法律信息

MSA 数据处理附录

上次更新时间：2024 年 1 月 30 日

MSA 数据处理附录

本数据处理附录（“DPA”）纳入并构成 Avetta 与供应商之间的 Avetta 主订阅协议（“主协议”）的一部分，其中列出了 Avetta 在根据主协议提供服务时获取、处理、披露、传输或存储个人数据的附加条款、要求和条件。本 DPA 中未定义的所有大写术语应具有主协议中赋予它们的含义。

1.定义和解释。

1.1 定义。

“适用的数据保护法规”是指适用于各方处理与本主协议相关的个人数据的法律和法规，包括（如适用）：(i) 欧洲议会和理事会的《通用数据保护条例》（欧盟）2016/679（“GDPR”），视情况由客户直接或间接运营公司所在的相关欧盟成员国法律和法规修订和补充；(ii) 英国《2018 年数据保护法》和英国《通用数据保护条例》（“UK GDPR”）；(iii) 1988 年澳大利亚《隐私法》和《国家隐私原则》；(iv) 经《2020 年加州隐私权法案》修订的《2018 年加州消费者隐私法案》以及任何相关法规或指南（统称为“CCPA”）；(v) 加拿大《个人信息保护和电子文件法》（“PIPEDA”）；以及 (vi)任何其他现行有效和即将生效的国际、联邦、州、省和地方隐私或数据保护法律、规则、条例、指令和政府要求。

“数据主体”是指作为个人数据主体的个人，个人数据直接或间接地与之相关或识别其身份。

“数据隐私框架”包括《欧盟-美国数据隐私框架》、《欧盟-美国数据隐私框架英国扩展》以及《瑞士-美国数据隐私框架》，它们分别由美国商务部、欧盟委员会、英国政府和瑞士联邦政府为促进跨大西洋贸易而制定，旨在为美国组织提供从欧洲经济区（EEA）、英国（和直布罗陀）和瑞士向美国传输个人数据的可靠机制，同时确保数据保护符合欧盟、英国和瑞士法律。

“欧洲经济区（EEA）”是指由欧盟所有成员国及冰岛、挪威和列支敦士登组成的欧洲经济区。

“欧盟标准合同条款（EU SCC）”是指欧盟委员会关于从欧盟向第三国传输个人数据的标准合同条款，如委员会决定 (EU) 2021/914 附件中所述，其副本可参见 https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en。

“个人数据”是指 Avetta 处理的以下任何信息，(i) 单独使用这些信息或将其与 Avetta 拥有或控制的其他信息组合使用，可直接或间接识别个人身份或与个人建立关联，或 (ii) 适用的数据保护法规另行定义为受保护的个人数据或个人信息。

“处理”是指涉及使用个人数据的任何活动，或适用的数据保护法规另行定义的术语“处理”。它包括获取、记录或保存数据，或对数据执行任何操作或一组操作，包括组织、修改、检索、使用、披露、删除或销毁数据。处理还包括向第三方传输个人数据。

“安全漏洞”是指导致个人数据遭到意外或非法破坏、丢失、更改、未经授权披露或访问的安全漏洞。

“主体权利请求”是指数据主体根据适用的数据保护法规行使其权利。

“英国附录”是指英国信息专员办公室发布的《欧盟委员会标准合同条款国际数据传输附录》，其副本可参见 https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/international-transfers/international-data-transfer-agreement-and-guidance。

1.2 附表是本 DPA 的组成部分，其效力等同于在本 DPA 正文的完整阐述。对本 DPA 的任何引用均包括附表。

1.3 “书面”或“书面形式”的引用包括电子邮件。

1.4 如果本 DPA 的任何条款与主协议的条款存在冲突或歧义，则以本 DPA 的条款为准。如果本 DPA 的任何条款与附表 A 中包含的任何条款存在冲突或歧义，则以附表 A 的适用条款为准。

