หรือระบบเครือข่าย

(t) “ บริการ ” หมายถึง บริการซอฟต์แวร์หรือบริการระดับมืออาชีพที่ให้บริการโดยหน่วยงานใดๆ ของ Botpress กลุ่มไปยังลูกค้าหรือบริษัทในเครือ

(u) “ มาตรฐานข้อกำหนดในสัญญา ” หมายถึง มาตรฐานข้อกำหนดในสัญญาที่แนบมากับคำตัดสินของคณะกรรมาธิการยุโรป (EU) 2021/914 ลงวันที่ 4 มิถุนายน 2021 โดยอาจมีการแก้ไข แทนที่ หรือแทนที่ก็ได้

(v) “ ผู้ประมวลผลย่อย ” หมายถึง ผู้ประมวลผลใดๆ ที่ได้รับการว่าจ้างโดย Botpress หรือ Botpress พันธมิตรที่จะช่วยในการตอบสนอง Botpress ข้อผูกพันเกี่ยวกับการให้บริการภายใต้ข้อตกลง ผู้ประมวลผลย่อยอาจรวมถึงบุคคลที่สามหรือ Botpress พันธมิตรแต่จะไม่รวมถึงบุคคลที่ได้รับการจ้างงานหรือมีส่วนร่วมโดย Botpress -

(w) “ ประเทศที่สาม ” หมายถึงเขตอำนาจศาลหรือผู้รับ: (i) ไม่ได้รับการยอมรับจากคณะกรรมาธิการยุโรปว่าจัดให้มีระดับการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสม และ (ii) ไม่ได้ครอบคลุมโดยกรอบงานที่เหมาะสมซึ่งได้รับการยอมรับจากหน่วยงานหรือศาลที่เกี่ยวข้องว่าจัดให้มีระดับการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสม

(x) “ ข้อมูลการใช้งาน ” หมายถึงข้อมูลที่เกี่ยวข้องกับการใช้งานซอฟต์แวร์ของผู้ใช้ที่ได้รับอนุญาต ซึ่งอาจมีข้อมูลส่วนบุคคลในกรณีที่จำเป็นต้องระบุตัวตนของผู้ใช้แต่ละราย แต่ไม่รวมข้อมูลการสนทนา ข้อมูลการใช้งานอาจรวมถึงข้อมูลส่วนบุคคลเกี่ยวกับพนักงานและผู้รับเหมาของลูกค้า แต่ไม่รวมถึงข้อมูลของผู้ใช้ปลายทางที่โต้ตอบกับบอทของลูกค้า

2. บทบาทของฝ่ายต่างๆ

2.a ในการประมวลผลข้อมูลการสนทนาผ่านบริการ ฝ่ายต่างๆ รับทราบและตกลงว่าลูกค้าทำหน้าที่เป็นผู้ควบคุมและ Botpress ทำหน้าที่เป็นโปรเซสเซอร์

2.b หากลูกค้าทำหน้าที่เป็นผู้ประมวลผลในนามของผู้ควบคุม Botpress ถือเป็นผู้ประมวลผลย่อยของลูกค้า

2.ค Botpress จะต้องเป็นผู้ควบคุมเกี่ยวกับข้อมูลการใช้งาน

3. การปฏิบัติตามกฎหมายคุ้มครองข้อมูล

3.a แต่ละฝ่ายจะต้องดำเนินการประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมายคุ้มครองข้อมูลที่บังคับใช้ทั้งหมด

3. ข Botpress จะไม่รับผิดชอบต่อการปฏิบัติตามกฎหมายคุ้มครองข้อมูลใดๆ ที่บังคับใช้กับลูกค้าหรืออุตสาหกรรมของลูกค้าซึ่งโดยทั่วไปไม่บังคับใช้กับ Botpress -

3.c ถ้า Botpress ตระหนักดีว่าไม่สามารถประมวลผลข้อมูลส่วนบุคคลตามคำแนะนำของลูกค้าได้เนื่องจากข้อกำหนดทางกฎหมายภายใต้กฎหมายที่บังคับใช้ Botpress จะ (i) แจ้งให้ลูกค้าทราบถึงข้อกำหนดทางกฎหมายดังกล่าวโดยทันทีในขอบเขตที่กฎหมายที่เกี่ยวข้องอนุญาต และ (ii) หากจำเป็น ให้หยุดการประมวลผลทั้งหมด (นอกเหนือจากการจัดเก็บและรักษาความปลอดภัยของข้อมูลส่วนบุคคลที่ได้รับผลกระทบเท่านั้น) จนกว่าลูกค้าจะออกคำสั่งใหม่ที่สอดคล้องกับกฎหมายที่เกี่ยวข้อง หากมีการเรียกร้องบทบัญญัตินี้ Botpress จะไม่รับผิดต่อลูกค้าภายใต้ข้อตกลงสำหรับความล้มเหลวในการดำเนินการบริการซอฟต์แวร์หรือบริการระดับมืออาชีพที่เกี่ยวข้องจนกว่าจะถึงเวลาดังกล่าว Botpress สมเหตุสมผลกำหนดว่าคำสั่งของลูกค้าเป็นไปตามกฎหมาย

4. Botpress ภาระผูกพัน

4.ก Botpress จะประมวลผลข้อมูลส่วนบุคคลเพื่อจุดประสงค์ตามที่อธิบายไว้ใน DPA นี้หรือตามที่ตกลงกันไว้เป็นอย่างอื่นภายในขอบเขตของคำแนะนำที่ถูกต้องตามกฎหมายที่ได้รับจากลูกค้า ยกเว้นในกรณีและในขอบเขตที่กฎหมายบังคับใช้เป็นอย่างอื่น

4. ข Botpress จะต้องนำไปปฏิบัติและบำรุงรักษามาตรการทางเทคนิคและองค์กรที่เหมาะสมเพื่อปกป้องข้อมูลส่วนบุคคลจากเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัย รวมถึงตามที่อธิบายไว้ในตารางที่ 2 ของ DPA นี้ (“ มาตรการรักษาความปลอดภัย ”) Botpress อาจแก้ไขหรืออัปเดตมาตรการรักษาความปลอดภัยตามดุลยพินิจของตน โดยที่การแก้ไขหรืออัปเดตดังกล่าวจะไม่ส่งผลให้การป้องกันที่ได้รับจากมาตรการรักษาความปลอดภัยลดน้อยลงอย่างมีนัยสำคัญ

