BILAGA
Dataexportörer:
BILAGA
BILAGA I
A. LISTA MED PARTER
Namn: | Den kund som har ingått avtalet med Synology. |
Adress: | Den adress kunden angav vid registreringen för att använda Synologys C2-tjänst. |
Kontaktpersonens namn, befattning och kontaktuppgifter: | De kontaktuppgifter kunden angav vid registreringen för att använda Synologys C2-tjänst. |
Aktiviteter som är relevanta för de uppgifter som överförs enligt dessa klausuler: | Mottagande av C2-tjänster som tillhandahålls av Synology i enlighet med avtalet. |
Underskrift och datum: | Detta dataskyddsavtal (inklusive standardavtalsklausuler) ska anses träda i kraft när kunden godkänner avtalet. |
Roll: | Personuppgiftsansvarig |
Uppgiftsinförare:
Namn: | Synology Inc. |
Adress: | 9F, No. 0, Xxxx Xxxx Xx., Xxxxxxx, Xxx Xxxxxx 000000 XXXXXX |
Kontaktpersonens namn, befattning och kontaktuppgifter: | Dataimportörens dataskyddsteam kan kontaktas enligt beskrivningen i sekretessmeddelandet. |
Aktiviteter som är relevanta för de uppgifter som överförs enligt dessa klausuler: | Tillhandahållande av C2-tjänster till kunden i enlighet med avtalet. |
Underskrift och datum: | Detta dataskyddsavtal (inklusive standardavtalsklausuler) ska anses träda i kraft när kunden godkänner avtalet. |
Roll: | Processor |
B. BESKRIVNING AV ÖVERFÖRINGEN
Kategorier av registrerade vars personuppgifter överförs:
Personer som beställer Synology C2-tjänster.
Kategorier av överförda personuppgifter:
De kategorier av personuppgifter som överförs baseras på kundens val. Kunden kan till exempel välja att säkerhetskopiera personliga filer, fotografier och videor till tjänsten Synology C2.
Känsliga uppgifter som överförs (i förekommande fall) samt tillämpade begränsningar eller skyddsåtgärder som tar hänsyn till uppgifternas art och medföljande risker, till exempel strikta begränsningar gällande ändamål, åtkomstbegränsningar (inklusive att åtkomsten begränsas till personal som har fått specialistutbildning), register över hur uppgifterna används, begränsningar gällande vidare överföring och ytterligare säkerhetsåtgärder:
De begränsningar och skyddsåtgärder som anges i bilaga II gäller för dessa kategorier av personuppgifter (i förekommande fall).
Överföringsfrekvens (till exempel om uppgifterna överförs enstaka gånger eller löpande):
Överförda personuppgifter kan överföras löpande tills de raderas av kunden eller i enlighet med avtalet.
Typ av behandling:
Uppgiftsinföraren behandlar överförda personuppgifter i syfte att lagra, återställa och överföra uppgifterna i enlighet med avtalet.
Syften med dataöverföringen och vidare behandling:
I syfte att leverera C2-tjänsterna i enlighet med avtalet.
Den period under vilken personuppgifterna lagras, eller om det inte går att ange, vilka kriterier som används för att fastställa perioden:
Uppgiftsinföraren behåller överförda personuppgifter tills de raderas av kunden eller enligt avtalet.
Vid överföring till underordnade biträden ska även behandlingens ämne, art och varaktighet anges:
Se bilaga III
C. BEHÖRIG TILLSYNSMYNDIGHET
Behörig tillsynsmyndighet ska fastställas i enlighet med klausul 13.
Tysklands federala kommissionär för dataskydd och informationsfrihet (BfDI)
BILAGA II
TEKNISKA OCH ORGANISATORISKA ÅTGÄRDER, INKLUSIVE TEKNISKA OCH ORGANISATORISKA ÅTGÄRDER FÖR ATT GARANTERA UPPGIFTERNAS SÄKERHET
FÖRKLARANDE ANMÄRKNING:
De tekniska och organisatoriska åtgärderna måste beskrivas i specifika (inte generiska) termer. Se även den allmänna kommentaren på första sidan i tillägget, särskilt gällande behovet av att tydligt ange vilka åtgärder som gäller för respektive överföring/uppsättning av överföringar.