2.角色和处理范围。

2.1 各方角色。客户和 Avetta 承认并同意：

(a) 如果 Avetta 代表客户并在客户指示下处理个人数据，则 Avetta 是数据处理者；以及

(b) 如果 Avetta 出于与提供服务相关的自身目的或 Avetta 的合法商业利益处理个人数据，例如计费、帐户管理、技术支持、产品开发、分析用途以及销售和营销（例如，向客户的管理员用户发送新闻简报），则 Avetta 是数据控制者。

2.2 客户对个人数据的处理。客户承认并同意：

(a) 客户应对（由客户或其数据主体）提交给 Avetta 的个人数据的准确性、质量和合法性负全部责任；

(b) 客户应仅向 Avetta 上传和提交遵照适用数据保护法规从数据主体获取的个人数据；

(d) 如果同意是处理个人数据的合法依据，或者使用服务需要取得同意，则客户应始终提供并维护：(i) 获取数据主体同意的机制；(ii) 数据主体撤销同意的机制，在每种情况下均应符合适用的数据保护法规；以及

(e) 客户对服务的使用不会侵犯任何数据主体的权利。

2.3 数据处理的细节。附表 B 描述了个人数据的一般类别、数据主体的类型以及 Avetta 根据主协议提供服务时实施的其他处理细节。

3.Avetta 的义务。

3.1 Avetta 将仅出于附表 B 所列的特定传输目的处理个人数据。在以下情况下，Avetta 可能会出于其他目的处理个人数据：(i) 已获得数据主体的事先同意；(ii) 在特定行政、监管或司法程序中，为确立、行使或捍卫合法要求所必需的情况下；或 (iii) 为保护数据主体或其他自然人的重大利益所必需的情况下。如果 Avetta 作为客户的数据处理者，则应根据客户的指示处理个人数据。双方同意，客户的指示应在主协议的范围内。任何额外要求的指示均需获得 Avetta 的事先书面同意。如果 Avetta 认为该等指示违反任何适用的数据保护法规，则应立即通知客户。在适用的情况下，客户应负责任何可能需要的与数据主体相关的沟通、通知、协助和/或授权。

3.2 在考虑到 Avetta 处理的性质和可用信息的情况下，Avetta 将合理协助客户履行适用数据保护法规规定的客户合规义务，前提是客户应承担 Avetta 提供该等协助所产生的所有费用。该等合规义务可能包括在某类处理可能会对自然人的权利和自由造成高风险时，评估该处理操作对个人数据保护的影响（“数据保护影响评估”）的义务。

4.Avetta 的雇员。

4.1 Avetta 将确保所有有权访问或参与处理个人数据的员工 (i) 已接受关于个人数据处理的适用数据保护法规，及其如何适用于员工特定职责的培训；了解适用数据保护法规和本 DPA 规定的 Avetta 的职责及员工个人的职责和义务；(ii) 承担适当的保密义务（无论是合同义务还是法定义务）。

4.2 Avetta 将采取合理措施，确保有权访问个人数据的任何 Avetta 员工的可靠性、正直性和可信度。

5.安全。

5.1 考虑到现有技术水平、实施成本和处理的性质、范围、背景和目的，以及对数据主体的权利和自由不同可能性和严重程度的风险，Avetta 已实施适当的技术和组织措施，确保与风险相适应的安全级别，包括附表 B 附件 II 中所述的安全措施。Avetta 可能不时审查和更新附件 II，前提是任何该等更新不得实质性地降低服务或个人数据的整体安全性。

5.2 客户负责审查 Avetta 提供的数据安全相关信息，并独立决定服务是否符合客户要求和适用数据保护法规规定的法律义务。

6.安全漏洞和个人数据丢失。

6.1 Avetta 发现任何安全漏洞后应立即通知客户。Avetta 的通知应发送至客户在服务中注册的电子邮箱，如果未注册此类电子邮箱，则客户承认，通知方式应由 Avetta 合理酌情决定，且 Avetta 及时通知的能力将受到不利影响。Avetta 应立即采取合理措施，控制、调查和缓解任何安全漏洞。如果客户怀疑存在任何安全漏洞，客户应立即报告至 infosec@avetta.com。

