Daftar Perjanjian Privasi dan Keamanan Data HPE Layanan Dukungan dan Profesional HPE (“Layanan”)
Daftar Perjanjian Privasi dan Keamanan Data HPE Layanan Dukungan dan Profesional HPE (“Layanan”)
hukum yang berlaku atau alasan lain apa pun, HPE akan segera memberi tahu Pelanggan secara tertulis.
4.1. Para pihak akan setiap saat mematuhi kewajibannya masing-masing sesuai DPSA ini dan UU Privasi yang berlaku untuk pemrosesan masing-masing terhadap Data Pribadi. Juga, jika HPE berinteraksi dengan Informasi Kesehatan yang Dilindungi seperti ditentukan oleh UU Privasi dan Portabilitas Asuransi Kesehatan, para pihak setuju untuk mematuhi ketentuan Perjanjian Rekan Bisnis yang ada di xxx.xxx.xxx/xxxx/xxxxxxxx-xxxxxxx.xxxx.
5.1. HPE akan menerapkan dan memelihara tindakan keamanan fisik, teknis, dan keorganisasian yang ditetapkan di dalam Exhibit A, sebagaimana dapat ditambahkan atau diubah dalam dokumen transaksi yang berlaku, untuk melindungi Data Pribadi Pelanggan dan Data Kontak Bisnis terhadap kehancuran yang tidak disengaja atau melawan hukum atau kerugian, perubahan, pengungkapan yang tidak diizinkan, atau akses yang merupakan ketidaksengajaan.
6. Sub-pemrosesan dan Lokasi Pemrosesan
6.2. Sub-pemrosesan yang tersedia untuk Layanan dan lokasi pemrosesan dapat ditemukan di xxx.xxx.xxx/xxxx/xxxxxxxx-xxxxxxx.xxxx dan dianggap disetujui oleh Pelanggan. Pelanggan akan subscribe ke alat notifikasi HPE di situs web di atas, dan ketika terjadi perubahan kepada Sub- pemrosesan yang disetujui, HPE akan memberi tahu Pelanggan melalui alat subskripsi pemberitahuan. Pelanggan mengajukan keberatan kepada penunjukan atau penggantian Subprosesor setiap saat, dan para pihak akan menggunakan segala upaya yang wajar untuk menyelesaikan keberatan Pelanggan. Jika para pihak gagal menyelesaikan keberatan Pelanggan
dalam jangka waktu yang wajar, urusan itu akan ditangani sesuai dengan prosedur penyelesaian perselisihan di dalam Perjanjian. Jika HPE dan pelanggan gagal menyetujui resolusi secara mufakat tentang perubahan subprosesor yang diusulkan, HPE berhak menghentikan kontrak tanpa kewajiban lebih lanjut.
7.4. Berdasarkan permintaan Pelanggan, HPE akan, dalam kerangka waktu yang wajar, menyediakan informasi yang tepat kepada Pelanggan untuk menunjukkan kepatuhannya kepada UU Privasi, kecuali ketika informasi itu sudah tersedia kepada Pelanggan langsung melalui penggunaan Layanan.
8. Menyediakan Bantuan Pelanggan
8.1.1.membantu Pelanggan dengan menerapkan tindakan teknis dan keorganisasian yang wajar, sejauh memungkinkan, untuk membantu kewajiban Pelanggan untuk menjawab permintaan dari individu yang ingin menggunakan haknya sesuai UU Privasi yang berlaku untuk Pelanggan;
8.1.2.menyediakan bantuan yang wajar kepada Pelanggan dalam penerapan dan penilaian tindakan teknis dan keamanan yang sesuai dari Pelanggan untuk memastikan tingkat keamanan yang sesuai dengan risiko yang dimiliki oleh Pemrosesan dan sifat dari Data Pribadi Pelanggan;
8.1.3.notifikasi Insiden Keamanan sesuai dengan Exhibit A;
8.1.4.menyediakan bantuan yang wajar kepada Pelanggan saat melakukan penilaian dampak privasi.
9. Kualitas Data, Pengambilan dan Penghancuran, Perbaikan, atau Layanan Penggantian
9.1. Sejauh Pelanggan tidak dapat mengakses Data Pribadi Pelanggan sendiri, HPE akan, atas permintaan Pelanggan secara tertulis (i) memperbarui, mengoreksi, atau menghapus Data Pribadi Pelanggan; dan/atau (ii) menyediakan salinan dari Data Pribadi Pelanggan.
