データ処理に関する補遺

サマリー

最近のアップデート:2025年7月16日

このデータ処理補遺(「DPA」)は、お客様によるネトラダインの製品およびサービスの使用を規定する個人または団体(「お客様」)とNetradyneとの間の契約を補完し、それらに組み込まれます。その使用が(i)Netradyneとの直接の契約に基づく場合、(ii)再販業者を通じて行われる場合、または(iii)そのような使用を許可するその他の利用規約または契約に基づくものであるかどうかにかかわらず、(まとめて)、「契約」)。お客様が再販業者を通じて製品およびサービスにアクセスする場合、お客様による本DPAの承諾は、電子的手段、製品のアクティベーション、または製品およびサービスの継続的な使用を通じて行われる場合があります。本DPAは、お客様(本契約に基づいて製品およびサービスを使用するすべての関連会社)とNetradyne(それぞれ「当事者」、総称して「当事者」)との間の契約です。

1。定義

本補遺では、以下の用語の意味は以下のとおりです。

1.1。 「お客様の個人データ」とは、お客様がNetradyneに提供または提供し、本契約に従ってNetradyneがお客様に代わって処理する、顧客データに含まれるデータ保護法の対象となる個人データを意味します。

1.2。 「データ保護法」とは、該当する場合、(i)EU一般データ保護規則(EU 2016/679)(以下「EU GDPR」)、2018年の英国欧州連合(撤退)法(以下「英国GDPR」)によりイングランドおよびウェールズ、スコットランド、北アイルランドの法律に組み込まれたもの(「EU GDPR」)、(ii)データ保護に関するスイス連邦法(「FADP」)、(iii)ユナイテッドを意味します。2020年のカリフォルニア州プライバシー権法により改正された2018年のカリフォルニア州消費者プライバシー法を含むがこれらに限定されない、州、連邦および/または州のデータ保護またはプライバシー法(およびその)施行規則(「CPRA」)、(iv)2018年7月30日のベルギーデータ保護法(以下「BDPA」)および/または(v)欧州経済領域または英国のその他の適用可能な国内法(EU GDPRまたはUK GDPR(該当する場合)、および/または任意の国で適用されるデータプライバシー法および/または適用されるデータ保護法。いずれの場合も、随時改正、置き換えられる、または置き換えられる可能性があります。時間に。

1.3。 「管理者」とは、個人データを処理する手段と目的を決定する事業体を意味します。

1.4。 「データ主体」とは、個人データの主体である個人を意味します。

1.5。 「EU SCC」とは、欧州議会および欧州理事会の規則(EU)2016/679に基づく第三国への個人データの移転に関する標準契約条項に関する2021年6月4日の欧州委員会実施決定2021/914に付属する標準契約条項を意味します。

1.6。 「個人データ」とは、「個人データ」、「個人情報」、「個人を特定できる情報」、またはデータ保護法に基づく類似の用語を意味し、これらの用語はデータ保護法で定義されています。

1.7。 「個人データ侵害」とは、データ保護法により、(i) Netradyneがお客様に報告すること、または (ii) お客様が監督当局または影響を受ける個人に報告すること、または記録を保持することが義務付けられているセキュリティ違反のうち、本補遺の対象となる個人データに関連するものを指します。

1.8。 「処理」とは、個人データまたは個人データのセットに対して実行されるすべての操作または一連の操作を意味します。

1.9。 「処理者」とは、管理者に代わって個人データを処理する事業体を意味します。

1.10。 「監督機関」とは、データ保護法の管理、遵守の監督、および/または施行を担当する政府または規制当局を意味します。

1.11。 本書で特に定義されていない大文字の用語は、本契約で指定された意味を持ちます。

2。本DPAの適用

本DPAは、Netradyneが本契約に基づいて製品およびサービスを提供する過程で、処理者(またはサブプロセッサー)として、またCPRAに関しては「サービスプロバイダー」または「請負業者」として、お客様に代わってお客様の個人データを処理する場合に限り適用されます。

本契約と本DPAの条件の間に矛盾がある場合は、本DPAの条件が優先されます。本DPAの条件とSCCまたは英国補遺との間に矛盾が生じた場合、その範囲では、SCCまたは英国補遺(該当する場合)が当該矛盾の範囲で優先されます。本契約で明示的に修正された場合を除き、本契約の条項は引き続き完全に効力を有します。

