ການປະມວນຜົນຂໍ້ມູນ ພາກເພີ່ມເຕີມ

ຄໍາທີ່ຂຽນຂຶ້ນຕົ້ນດ້ວຍຕົວໃຫຍ່ ແລະ ບໍ່ໄດ້ນິຍາມໄວ້ທີ່ນີ້ ມີຄວາມໝາຍຕາມ GDPR (Regulation (EU) 2016/679) ແລະ, ເມື່ອນໍາໃຊ້ໄດ້, UK GDPR / Data Protection Act 2018, California Consumer Privacy Act ຕາມທີ່ຖືກແກ້ໄຂໂດຍ CPRA (“CCPA”), ແລະ ກົດຫມາຍທຽບເທົ່າຂອງເຂດອໍານາດອື່ນ.

“Personal Data” ໝາຍເຖິງຂໍ້ມູນທີ່ລູກຄ້າສົ່ງເຂົ້າ ຫຼື Service ສ້າງຂຶ້ນ ເຊິ່ງລະບຸຕົວ ຫຼື ກ່ຽວຂ້ອງກັບບຸກຄົນທໍາມະດາທີ່ຖືກລະບຸ ຫຼື ສາມາດລະບຸໄດ້. “Sub-processor” ໝາຍເຖິງບຸກຄົນທີສາມທີ່ FixVibe ວ່າຈ້າງໃຫ້ປະມວນຜົນ Personal Data ໃນນາມຂອງ FixVibe — ລະບຸໄວ້ທີ່ /legal/privacy.

ແຕ່ລະຝ່າຍຮັບຜິດຊອບແຍກຕ່າງຫາກໃນການປະຕິບັດຕາມ Data Protection Laws ທີ່ນໍາໃຊ້ກັບຕົນ. ລູກຄ້າແມ່ນ Controller ແລະ FixVibe ແມ່ນ Processor ຂອງ Personal Data ທີ່ຖືກປະມວນຜົນພາຍໃຕ້ພາກເພີ່ມເຕີມນີ້. FixVibe ຈະປະມວນຜົນ Personal Data ເທົ່ານັ້ນຕາມຄໍາສັ່ງທີ່ມີເອກະສານຂອງລູກຄ້າ (ການຕັ້ງຄ່າຂອງ Service ຖືວ່າເປັນຄໍາສັ່ງດັ່ງກ່າວ), ຍົກເວັ້ນເມື່ອກົດຫມາຍກໍານົດໃຫ້ເຮັດຢ່າງອື່ນ.

FixVibe ຮັບປະກັນວ່າບຸກຄະລາກອນທີ່ໄດ້ຮັບອະນຸຍາດໃຫ້ປະມວນຜົນ Personal Data ຖືກຜູກມັດໂດຍພັນທະຄວາມລັບ. ການເຂົ້າເຖິງຂໍ້ມູນ production ຖືກຈໍາກັດໄວ້ກັບພະນັກງານ operations ກຸ່ມນ້ອຍຕາມຫຼັກ least-privilege, ຖືກບັນທຶກຜ່ານ audit_logs, ແລະ ຖືກທົບທວນເປັນໄລຍະ. ພະນັກງານ FixVibe ບໍ່ເຂົ້າເຖິງຂໍ້ມູນລູກຄ້າ ຍົກເວັ້ນເພື່ອສືບສວນ support tickets, ຕອບສະຫນອງ security incidents, ຫຼື ປະຕິບັດຕາມກະບວນການທາງກົດຫມາຍ.