Beskrivning av de tekniska och organisatoriska åtgärder som uppgiftsinföraren vidtar (inklusive relevanta certifieringar) för att garantera en lämplig säkerhetsnivå, med beaktande av behandlingens art, omfattning, sammanhang och syfte samt riskerna för fysiska personers rättigheter och friheter.
1. Åtgärder för anonymisering och kryptering av personuppgifter
Vi använder avancerade dataskyddsåtgärder i skyddet av kundernas uppgifter.
2. Åtgärder för att säkerställa sekretessen, integriteten, tillgängligheten och motståndskraften hos de system och tjänster som används i behandlingen
Våra servrar, vår nätverksutrustning och datacentret har hög tillgänglighet (HA). Maskinvaruenheter som nätaggregat, nätverkskablar och systemdiskar har reserver som gör att enstaka maskinvarufel inte stör driften av tjänsterna.
I C2-infrastrukturen använder vi raderingskodning i en layout med 16 + 4 remsor som lagras vid 20 oberoende lagringsnoder på separata HDD-diskar. Det innebär att lagrade objekt klarar upp till 4 skadade fragment utan förlust av användaruppgifter. Det är därför mycket osannolikt att fel på maskinvarunivå skulle påverka C2-data.
Vi har också två oberoende externa nätanslutningar. Tjänsten påverkas inte om en anslutning genomgår underhåll eller får problem eftersom den andra anslutningen då fortsätter att fungera. Vi använder oss av åtgärder som raderingskodning och MD5-kontrollsummor för att säkerställa integriteten hos våra C2-tjänster.
3. Åtgärder för att säkerställa möjligheten att snabbt återställa tillgängligheten och tillgången till personuppgifter efter fysiska eller tekniska incidenter
Våra filer lagras med raderingskodning, så att det finns flera kopior av alla data. Den här åtgärden gör att inga uppgifter går förlorade vid plötsliga maskinfel.
Dessutom säkerhetskopieras vår databas regelbundet så att vi kan hantera dataavvikelser och angrepp.
4. Processer för att regelbundet testa, bedöma och utvärdera hur effektiva de tekniska och organisatoriska åtgärderna är för att garantera behandlingens säkerhet
C2-tjänsterna genomsöks regelbundet efter sårbarheter och eventuella problem åtgärdas direkt.
Vi övervakar alla produktrelaterade incidenter. Om relevanta produkter påverkas vid en incident organiserar vi omedelbart åtgärder samt schemalägger QA-testning och nylansering. Hela processen är utformad för att ta maximalt 24 timmar från det att vi uppmärksammas på problemet.
5. Åtgärder för identifiering och auktorisering av användare
Våra C2-tjänster använder Synology Account till att identifiera och auktorisera användare. Användare kan logga in på sina konton genom att ange ett lösenord eller med tvåfaktorsautentisering. Om användaren väljer tvåfaktorsautentisering skickas verifieringskoden antingen till användarens mobila enhet eller till den e-postadress som är kopplad till Synology- kontot för autentisering vid inloggning.
6. Åtgärder för skydd av uppgifter under överföring
För samtliga C2-tjänster används SSL-protokollet med TLS v1.2 till att förhindra att data ändras eller skadas under överföringen. I de flesta av våra C2-tjänster skyddas dessutom uppgifter med heltäckande C2 Encryption Key (C2 Key), och uppgifterna krypteras innan de överförs. C2 Encryption Key är en viktig komponent i Synologys C2-tjänster som skyddar dina uppgifter på C2- servrarna.
7. Åtgärder för skydd av uppgifter vid lagring
Samtliga C2-tjänster krypteras. Du kan läsa om krypteringsmetoden för respektive C2-tjänst i tillhörande faktablad.
Alla C2-tjänster använder kryptering i vila, vilket innebär att data som lagras på HDD-disken krypteras. För C2-tjänster som använder heltäckande kryptering lagras data i databaser eller objektlagring. Eftersom data redan har krypterats i klientdelen kan inte serverdelen komma åt det ursprungliga innehållet.
8. Åtgärder för att garantera den fysiska säkerheten på platser där personuppgifter behandlas
Vi använder ett antal fysiska, procedurmässiga och tekniska säkerhetsåtgärder för att skydda dina IT-system och data.
◦ Fysisk säkerhet: Säkerheten har sin grund i byggnadens design och läge. Våra datacenter använder externa skydd som staket, fällor, låsta dörrar och serverburar.