6.2 在可行的范围内，Avetta 应及时向客户提供有关安全漏洞的信息，包括但不限于安全漏洞的性质和后果、Avetta 为缓解或控制安全漏洞采取和/或提出的措施、Avetta 调查的状态、可提供更多信息的联络人，以及相关数据记录的类别和大致数量。由 Avetta 或代表 Avetta 就安全漏洞与客户进行的沟通，不应理解为 Avetta 承认与安全漏洞相关的任何过失或责任。

7.个人数据的跨境传输；必要的合同条款。

7.1 客户承认并同意，Avetta 可根据需要在全球范围内传输、访问和处理个人数据以提供服务。

7.2 如果适用的数据保护法规已规定向 Avetta 传输个人数据的具体机制和/或 Avetta 处理个人数据的合同条款（统称为“传输机制”），则 Avetta 应在附表 A 中提供该等具体传输机制（在 Avetta 通常支持的范围内）。

7.3 如果适用的数据保护法规规定了对处理个人数据传输和/或合同条款的额外要求，则 Avetta 同意合理配合客户，确保客户遵守该等要求，并适时更新附表 A 中的传输机制。客户同意签署进一步文件，并采取合理必要的进一步行动，以使补充或修改后的传输机制具有法律效力。

8.（子）处理者。

8.1 客户同意，如果 Avetta 作为数据处理者，则可能使用处理者和关联公司上列出的子处理者来处理与提供服务相关的个人数据。在授权任何新的子处理者或更换任何子处理者之前至少 10 天，Avetta 将在处理者和关联公司上发布拟议的新的子处理者，以通知客户相关变更。客户有责任定期查看此网站以获取更新信息。对于指定与 Avetta 遵守本 DPA 相关的新的子处理者，若客户存在任何合理的异议，Avetta 将尽合理努力解决客户的异议。如果无法达成解决方案，Avetta 将自行决定不指定新的子处理者，或允许客户暂停或终止主协议，且任何一方均不承担责任。Avetta 没有义务退还根据主协议支付的任何款项。客户进一步承认并同意，如果 Avetta 作为数据控制者，则可能使用处理者和关联公司上所述或列出的其他服务提供商来实现其中所述的目的。

9.数据主体权利请求。

9.1 双方同意提供合理必要的协助，以使另一方在适用的数据保护法规规定的时限内遵守任何主体权利请求。

10.第三方数据访问请求。

10.1 如果政府机关、监管机构或执法机构要求披露客户的个人数据，则 Avetta 应通知客户，除非法律或该等机构或部门具有法律约束力的命令另行禁止。

11.期限和终止。

11.1 本 DPA 应于主协议生效之日或首次向 Avetta 提供个人数据之日（以较早者为准）生效，且在主协议有效期内保持完整效力。

11.2 为保护个人数据，本 DPA 中任何明示或暗示应在主协议终止时或终止后生效或继续有效的条款将继续保持完整效力。

12.数据返还和销毁。

12.1 如果供应商在 Avetta 处置其个人数据之前提交请求，则 Avetta 将应客户书面请求，以双方商定的格式向客户提供其掌握或控制的客户个人数据的副本或访问权限。

12.2 主协议终止后，Avetta 将在合理期限内安全删除或销毁其所拥有或控制的与本 DPA 相关的客户个人数据。此要求不适用于 (i) 如果保留个人数据是为了满足任何法律、监管、税收、会计或报告要求，或者如果 Avetta 有理由认为存在诉讼的可能性，而保留个人数据对于确立、行使或捍卫合法要求是必要的；(ii) 备份系统中的个人数据，直至备份已根据 Avetta 的备份政策被覆盖或删除。在此情况下，Avetta 将隔离和保护个人数据，除非适用法律要求，否则不得对其进行任何进一步处理，直至可以删除。