3。処理の役割と範囲

3.1。 締約国の役割

当事者間では、Netradyneはお客様の個人データの処理者(またはサブプロセッサー、サービスプロバイダー、または請負業者)として機能します。

3.2。 お客様への指示

3.2.1。 Netradyneは、本契約、本DPA、および/またはお客様の文書化された指示書に具体的に定められているように、またはNetradyneが対象となる適用法(以下「お客様指示」)で別途要求されるように、お客様の個人データを処理します。適用法により、お客様の指示に従わない方法でお客様の個人データを処理することがNetradyneに義務付けられている場合、Netradyneは、適用法で認められる範囲で、当該処理の前にその法的要件をお客様に通知します。ただし、その法律が公共の利益の重要な理由でそのような情報を禁止している場合を除きます。

3.2.2。 Netradyneは、お客様の指示が適用法に違反しているとNetradyneが判断した場合、またはNetradyneが適用法に基づく義務を果たせなくなったと判断した場合、速やかにお客様に通知します。Netradyneは、当該顧客指示の履行を一時停止する権利を有するものとします。

3.2.3。 お客様は、Netradyneが適用法または規制に違反することのないよう、お客様の指示に従うものとします。

4。Netradyne 員

4.1。 Netradyneは、個人データにアクセスできる従業員、代理人、請負業者、その他の職員が、(a) 本サービスの提供に厳密に必要な範囲でのみアクセスすること、および (b) 本契約に定められている保護に劣らない適切な拘束力のある機密保持義務に拘束されることを保証するものとします。

5。[セキュリティ]

5.1。 Netradyneは、お客様の個人データを保護するために設計された適切な技術的および組織的なセキュリティ対策を実施し、維持します。Netradyne は、別表IIに含まれる措置を実施するものとする。Netradyneは、変更によってお客様の個人データの全体的なセキュリティが実質的に損なわれない限り、そのような措置を随時変更することがあります。

6。サブプロセッシング

6.1。 これにより、お客様はNetradyneの関連会社および別表3に記載されている他の第三者にサブプロセッサ(それぞれ「サブプロセッサ」)になる一般的な許可を与えます。Netradyneは、製品およびサービスを提供する目的で、お客様の個人データをサブプロセッサーに開示することがあります。ただし、Netradyneのサブプロセッサーは、本DPAに定められているものと同じくらい負担の大きい拘束力のあるデータ保護義務を負うことを条件とします。

6.2。 お客様は、Netradyneから随時通知されたサブプロセッサーの変更について、当該通知から30暦日以内に異議を申し立てる権利を有するものとします。お客様が当該期間内に当該変更に異議を唱えない場合、お客様はその変更に同意したものとみなされます。このような異議申し立ての非常に重要な理由が存在し、Netradyneに書面で通知され、両当事者がこの問題を友好的に解決できない場合(各当事者は合理的かつ誠実に行動する)、お客様は、製品およびサービスの影響を受ける特徴または機能のみに関連して、該当する注文書を解約することができます。

6.3。 Netradyneは、データ保護法で義務付けられている範囲で、その作為または不作為がNetradyneが行った場合と同じ範囲で、サブプロセッサーの作為または不作為に対して引き続き責任を負い、義務の再履行または再履行を調達することが許可されるものとします。お客様は、このような再履行により、サブプロセッサーの責任に関してお客様がNetradyneに対して提起するいかなる請求も減ることを認め、受け入れるものとします。

7。データ主体の要求

7.1。 Netradyneは、データ主体から権利行使の要求(データ主体の要求)を受けた場合、お客様に通知し、支援するものとします。ただし、Netradyneは、データ主体から提供された情報から、そのような要求がお客様またはお客様の個人データに関連していることを合理的に特定できる場合に限ります。Netradyneは、適用法で義務付けられている場合を除き、そのような要求には応じないものとします。Netradyneは、その時点で適用されているNetradyneのサービス料金に基づいて、本セクションに従って提供された支援の結果として発生した実際の費用をお客様に負担させる場合があります。

7.2。 誤解を避けるために記すと、データ主体の要求に対応する責任はお客様にあります。Netradyneの製品およびサービスには、お客様がデータ主体の要求に対応するのを支援するために設計された技術的および組織的な対策が含まれています。