◦ Säkerhetsprotokoll: Vi använder policyer och procedurer för att se till att säkerhetspersonal och driftpersonal finns tillgängliga på plats dygnet runt, alla dagar, för att kunna hantera både rutinmässiga och avvikande situationer.
◦ Tekniska skyddsåtgärder: Vi skyddar dina data och din utrustning med bland annat biometriska lås på ytterdörrar, CCTV-kameror över hela området och säkra åtkomstpunkter.
9. Åtgärder för loggning av händelser
I syfte att skydda åtkomsten till C2-tjänsterna använder vi en strikt process för att reglera och övervaka externa inloggningar via Synology-konton. Vi har vidtagit åtgärder som skyddar mot potentiella hot, inklusive att identifiera och blockera misstänkta eller avvikande inloggningsförsök från specifika IP-adresser eller konton, samt att kontrollera behörigheter så att endast auktoriserade användare kan komma åt våra tjänster.
Synology loggar alla inloggningar och åtkomsthändelser så att användarna kan identifieras. Endast specifika teammedlemmar har behörighet till de system som hanterar informationssäkerheten.
IP-adresser med upprepade misslyckade inloggningsförsök till vårt VPN blockeras. Vi skickar också inloggningsposter både till respektive användare och IT-avdelningen varje dag i granskningssyfte.
10. Åtgärder för att säkerställa systemkonfigurationen, inklusive standardkonfigurationen Det går bara att ansluta till våra interna system via intranätets IP-adress. Alla osäkra portar i systemen är stängda. För att stärka nätverkets säkerhet och stabilitet ytterligare har vi implementerat brandväggar med identifiering av avvikelser. Åtkomst från externa IP-adresser är inte tillåten, och alla förfrågningar och åtkomstprocesser övervakas noga samt loggas. Om brandväggen av någon oväntad anledning slutar fungera utlöses och loggas en varning omedelbart för granskning och optimering.
Det är bara specifika teammedlemmar som har behörighet till systemen för att hantera
informationssäkerheten, och för att få åtkomst måste användaren gå igenom en autentiseringsprocess.
11. Åtgärder för intern IT-hantering samt styrning och hantering av IT-säkerheten Synology tillämpar en intern policy där alla medarbetare måste autentiseras med vårt egenutvecklade TOTP (tidsbaserat engångslösenord). Det här stärker säkerheten och minskar risken för lösenordsattacker. Dessutom blockeras IP-adresser med upprepade misslyckade inloggningsförsök till vårt VPN. Vi skickar också inloggningsposter både till respektive användare och IT-avdelningen varje dag i granskningssyfte.
Alla enheter som används i arbetet måste ha antivirusprogram och brandväggar konfigurerade som skydd mot skadliga filer, e-postmeddelanden och webblänkar. Vi använder SPF, DKIM och DMARC till att utföra regelbundna nätfisketester.
Dessutom använder vi Honeypot i vår interna IT-miljö. När vi identifierar portskanning får vår server en avisering så att IP-adressens MAC-adress och nätverksport blockeras.
Vi erbjuder också regelbundet utbildning kring informationssäkerhet för vår IT-avdelning.
12. Åtgärder för certifiering/kvalitetssäkring av processer och produkter
All programvara utvecklas enligt standardprocedurer, och kodkvaliteten säkerställs genom kodgranskningar.
Vi använder en procedur för att utvärdera kodsäkerheten och hantera programvaran med hjälp av konfigurationsfiler.
Vi utför heltäckande tester innan vår programvara används i produktionsmiljö, bland annat röktester i våra internt utvecklade testprogram.
Vi lanserar vår programvara enligt kanariefågelmetoden där vi lanserar den senaste versionen gradvis så att programvaran säkert är stabil.
13. Åtgärder för att minimera mängden uppgifter
Synology samlar endast in den information som krävs för att förse dig med C2-tjänsterna. Vi använder eller analyserar inte de data du laddar upp, förutom när molntjänsten säkerhetskopieras eller med ditt tillstånd när det krävs för att tillhandahålla tjänster och sökfunktioner.
Användare kan när som helst under abonnemanget av Synology C2-tjänsterna radera sina data. När abonnemangsperioden upphör raderas alla data efter en "respitperiod" som definieras i användarvillkoren för Synology C2.
Om en användare tar bort sitt Synology-konto raderas dessutom alla data och C2-abonnemanget blir ogiltigt.