13.审计。

13.1 Avetta 应根据书面请求，在不向客户收取额外费用的情况下，向客户和/或其具有适当资格的第三方代表（统称为“审计员”）提供合理要求的文件访问权限，该文件用于证明 Avetta 遵守本 DPA 规定的义务，其证明形式为附表 B 附件 II 所列的相关审计或认证，例如 ISO/IEC 27001:2013、ISO/IEC 27701:2019、ISO/IEC 27017:2015、ISO/IEC 27018:2019 和 ISO/IEC 22301:2019（“ISO 认证”）和 SOC 2 Type II。Avetta 还将回复审计员提交的任何书面审计问卷，并通过电话会议或面对面解决后续问题（由客户承担费用），前提是客户每年行使此权利的次数不超过一次，除非主管数据保护机构有指示要求。Avetta 可能要求审计员在审查任何报告或对 Avetta 进行审计之前，与 Avetta 签署单独的保密协议。如果 Avetta 有理由认为审计员不具备适当资格或属于 Avetta 的直接竞争对手，则可以书面形式对该审计员提出异议。Avetta 提出的任何该等异议将要求客户指定另一名审计员。审计员在审查报告或审计中产生的任何相关费用应完全由审计员承担。

14.一般。

14.1 双方同意，本 DPA 应取代和替代 Avetta 与客户先前可能就服务签署的任何现有数据处理附录、附加文件、附件或标准合同条款。Avetta 可能不时更新本 DPA（例如，为响应适用数据保护法规的任何变化，或由于合并、收购、公司重组或其他类似事件，或发布新特征、功能、产品或服务，或对任何现有服务作出实质性变更），但前提是任何该等更新均不得实质性地削弱个人数据的隐私性或安全性。Avetta 将在 MSA 数据处理附录或 Avetta 指定的后续网站上发布更新版本。

14.2 本 DPA 规定或与之相关的 Avetta 的责任（包括 EU SCC 规定的责任）均受主协议中的责任排除和限制条款的约束。在任何情况下，Avetta 均不限制或排除其对数据主体或主管数据保护机构的责任。

14.3 除非 EU SCC 明确规定或适用数据保护法规要求，否则本 DPA 不授予任何第三方受益者权利；本 DPA 的受益者仅限于本协议双方及其各自允许的继任者和受让人，任何其他人不得受益于本 DPA，也不得强制执行本 DPA 的任何条款。

14.4 本 DPA 以及与之相关的任何诉讼应受主协议中规定的法律管辖并依其解释，不考虑任何法律原则冲突。双方同意接受主协议中指定的法院的属人管辖权和审判地。

14.5 如果本 DPA 中的任何条款因任何原因被认定为无效或不可执行，则本 DPA 中的其他条款仍可执行。在不限制前述条款的一般性的前提下，客户同意，即使本 DPA 中的任何条款无法执行，第 14.2 条（责任限制）仍将有效。

附表 A

传输机制和必要的合同条款

附表 A 提供了 Avetta 支持的传输机制。如果传输机制不适用于从客户向 Avetta 传输，则该机制不适用，也不应纳入本 DPA。如果根据适用的数据保护法规，所列传输机制适用或变得适用，则该机制应被视为已由双方签署（如需签署）并纳入本 DPA。

1.数据隐私框架。

对于向美国传输个人数据，Avetta 已自我认证，符合美国商务部管理的《欧盟-美国数据隐私框架》、《欧盟-美国数据隐私框架英国扩展》以及《瑞士-美国数据隐私框架》。有关更多信息，请参阅 Avetta 的数据隐私框架声明，可在 www.avetta.com/data-privacy-framework 上查阅。

2.欧盟标准合同条款（EU SCC）。

当处理涉及从欧洲经济区以外向 Avetta 传输个人数据，且没有其他合法的国际传输依据（例如，如果适用的数据隐私框架无效）时，该等传输将受 EU SCC 的约束，具体如下：

