Data processing addendum
サマリー
最近のアップデート:2025年7月16日
このデータ処理補遺(「DPA」)は、お客様によるネトラダインの製品およびサービスの使用を規定する個人または団体(「お客様」)とNetradyneとの間の契約を補完し、それらに組み込まれます。その使用が(i)Netradyneとの直接の契約に基づく場合、(ii)再販業者を通じて行われる場合、または(iii)そのような使用を許可するその他の利用規約または契約に基づくものであるかどうかにかかわらず、(まとめて)、「契約」)。お客様が再販業者を通じて製品およびサービスにアクセスする場合、お客様による本DPAの承諾は、電子的手段、製品のアクティベーション、または製品およびサービスの継続的な使用を通じて行われる場合があります。本DPAは、お客様(本契約に基づいて製品およびサービスを使用するすべての関連会社)とNetradyne(それぞれ「当事者」、総称して「当事者」)との間の契約です。
1。定義
本補遺では、以下の用語の意味は以下のとおりです。
1.1。 「お客様の個人データ」とは、お客様がNetradyneに提供または提供し、本契約に従ってNetradyneがお客様に代わって処理する、顧客データに含まれるデータ保護法の対象となる個人データを意味します。
1.2。 「データ保護法」とは、該当する場合、(i)EU一般データ保護規則(EU 2016/679)(以下「EU GDPR」)、2018年の英国欧州連合(撤退)法(以下「英国GDPR」)によりイングランドおよびウェールズ、スコットランド、北アイルランドの法律に組み込まれたもの(「EU GDPR」)、(ii)データ保護に関するスイス連邦法(「FADP」)、(iii)ユナイテッドを意味します。2020年のカリフォルニア州プライバシー権法により改正された2018年のカリフォルニア州消費者プライバシー法を含むがこれらに限定されない、州、連邦および/または州のデータ保護またはプライバシー法(およびその)施行規則(「CPRA」)、(iv)2018年7月30日のベルギーデータ保護法(以下「BDPA」)および/または(v)欧州経済領域または英国のその他の適用可能な国内法(EU GDPRまたはUK GDPR(該当する場合)、および/または任意の国で適用されるデータプライバシー法および/または適用されるデータ保護法。いずれの場合も、随時改正、置き換えられる、または置き換えられる可能性があります。時間に。
1.3。 「管理者」とは、個人データを処理する手段と目的を決定する事業体を意味します。
1.4。 「データ主体」とは、個人データの主体である個人を意味します。
1.5。 「EU SCC」とは、欧州議会および欧州理事会の規則(EU)2016/679に基づく第三国への個人データの移転に関する標準契約条項に関する2021年6月4日の欧州委員会実施決定2021/914に付属する標準契約条項を意味します。
1.6。 「個人データ」とは、「個人データ」、「個人情報」、「個人を特定できる情報」、またはデータ保護法に基づく類似の用語を意味し、これらの用語はデータ保護法で定義されています。
1.7。 「個人データ侵害」とは、データ保護法により、(i) Netradyneがお客様に報告すること、または (ii) お客様が監督当局または影響を受ける個人に報告すること、または記録を保持することが義務付けられているセキュリティ違反のうち、本補遺の対象となる個人データに関連するものを指します。
1.8。 「処理」とは、個人データまたは個人データのセットに対して実行されるすべての操作または一連の操作を意味します。
1.9。 「処理者」とは、管理者に代わって個人データを処理する事業体を意味します。
1.10。 「監督機関」とは、データ保護法の管理、遵守の監督、および/または施行を担当する政府または規制当局を意味します。
1.11。 本書で特に定義されていない大文字の用語は、本契約で指定された意味を持ちます。
2。本DPAの適用
本DPAは、Netradyneが本契約に基づいて製品およびサービスを提供する過程で、処理者(またはサブプロセッサー)として、またCPRAに関しては「サービスプロバイダー」または「請負業者」として、お客様に代わってお客様の個人データを処理する場合に限り適用されます。
本契約と本DPAの条件の間に矛盾がある場合は、本DPAの条件が優先されます。本DPAの条件とSCCまたは英国補遺との間に矛盾が生じた場合、その範囲では、SCCまたは英国補遺(該当する場合)が当該矛盾の範囲で優先されます。本契約で明示的に修正された場合を除き、本契約の条項は引き続き完全に効力を有します。
3。処理の役割と範囲
3.1。 締約国の役割
当事者間では、Netradyneはお客様の個人データの処理者(またはサブプロセッサー、サービスプロバイダー、または請負業者)として機能します。
3.2。 お客様への指示
3.2.1。 Netradyneは、本契約、本DPA、および/またはお客様の文書化された指示書に具体的に定められているように、またはNetradyneが対象となる適用法(以下「お客様指示」)で別途要求されるように、お客様の個人データを処理します。適用法により、お客様の指示に従わない方法でお客様の個人データを処理することがNetradyneに義務付けられている場合、Netradyneは、適用法で認められる範囲で、当該処理の前にその法的要件をお客様に通知します。ただし、その法律が公共の利益の重要な理由でそのような情報を禁止している場合を除きます。
3.2.2。 Netradyneは、お客様の指示が適用法に違反しているとNetradyneが判断した場合、またはNetradyneが適用法に基づく義務を果たせなくなったと判断した場合、速やかにお客様に通知します。Netradyneは、当該顧客指示の履行を一時停止する権利を有するものとします。
3.2.3。 お客様は、Netradyneが適用法または規制に違反することのないよう、お客様の指示に従うものとします。
4。Netradyne 員
4.1。 Netradyneは、個人データにアクセスできる従業員、代理人、請負業者、その他の職員が、(a) 本サービスの提供に厳密に必要な範囲でのみアクセスすること、および (b) 本契約に定められている保護に劣らない適切な拘束力のある機密保持義務に拘束されることを保証するものとします。
5。[セキュリティ]
5.1。 Netradyneは、お客様の個人データを保護するために設計された適切な技術的および組織的なセキュリティ対策を実施し、維持します。Netradyne は、別表IIに含まれる措置を実施するものとする。Netradyneは、変更によってお客様の個人データの全体的なセキュリティが実質的に損なわれない限り、そのような措置を随時変更することがあります。
6。サブプロセッシング