8。第三者からの要求

Netradyne は次のことを行うものとします。

(a) 法的に禁止されている場合を除き、Netradyneが本契約に関連して処理する個人データに関連して、監督当局、規制当局、法執行機関、または信用調査機関からの情報提供の要請または苦情があった場合は、遅滞なく(いかなる場合も72時間以内に)速やかにお客様に通知してください。

(b) お客様から要請があった場合は、当該要請に対する回答の準備について協議し、協力してください。

(c) 法的に強制されない限り、お客様の事前の書面による同意なしにそのような要求に応答しないでください。

法的に禁止されている場合を除き、Netradyneは、個人データ侵害に関して第三者に通知または開示する前に、まずお客様に通知し、お客様の事前の書面による同意を得るものとします。

9。個人データ侵害

9.1。 Netradyneは、お客様の個人データに影響を及ぼす個人データ侵害に気づいた場合、遅滞なくお客様に通知します。誤解を避けるために記すと、個人データ侵害には、(i) Netradyneまたはそのサブプロセッサーに直接起因しない作為または不作為、または (ii) お客様の指示と一致するお客様の個人データへのアクセスまたは処理は含まれないものとします。お客様の要請に応じて、Netradyneは、お客様が個人データ侵害に関して適用されるデータ保護法に基づく該当する通知義務を履行できるよう支援するために、合理的な支援と協力を提供します。Netradyneによる個人データ侵害の通知または対応は、Netradyneまたは(該当する場合)そのサブプロセッサーが製品およびサービスのパフォーマンスに関する何らかの過失または責任を認めたものと解釈されないものとします。Netradyneは、その時点で適用されているNetradyneのサービス料金に基づいて、本セクションに従って提供された支援の結果として発生した実際の費用をお客様に負担させる場合があります。

10。データ保護影響評価と事前相談

10.1。 お客様の要求に応じて、Netradyneは、データ保護法で義務付けられているデータ保護影響評価および監督当局との事前協議において、お客様に合理的な支援を提供します。いずれの場合も、本契約に基づくNetradyneによるお客様の個人データの処理に関するものに限定し、処理の性質およびNetradyneが入手できる情報を考慮に入れた場合に限ります。Netradyneは、適用法で認められる範囲で、そのような支援要請に対して妥当な料金を請求する権利を留保します。

11。監査権

11.1。 書面による要求に応じて、お客様に追加費用なしで、Netradyneは、お客様および/または適切な資格を有する第三者代理人(総称して「監査人」)に、Netradyneが本DPAに基づく義務を遵守していることを証明する文書を、関連する監査または認証の報告書(ISO 27001または記入済みの業界標準アンケート(総称して「報告書」といいます)の形で入手できるようにするものとします。このような報告は、本契約の秘密保持条項に基づくNetradyneの機密情報となります。お客様は、データ保護法、本DPA、および/または契約に関連して、お客様による、またはお客様に代わって行われる監査または検査の要求を満たすためにレポートが使用されることに同意します。

11.2。 監査人が第三者である場合、監査人は、報告書の審査またはネトラダインの監査の前に、ネトラダインと別途秘密保持契約を締結するよう求められる場合があります。Netradyneは、監査人が適切な資格を持っていないか、Netradyneの競争相手であるとNetradyneが合理的に判断した場合、当該監査人に書面で異議を申し立てることができます。Netradyneがこのような異議を申し立てた場合、お客様は別の監査人を任命するか、監査自体を実施する必要があります。報告書の審査または監査に関連して監査人が負担する費用は、監査人が独占的に負担するものとします。

11.3。 レポートが入手できない場合、お客様は、Netradyneの検証を目的として、30日前に書面で通知し、1暦年に1回まで、自己の費用で、対象範囲、日付、期間、監査人、およびセキュリティおよび/または機密保持管理について相互に合意した上でレビューを行うよう要請することができます。はこのDPAに準拠しています。この審査は、Netradyneの他の顧客に対するNetradyneの守秘義務を損なわない方法で行われます。両当事者は、Netradyneの方針と手続き、およびお客様のレビューの結果はすべて、本契約の機密保持条項に基づくNetradyneの機密情報であることを認め、同意します。

11.4。 データ保護法で義務付けられている範囲で、お客様は、Netradyneへの書面による通知により、本契約に違反するお客様の個人データの使用を停止および是正するための合理的かつ適切な措置を講じる権利を有します。