9.2. Saat Perjanjian berakhir, HPE akan, atas pilihan Pelanggan, mengembalikan atau menghapus Data Pribadi Pelanggan dan HPE tidak akan menyimpan salinan dari Data Pribadi Pelanggan kecuali disetujui bersama Pelanggan atau ketika diharuskan melakukan itu oleh hukum yang berlaku, dan dalam hal itu HPE akan berhenti secara aktif Memproses data dan mempertahankan keamanan dan kerahasiaan data.
9.3. Terkait perbaikan atau penggantian data carrier (server, hard-disk, SSD, flash-disk, memory, dll.), Pelanggan akan membeli Layanan (C)DMR opsional atau menghapus dengan benar (sesuai standar NIST) carrier sebelum meneruskannya kepada HPE.
10.1.Untuk menangani transfer dari Data Pribadi UE, EEA, atau Swiss oleh Pelanggan atau oleh afiliasi Pelanggan kepada HPE atau afiliasi HPE yang berlokasi di suatu negara yang tidak disetujui oleh Komisi Eropa dalam hal penyediaan perlindungan yang mencukupi untuk data pribadi sesuai dengan Article 25(6) dari Directive 95/46/EC or Article 45(3) dalam the General Data Protection Regulation, Pelanggan dapat mengandalkan Aturan Korporat Yang Mengikat HPE untuk Prosesor (BCR-P), yang saat ini tersedia untuk Layanan Pendukung HPE atau pelaksanaan Kontrak Model UE pengontrol ke prosesor (“Kontrak Model EU”). Daftar Layanan yang tunduk kepada HPE BCR-P tercantum dalam website BCR di xxxxx://xxx.xxx.xxx/xx/xx/xxxxxxx/xxxxxxx-xxxxxxxxx-xxxxx.xxxx dan/atau daoat diberikan berdasarkan permintaan.untuk Layanan lainnya.
10.2.Untuk transfer BCR-P, HPE (dan perusahaan HPE dan Subprosesor lainnya yang diijinkan oleh Pelanggan untuk Memproses Data Pribadi sesuai dengan Pasal 4 DPSA) dapat menerima transfer Data Pribadi ke negara manapun sesuai dengan BCR-P. Pelanggan harus memastikan bahwa, jika transfer termasuk Kategori Data Spesial, subyek data tersebut telah diberitahu mengenai transfer tersebut atau akan diberitahukan sebelum transfer terjadi, bahwa Kategori Data Spesial dapat ditransmisikan ke negara lain. BCR-P akan mengikat Pelanggan melalui hak-hak pihak ketiga yang tercantum dalam Pasal 4.1 dari BCR-P yang termasuk hak untuk menerapkan BCR-P terhadap HPE. BCR-P termasuk perjanjian antar-perusahaan dan kebijakan serta prosedur yang berlaku yang membentuk Aturan Korporat Mengikat HPE untuk Prosesor (BCR-P) sebagaimana berlaku bagi Pelanggan dan sebagaimana dikembangkan, diubah atau diperbaharui oleh HPE dari waktu ke waktu sesuai dengan Dokumen Kerja yang diadopsi oleh Pasal 29 dari Pihak Kerja (dan secara subsekuen Dewan Perlindungan Data Eropa). Salinan dari dokumentasi yang terdiri dari BCR-P, yang dimasukkan dengan referensi dan merupakan bagian integral dari DPSA ini, tersedia untuk Pelanggan atas permintaan tertulis. Pelanggan harus memberitahukan subyek data mengenai adanya Prosesor diluar EU/EEA/Switzerland dan ketergantungan Pelanggan terhadap BCR-P sebagaimana diharuskan berdasarkan Undang-undang Privasi dan menyediakan kepada subyek data berdasarkan permintaan, tautan ke Pemberitahuan Hak BCR HPE di xxxxx://xxx.xxx.xxx/xx/xx/xxxxxxx/xxxxxxx-xxxxxxxxx-xxxxx.xxxx.
10.3.Untuk transfer Kontrak Model UE, HPE dengan ini memberikan Pelanggan hak untuk mendapatkan manfaat dari, dan Pelanggan dengan ini setuju untuk terikat pada, Kontrak Model UE yang ditandatangan oleh HPE dengan Subprosesor seakan-akan Pelanggan menandatangani Kontrak Model UE tersebut sebagai pengontrol.