6.1。 これにより、お客様はNetradyneの関連会社および別表3に記載されている他の第三者にサブプロセッサ(それぞれ「サブプロセッサ」)になる一般的な許可を与えます。Netradyneは、製品およびサービスを提供する目的で、お客様の個人データをサブプロセッサーに開示することがあります。ただし、Netradyneのサブプロセッサーは、本DPAに定められているものと同じくらい負担の大きい拘束力のあるデータ保護義務を負うことを条件とします。
6.2。 お客様は、Netradyneから随時通知されたサブプロセッサーの変更について、当該通知から30暦日以内に異議を申し立てる権利を有するものとします。お客様が当該期間内に当該変更に異議を唱えない場合、お客様はその変更に同意したものとみなされます。このような異議申し立ての非常に重要な理由が存在し、Netradyneに書面で通知され、両当事者がこの問題を友好的に解決できない場合(各当事者は合理的かつ誠実に行動する)、お客様は、製品およびサービスの影響を受ける特徴または機能のみに関連して、該当する注文書を解約することができます。
6.3。 Netradyneは、データ保護法で義務付けられている範囲で、その作為または不作為がNetradyneが行った場合と同じ範囲で、サブプロセッサーの作為または不作為に対して引き続き責任を負い、義務の再履行または再履行を調達することが許可されるものとします。お客様は、このような再履行により、サブプロセッサーの責任に関してお客様がNetradyneに対して提起するいかなる請求も減ることを認め、受け入れるものとします。
7。データ主体の要求
7.1。 Netradyneは、データ主体から権利行使の要求(データ主体の要求)を受けた場合、お客様に通知し、支援するものとします。ただし、Netradyneは、データ主体から提供された情報から、そのような要求がお客様またはお客様の個人データに関連していることを合理的に特定できる場合に限ります。Netradyneは、適用法で義務付けられている場合を除き、そのような要求には応じないものとします。Netradyneは、その時点で適用されているNetradyneのサービス料金に基づいて、本セクションに従って提供された支援の結果として発生した実際の費用をお客様に負担させる場合があります。
7.2。 誤解を避けるために記すと、データ主体の要求に対応する責任はお客様にあります。Netradyneの製品およびサービスには、お客様がデータ主体の要求に対応するのを支援するために設計された技術的および組織的な対策が含まれています。
8。第三者からの要求
Netradyne は次のことを行うものとします。
(a) 法的に禁止されている場合を除き、Netradyneが本契約に関連して処理する個人データに関連して、監督当局、規制当局、法執行機関、または信用調査機関からの情報提供の要請または苦情があった場合は、遅滞なく(いかなる場合も72時間以内に)速やかにお客様に通知してください。
(b) お客様から要請があった場合は、当該要請に対する回答の準備について協議し、協力してください。
(c) 法的に強制されない限り、お客様の事前の書面による同意なしにそのような要求に応答しないでください。
法的に禁止されている場合を除き、Netradyneは、個人データ侵害に関して第三者に通知または開示する前に、まずお客様に通知し、お客様の事前の書面による同意を得るものとします。
9。個人データ侵害
9.1。 Netradyneは、お客様の個人データに影響を及ぼす個人データ侵害に気づいた場合、遅滞なくお客様に通知します。誤解を避けるために記すと、個人データ侵害には、(i) Netradyneまたはそのサブプロセッサーに直接起因しない作為または不作為、または (ii) お客様の指示と一致するお客様の個人データへのアクセスまたは処理は含まれないものとします。お客様の要請に応じて、Netradyneは、お客様が個人データ侵害に関して適用されるデータ保護法に基づく該当する通知義務を履行できるよう支援するために、合理的な支援と協力を提供します。Netradyneによる個人データ侵害の通知または対応は、Netradyneまたは(該当する場合)そのサブプロセッサーが製品およびサービスのパフォーマンスに関する何らかの過失または責任を認めたものと解釈されないものとします。Netradyneは、その時点で適用されているNetradyneのサービス料金に基づいて、本セクションに従って提供された支援の結果として発生した実際の費用をお客様に負担させる場合があります。
10。データ保護影響評価と事前相談
10.1。 お客様の要求に応じて、Netradyneは、データ保護法で義務付けられているデータ保護影響評価および監督当局との事前協議において、お客様に合理的な支援を提供します。いずれの場合も、本契約に基づくNetradyneによるお客様の個人データの処理に関するものに限定し、処理の性質およびNetradyneが入手できる情報を考慮に入れた場合に限ります。Netradyneは、適用法で認められる範囲で、そのような支援要請に対して妥当な料金を請求する権利を留保します。
11。監査権
11.1。 書面による要求に応じて、お客様に追加費用なしで、Netradyneは、お客様および/または適切な資格を有する第三者代理人(総称して「監査人」)に、Netradyneが本DPAに基づく義務を遵守していることを証明する文書を、関連する監査または認証の報告書(ISO 27001または記入済みの業界標準アンケート(総称して「報告書」といいます)の形で入手できるようにするものとします。このような報告は、本契約の秘密保持条項に基づくNetradyneの機密情報となります。お客様は、データ保護法、本DPA、および/または契約に関連して、お客様による、またはお客様に代わって行われる監査または検査の要求を満たすためにレポートが使用されることに同意します。
11.2。 監査人が第三者である場合、監査人は、報告書の審査またはネトラダインの監査の前に、ネトラダインと別途秘密保持契約を締結するよう求められる場合があります。Netradyneは、監査人が適切な資格を持っていないか、Netradyneの競争相手であるとNetradyneが合理的に判断した場合、当該監査人に書面で異議を申し立てることができます。Netradyneがこのような異議を申し立てた場合、お客様は別の監査人を任命するか、監査自体を実施する必要があります。報告書の審査または監査に関連して監査人が負担する費用は、監査人が独占的に負担するものとします。
11.3。 レポートが入手できない場合、お客様は、Netradyneの検証を目的として、30日前に書面で通知し、1暦年に1回まで、自己の費用で、対象範囲、日付、期間、監査人、およびセキュリティおよび/または機密保持管理について相互に合意した上でレビューを行うよう要請することができます。はこのDPAに準拠しています。この審査は、Netradyneの他の顧客に対するNetradyneの守秘義務を損なわない方法で行われます。両当事者は、Netradyneの方針と手続き、およびお客様のレビューの結果はすべて、本契約の機密保持条項に基づくNetradyneの機密情報であることを認め、同意します。