12。データ転送

12.1。 Netradyneは、本DPAに従い、製品およびサービスを提供するために合理的に必要な場合、お客様の個人データを任意の国または地域に転送することができます。かかる転送が、欧州連合、英国、スイスに適用されるデータ保護法によって保護されているお客様の個人データを含む場合、Netradyneとお客様は、以下に定める転送メカニズムに従ってお客様の個人データを遵守し、処理することに同意します。

12.1.1。 Netradyneが、データ保護法により適切なレベルの個人データ保護を提供していると認められていない欧州経済領域(EEA)以外の国において、EU GDPRによって保護されているお客様の個人データ(「EUデータ」)を、データ処理者の立場から受け取る場合、お客様(「データ輸出者」)とNetradyne(「データ輸入者」)はEUを遵守し処理することに同意します。EU SCCに準拠したデータ。これらのデータは、以下のように本DPAに組み込まれ、本DPAの一部を構成するとみなされます。

  • モジュール2が適用されます。
  • 第7条では、オプションのドッキング条項は適用されません。
  • 第9条ではオプション2が適用され、サブプロセッサーの変更を事前に通知する期間は、本DPAのセクション6.2に定めるとおりとします。
  • 第11条では、オプション言語は適用されません。
  • 第13条 (a) では、第1項が適用されるものとします。
  • 第17条では、オプションIが適用され、EU SCCはオランダの法律に準拠します。
  • 第18条 (b) 項では、紛争はオランダの裁判所で解決されるものとします。
  • EU SCCの附属書Iは、本DPAのスケジュール1に定める情報で完成したものと見なされるものとする。
  • 本DPAの第5条1項に従い、EU SCCの附属書IIは、本DPAのスケジュール2に記載されている情報で完成したものと見なされるものとします。
  • SCCの附属書III(サブプロセッサーのリスト)は、本DPAのスケジュール3に記載されている情報で完成したものとみなされます。

12.1.2。 Netradyneが、データ保護法により適切なレベルの個人データ保護を提供していると認められていないスイス国外の国で、Swiss DPAによって保護されているお客様の個人データ(「スイスデータ」)の受領者である限り、お客様(「データ輸出者」)およびNetradyne(「データ輸入者」)は、スイスデータをEU SCCに従って遵守し、処理することに同意します。EU SCCは法人と見なされるものとします。上記のセクション12.1.1および以下のセクションの修正に従って、本DPAの一部となり、本DPAの一部を形成します。

12.1.3。 Netradyneが、英国以外の国の英国データ保護法によって保護されているお客様の個人データ(「英国データ」)の受領者であり、英国では個人データに対する適切なレベルの保護を提供していると認められていない場合、お客様(「データ輸出者」として)およびNetradyne(「データ輸入者」)は、以下に従って実施されるEU SCCに従って英国データを遵守し、処理することに同意します。上記のセクション12.1.1および以下のセクションの変更。本DPAに従って実施されたEU SCCが、英国のデータ保護法に従ってお客様の個人データをNetradyneに合法的に転送するために使用できない限り、英国のSCCは本DPAに組み込まれ、その一部を形成するとみなされ、英国GDPRが適用される移転に適用されるものとします。英国のSCCの目的上、関連する附属書、付録、または表には、本DPAのスケジュール1および2に記載されている情報が記載されているものとみなされます。

12.1.4。 英国データまたはスイスデータの転送に関しては、上記の第12.1.1条に基づいて実施されたEU SCCは、以下の変更を加えて適用されます(英国情報コミッショナーオフィスまたはスイス連邦データ保護コミッショナーのガイダンスに従って随時変更されます)。

12.1.4.1。 「規則(EU)2016/679」への言及は、英国のデータ保護法またはスイスのDPA(該当する場合)への言及として解釈されるものとします。

12.1.4.2。 「規則(EU)2016/679」の特定の条項への言及は、英国のデータ保護法またはスイスのDPA(該当する場合)の同等の条項またはセクションに置き換えられるものとします。

12.1.4.3。 「EU」、「連合」、「加盟国」および「加盟国法」への言及は、「英国」または「スイス」、または「英国法」または「スイス法」(該当する場合)への言及に置き換えられるものとします。