FixVibe ນໍາໃຊ້ມາດຕະການທາງເຕັກນິກ ແລະ ອົງກອນທີ່ເໝາະສົມສອດຄ່ອງກັບ GDPR Art. 32, ລວມທັງ:

• ການເຂົ້າລະຫັດ Personal Data ໃນຂະນະສົ່ງຜ່ານ (TLS 1.2+) ແລະ ໃນຂະນະພັກເກັບ (database disk-level + targeted column-level AES-256-GCM ສໍາລັບ authenticated-scan headers ແລະ OAuth tokens);
• ບັງຄັບ row-level security ໃນທຸກ database table — application code ບໍ່ສາມາດອ່ານ ຫຼື ຂຽນຂ້າມຂອບເຂດອົງກອນໄດ້ ແມ່ນແຕ່ໂດຍຜິດພາດ;
• multi-factor authentication ຕໍ່ຜູ້ໃຊ້ຜ່ານ upstream OAuth provider (Google ຫຼື GitHub) ເມື່ອລູກຄ້າເລືອກ social sign-in;
• ການວິເຄາະ static analysis ຕໍ່ເນື່ອງ + dependency vulnerability scanning ຂອງ FixVibe codebase ເອງ;
• backups ຜ່ານ database provider ພ້ອມ point-in-time recovery; ທົດສອບທຸກປີ;
• ກໍານົດໄລຍະເວລາເກັບຮັກສາ (ເບິ່ງ ນະໂຍບາຍຄວາມເປັນສ່ວນຕົວ) ແລະ ບັງຄັບໂດຍ cron ອັດຕະໂນມັດລາຍວັນ, ບໍ່ແມ່ນຄໍາສັນຍາຢູ່ໃນເຈ້ຍ.

ລູກຄ້າອະນຸຍາດໃຫ້ FixVibe ວ່າຈ້າງ Sub-processors ທີ່ລະບຸໄວ້ໃນ ນະໂຍບາຍຄວາມເປັນສ່ວນຕົວ ສໍາລັບຈຸດປະສົງທີ່ອະທິບາຍໄວ້ທີ່ນັ້ນ. FixVibe ເຂົ້າເຮັດສັນຍາລາຍລັກອັກສອນກັບ Sub-processor ແຕ່ລະລາຍ ເຊິ່ງກໍານົດພັນທະດ້ານການຄຸ້ມຄອງຂໍ້ມູນທີ່ບໍ່ປົກປ້ອງນ້ອຍກວ່າພັນທະໃນພາກເພີ່ມເຕີມນີ້, ແລະ ຍັງຄົງຮັບຜິດຕໍ່ລູກຄ້າສໍາລັບການກະທໍາ ແລະ ການລະເລີຍຂອງ Sub-processor ໃນສ່ວນທີ່ກ່ຽວກັບການປະມວນຜົນ Personal Data.

FixVibe ຈະແຈ້ງໃຫ້ລູກຄ້າຊາບ (ຜ່ານການແຈ້ງໃນແອັບ ຫຼື ອີເມວ) ກ່ຽວກັບການເພີ່ມ ຫຼື ການປ່ຽນແທນ Sub-processors ທີ່ຕັ້ງໃຈຈະເຮັດ ຢ່າງໜ້ອຍ 30 ມື້ລ່ວງໜ້າ, ເພື່ອໃຫ້ລູກຄ້າມີໂອກາດຄັດຄ້ານ. ຖ້າລູກຄ້າຄັດຄ້ານດ້ວຍເຫດຜົນການຄຸ້ມຄອງຂໍ້ມູນທີ່ສົມເຫດສົມຜົນ, ລູກຄ້າອາດຢຸດ Service ໃນສ່ວນທີ່ເປັນ processing ທີ່ໄດ້ຮັບຜົນ.

FixVibe ປະມວນຜົນ Personal Data ເປັນຫຼັກຢູ່ໃນສະຫະລັດ. ເມື່ອ Personal Data ຖືກໂອນຈາກ EEA, UK, ຫຼື Switzerland ໄປຍັງປະເທດທີສາມທີ່ຍັງບໍ່ໄດ້ຮັບ adequacy decision, FixVibe ອາໄສ:

• Standard Contractual Clauses ຂອງ European Commission (Decision (EU) 2021/914), Module 2 (controller-to-processor), ທີ່ຖືກລວມເຂົ້າໃນພາກເພີ່ມເຕີມນີ້ໂດຍການອ້າງອີງ;
• UK International Data Transfer Addendum ຕໍ່ EU SCCs (ຫຼື IDTA ແບບດ່ຽວ), ຕາມທີ່ ICO ເຜີຍແຜ່;
• ມາດຕະການທາງເຕັກນິກ ແລະ ອົງກອນເພີ່ມເຕີມທີ່ອະທິບາຍໃນ Section 4.