11.4。 データ保護法で義務付けられている範囲で、お客様は、Netradyneへの書面による通知により、本契約に違反するお客様の個人データの使用を停止および是正するための合理的かつ適切な措置を講じる権利を有します。
12。データ転送
12.1。 Netradyneは、本DPAに従い、製品およびサービスを提供するために合理的に必要な場合、お客様の個人データを任意の国または地域に転送することができます。かかる転送が、欧州連合、英国、スイスに適用されるデータ保護法によって保護されているお客様の個人データを含む場合、Netradyneとお客様は、以下に定める転送メカニズムに従ってお客様の個人データを遵守し、処理することに同意します。
12.1.1。 Netradyneが、データ保護法により適切なレベルの個人データ保護を提供していると認められていない欧州経済領域(EEA)以外の国において、EU GDPRによって保護されているお客様の個人データ(「EUデータ」)を、データ処理者の立場から受け取る場合、お客様(「データ輸出者」)とNetradyne(「データ輸入者」)はEUを遵守し処理することに同意します。EU SCCに準拠したデータ。これらのデータは、以下のように本DPAに組み込まれ、本DPAの一部を構成するとみなされます。
- モジュール2が適用されます。
- 第7条では、オプションのドッキング条項は適用されません。
- 第9条ではオプション2が適用され、サブプロセッサーの変更を事前に通知する期間は、本DPAのセクション6.2に定めるとおりとします。
- 第11条では、オプション言語は適用されません。
- 第13条 (a) では、第1項が適用されるものとします。
- 第17条では、オプションIが適用され、EU SCCはオランダの法律に準拠します。
- 第18条 (b) 項では、紛争はオランダの裁判所で解決されるものとします。
- EU SCCの附属書Iは、本DPAのスケジュール1に定める情報で完成したものと見なされるものとする。
- 本DPAの第5条1項に従い、EU SCCの附属書IIは、本DPAのスケジュール2に記載されている情報で完成したものと見なされるものとします。
- SCCの附属書III(サブプロセッサーのリスト)は、本DPAのスケジュール3に記載されている情報で完成したものとみなされます。
12.1.2。 Netradyneが、データ保護法により適切なレベルの個人データ保護を提供していると認められていないスイス国外の国で、Swiss DPAによって保護されているお客様の個人データ(「スイスデータ」)の受領者である限り、お客様(「データ輸出者」)およびNetradyne(「データ輸入者」)は、スイスデータをEU SCCに従って遵守し、処理することに同意します。EU SCCは法人と見なされるものとします。上記のセクション12.1.1および以下のセクションの修正に従って、本DPAの一部となり、本DPAの一部を形成します。
12.1.3。 Netradyneが、英国以外の国の英国データ保護法によって保護されているお客様の個人データ(「英国データ」)の受領者であり、英国では個人データに対する適切なレベルの保護を提供していると認められていない場合、お客様(「データ輸出者」として)およびNetradyne(「データ輸入者」)は、以下に従って実施されるEU SCCに従って英国データを遵守し、処理することに同意します。上記のセクション12.1.1および以下のセクションの変更。本DPAに従って実施されたEU SCCが、英国のデータ保護法に従ってお客様の個人データをNetradyneに合法的に転送するために使用できない限り、英国のSCCは本DPAに組み込まれ、その一部を形成するとみなされ、英国GDPRが適用される移転に適用されるものとします。英国のSCCの目的上、関連する附属書、付録、または表には、本DPAのスケジュール1および2に記載されている情報が記載されているものとみなされます。
12.1.4。 英国データまたはスイスデータの転送に関しては、上記の第12.1.1条に基づいて実施されたEU SCCは、以下の変更を加えて適用されます(英国情報コミッショナーオフィスまたはスイス連邦データ保護コミッショナーのガイダンスに従って随時変更されます)。
12.1.4.1。 「規則(EU)2016/679」への言及は、英国のデータ保護法またはスイスのDPA(該当する場合)への言及として解釈されるものとします。
12.1.4.2。 「規則(EU)2016/679」の特定の条項への言及は、英国のデータ保護法またはスイスのDPA(該当する場合)の同等の条項またはセクションに置き換えられるものとします。
12.1.4.3。 「EU」、「連合」、「加盟国」および「加盟国法」への言及は、「英国」または「スイス」、または「英国法」または「スイス法」(該当する場合)への言及に置き換えられるものとします。
12.1.4.4。 「加盟国」という用語は、英国またはスイスのデータ主体が常居所地(つまり、英国またはスイス)での権利を求めて訴訟を起こす可能性から除外するような解釈をしてはなりません。
12.1.4.5。 EU SCCの第13 (a) 条および附属書IのパートCは使用されておらず、「管轄監督機関」は英国情報委員会またはスイス連邦データ保護情報コミッショナー(該当する場合)です。
12.1.4.6。 「管轄監督機関」および「管轄裁判所」への言及は、「情報コミッショナー」および「イングランドおよびウェールズの裁判所」または「スイス連邦データ保護情報コミッショナー」および「スイスの適用裁判所」(該当する場合)への言及に置き換えられるものとします。
12.1.4.7。 第17条では、EU SCCはイングランド、ウェールズ、またはスイス(該当する場合)の法律に準拠するものとします。
12.1.4.8。 英国のデータ保護法が適用される移転については、第18条に「本条項から生じる紛争は、イングランドおよびウェールズの裁判所によって解決されるものとします。データ主体は、英国のどの国の裁判所でも、データ輸出者および/またはデータ輸入者に対して法的手続きを提起することができます。両当事者は、当該裁判所の管轄に服することに同意します。」また、スイスDPAが適用される譲渡に関しては、第18条 (b) 項には、紛争はスイスの該当する裁判所で解決されるものと記載されているものとします。
12.2。 Netradyneは、お客様の個人データを欧州連合、スイス、または英国以外のサブプロセッサーに転送することがあります。ただし、Netradyneが合法的なデータ転送を保証するための措置を講じる場合に限ります。これらの措置により、Netradyneは(a)第三者による標準契約条項の履行を保証すること、または(b)(データ保護法で認められているとおり)その他の合法的なデータ転送メカニズムを採用する必要がある場合があります。
12.3。 適用されるデータ保護法に基づき、ある法域から別の法域への個人データの合法的な移転には、個人データの移転に利用される移転メカニズムに頼ることができない場合、両当事者は速やかに会合を開き、合理的に可能な限り早く、データの合法的な移転を可能にするための代替移転メカニズムまたは代替補足措置について話し合い、合意します。