12.1.4.4。 「加盟国」という用語は、英国またはスイスのデータ主体が常居所地(つまり、英国またはスイス)での権利を求めて訴訟を起こす可能性から除外するような解釈をしてはなりません。

12.1.4.5。 EU SCCの第13 (a) 条および附属書IのパートCは使用されておらず、「管轄監督機関」は英国情報委員会またはスイス連邦データ保護情報コミッショナー(該当する場合)です。

12.1.4.6。 「管轄監督機関」および「管轄裁判所」への言及は、「情報コミッショナー」および「イングランドおよびウェールズの裁判所」または「スイス連邦データ保護情報コミッショナー」および「スイスの適用裁判所」(該当する場合)への言及に置き換えられるものとします。

12.1.4.7。 第17条では、EU SCCはイングランド、ウェールズ、またはスイス(該当する場合)の法律に準拠するものとします。

12.1.4.8。 英国のデータ保護法が適用される移転については、第18条に「本条項から生じる紛争は、イングランドおよびウェールズの裁判所によって解決されるものとします。データ主体は、英国のどの国の裁判所でも、データ輸出者および/またはデータ輸入者に対して法的手続きを提起することができます。両当事者は、当該裁判所の管轄に服することに同意します。」また、スイスDPAが適用される譲渡に関しては、第18条 (b) 項には、紛争はスイスの該当する裁判所で解決されるものと記載されているものとします。

12.2。 Netradyneは、お客様の個人データを欧州連合、スイス、または英国以外のサブプロセッサーに転送することがあります。ただし、Netradyneが合法的なデータ転送を保証するための措置を講じる場合に限ります。これらの措置により、Netradyneは(a)第三者による標準契約条項の履行を保証すること、または(b)(データ保護法で認められているとおり)その他の合法的なデータ転送メカニズムを採用する必要がある場合があります。

12.3。 適用されるデータ保護法に基づき、ある法域から別の法域への個人データの合法的な移転には、個人データの移転に利用される移転メカニズムに頼ることができない場合、両当事者は速やかに会合を開き、合理的に可能な限り早く、データの合法的な移転を可能にするための代替移転メカニズムまたは代替補足措置について話し合い、合意します。

13。お客様の個人データの取得と削除

13.1。 お客様は、データ保持および削除ポリシーが本契約に定められた条件に従うことに同意します。Netradyneは、お客様の個人データを削除する要求を受けた場合、要求に応じてすべての個人データを速やかに削除するか、お客様に返却するものとします。お客様がNetradyneに別段の通知をしない限り、本契約の終了時に、Netradyneは30日以内にすべての個人データを削除するものとします。上記にかかわらず、Netradyneは、データ保護法で別段の定めがある範囲でのみ個人データを保持することができます。

13.2。 適用されるデータ保護法で認められる範囲で、Netradyneは、匿名化または匿名化された形式で情報を維持および使用し、そのような情報を再特定しようとしないというNetradyneの公約に従うことを条件として、お客様の個人データを匿名化または匿名化し、その後の保持および使用のために匿名化することがあります。疑義を避けるため、また適用されるデータ保護法で認められる範囲で、かかるお客様の個人データの匿名化または匿名化は、本契約、本DPAおよび該当するデータ保護法に基づくNetradyneのデータ削除義務を果たすものとみなされます。

14。責任

14.1。本DPAに基づいて提起された請求(標準契約条項に基づくものを含む)は、本契約に定められた責任の除外および制限を含むがこれらに限定されない契約条件に従うものとします。

15。カリフォルニア州固有の追加規定

15.1。 お客様の個人データがカリフォルニア州の居住者に関連する範囲で、Netradyneは、法律で認められている場合、または本契約に定められているとおり、製品およびサービスの提供とサポートに必要な場合を除き、お客様の個人データを保持、使用、販売、共有、またはその他の方法で開示することはありません(当事者間の直接的なビジネス関係以外の商業目的またはその他の目的を含む)。

15.2。 お客様の個人データがカリフォルニア州の居住者に関連する範囲で、Netradyneは、Netradyneがお客様から、またはお客様に代わって受領したお客様の個人データと、Netradyneが別の個人または個人から、またはその代理として受け取った個人データ、またはNetradyneとデータ主体とのやり取りから収集する個人データを組み合わせる際に、CPRAに基づく該当する制限を遵守します。