ລູກຄ້າອະນຸຍາດໃຫ້ FixVibe ເຂົ້າເຮັດ SCCs / IDTA ກັບ Sub-processor ຕໍ່ໄປແຕ່ລະລາຍໃນນາມຂອງລູກຄ້າ.

FixVibe ຈະຊ່ວຍລູກຄ້າ (ໂດຍຄໍານຶງເຖິງລັກສະນະຂອງ processing ແລະ ຂໍ້ມູນທີ່ມີຢູ່) ໃນການຕອບຄໍາຮ້ອງຂໍຂອງ data subject ພາຍໃຕ້ Articles 15–22 GDPR. ສິດສ່ວນໃຫຍ່ໃຊ້ self-serve ໄດ້ຈາກ ບັນຊີ → ຄວາມເປັນສ່ວນຕົວ; ສໍາລັບຄໍາຮ້ອງຂໍທີ່ເຫຼືອ, ລູກຄ້າອາດສົ່ງອີເມວຫາ support@fixvibe.app ດ້ວຍຫົວຂໍ້ “Privacy request”. ພວກເຮົາຕອບພາຍໃນ 30 ມື້.

FixVibe ຈະແຈ້ງໃຫ້ລູກຄ້າຊາບໂດຍບໍ່ຊັກຊ້າເກີນຄວນ (ແລະ ໃນທຸກກໍລະນີພາຍໃນ 72 ຊົ່ວໂມງຫຼັງຈາກຮູ້ເຫດ) ກ່ຽວກັບ Personal Data breach ທີ່ກະທົບຕໍ່ Customer Personal Data, ໂດຍໃຫ້ຂໍ້ມູນຕາມທີ່ລູກຄ້າຕ້ອງການຢ່າງສົມເຫດສົມຜົນເພື່ອປະຕິບັດຕາມພັນທະ Article 33 / 34 ຂອງຕົນ, ລວມທັງລັກສະນະຂອງ breach, ປະເພດ ແລະ ຈໍານວນໂດຍປະມານຂອງ data subjects ແລະ records ທີ່ກ່ຽວຂ້ອງ, ຜົນທີ່ອາດເກີດ, ແລະ ມາດຕະການທີ່ໄດ້ເຮັດ ຫຼື ສະເຫນີເພື່ອແກ້ໄຂ.

FixVibe ຈັດໃຫ້ລູກຄ້າເຂົ້າເຖິງຂໍ້ມູນທີ່ຈໍາເປັນເພື່ອສະແດງການປະຕິບັດຕາມພາກເພີ່ມເຕີມນີ້, ລວມທັງເອກະສານນີ້, ນະໂຍບາຍຄວາມເປັນສ່ວນຕົວ, ນະໂຍບາຍການນໍາໃຊ້ທີ່ຍອມຮັບໄດ້, Terms, ແລະ ລາຍງານຄວາມປອດໄພຈາກບຸກຄົນທີສາມໃດໆທີ່ພວກເຮົາມີ (ພວກເຮົາຈະແບ່ງປັນພາຍໃຕ້ NDA ເມື່ອຮ້ອງຂໍ). FixVibe ຈະອະນຸຍາດ ແລະ ຮ່ວມມືກັບການກວດສອບ, ລວມທັງ inspections, ທີ່ລູກຄ້າ ຫຼື auditor ອື່ນທີ່ລູກຄ້າມອບໝາຍດໍາເນີນການ, ໂດຍມີການແຈ້ງລ່ວງໜ້າທີ່ສົມເຫດສົມຜົນ ແລະ ໃນເວລາເຮັດການ, ບໍ່ເກີນໜຶ່ງເທື່ອຕໍ່ປີປະຕິທິນ (ຍົກເວັ້ນເມື່ອ regulator ກໍານົດຢ່າງອື່ນ ຫຼື ໃນກໍລະນີ Personal Data breach).