13。お客様の個人データの取得と削除
13.1。 お客様は、データ保持および削除ポリシーが本契約に定められた条件に従うことに同意します。Netradyneは、お客様の個人データを削除する要求を受けた場合、要求に応じてすべての個人データを速やかに削除するか、お客様に返却するものとします。お客様がNetradyneに別段の通知をしない限り、本契約の終了時に、Netradyneは30日以内にすべての個人データを削除するものとします。上記にかかわらず、Netradyneは、データ保護法で別段の定めがある範囲でのみ個人データを保持することができます。
13.2。 適用されるデータ保護法で認められる範囲で、Netradyneは、匿名化または匿名化された形式で情報を維持および使用し、そのような情報を再特定しようとしないというNetradyneの公約に従うことを条件として、お客様の個人データを匿名化または匿名化し、その後の保持および使用のために匿名化することがあります。疑義を避けるため、また適用されるデータ保護法で認められる範囲で、かかるお客様の個人データの匿名化または匿名化は、本契約、本DPAおよび該当するデータ保護法に基づくNetradyneのデータ削除義務を果たすものとみなされます。
14。責任
14.1。本DPAに基づいて提起された請求(標準契約条項に基づくものを含む)は、本契約に定められた責任の除外および制限を含むがこれらに限定されない契約条件に従うものとします。
15。カリフォルニア州固有の追加規定
15.1。 お客様の個人データがカリフォルニア州の居住者に関連する範囲で、Netradyneは、法律で認められている場合、または本契約に定められているとおり、製品およびサービスの提供とサポートに必要な場合を除き、お客様の個人データを保持、使用、販売、共有、またはその他の方法で開示することはありません(当事者間の直接的なビジネス関係以外の商業目的またはその他の目的を含む)。
15.2。 お客様の個人データがカリフォルニア州の居住者に関連する範囲で、Netradyneは、Netradyneがお客様から、またはお客様に代わって受領したお客様の個人データと、Netradyneが別の個人または個人から、またはその代理として受け取った個人データ、またはNetradyneとデータ主体とのやり取りから収集する個人データを組み合わせる際に、CPRAに基づく該当する制限を遵守します。
15.3。 お客様の個人データがカリフォルニア州の居住者に関するものである限り、NetradyneはCPRAを遵守し、処理におけるNetradyneの役割を考慮して、CPRAが要求する関連する顧客個人データの保護レベルを提供します。
16。データ保護法の変更
16.1。 新しいデータ保護法が施行され、Netradyneに適用される場合、Netradyneとお客様は、当事者が適用法に基づく義務を遵守し、NetradyneがNetradyneに適用されるすべてのデータ保護法を確実に遵守できるようにするために、当該データ保護法で要求されるすべての合理的な措置を講じるものとします。
17。準拠法と管轄
17.1。 標準契約条項または適用されるデータ保護法で別段の定めがある場合を除き、本DPAおよび本DPAまたはその対象事項または成立に起因または関連して生じる紛争または請求は、抵触法の原則にかかわらず、カリフォルニア州の法律に準拠し、それに従って解釈されるものとします。誤解を避けるために記すと、標準契約条項が適用される場合、標準契約条項は法律に準拠し、そこに明記された管轄権に従うものとします。
データ処理に関する補遺
Description of the processing / transfer
Item | Details |
Data Exporter | Customer is the Data Exporter |
Data Importer | Netradyne, Inc. Contact details: |
Description of the transfer / processing
Item | Details |
Data Subjects: | Employees or independent contractors of Customer, service providers of Customer, including those driving vehicles (“Drivers”). Members of the public or passers-by. |
Categories of Personal Data: | Personal data processed includes:
|
Special Categories of Personal Data: | Not applicable |
Nature, purpose and frequency of Processing: | Netradyne will Process Customer Personal Data for as long as is necessary to provide the Products and Services to the Customer in accordance with, and as otherwise permitted by, the Agreement, and for any disclosures compelled by law. |
Duration: | As long as necessary for fulfilling the business purposes or as set forth in the Agreement and subject to section 13 of this DPA. |
Approved Sub-Processors (if any): | As listed in Schedule 3 |
Approved Transfer Mechanism: | Standard Contractual Clauses: See Section 12 of the DPA |
Competent Supervisory Authority: | Determined in accordance with Data Protection Laws. |
Schedule 2
Technical and Organisational Measures Including Technical and Organisational Measures to Ensure the Security of the Data