4.ค Botpress จะปฏิบัติต่อข้อมูลส่วนบุคคลในฐานะข้อมูลที่เป็นความลับของลูกค้า และจะต้องให้แน่ใจว่าพนักงานหรือผู้ติดต่อของลูกค้าที่ได้รับอนุญาตให้เข้าถึงหรือประมวลผลข้อมูลส่วนบุคคลนั้นต้องปฏิบัติตามข้อผูกพันด้านความลับที่เหมาะสม (ไม่ว่าจะเป็นตามสัญญาหรือตามกฎหมาย) ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลนั้น

4.ง. Botpress จะลบหรือส่งคืนข้อมูลส่วนบุคคลทั้งหมดที่ได้รับการประมวลผลตาม DPA นี้ เมื่อข้อตกลงสิ้นสุดลงหรือหมดอายุ Botpress อาจเก็บสำเนาข้อมูลส่วนบุคคลตามที่กฎหมายบังคับใช้หรือในกรณีที่ข้อมูลส่วนบุคคลได้รับการเก็บถาวรในระบบสำรองข้อมูล ซึ่งข้อมูลดังกล่าวจะถูกแยกและปกป้องอย่างปลอดภัยจากการประมวลผลเพิ่มเติมใดๆ และจะลบออกตามแนวปฏิบัติในการลบที่เกี่ยวข้อง

5. ภาระผูกพันของลูกค้า

5.a ลูกค้าต้องรับผิดชอบในการทำให้แน่ใจว่าการใช้บริการซอฟต์แวร์หรือซอฟต์แวร์เป็นไปตามกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้องทั้งหมด รวมถึงการต้องแน่ใจว่า (i) ลูกค้าได้รับอนุญาตให้แต่งตั้ง Botpress เพื่อประมวลผลข้อมูลส่วนบุคคลในนามของตนเองตาม DPA นี้ (ii) มีสิทธิที่จะโอนหรือให้สิทธิ์เข้าถึงข้อมูลส่วนบุคคลแก่ Botpress เพื่อการประมวลผลตามข้อกำหนดของข้อตกลง (รวมถึง DPA นี้) (iii) เพื่อให้แน่ใจว่าคำแนะนำของลูกค้าเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลเป็นไปตามกฎหมายที่บังคับใช้ รวมถึงกฎหมายคุ้มครองข้อมูล

5.b ลูกค้าต้องแจ้งให้ทราบโดยทันที Botpress เป็นลายลักษณ์อักษรหากมีเหตุผลที่จะเชื่อหรือหากได้รับแจ้งว่าการประมวลผลข้อมูลส่วนบุคคลที่ดำเนินการโดยลูกค้าผ่านทางบริการเป็นหรืออาจฝ่าฝืนกฎหมายที่บังคับใช้ รวมถึงกฎหมายคุ้มครองข้อมูล

5.c ลูกค้ามีหน้าที่รับผิดชอบในการพิจารณาว่ามาตรการรักษาความปลอดภัยที่นำไปปฏิบัติโดย Botpress ปฏิบัติตามภาระผูกพันของลูกค้าภายใต้กฎหมายคุ้มครองข้อมูลที่บังคับใช้ได้อย่างเหมาะสม นอกจากนี้ ลูกค้ายังต้องรับผิดชอบในการรับรองว่าการเข้าถึงบริการซอฟต์แวร์ของตนได้รับการรักษาความปลอดภัยและสงวนไว้สำหรับบุคลากรที่ได้รับอนุญาตเท่านั้น

6. การละเมิดความปลอดภัย

6.ก Botpress จะแจ้งให้ลูกค้าทราบโดยทันทีหากพบการละเมิดความปลอดภัย และจะแจ้งข้อมูลเกี่ยวกับการละเมิดความปลอดภัยดังกล่าวให้ทราบโดยทันทีเมื่อทราบหรือเมื่อลูกค้ามีคำขออย่างสมเหตุสมผล

6.b เมื่อมีการร้องขอ Botpress จะให้ความช่วยเหลือที่เหมาะสมแก่ลูกค้าโดยเร็วที่สุดเท่าที่จำเป็น เพื่อให้ลูกค้าสามารถแจ้งการละเมิดความปลอดภัยไปยังหน่วยงานกำกับดูแลและ/หรือเจ้าของข้อมูลที่ได้รับผลกระทบได้ หากจำเป็นต้องแจ้งดังกล่าวตามกฎหมายคุ้มครองข้อมูล

7. โปรเซสเซอร์ย่อย

7.ก Botpress อาจว่าจ้างผู้ประมวลผลย่อยเพื่อประมวลผลข้อมูลส่วนบุคคล ผู้ประมวลผลย่อยปัจจุบันอยู่ในรายการตารางที่ 3 หากมีการเปลี่ยนแปลงใดๆ เกิดขึ้นกับผู้ประมวลผลย่อย เราจะแจ้งให้ลูกค้าทราบ

7. ข Botpress เลือกผู้ประมวลผลย่อยซึ่งเสนอการดำเนินการปกป้องข้อมูลที่ให้ระดับการคุ้มครองข้อมูลส่วนบุคคลอย่างน้อยเท่ากับที่ระบุไว้ใน DPA นี้ (รวมถึงในกรณีที่เหมาะสม ข้อกำหนดในสัญญาแบบมาตรฐาน) ในขอบเขตที่สามารถใช้ได้กับลักษณะของบริการที่ให้โดยผู้ประมวลผลย่อยดังกล่าว Botpress ยังคงต้องรับผิดชอบต่อการปฏิบัติตามภาระผูกพันของ DPA นี้ของผู้ประมวลผลย่อยแต่ละราย และต่อการกระทำหรือการละเว้นของผู้ประมวลผลย่อยดังกล่าวที่ก่อให้เกิดการละเมิดใดๆ Botpress ' ภาระผูกพันภายใต้ DPA นี้