15.3。 お客様の個人データがカリフォルニア州の居住者に関するものである限り、NetradyneはCPRAを遵守し、処理におけるNetradyneの役割を考慮して、CPRAが要求する関連する顧客個人データの保護レベルを提供します。

16。データ保護法の変更

16.1。 新しいデータ保護法が施行され、Netradyneに適用される場合、Netradyneとお客様は、当事者が適用法に基づく義務を遵守し、NetradyneがNetradyneに適用されるすべてのデータ保護法を確実に遵守できるようにするために、当該データ保護法で要求されるすべての合理的な措置を講じるものとします。

17。準拠法と管轄

17.1。 標準契約条項または適用されるデータ保護法で別段の定めがある場合を除き、本DPAおよび本DPAまたはその対象事項または成立に起因または関連して生じる紛争または請求は、抵触法の原則にかかわらず、カリフォルニア州の法律に準拠し、それに従って解釈されるものとします。誤解を避けるために記すと、標準契約条項が適用される場合、標準契約条項は法律に準拠し、そこに明記された管轄権に従うものとします。

スケジュール 1

処理/転送の説明

アイテム

[詳細]

データエクスポーター

お客様はデータエクスポーター

データインポーター

Netradyne 株式会社
1971 タウンセンタードライブ、スイート 110
カリフォルニア州サンディエゴ92122

連絡先詳細:
privacy@netradyne.com
dpo@netradyne.com
legal@netradyne.com 

転送/処理の説明

アイテム

[詳細]

データ主体:

お客様の従業員または独立契約者、お客様のサービスプロバイダー(車両を運転する者を含む)(「ドライバー」)。一般市民または通行人。

個人データのカテゴリー:

処理される個人データには以下が含まれます。

  • 名前、ユーザーID、住所、連絡先、写真、電子メール ID、運転免許証番号、会社名などの識別子
  • テレマティクスとアナリティクス/関連メタデータ(車速、急ブレーキ、Gフォース、記録日時、シートベルト、注意散漫など)
  • GPS ロケーションデータ
  • ビデオ、画像録画
  • GreenZone ンドライバースコア
  • 刑事犯罪データ(ビデオ録画に付随的に取り込まれた範囲)

個人データの特別カテゴリー:

該当なし

処理の性質、目的、頻度:

Netradyneは、本契約に従い、かつ、その他の方法で許可されている範囲で、また法律によって強制される開示のために、製品およびサービスを顧客に提供するために必要な限り、お客様の個人データを処理します。

所要時間:

事業目的の遂行に必要な限り、または本契約に定められ、本DPAの第13条の適用対象となる限り。

承認されたサブプロセッサー (存在する場合):

スケジュール3に記載のとおり

承認された転送メカニズム:

標準契約条項:DPAの第12条を参照

所管官庁:

データ保護法に従って決定されます。

スケジュール 2

データのセキュリティを確保するための技術的および組織的措置を含む技術的および組織的対策

Netradyneは、サービスおよびお客様の個人データの機密性、可用性、および完全性を保護するために、合理的な物理的、管理的、および技術的統制を開発、実施、および維持するものとします(「セキュリティ対策」)。セキュリティ対策は、少なくとも、適用されるデータ保護法に準拠している必要があります。Netradyneは、最先端技術、実施コスト、処理の性質、範囲、状況および目的、ならびに自然人の法的に保護される利益に対する可能性と重大度が異なるリスクを考慮して、個人データを処理する際のリスクに適したレベルのセキュリティを確保するために必要な技術的および組織的措置(「安全対策」)を実施するものとします。

Netradyne は、業界で認められているベストプラクティス(国際標準化機構の規格ISO 27001および27002を含む)に沿った安全対策を維持します。Netradyneの情報セキュリティプログラムには、少なくとも以下の保護手段と管理が含まれます。

アイテム

[詳細]

個人データの仮名化と暗号化の対策

Netradyneは顧客データを保護するために暗号化技術を採用しています。

  • Driver.i デバイスに保存されたデータは、AES 256 アルゴリズムを使用して暗号化されます。
  • アマゾンウェブサービス (AWS) S3 クラウドストレージに保存されたデータは、AES-256 SSE 暗号化を使用して暗号化されます。
  • パスワードは、PBKDF2WithHmacsha512アルゴリズムを使用してソルト処理およびハッシュされます。
  • 転送中のデータは、トランスポート層セキュリティ (TLS) プロトコルバージョン 1.2 以降を使用して保護されます。