Netradyne shall develop, implement, and maintain reasonable physical, administrative, and technical controls to protect the confidentiality, availability, and integrity of the Services and Customer Personal Data (“Security Measures”). The Security Measures must, at a minimum, comply with Applicable Data Protection Laws. Taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of the Processing as well as the risk of varying likelihood and severity for the legally protected interests of natural persons, Netradyne shall implement the necessary technical and organizational measures (“Safety Measures”) to ensure a level of security appropriate to the risk when Processing Personal Data.
Netradyne will maintain Safety Measures consistent with industry-accepted best practices (including the International Organization for Standardization’s standards ISO 27001 and 27002). Netradyne’s information security program will include, at a minimum, the following safeguards and controls:
Item | Details |
Measures of pseudonymization and encryption of personal data. | Netradyne employs cryptographic techniques to protect customer data.
|
Measures for ensuring ongoing confidentiality, integrity, availability and resilience of processing systems and services. | Netradyne implements strict access controls to restrict access to Customer information. Access controls include controlled use of administrative privileges, implementation of account and password management policies and multi-factor authentication (MFA) for servers and production systems. Netradyne has implemented network security controls, vulnerability assessment, patch management and scheduled monitoring procedures to identify, assess, mitigate, and protect against security threats. Critical Severity patches are scheduled to be reviewed, evaluated, and deployed immediately or within 5 days. High severity patches are also reviewed and deployed immediately or within 30 days. Medium and Low severity patches are reviewed as part of the internal audit process and generally deployed within 3-12 months depending on relevance and severity. The deep packet inspection of the Netradyne firewall function enables blocking malicious traffic. They are monitored 24/7 for performance, security, and proper operation. Data segregation. Netradyne has implemented measures to logically isolate customer data from Netradyne’s internal or third-party data. Physical security. Netradyne has implemented physical security controls (access cards, CCTV surveillance and security guards) to monitor and control physical access to its facilities. Netradyne conducts performance tests, regular device health monitoring and backup of data to ensure availability and resilience of its platforms and services. |
Measures for ensuring the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident. | Netradyne stores all data on AWS cloud (Elastic Block Storage- EBS) which is configured to allow regular backup of data or restoration of data. Netradyne maintains a security incident response team (SIRT) to coordinate efforts needed for containing incidents and allowing restoration of data. |