7.c ถ้า Botpress ประมวลผลข้อมูลยุโรปในนามของลูกค้า ลูกค้าสามารถคัดค้านตัวประมวลผลย่อยรายใหม่ได้ด้วยเหตุผลที่สมเหตุสมผลโดยอิงตามการปกป้องข้อมูล หากได้รับแจ้งถึงการคัดค้านดังกล่าว Botpress ตกลงที่จะหารือเรื่องนี้โดยสุจริตใจเพื่อหาข้อยุติที่เหมาะสมทางการค้า หากไม่สามารถหาข้อยุติดังกล่าวได้ Botpress อาจเลือกที่จะสละการแต่งตั้งผู้ประมวลผลย่อยรายใหม่ หรืออนุญาตให้ลูกค้ายกเลิกการสมัครรับบริการซอฟต์แวร์บางส่วนที่ต้องอาศัยผู้ประมวลผลย่อยรายใหม่ดังกล่าว โดยไม่ต้องรับผิดต่อฝ่ายใดฝ่ายหนึ่ง (แต่ไม่กระทบต่อค่าธรรมเนียมใดๆ ที่เกิดขึ้นก่อนการยกเลิก)

7.d หากจำเป็นตามกฎหมายหรือตามเงื่อนไขสัญญาแบบมาตรฐาน Botpress จะพยายามอย่างสมเหตุสมผลเพื่อให้ลูกค้าได้รับข้อมูลที่ต้องการเกี่ยวกับ Botpress ' ข้อตกลงกับผู้ประมวลผลย่อย ลูกค้าตกลงว่าข้อมูลบางส่วนอาจถูกแก้ไขจากข้อตกลงดังกล่าวหรือให้ไว้ในลักษณะที่เป็นความลับ

8. การโอนข้อมูลส่วนบุคคล

8.a การประมวลผลข้อมูลส่วนบุคคลอื่นนอกเหนือจากข้อมูลยุโรปโดย Botpress หน่วยงานกลุ่มจะเกิดขึ้นในเขตอำนาจศาลใด ๆ ที่การประมวลผลดังกล่าวได้รับอนุญาตตามกฎหมายที่บังคับใช้ของเขตอำนาจศาลด้านความเป็นส่วนตัว

8.b การประมวลผลข้อมูลยุโรปจะเกิดขึ้นเฉพาะ:

ก) ในยุโรป

ข) ในเขตอำนาจศาลที่ให้ระดับการคุ้มครองที่เพียงพอภายใต้การตัดสินใจของคณะกรรมาธิการยุโรปตามกฎหมายคุ้มครองข้อมูลที่บังคับใช้

ค) ในเขตอำนาจศาลใดๆ โดยองค์กรหรือนิติบุคคลที่เสนอการป้องกันที่เหมาะสม รวมถึงผ่านทางมาตรฐานข้อกำหนดในสัญญา

ง) ในเขตอำนาจศาลใดๆ โดยได้รับความยินยอมเป็นลายลักษณ์อักษรจากลูกค้าหรือเจ้าของข้อมูลที่เกี่ยวข้อง

8.c เมื่อการประมวลผลข้อมูลยุโรปเกิดขึ้นในประเทศที่สาม ถือว่าคู่สัญญาได้ตกลงทำข้อตกลงมาตรฐานเฉพาะในส่วนที่เกี่ยวกับข้อมูลส่วนบุคคลที่เกี่ยวข้องและการประมวลผลที่เกี่ยวข้องเท่านั้น คู่สัญญาตกลงว่าเพื่อวัตถุประสงค์ของข้อตกลงมาตรฐาน:

ก) หากลูกค้าเป็นผู้ควบคุมและ Botpress คือ Processor จะใช้ Module 2 (Controller to Processor)

ข) หากลูกค้าเป็นผู้ประมวลผลและ Botpress เป็นโปรเซสเซอร์ย่อย โมดูลที่ 3 (โปรเซสเซอร์ถึงโปรเซสเซอร์) จะใช้

ค) ในส่วนที่เกี่ยวกับข้อมูลการใช้งาน จะใช้โมดูล 1 (ตัวควบคุมถึงตัวควบคุม)

ง) ในข้อ 7 ของมาตรฐานข้อกำหนดในสัญญา ข้อกำหนดการเชื่อมต่อที่เลือกได้จะไม่นำไปใช้

ง) ในข้อ 9 ของมาตรฐานข้อกำหนดสัญญา จะใช้ตัวเลือกที่ 2 และระยะเวลาสำหรับการแจ้งล่วงหน้าเป็นลายลักษณ์อักษรเกี่ยวกับการเปลี่ยนแปลงตัวประมวลผลย่อยจะเป็น 10 วัน

f) ในข้อ 11 ของมาตรฐานข้อกำหนดในสัญญา ภาษาที่เลือกใช้จะไม่นำไปใช้

g) ในข้อ 17 (ตัวเลือก 1) ข้อกำหนดในสัญญาแบบมาตรฐานจะอยู่ภายใต้กฎหมายของไอร์แลนด์

ข) ในข้อ 18(b) ของมาตรฐานข้อตกลงในสัญญา ข้อพิพาทจะได้รับการแก้ไขต่อหน้าศาลของไอร์แลนด์

ฉัน) Botpress จะเป็น “ผู้นำเข้าข้อมูล” และลูกค้าจะเป็น “ผู้ส่งออกข้อมูล” (ในนามของตนเองและบริษัทในเครือที่ได้รับอนุญาต)

j) ข้อมูลที่เกี่ยวข้องที่กำหนดไว้ในตารางที่ 1 และตารางที่ 2 ของ DPA นี้ถือว่ารวมอยู่ในภาคผนวกของข้อกำหนดในสัญญาแบบมาตรฐาน

ก) หากและในขอบเขตที่ข้อกำหนดมาตรฐานของสัญญาขัดแย้งกับบทบัญญัติใดๆ ของ DPA นี้ ข้อกำหนดมาตรฐานของสัญญาจะมีผลเหนือกว่าในขอบเขตที่ความขัดแย้งดังกล่าว