処理システムおよびサービスの継続的な機密性、完全性、可用性および回復力を確保するための措置。

Netradyneは、顧客情報へのアクセスを制限するために厳格なアクセス制御を実施しています。アクセス制御には、管理者権限の使用制限、アカウントとパスワード管理ポリシーの実装、サーバーと本番システムの多要素認証(MFA)が含まれます。

Netradyneは、セキュリティ上の脅威を特定、評価、軽減、保護するために、ネットワークセキュリティ管理、脆弱性評価、パッチ管理、および定期的な監視手順を実施しています。重大度パッチは、直ちに、または 5 日以内にレビュー、評価、および展開される予定です。重要度の高いパッチもレビューされ、直ちに、または 30 日以内に展開されます。

重要度が「中」および「低」のパッチは、内部監査プロセスの一環としてレビューされ、関連性と重要度にもよりますが、通常は3〜12か月以内に導入されます。

Netradyneファイアウォール機能のディープパケットインスペクションにより、悪意のあるトラフィックをブロックできます。パフォーマンス、セキュリティ、および適切な動作について、24時間365日監視されています。

データ分離。Netradyneは、顧客データをNetradyneの内部データまたは第三者データから論理的に分離するための対策を実施しています。

物理的セキュリティ。Netradyneは、施設への物理的なアクセスを監視および制御するために、物理的なセキュリティ管理(アクセスカード、CCTV監視、セキュリティガード)を導入しています。

Netradyneは、プラットフォームとサービスの可用性と回復力を確認するために、パフォーマンステスト、定期的なデバイスヘルスモニタリング、およびデータのバックアップを実施しています。

物理的または技術的な問題が発生した場合に、個人データの可用性とアクセスを適時に回復できるようにするための措置。

NetradyneはすべてのデータをAWS クラウド(Elastic Block Storage-EBS)に保存します。このクラウドは、データの定期的なバックアップまたはデータの復元を可能にするように構成されています。Netradyneは、インシデントの封じ込めとデータの復元に必要な取り組みを調整するために、セキュリティインシデント対応チーム(SIRT)を配置しています。

処理のセキュリティを確保するために、技術的および組織的措置の有効性を定期的にテスト、評価、評価するためのプロセス。

Netradyneは、少なくとも年に1回、セキュリティとプライバシー管理の内部監査を実施しています。外部レビュー担当者による定期的な脆弱性スキャンとペネトレーションテストも実施されます。

ユーザーの識別と承認のための措置。

Netradyne はすべてのユーザーにユーザー ID を割り当てます。アクセス制御には、管理者権限の使用制限、アカウントとパスワード管理ポリシーの実装、サーバーと本番システムの多要素認証(MFA)が含まれます。

パスワードは、Netradyneのパスワードポリシーに概説されているパスワードの複雑さの要件を満たさなければなりません。

特権アカウント機能は、職務を遂行するためにこのレベルのアクセス権を必要とする限られた数のNetradyneスタッフに付与されます。

個人データが処理される場所の物理的安全を確保するための措置。

Netradyneの生産および開発データセンターは、技術的、管理的、および物理的なセキュリティ制御により、環境およびセキュリティの脅威から保護されています。高可用性を実現するために、冗長無停電電源装置、火災および煙の検知および抑制システム、冗長換気、空調などが含まれています。すべてのシステムは、頻繁かつ定期的な予防メンテナンスを受けます。

ネトラダインの企業施設はCCTVによって監視されています。警備員のチームが入り口と施設全体に配置されています。建物へのアクセスはセキュリティキーカードで管理されています。

イベントロギングを確実にするための対策。

Netradyne システムは、業界標準のロギングメカニズムを使用して一元的に管理および監視されています。

Netradyne アプリケーションは、ユーザーセッションの詳細とユーザーが実行したアクションを記録するように設定されています。また、ユーザーアカウントでの操作などの管理イベントも記録されます。ユーザーアカウントの作成または非アクティブ化、アカウントのロックアウトまたは期限切れ、パスワードの変更、ユーザーロールの割り当てまたは削除、グループへのユーザーの追加またはグループからの削除などの管理イベントも記録されます。