Processes for regularly testing, assessing and evaluating the effectiveness of technical and organizational measures in order to ensure the security of the processing. | Netradyne conducts internal audit of its security and privacy controls at least once a year. Periodic vulnerability scans and penetration testing by external reviewers are also conducted. |
Measures for user identification and authorization. | Netradyne assigns a user-id to all the users. Access controls include controlled use of administrative privileges, implementation of account and password management policies and multi-factor authentication (MFA) for servers and production systems. Passwords must meet password-complexity requirements outlined in Netradyne’s Password Policy. Privileged-account abilities are granted to a limited number of Netradyne personnel who need this level of access to perform their job function. |
Measures for ensuring physical security of locations at which personal data are processed. | Netradyne’s production and development datacenters are protected from environmental and security threats using technical, administrative, and physical security controls. For high availability, included are redundant uninterruptible power supplies, fire and smoke detection and suppression systems, redundant ventilation, and air conditioning, and more. All systems undergo frequent and regular preventative maintenance. Netradyne’s corporate facilities are monitored by CCTV. A team of security guards are deployed at the entrance and throughout the facility. Access to the building is controlled by security key cards. |
Measures for ensuring events logging. | Netradyne systems are centrally managed and monitored through the use of industry standard logging mechanisms. Netradyne applications are configured to log details of the user sessions, and the actions users perform. It also records administration events such as operations with user accounts. Administration events, such as creation or deactivation of user account, lockout or expiration of an account, password changes, assigning or removing a user role, adding, or removing a user from a group, are also logged. |
Measures for ensuring system configuration, including default configuration. | Netradyne has established a standard workstation configuration baseline in order to meet security objectives. Netradyne’s server systems are configured for performance, stability, scalability, and security. All server systems, including web, application, and database servers, are built to configuration standards. All SQL Server services are hardened by disabling all services that are not used by Netradyne application. The hardening process includes the following objectives:
Removing all unnecessary functionality, such as scripts, drivers, features, subsystems, file systems, and unnecessary web servers. |
Measures for internal IT and IT security governance and management. | Netradyne has a dedicated InfoSec team and has put in place IT security policy and procedures. This includes a formal change management process and acceptable use policy. |