8.d การโอนข้อมูลในสวิตเซอร์แลนด์และสหราชอาณาจักร ในขอบเขตที่การโอนข้อมูลส่วนบุคคลระหว่างลูกค้าและ Botpress และ/หรือผู้ประมวลผลย่อยอยู่ภายใต้กฎหมายคุ้มครองข้อมูลของประเทศสวิตเซอร์แลนด์หรือสหราชอาณาจักร ข้อกำหนดในสัญญาแบบมาตรฐานจะถือว่าได้รับการแก้ไขเพื่อให้สะท้อนถึงข้อกำหนดของกฎหมายคุ้มครองข้อมูลของประเทศสวิตเซอร์แลนด์และสหราชอาณาจักรที่บังคับใช้ รวมถึงการอ้างอิงถึงกฎหมาย กฎหมายที่บังคับใช้ และหน่วยงานที่มีอำนาจและศาล

9. การประมวลผล CCPA

9.a เมื่อประมวลผลข้อมูลส่วนบุคคลของแคลิฟอร์เนียตามคำแนะนำของลูกค้า ฝ่ายต่างๆ รับทราบและตกลงว่าลูกค้าเป็นธุรกิจและ Botpress เป็นผู้ให้บริการตามวัตถุประสงค์ของ CCPA ทั้งสองฝ่ายตกลงกันว่า Botpress จะประมวลผลข้อมูลส่วนบุคคลของรัฐแคลิฟอร์เนียในฐานะผู้ให้บริการโดยเคร่งครัดเพื่อจุดประสงค์ในการดำเนินการบริการซอฟต์แวร์และบริการระดับมืออาชีพภายใต้ข้อตกลง (" วัตถุประสงค์ทางธุรกิจ ") หรือตามที่ได้รับอนุญาตเป็นอย่างอื่นโดย CCPA

10. คำขอของบุคคลที่สาม

10.a ลูกค้าจะต้องรับผิดชอบในการตอบสนองคำขอใดๆ จากเจ้าของข้อมูลหรือผู้ควบคุมดูแลเกี่ยวกับข้อมูลส่วนบุคคลของตน และลูกค้าจะต้องใช้คุณลักษณะของบริการซอฟต์แวร์ที่มีอยู่เพื่อค้นหาข้อมูลที่เกี่ยวข้องเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล

10.b หากลูกค้าไม่สามารถตอบสนองต่อคำขอของเจ้าของข้อมูลหรือผู้ควบคุมข้อมูล (" คำขอ ") ได้โดยอิสระ Botpress จะให้ความช่วยเหลือที่เหมาะสมแก่ลูกค้า เพื่อตอบสนองต่อคำขอใดๆ ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลภายใต้ข้อตกลง ยกเว้นในกรณีที่คำขอมีพื้นฐานมาจากความล้มเหลวของ Botpress เพื่อเคารพภาระผูกพันภายใต้ DPA นี้ ลูกค้าจะต้องคืนเงิน Botpress สำหรับค่าใช้จ่ายที่เหมาะสมในการให้ความช่วยเหลือลูกค้า

10.c หากมีการร้องขอหรือการสื่อสารอื่น ๆ เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลภายใต้ข้อตกลงโดยตรงไปยัง Botpress - Botpress จะแจ้งให้ลูกค้าทราบโดยทันทีและจะแนะนำให้เจ้าของข้อมูลหรือผู้กำกับดูแลส่งคำขอโดยตรงถึงลูกค้า ลูกค้าจะเป็นผู้รับผิดชอบแต่เพียงผู้เดียวในการตอบสนองต่อคำขอหรือการสื่อสารที่เกี่ยวข้องกับข้อมูลส่วนบุคคลดังกล่าว

11. การตรวจสอบที่เกี่ยวข้องกับข้อมูลส่วนบุคคล

11.a เมื่อมีการร้องขอและแจ้งให้ทราบอย่างสมเหตุสมผล Botpress ลูกค้าได้รับอนุญาตให้ดำเนินการตรวจสอบที่จำเป็นเพื่อให้แน่ใจว่าข้อมูลส่วนบุคคลได้รับการประมวลผลโดยค่าใช้จ่ายของตนเอง Botpress ในนามของลูกค้าจะได้รับการดำเนินการตามคำสั่งของลูกค้า ตามคำขอของลูกค้า Botpress จะให้อนุญาตให้มีการตรวจสอบและการตรวจสอบการประมวลผลที่ดำเนินการโดย Botpress การตรวจสอบดังกล่าวอาจดำเนินการโดยลูกค้าและ/หรือบุคคลที่สาม (ที่ลูกค้าเลือกและได้รับการยอมรับอย่างสมเหตุสมผลโดย Botpress ) ดำเนินการในนามของลูกค้า ลูกค้าจะต้องใช้มาตรการที่จำเป็นทั้งหมดเพื่อหลีกเลี่ยงการก่อให้เกิดความเสียหายหรือการหยุดชะงักต่อสถานที่ อุปกรณ์ บุคลากร และธุรกิจของ Botpress หน่วยงานกลุ่ม

11.b ลูกค้าและ Botpress จะต้องตกลงล่วงหน้าเกี่ยวกับลักษณะ ขอบเขต และระยะเวลาของการตรวจสอบโดยลูกค้า และลูกค้าจะต้องคืนเงิน Botpress สำหรับค่าใช้จ่ายที่เหมาะสมทั้งหมดที่เกี่ยวข้องกับการตรวจสอบดังกล่าว ซึ่งอาจมีการประมาณการตามคำขอของลูกค้าก่อนที่จะเริ่มการตรวจสอบ ในขอบเขตที่เป็นไปได้ ข้อกำหนดการตรวจสอบของลูกค้าจะต้องปฏิบัติตามผ่านรายงานการตรวจสอบของบุคคลที่สามที่จัดทำโดย Botpress , หากยังมีอยู่

11.c ถ้า Botpress ประมวลผลข้อมูลยุโรปในนามของลูกค้า Botpress จะให้ลูกค้าได้รับสำเนาสรุปรายงานการทดสอบความปลอดภัย (และเป็นความลับ) เมื่อมีการร้องขอที่สมเหตุสมผล (และเป็นความลับ) และ (ii) คำตอบเป็นลายลักษณ์อักษรต่อคำขอข้อมูลที่สมเหตุสมผลทั้งหมดที่ลูกค้าส่งมาซึ่งจำเป็นต่อการยืนยัน Botpress การปฏิบัติตาม DPA นี้ โดยที่ลูกค้าจะต้องไม่ใช้สิทธิ์ดังกล่าวมากกว่าหนึ่งครั้งต่อปีปฏิทิน เว้นแต่ลูกค้าจะแสดงเหตุผลอันสมเหตุสมผลในการสงสัย Botpress ' การไม่ปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