ເມື່ອ Service ສິ້ນສຸດ, ແລະ ຕາມທີ່ລູກຄ້າເລືອກ, FixVibe ຈະລຶບ ຫຼື ສົ່ງຄືນ Personal Data ທັງໝົດທີ່ຖືກປະມວນຜົນໃນນາມຂອງລູກຄ້າພາຍໃນ 30 ມື້, ຍົກເວັ້ນເທົ່າທີ່ FixVibe ຖືກກົດຫມາຍທີ່ນໍາໃຊ້ບັງຄັບໃຫ້ເກັບຮັກສາ (ເຊັ່ນ ບັນທຶກພາສີ / billing). ຂະບວນການ self-serve ໃນການລຶບບັນຊີທີ່ ບັນຊີ → ຄວາມເປັນສ່ວນຕົວ ຈະກະຕຸ້ນສິ່ງນີ້ທັນທີ.

ສໍາລັບຈຸດປະສົງຂອງ CCPA, FixVibe ແມ່ນ “Service Provider” ແລະ ລູກຄ້າແມ່ນ “Business” ກ່ຽວກັບ Personal Information ໃດໆທີ່ຖືກປະມວນຜົນພາຍໃຕ້ພາກເພີ່ມເຕີມນີ້. FixVibe ຈະບໍ່:

• ຂາຍ ຫຼື ແບ່ງປັນ (ຕາມຄໍານິຍາມຂອງຄໍາເຫຼົ່ານັ້ນພາຍໃຕ້ CCPA) Personal Information;
• ເກັບຮັກສາ, ໃຊ້, ຫຼື ເປີດເຜີຍ Personal Information ເພື່ອຈຸດປະສົງໃດນອກເໜືອຈາກຈຸດປະສົງທຸລະກິດເຉພາະໃນການສະຫນອງ Service, ລວມທັງນອກຄວາມສໍາພັນທຸລະກິດໂດຍກົງລະຫວ່າງ FixVibe ແລະ ລູກຄ້າ;
• ລວມ Personal Information ທີ່ໄດ້ຮັບຈາກລູກຄ້າເຂົ້າກັບ Personal Information ທີ່ໄດ້ຮັບຈາກແຫຼ່ງອື່ນ, ຍົກເວັ້ນຕາມທີ່ CCPA ອະນຸຍາດໄວ້ຢ່າງຊັດເຈນ.

FixVibe ຮັບຮອງວ່າເຂົ້າໃຈ ແລະ ຈະປະຕິບັດຕາມຂໍ້ຈໍາກັດເຫຼົ່ານີ້.

ໃນກໍລະນີມີຂໍ້ຂັດແຍ່ງລະຫວ່າງພາກເພີ່ມເຕີມນີ້ ແລະ ຂໍ້ກໍານົດການບໍລິການ, ພາກເພີ່ມເຕີມນີ້ມີຜົນເໜືອໃນຂອບເຂດຂອງຂໍ້ຂັດແຍ່ງ. SCCs / IDTA ມີຜົນເໜືອທັງສອງເມື່ອນໍາໃຊ້.

ສໍາລັບເລື່ອງການຄຸ້ມຄອງຂໍ້ມູນທັງໝົດ, ລວມທັງການໃຊ້ສິດຂອງ data subject ແລະ ຄໍາຖາມກ່ຽວກັບ Sub-processors, ຕິດຕໍ່ EGO HERO LLC:

• email: support@fixvibe.app (ໃຊ້ຫົວຂໍ້ “DPA” ເພື່ອການຈັດເສັ້ນທາງ)
• postal: ທີ່ຢູ່ມີໃຫ້ເມື່ອຮ້ອງຂໍຜ່ານອີເມວຂ້າງເທິງ