Measures for certification/assurance of processes and products. | Netradyne engages independent security auditors for periodic assessment of its security and privacy controls as part of its ISO 27001 and Privacy by Design certifications. ISO 27001 - https://gmsintercert.com/verify/single-cert-verify.php?cRegName=ISMS2020025 Privacy by Design - https://msecb.com/certifications-granted |
Measures for ensuring data minimization. | Different privacy modes and privacy configurations may be enabled to reduce the amount of data processed by Netradyne. Most of the video footage recorded on the Driver.i device remains on the device and is overwritten once the device’s memory is full. A video footage is uploaded to Netradyne cloud only if an Event is detected. On average less than 1% of the footage is uploaded to the cloud. Depending on the Event type, only the relevant Event Footage (either external footage or in-cab footage) is uploaded to the cloud. For all Events, the device uploads the Event Data to the cloud. |
Measures for ensuring limited data retention. | The default data retention is a balance between ensuring data is retained for a sufficient time period to be useful to Data Exporter, and ensuring it is not kept beyond such useful time period. Data retention and deletion requirements are set out in the Agreement or the DPA. |
Measures for ensuring accountability. | Netradyne maintains evidence of the steps taken to comply with the EU GDPR. Netradyne puts in place appropriate technical and organizational measures, such as: (i) adopting and implementing data protection policies (where proportionate), (ii) executing written contracts with service providers (iii) maintaining documentation of processing activities, (iv) implementing appropriate security measures, (v) recording and, where necessary, reporting personal data breaches, (vi) carrying out data protection impact assessments for uses of personal data that are likely to result in high risk to individuals’ interests, and (vii) implementing logging and monitoring controls. |
Measures for allowing data portability and ensuring erasure. | Netradyne allows data subjects to exercise their rights by reaching out to designated points of contact. The primary responsibility for responding to data subject requests rests with the customer. Netradyne will assist the customer in responding to data subject requests. |
Schedule 3
List of Approved Sub-processors
The controller has authorised the use of the following sub-processors:
Sub-processor | Purpose of Processing | Location |
Netradyne Technology India Private Limited (“Netradyne India”) | Engineering and support | India |
Amazon Web Services (AWS) | Data hosting | United States |
Elancer IT Solutions Private Limited | Data labelling services | India |
Gainsight, Inc. | Customer success platform | United States |
Mixpanel, Inc. | User activity/experience (data analytics) | United States |
VVDN Technologies | Device refurbishment | India |
ドライバーを保護し、コストを削減したいですか?
それは難しい質問ではありません。デモで自分の目で確かめてください。