12. การจำกัดความรับผิด

12.ก Botpress ' และความรับผิดชอบของ ' และบริษัทในเครือ เมื่อพิจารณาโดยรวม ที่เกิดขึ้นจากหรือเกี่ยวข้องกับ DPA นี้ (และ DPA อื่นใดระหว่างคู่สัญญา) และข้อกำหนดสัญญาแบบมาตรฐาน (ถ้ามี) ไม่ว่าจะอยู่ในสัญญา การละเมิด หรือภายใต้ทฤษฎีความรับผิดอื่นใด จะถูกจำกัดให้เท่ากับจำนวนรวมของค่าธรรมเนียมที่ลูกค้าชำระให้กับ Botpress โดยคำนึงถึงบริการในช่วงระยะเวลา 12 เดือนก่อนที่จะเกิดเหตุการณ์ที่ก่อให้เกิดความรับผิดชอบ

13. เขตอำนาจศาล

เว้นแต่กฎหมายคุ้มครองข้อมูลที่บังคับใช้จะกำหนดไว้เป็นอย่างอื่น DPA นี้จะอยู่ภายใต้การควบคุมและตีความตามกฎหมายที่บังคับใช้กับข้อตกลง และข้อพิพาทใดๆ เกี่ยวกับข้อตกลงนี้จะได้รับการแก้ไขโดยศาลที่มีอำนาจของเขตอำนาจศาลที่ระบุไว้ในข้อเสนอ

ในขอบเขตที่กฎหมายการคุ้มครองข้อมูลกำหนดให้ DPA นี้ต้องอยู่ภายใต้กฎหมายของรัฐสมาชิกของสหภาพยุโรป DPA นี้จะอยู่ภายใต้กฎหมายของไอร์แลนด์ และข้อพิพาทที่เกี่ยวข้องกับข้อตกลงนี้จะได้รับการแก้ไขโดยศาลไอร์แลนด์

14. ทั่วไป

14.a ลำดับความสำคัญ ในกรณีที่มีความขัดแย้งระหว่างบทบัญญัติข้อใดข้อหนึ่งของ DPA นี้กับบทบัญญัติอื่นใดของข้อตกลง บทบัญญัติของ DPA จะต้องมีความสำคัญเหนือกว่าเสมอ เว้นแต่และในขอบเขตที่มีการกำหนดไว้โดยชัดแจ้งว่าบทบัญญัติอื่นของข้อตกลงจะมีความสำคัญเหนือกว่า หรือบทบัญญัติใดข้อหนึ่งของ DPA จะต้องถูกยกเลิกหรือแก้ไข

14.b การแก้ไขเพิ่มเติม Botpress อาจแก้ไข DPA นี้เพื่อสะท้อนถึงการเปลี่ยนแปลงในแนวทางการประมวลผลข้อมูล การแก้ไขใดๆ นอกเหนือจากการเปลี่ยนแปลงเพื่อชี้แจงภาษา (ซึ่งจะแจ้งให้ลูกค้าทราบเป็นปกติ) จะต้องส่งให้ลูกค้าและจะไม่นำไปใช้ เว้นแต่จะได้รับการยอมรับจากลูกค้า หากกฎหมายที่เกี่ยวข้องกำหนดให้ต้องแก้ไข DPA นี้ ลูกค้าจะต้อง

มีตัวเลือกในการยอมรับการปรับเปลี่ยนดังกล่าวหรือยกเลิกการสมัครรับบริการซอฟต์แวร์

14.c การแยกส่วน หากข้อกำหนดเฉพาะใดๆ ของ DPA นี้ถูกตัดสินว่าไม่ถูกต้องหรือไม่สามารถบังคับใช้ได้ ความถูกต้องและความสามารถในการบังคับใช้ของข้อกำหนดอื่นๆ ของ DPA นี้จะไม่ถูกกระทบกระเทือน

ตารางที่ 1 – รายละเอียดการประมวลผล

การระบุตัวตนของตัวควบคุม

ลูกค้า

บุคคลที่ติดต่อ: บุคคลที่ระบุไว้ในข้อเสนอที่ลูกค้ายอมรับ การระบุ ตัวผู้ประมวลผล

หากลูกค้าอยู่ในแคนาดา: เทคโนโลยี Botpress อิงค์

หากลูกค้าอยู่ที่อื่น : Botpress , อิงค์

บุคคลที่สามารถติดต่อได้ :

ฌอง-เบอร์นาร์ด เพอร์รอน

ความปลอดภัย@ botpress .คอม

หมวดหมู่ของเจ้าของข้อมูล

ลูกค้าสามารถส่งข้อมูลส่วนบุคคลในระหว่างการใช้บริการซอฟต์แวร์ ซึ่งขอบเขตดังกล่าวจะถูกกำหนดและควบคุมโดยลูกค้าตามดุลยพินิจเพียงฝ่ายเดียว โดยต้องเป็นไปตามเงื่อนไขการบริการที่เกี่ยวข้อง และอาจรวมถึงแต่ไม่จำกัดเพียงข้อมูลส่วนบุคคลที่เกี่ยวข้องกับหมวดหมู่ของเจ้าของข้อมูลต่อไปนี้:

• บุคคลที่ใช้ซอฟต์แวร์ในนามของลูกค้า
• ผู้ใช้ปลายทางของบอทลูกค้า

หมวดหมู่ของข้อมูลส่วนบุคคล

ลูกค้าสามารถส่งข้อมูลส่วนบุคคลไปยังบริการซอฟต์แวร์ และอาจอนุญาตให้ผู้ใช้ปลายทางส่งข้อมูลส่วนบุคคลไปยังบริการซอฟต์แวร์ ซึ่งขอบเขตจะได้รับการกำหนดและควบคุมโดยลูกค้าตามดุลยพินิจเพียงฝ่ายเดียว ภายใต้ข้อกำหนดการบริการที่ใช้บังคับ