14. Åtgärder för att säkerställa uppgifternas kvalitet
Läs mer i fråga 2 i Xxxxx XX.
15. Åtgärder för att begränsa kvarhållningen av uppgifterna
Synology tar bort data som inte längre behövs enligt detaljerna för respektive tjänst.
Användare kan när som helst under abonnemanget av Synology C2-tjänsterna radera sina data. När abonnemanget upphör raderas alla data efter en "respitperiod" som definieras i användarvillkoren för Synology C2. Om användaren tar bort sitt Synology-konto raderas alla data och Synology C2- abonnemanget blir ogiltigt. Synology kan behålla betalningsuppgifter för finansiella ändamål, inklusive men inte begränsat till momsrapportering, granskning och lagerhållning. Synology behåller dessutom statistiska rapporter och kraschrapporter för apparna i analyssyfte i högst 14 månader.
16. Åtgärder för att säkerställa ansvarsskyldigheten
Det krävs behörighet för att komma åt vårt serverdelssystem. Data i de tjänster som använder C2- kryptering har krypterats i klienten innan de laddas upp till servern, så de data som lagras i
tjänsterna kan varken läsas eller dekrypteras.
I de tjänster som använder C2-kryptering måste användarna logga in på sitt C2-konto och ange rätt krypteringsnyckel innan några data kan redigeras.
17. Åtgärder för att möjliggöra uppgifternas portabilitet och säkerställa deras radering
Uppgifterna i de flesta av våra C2-tjänster är portabla, plattforms- och formatoberoende.
18. När det gäller överföring till underordnade biträden ska du även beskriva de specifika tekniska och organisatoriska åtgärder som det underordnade biträdet ska vidta i syfte att hjälpa personuppgiftsansvarig, eller uppgiftsutföraren vid överföring från ett personuppgiftsbiträde till ett underordnat biträde
De externa personuppgiftsbiträdena Cherri Tech, Inc. (Tappay) och Stripe, Inc. används i samband med betalningen av C2-tjänsterna för att hantera användarnas betalnings- och faktureringsuppgifter säkert. Båda personuppgiftsbiträdena använder lämpliga åtgärder och har ett gott anseende gällande skyddet av personuppgifter.
Mer information finns i faktabladet om Synology C2.
BILAGA III
LISTA MED UNDERORDNADE PERSONUPPGIFTSBITRÄDEN
Personuppgiftsansvarig har godkänt användning av följande underordnade personuppgiftsbiträden:
Leverantör | Syfte | Datacenter |
Firstcolo GmbH | Leverantör av molninfrastruktur till Synology Inc. | Tyskland |
Sabey Data Center Solutions LLC | Leverantör av molninfrastruktur till Synology Inc. | USA |
Equinix, Inc. | Leverantör av molninfrastruktur till Synology Inc. | USA |
Digicentre Co. Ltd. | Leverantör av molninfrastruktur till Synology Inc. | Taiwan |
Zayo Group, LLC. | Internetleverantör till Synology Inc. | USA |
Chunghwa Telecom Company, Ltd. | Internetleverantör till Synology Inc. | Taiwan |
Deutsche Telekom AG | Internetleverantör till Synology Inc. | Tyskland |
Stripe, Inc. | Synology använder Stripe till säker hantering av betalningar. | Tyskland/US A |
Cherri Tech, Inc. | Synology använder Cherri Techs Tap Pay till säker hantering av betalningar. | Taiwan |
GateWeb Information Co., Ltd. | Synology använder GateWeb till säker hantering av betalningar. | Taiwan |
Apple Inc. | Synology använder köp i appen i Apple iOS till säker hantering av betalningar. Synology skickar meddelanden via Apple Push Notification Service | Tyskland/US A/Taiwan |
AWS | Synology skickar e-post via AWS SES samt aviseringar via AWS SNS. E-post- och SNS-loggar säkerhetskopieras också i AWS CloudWatch och AWS SNS + AWS SQS. | Tyskland/US A/Taiwan |
Google LLC | Synology skickar aviseringar via Google LLC:s Firebase Cloud Messaging. | Tyskland/US A/Taiwan |
Synology förbinder sig att hålla denna lista löpande uppdaterad så att personuppgiftsansvariga hålls informerade om den delegerade behandling som utförs i samband med Synologys tjänster.