10.3.1 Saat menginterpretasikan Kontrak Model UE, istilah “Negara Anggota tempat eksportir data didirikan” akan diinterpretasikan sebagai (sesuai ketepatan) Swiss atau negara anggota UE atau EEA tempat Eksportir Data (seperti ditetapkan di dalam Kontrak Model UE) didirikan.
10.3.2 Jika ada perselisihan apa pun antara Kontrak Model UE, ketentuan di dalam DPSA ini, dan Perjanjian, sejauh HPE Memproses Data Pribadi warganegara EEA atau Swiss, Kontrak Model UE akan didahulukan tetapi hanya sejauh dibutuhkan untuk menyelesaikan konflik atau ketidakkonsistenan.
Exhibit A - Pemrosesan Data Layanan Dukungan dan Profesional
Dalam Exhibit ini, HPE menjelaskan istilah khusus untuk Layanan, termasuk komitmennya kepada tindakan keamanan teknis dan keorganisasian untuk melindungi Data Pribadi Pelanggan.
HPE melakukan Pemrosesan Data Pribadi berikut sebagai bagian dari Layanan | Sebagai bagian dari layanan dukungan pemeliharaan perangkat lunak dan perangkat keras dan layanan profesional ditempat dan dari jauh, HPE dapat mengakses data yang tersimpan di dalam aplikasi bisnis Pelanggan (termasuk metadata), IT, dan infrastruktur jaringan. Data ini dapat termasuk Data Pribadi Pelanggan. |
Jenis Data Pribadi Pelanggan yang Diproses | Jenis data pribadi yang diproses akan bergantung pada data yang disimpan Pelanggan di dalam aplikasi bisnis (termasuk metadata), IT, dan infrastruktur jaringan, dan dapat menyertakan data pribadi yang sensitif. |
Kategori Subjek Data | Subjek data apa pun yang Data Pribadinya disimpan oleh Pelanggan di dalam aplikasi bisnis (termasuk metadata), IT, dan infrastruktur jaringan termasuk, tanpa terbatas pada, klien Pelanggan, pengguna akhir, karyawan, kontraktor, dan pekerja sementara. |
Durasi Pemrosesan | HPE akan memproses Data Pribadi Pelanggan selama durasi dokumen transaksi yang berlaku. |
Tindakan Keamanan | HPE akan mempertahankan informasi dan program keamanan fisik berikut ini untuk perlindungan Data Pribadi Pelanggan (“Program Keamanan HPE”). |
1.1. Sebagai bagian dari Program Keamanan HPE, HPE melakukan tinjauan berkala terhadap praktik keamanan dibanding standar industri, seperti XXXX, XXX 00000, dan SOC. HPE secara berkala mengevaluasi ulang dan memperbaharui Program Keamanan HPE sesuai perubahan industri, teknologi baru yang muncul, atau ancaman baru yang teridentifikasi.
1.2. Program Keamanan HPE terdiri setidaknya dari yang berikut ini:
1.2.1. HPE mempertahankan standar keamanan fisik yang dirancang untuk menangkal akses fisik tanpa izin ke dalam fasilitas dan perlengkapan HPE menggunakan praktik berikut ini:
• akses fisik ke lokasi yang khusus terbatas untuk karyawan HPE, subkontraktor, dan tamu berizin;
• Karyawan HPE, subkontraktor, dan tamu berizin diberi kartu identifikasi yang harus dikenakan selama berada di dalam lokasi;
• mengawasi akses ke dalam fasilitas HPE, termasuk area dan peralatan terbatas di dalam fasilitas;
• akses ke pusat data tempat Data Pribadi Pelanggan yang di-hosting dicatatkan, diawasi, dan dilacak; dan
• pusat data diamankan dengan sistem alarm dan kamera video.