บริการซอฟต์แวร์ไม่ได้รับการออกแบบมาเพื่อวัตถุประสงค์ในการประมวลผลข้อมูลที่ละเอียดอ่อน ลูกค้าจะต้องรับผิดชอบในการพิจารณาความเหมาะสมของบริการซอฟต์แวร์ในการประมวลผลข้อมูลที่ละเอียดอ่อน

Botpress จะประมวลผลข้อมูลการติดต่อเกี่ยวกับผู้ใช้ที่ได้รับอนุญาต (ชื่อ อีเมล หมายเลขโทรศัพท์) และข้อมูลการใช้งานและพฤติกรรมเกี่ยวกับการใช้ผลิตภัณฑ์เพื่อการสนับสนุนด้านเทคนิคและวัตถุประสงค์ทางสถิติ

ลักษณะการแปรรูป

• การจัดเก็บและการประมวลผลอื่น ๆ ที่จำเป็นในการจัดเตรียม บำรุงรักษา และปรับปรุงบริการที่มอบให้กับลูกค้า
• การเปิดเผยตามข้อตกลง (รวมถึง DPA นี้) และ/หรือตามที่กฎหมายบังคับใช้
• Botpress จะประมวลผลข้อมูลส่วนบุคคลตามความจำเป็นเพื่อให้บริการตามข้อตกลงและตามคำแนะนำเพิ่มเติมของลูกค้าในการใช้บริการ
• Botpress ประมวลผลข้อมูลการใช้งานเพื่อให้การสนับสนุนทางเทคนิคและเพื่อวัตถุประสงค์ทางสถิติ (เพื่อการปรับปรุงและพัฒนาผลิตภัณฑ์)

ระยะเวลาที่ข้อมูลส่วนบุคคลจะถูกเก็บรักษาไว้

อยู่ภายใต้ Botpress ' ภาระผูกพันในการลบหรือส่งคืนข้อมูลให้กับลูกค้าภายใต้ข้อตกลง Botpress จะประมวลผลข้อมูลส่วนบุคคลตลอดระยะเวลาของข้อตกลง เว้นแต่จะตกลงกันเป็นอย่างอื่นเป็นลายลักษณ์อักษร

ตารางที่ 2 – มาตรการรักษาความปลอดภัย

1. การกำกับดูแล

Botpress ปฏิบัติตามนโยบายและขั้นตอนที่เหมาะสมเกี่ยวกับข้อมูลส่วนบุคคล รวมถึง:

• ขั้นตอนการรักษาความปลอดภัยข้อมูล;
• นโยบายการใช้ข้อมูลส่วนบุคคล ;
• ขั้นตอนการรายงานเหตุการณ์ด้านความปลอดภัยและความเป็นส่วนตัว
• กลไกการประเมินความเสี่ยง
• ขั้นตอนการตรวจสอบภายใน ;
• มาตรการตามสัญญา;

2. การเข้าถึงของผู้ใช้

• หน้าที่และความรับผิดชอบของ Botpress ผู้ใช้และโปรไฟล์ผู้ใช้ที่มีสิทธิ์เข้าถึงข้อมูลส่วนบุคคลและระบบข้อมูลได้รับการกำหนดไว้อย่างชัดเจน
• Botpress กำหนดมาตรการเพื่อแจ้งให้ผู้ใช้ทราบเกี่ยวกับกฎความปลอดภัยที่ส่งผลต่อการปฏิบัติหน้าที่ และผลที่ตามมาหากละเมิดกฎเหล่านี้
• โปรโตคอลข้อความธรรมดาจะไม่ถูกใช้ในการเข้าถึงหรือถ่ายโอนข้อมูลส่วนบุคคล มีเพียงโปรโตคอล SSL เท่านั้นที่ได้รับการยอมรับสำหรับการดำเนินการเหล่านี้
• Botpress รับรองความปลอดภัยของกระบวนการและขั้นตอนในการจัดการหรือกำจัดสื่อทางกายภาพหรืออุปกรณ์ที่อาจมีข้อมูลส่วนบุคคล
• ข้อมูลส่วนบุคคลจะถูกแยกทางกายภาพหรือแยกตามตรรกะหากอยู่ในฐานข้อมูลหรือสภาพแวดล้อมเสมือนจากที่อื่น Botpress ข้อมูล หากข้อมูลส่วนบุคคลไม่ได้ถูกแยกทางกายภาพจากข้อมูล ระบบ หรือแอปพลิเคชันอื่น ๆ ที่ไม่เกี่ยวข้องกับลูกค้า Botpress ใช้การควบคุมความปลอดภัยที่เหมาะสม รวมถึงการควบคุมการเข้าถึง

3. การควบคุมการเข้าถึง

Botpress บำรุงรักษาเซิร์ฟเวอร์ ฐานข้อมูลที่เกี่ยวข้อง และฮาร์ดแวร์และ/หรือส่วนประกอบซอฟต์แวร์อื่นๆ ที่ใช้จัดเก็บข้อมูลส่วนบุคคลในศูนย์ข้อมูลที่ปลอดภัยโดยมีการควบคุมและตรวจสอบการเข้าถึงเพื่อให้เฉพาะบุคลากรที่ได้รับอนุญาตเท่านั้นเข้าใช้งานได้

Botpress ใช้มาตรการควบคุมการเข้าถึงเชิงตรรกะที่มีประสิทธิภาพกับระบบทั้งหมดที่ใช้ในการสร้าง ส่ง หรือประมวลผลข้อมูลส่วนบุคคล โดยมาตรการดังกล่าวรวมถึงแต่ไม่จำกัดเพียง:

• การพิสูจน์ตัวตนของผู้ใช้ซึ่งจะต้องใช้ตัวระบุที่ไม่ซ้ำกัน (“รหัสผู้ใช้”) และชื่อ
• กลยุทธ์รหัสผ่านที่มีความซับซ้อนและแข็งแกร่งเพียงพอ