デフォルト構成を含む、システム構成を保証するための対策。

Netradyneは、セキュリティ目標を達成するために、標準的なワークステーション構成ベースラインを確立しました。Netradyneのサーバーシステムは、パフォーマンス、安定性、スケーラビリティ、およびセキュリティを考慮して構成されています。Web サーバー、アプリケーションサーバー、データベースサーバーを含むすべてのサーバーシステムは、構成標準に基づいて構築されています。すべての SQL Server サービスは、Netradyne アプリケーションで使用されていないサービスをすべて無効にすることで強化されます。強化プロセスには次の目的が含まれます。

  • システムの機能に必要なサービス、プロトコル、デーモンなどのみを有効にします。
  • 安全でないと見なされる必要なサービス、プロトコル、またはデーモンに追加のセキュリティ機能を実装します。
  • 誤用を防ぐためにシステムセキュリティパラメータを設定します。

スクリプト、ドライバー、機能、サブシステム、ファイルシステム、不要な Web サーバーなど、不要な機能をすべて削除します。

社内のITおよびITセキュリティのガバナンスと管理のための措置。

Netradyneには専任のInfoSecチームがおり、ITセキュリティポリシーと手順を策定しています。これには、正式な変更管理プロセスとアクセプタブルユースポリシーが含まれます。

プロセスと製品の認証/保証のための措置。

Netradyneは、ISO 27001およびプライバシー・バイ・デザイン認証の一環として、独立したセキュリティ監査人にセキュリティとプライバシー管理の定期的な評価を依頼しています。

ISO 27001- https://gmsintercert.com/verify/single-cert-verify.php?cRegName=ISMS2020025

プライバシー・バイ・デザイン- https://msecb.com/certifications-granted

データ最小化を確保するための対策。

Netradyneが処理するデータ量を減らすために、さまざまなプライバシーモードとプライバシー設定を有効にすることができます。

Driver.i デバイスに記録されたビデオ映像のほとんどはデバイスに残り、デバイスのメモリがいっぱいになると上書きされます。

ビデオ映像は、イベントが検出された場合にのみNetradyneクラウドにアップロードされます。クラウドにアップロードされる映像は平均で 1% 未満です。

イベントタイプに応じて、関連するイベント映像(外部映像または車内映像)のみがクラウドにアップロードされます。

すべてのイベントについて、デバイスはイベントデータをクラウドにアップロードします。

限定的なデータ保持を確保するための措置。

デフォルトのデータ保持は、データエクスポーターにとって有用となる十分な期間データを保持することと、その有効期間を超えてデータを保持しないようにすることとのバランスを取るものです。データの保持および削除の要件は、本契約またはDPAに定められています。

説明責任を確保するための措置。

Netradyne は、EU GDPRに準拠するために講じられた措置の証拠を保管しています。Netradyneは、(i)データ保護ポリシーの採用と実施(適切な場合)、(ii)サービスプロバイダーとの書面による契約の締結、(iii)処理活動の文書の維持、(iv)適切なセキュリティ対策の実施、(v)個人データ侵害の記録および必要に応じて報告、(vi)結果となりそうな個人データの使用に関するデータ保護影響評価の実施など、適切な技術的および組織的措置を講じています。個人の利益に対するリスクが高い、および (vii) ロギングの実施および監視制御。

データポータビリティを可能にし、確実に消去するための措置。

Netradyneは、データ主体が指定された連絡先に連絡することで権利を行使することを許可しています。データ主体の要求に対応する主な責任はお客様にあります。Netradyneは、お客様がデータ主体の要求に対応できるよう支援します。

スケジュール 3

承認されたサブプロセッサーのリスト

管理者は、以下のサブプロセッサーの使用を許可しています。

サブプロセッサー

処理の目的

ロケーション

ネトラダイン・テクノロジー・インディア・プライベート・リミテッド(「Netradyne インディア」)

エンジニアリングとサポート

インド

Amazon Web Services (AWS)

データホスティング

米国

エランサー IT ソリューションズプライベートリミテッド

データラベリングサービス

インド

ゲインサイト株式会社

カスタマーサクセスプラットフォーム

米国

ミックスパネル株式会社

ユーザーアクティビティ/エクスペリエンス (データ分析)

米国

VVDN テクノロジー

デバイスの改修

インド