1.2.2. HPE mempertahankan standar berikut untuk kontrol akses dan administrasi dari lingkungan IT yang relevan.
• akun administrator hanya bisa digunakan untuk tujuan melakukan aktivitas administratif;
• setiap akun dengan hak khusus administratif harus dapat dilacak ke individu yang dapat diidentifikasi secara unik;
• semua akses ke komputer dan server harus diotentikasikan dan di dalam cakupan fungsi pekerjaan karyawan;
• kata sandi inisial harus diubah oleh pengguna pada penggunaan pertama;
• tampilan dan pencetakan kata sandi harus disamarkan, ditekan, atau dikaburkan sehingga pihak tidak berwenang tidak dapat melihat atau memulihkannya setelah itu;
• kata sandi harus dapat mengidentifikasi secara unik kepada seorang individu;
• kata sandi harus dienkripsikan saat ditransmisikan;
• kompleksitas kata sandi tidak boleh kurang dari 3 dari 4 kelas karakter dan harus memiliki pilihan kelas karakter seperti huruf besar, huruf kecil, angka numerik, atau karakter khusus;
• Panjang kata sandi harus diatur setidaknya 8 karakter;
• kata sandi harus kedaluwarsa setiap 90 hari;
• waktu habis otomatis untuk akses ke komputer dan server jika dibiarkan tanpa aktivitas/idle dengan persyaratan otentikasi kata sandi untuk akses ulang;
• akun harus diatur untuk dikunci setelah beberapa upaya login yang salah.
1.2.3. Komputer dan server memiliki versi terbaru yang wajar dari perangkat keamanan sistem yang mungkin termasuk host firewall, perlindungan antivirus, dan tambalan serta definisi virus terbaru. Perangkat lunak dikonfigurasi untuk memindai dan segera menghapus atau memperbaiki temuan yang teridentifikasi. HPE menyimpan catatan dari berbagai komponen infrastruktur dan sistem deteksi penyusupan untuk mengawasi, mendeteksi, dan melaporkan pola penyalahgunaan, aktivitas mencurigakan, penggunaan tanpa izin, dan risiko keamanan aktual atau ancaman lainnya.
1.3. Ketika diminta, HPE akan meninjau bersama Pelanggan suatu rangkuman penilaian kerentanan. Penilaian kerentanan tidak akan memberi hak Pelanggan untuk melihat, atau dengan cara apa pun mengakses catatan dan/atau proses: (a) yang tidak terkait langsung dengan Layanan; (b) yang melanggar UU yang Berlaku; dan/atau (c) yang melanggar kerahasiaan HPE dan kewajiban keamanan yang diberikan kepada pihak ketiga.
1.4. Karyawan dan kontraktor dilatih tentang kebijakan privasi dan keamanan HPE dan diberi pemahaman tentang tanggung jawabnya sehubungan dengan praktik privasi dan keamanan. Karyawan HPE dan kontraktor terikat kontrak untuk mempertahankan kerahasiaan Data Pribadi Pelanggan dan mematuhi kebijakan, standar, atau persyaratan HPE yang berlaku sehubungan dengan Pemrosesan Data Pribadi Pelanggan. Kegagalan mematuhi kebijakan, standar, atau persyaratan itu akan dikenakan penyelidikan yang dapat menghasilkan tindakan disipliner hingga dan termasuk penghentian hubungan kerja atau keterlibatan dengan HPE.
1.5. Ketika HPE mengonfirmasi adanya pelanggaran keamanan yang menyebabkan kehancuran, kerugian, perubahan, atau pengungkapan tanpa izin, atau akses yang bersifat aksidental atau melanggar hukum kepada, Data Pribadi Pelanggan (“Insiden Keamanan”), HPE akan:
1.5.1. tanpa menunda waktu, memberi tahu Pelanggan tentang Insiden Keamanan itu. HPE akan memberi informasi terbaru kepada Pelanggan tentang status Insiden Keamanan itu hingga berhasil diselesaikan. Laporan itu termasuk, tanpa terbatas, deskripsi dari Insiden Keamanan, tindakan yang diambil, dan rencana remediasi. Jika Pelanggan mengetahui suatu Insiden Keamanan yang mempengaruhi Layanan, Pelanggan akan segera memberi tahu HPE tentang hal itu dan memberi
tahu HPE tentang cakupan dari Insiden Keamanan itu.
1.5.2. sesuai permintaan dan biaya Pelanggan, (i) menyediakan bantuan yang wajar kepada Pelanggan untuk memberi tahu pelanggaran keamanan kepada otoritas pengawas yang berkompeten sesuai UU Privasi yang berlaku untuk Pelanggan; dan (ii) menyediakan bantuan yang wajar kepada Pelanggan dalam mengkomunikasikan kebocoran data kepada subjek data dalam kasus ketika kebocoran data sepertinya menghasilkan risiko tinggi terhadap hak dan kebebasan individu.