• ผู้ใช้ต้องได้รับสิทธิ์/สิทธิพิเศษในการเข้าถึงแหล่งข้อมูลที่มีข้อมูลส่วนบุคคล โดยต้องเป็นไปตามหน้าที่และความรับผิดชอบของผู้ใช้
• การเข้าถึงระบบคอมพิวเตอร์ของผู้ใช้ที่อนุญาตให้เข้าถึงข้อมูลส่วนบุคคลจะถูกลบออกทันทีเมื่อผู้ใช้ออกจากระบบหรือหากผู้ใช้เปลี่ยนงานและงานใหม่ไม่จำเป็นต้องเข้าถึง
• จะต้องมีการเปลี่ยนแปลงรหัสผ่านเริ่มต้นและการตั้งค่าความปลอดภัยในผลิตภัณฑ์/แอพพลิเคชั่นของบริษัทอื่นที่ใช้เพื่อรองรับข้อมูลส่วนบุคคล
• ผู้ให้บริการบุคคลที่สามจะต้องอยู่ภายใต้ข้อกำหนดและภาระผูกพันด้านความปลอดภัยที่เท่าเทียมกัน Botpress ผู้ใช้ที่ได้รับอนุญาตในการประมวลผลข้อมูลส่วนบุคคล
• การตรวจสอบความถูกต้องของบัญชีผู้ใช้และการอนุญาตที่เกี่ยวข้องกับการเข้าถึงข้อมูลส่วนบุคคลเป็นประจำทุกปี

4. สถาปัตยกรรมความปลอดภัยเครือข่าย

Botpress ใช้มาตรการควบคุมการเข้าถึงเครือข่ายที่มีประสิทธิภาพกับระบบทั้งหมดที่ใช้ในการสร้าง ส่ง หรือประมวลผลข้อมูลส่วนบุคคล โดยมาตรการดังกล่าวรวมถึงแต่ไม่จำกัดเพียง:

• ไฟร์วอลล์จะทำงานตลอดเวลาและติดตั้งอยู่ที่ขอบเขตเครือข่ายระหว่างเครือข่ายภายใน (ส่วนตัว) ของ Botpress และเครือข่ายสาธารณะ(อินเตอร์เน็ต)
• มีการใช้ระบบตรวจจับและป้องกันการบุกรุกที่กำหนดค่าและตรวจสอบอย่างถูกต้อง Botpress เครือข่าย
• เฉพาะบริการ/กระบวนการและพอร์ตที่จำเป็นต่อการดำเนินการโปรแกรมตามปกติเท่านั้นที่เปิดใช้งานบนฐานข้อมูลและระบบข้อมูลอื่นๆ ที่ใช้สำหรับประมวลผลข้อมูลส่วนบุคคล บริการ/กระบวนการอื่นๆ ทั้งหมดในโฮสต์จะถูกปิดใช้งาน
• ระบบสารสนเทศ คลังข้อมูล และระบบอื่น ๆ ทั้งหมดที่ใช้ในการประมวลผลข้อมูลส่วนบุคคลจะต้องตั้งอยู่ในสภาพแวดล้อมศูนย์ข้อมูลที่ได้รับการควบคุมและใช้เพื่อจุดประสงค์ในการปกป้องระบบสารสนเทศ
• ● ต้องใช้ช่องทางที่ปลอดภัย (เช่น TLS, SFTP, SSH, IPSEC เป็นต้น) อย่างสม่ำเสมอเพื่อการสื่อสาร Botpress ศูนย์ข้อมูล

5. การควบคุมการจัดการความเสี่ยง

Botpress ใช้การควบคุมการจัดการความเสี่ยงที่มีประสิทธิภาพกับระบบทั้งหมดที่ใช้ในการสร้าง ส่ง หรือประมวลผลข้อมูลส่วนบุคคล โดยมาตรการดังกล่าวรวมถึงแต่ไม่จำกัดเพียง:

• การใช้งานอุปกรณ์ป้องกันและตรวจจับเครือข่ายเพื่อช่วยกรองอีเมลฟิชชิ่งและมัลแวร์ก่อนที่จะถึงเวิร์กสเตชันที่จัดการโดย Botpress และมีการเข้าถึงข้อมูลส่วนบุคคลโดยตรงหรือโดยอ้อม
• การปรับใช้ซอฟต์แวร์ป้องกันและตรวจจับไวรัสและมัลแวร์บนเวิร์กสเตชันทั้งหมดที่จัดการโดย Botpress และการประมวลผลข้อมูลส่วนบุคคล
• รักษากระบวนการจัดการแพตช์มาตรฐานและแนวทางปฏิบัติเพื่อให้แน่ใจว่ามีการป้องกันอุปกรณ์ทั้งหมดที่ใช้ในการเข้าถึง ประมวลผล หรือจัดเก็บข้อมูลส่วนบุคคล

• อุปกรณ์และเอกสารที่มีข้อมูลส่วนบุคคลจะต้องสามารถระบุข้อมูลที่เข้าถึงได้ ต้องมีการทำรายการและเข้าถึงได้เฉพาะโดยผู้ใช้ที่ได้รับอนุญาตให้เข้าถึงข้อมูลตามเอกสารความปลอดภัยเท่านั้น
• มาตรการป้องกันการโจรกรรม สูญหาย หรือการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาตระหว่างการส่งและการโอนข้อมูล

6. การสำรองข้อมูล การกู้คืน และความพร้อมใช้งานของข้อมูล

Botpress ดำเนินการตามแผนการกู้คืนภัยพิบัติและความต่อเนื่องทางธุรกิจต่อไปนี้เพื่อลดระยะเวลาหยุดทำงานและสูญเสียข้อมูลให้เหลือน้อยที่สุด

• Botpress ดำเนินการตามฟังก์ชั่นการกู้คืนระบบหลังจากภัยพิบัติที่ออกแบบมาเพื่อคืนการทำงานของระบบที่มีข้อมูลส่วนบุคคลภายในระยะเวลาที่ตกลงกันโดยคู่สัญญาหรือหากทำไม่ได้ภายในระยะเวลาอันสมเหตุสมผลโดยพิจารณาจากลักษณะของข้อมูลส่วนบุคคล
• Botpress จะต้องทำให้แน่ใจอย่างเป็นระบบว่าข้อมูลส่วนบุคคลจะไม่สามารถเข้าถึงได้นอกเหนือจากที่ได้รับอนุญาต Botpress บุคลากร (เช่น การสำรองข้อมูลภายนอกจะต้องได้รับการเข้ารหัสอย่างเป็นระบบ)
• เพื่อลดความเสี่ยงจากภัยคุกคามสิ่งแวดล้อม อันตรายและโอกาสการเข้าถึงโดยไม่ได้รับอนุญาต อุปกรณ์จะต้องตั้งอยู่ห่างจากสถานที่ที่มีโอกาสเกิดความเสี่ยงต่อสิ่งแวดล้อมสูง และเสริมด้วยอุปกรณ์สำรองที่ตั้งอยู่ในระยะห่างที่เหมาะสม
• จะต้องมีการนำกลไกความปลอดภัยและความซ้ำซ้อนมาใช้เพื่อป้องกันอุปกรณ์จากการหยุดให้บริการสาธารณูปโภค (เช่น ไฟฟ้าดับ เครือข่ายหยุดชะงัก ฯลฯ)
• จะต้องกำหนดนโยบายและขั้นตอนสำหรับการเก็บรักษาและจัดเก็บข้อมูล และจะต้องใช้กลไกการสำรองข้อมูลหรือความซ้ำซ้อนเพื่อให้มั่นใจว่าเป็นไปตามข้อกำหนดด้านกฎระเบียบ กฎหมาย สัญญา หรือธุรกิจ การทดสอบการกู้คืนข้อมูลสำรองบนดิสก์หรือเทปจะต้องดำเนินการตามช่วงเวลาที่วางแผนไว้

7. การตรวจสอบความปลอดภัย

Botpress ใช้การควบคุมบนระบบทั้งหมดที่ใช้ในการสร้าง ส่ง หรือประมวลผลข้อมูลส่วนบุคคล โดยการควบคุมดังกล่าวรวมถึงแต่ไม่จำกัดเพียง:

• การสแกนช่องโหว่ของบุคคลที่สามหรือการตรวจสอบอุปกรณ์โครงสร้างพื้นฐานที่เผยแพร่ภายนอก (สาธารณะ) ที่มีข้อมูลส่วนบุคคล
• การทดสอบการเจาะของบุคคลที่สาม Botpress ระบบที่จัดเก็บและประมวลผลข้อมูลส่วนบุคคล
• การประเมินบุคคลที่สามเป็นระยะซึ่งแอปพลิเคชันหรือกระบวนการสนับสนุนข้อมูลทางการเงิน
• Botpress ดำเนินการจัดการกับช่องโหว่ทั้งหมดที่ระบุอันเป็นผลจากการทดสอบการเจาะระบบ และแจ้งให้ลูกค้าทราบถึงการดำเนินการแก้ไข

8. การฝึกอบรมและการสร้างความตระหนักรู้

Botpress ดำเนินการตามโปรแกรมการตระหนักรู้ด้านความปลอดภัยสำหรับพนักงานและผู้ให้บริการที่โต้ตอบกับระบบที่จัดการข้อมูลส่วนบุคคล รวมถึง:

• Botpress จะต้องให้แน่ใจว่าพนักงานของตนมีความเข้าใจเกี่ยวกับภัยคุกคามการจัดการความเสี่ยงด้านข้อมูลและความกังวลที่เกี่ยวข้องกับ Botpress การบริการและนโยบายการบริหารความเสี่ยงของข้อมูลที่เกี่ยวข้อง
• Botpress เจ้าหน้าที่จะต้องได้รับการฝึกอบรมและการอัปเดตเป็นประจำเกี่ยวกับนโยบายและขั้นตอนการจัดการความเสี่ยงข้อมูลที่เกี่ยวข้องของแผนการจำแนกความเสี่ยงมาตรฐานและขั้นตอนที่เหมาะสม
• เจ้าหน้าที่ผู้รับเหมาช่วงจะต้องได้รับการแจ้งให้ทราบ Botpress แผนการจำแนกประเภทการจัดการความเสี่ยงด้านข้อมูลและขั้นตอนที่เหมาะสม
• จะต้องกำหนดนโยบายและขั้นตอนในการล้างเอกสารที่มองเห็นได้ซึ่งมีข้อมูลละเอียดอ่อนเมื่อไม่มีคนดูแลพื้นที่ทำงาน และการบังคับใช้การออกจากระบบจากเซสชันเวิร์กสเตชันในช่วงระยะเวลาที่ไม่มีการใช้งาน

ตารางที่ 3 – ผู้ประมวลผลย่อย เว้นแต่จะระบุไว้เป็นอย่างอื่น ตำแหน่งของการประมวลผลคือ: สหรัฐอเมริกา

บริการเว็บอเมซอน

• AWS โฮสต์บริการคลาวด์และข้อมูลลูกค้าทั้งหมดของเรา
• AWS ประมวลผลข้อมูลวิเคราะห์เกี่ยวกับการใช้งาน Botpress บริการคลาวด์

Google Analytics

• Google Analytics ประมวลผลข้อมูลวิเคราะห์เกี่ยวกับการใช้งาน Botpress บริการคลาวด์

เฟรชเดสก์

• Freshdesk มีบริการช่วยเหลือ
• Freshdesk ประมวลผลข้อมูลทั้งหมดที่ผู้ใช้ให้มาเพื่อวัตถุประสงค์ด้านการสนับสนุนด้านเทคนิค

ฮอทจาร์

• เราใช้บริการ Hotjar บนบริการ
• Hotjar ให้ข้อมูลเกี่ยวกับพฤติกรรมของผู้เยี่ยมชมบริการ

OpenAI

• OpenAI ใช้ในการประมวลผลข้อความอินพุตของผู้ใช้เพื่อสร้างข้อความตอบกลับ

มิกซ์พาเนล

• Mixpanel ใช้ในการรวบรวมข้อมูลวิเคราะห์การใช้งานผลิตภัณฑ์และเว็บไซต์ ซึ่งใช้เพื่อปรับปรุงบริการ

Intercom

• Intercom ใช้เพื่อให้การสนับสนุนสดแก่ผู้เยี่ยมชมบริการและเว็บไซต์