在 Avetta 作为数据控制者的情况下，EU SCC 模块一（针对控制者向控制者的传输）应适用于客户和 Avetta 之间的个人数据传输，且以下条款作为补充：
1. 使用第 7 条（对接条款）中的可选语言。
2. 不使用第 11(a) 条（申诉）中的可选语言。
3. 对于第 17 条，使用第一个选项，以德国法律为适用法律。
4. 对于第 18(b) 条，选定的法院应为德国法院。
在客户作为数据控制者且 Avetta 作为数据处理者的情况下，EU SCC 模块二（针对控制者向处理者的传输）应适用，且以下条款作为补充：
1. 使用第 7 条（对接条款）中的可选语言。
2. 对于第 9(a) 条，选择选项 2（一般书面授权），规定期限为十 (10) 天。
3. 不使用第 11(a) 条（申诉）中的可选语言。
4. 对于第 17 条，使用第一个选项，以德国法律为适用法律。
5. 对于第 18(b) 条，选定的法院应为德国法院。
EU SCC 的附件 I、附件 II 和附件 III 应视为已包括附表 B 所列信息。

3.英国附录。当处理涉及从英国以外向 Avetta 传输个人数据，且没有其他合法的国际传输依据（例如，如果适用的数据隐私框架无效）时，该等传输将受英国附录的约束，且以下条款作为补充：

本英国附录的双方即为本 DPA 的双方。
本英国附录所修订的 EU SCC 应该是本附表 A 第 2 条中引用的适用 EU SCC，且英国附录的表 1-3 应该相应地包含相关信息。
为了英国附录表 4 的目的，应选择“输入者”。
英国附录第 2 部分应为：“第 2 部分：批准的附录的强制性条款，即模板附录 B.1.0，由 ICO 发布，根据《2018 年数据保护法案》第 119A 条于 2022 年 2 月 2 日提交议会，并根据该强制性条款第 18 条进行了修订。”

4.瑞士标准合同条款。当处理涉及从瑞士以外向 Avetta 传输个人数据，且没有其他合法的国际传输依据（例如，如果适用的数据隐私框架尚未被认可为/不再是有效的传输机制）时，该等传输将受本附表 A 第 2 条中引用的 EU SCC 约束，但以下情况除外：

“成员国”一词不得解释为排除瑞士数据主体根据标准合同条款第 18(c) 条在经常居住地（瑞士）就其权利提起诉讼的可能性。
在传输完全受《联邦数据保护法案》（“FADP”）约束的情况下，对 GDPR 的引用应理解为对 FADP 的引用。
在传输同时受 FADP 和 GDPR 约束的情况下，只要传输受 FADP 约束，对 GDPR 的引用应理解为对 FADP 的引用。

5.CCPA 合同条款。当处理涉及加州居民的个人数据时，双方还应遵守以下规定：

Avetta 将 (i) 仅出于主协议和 CCPA 中所述的准许目的，收集、使用、保留或披露个人数据，不得用于其他商业目的；(ii) 不为跨场景行为广告出售或共享任何个人数据；(iii) 不在 Avetta 的直接业务关系之外收集、使用、保留或披露个人数据，但为提供服务所必需的除外；(iv) 不会将 Avetta 从客户处或代表客户收集的个人数据与代表其他方收集的个人数据合并，除非出于不涉及跨场景行为广告且 CCPA 允许的商业目的；(v) 至少提供 CCPA 对个人数据所要求的同等水平的隐私保护。Avetta 认证其了解并遵守这些限制。
客户应有权 (i) 监督 Avetta 遵守本 DPA；(ii) 采取合理适当的措施，确保 Avetta 按照 CCPA 的规定使用个人数据。如果 Avetta 确定其无法继续履行 CCPA 规定的任何义务，则应通知客户。在此情况下，Avetta 应与客户合作，并采取一切合理和适当的措施，停止和纠正任何处理，直至该处理符合 CCPA 和本 DPA 的规定。

附表 B

个人数据处理细节

附表 B 构成 DPA 的一部分，描述了 Avetta 在提供服务时实施的处理。

附件 I——数据处理说明

A.各方名单

数据输出者：

名称：	由客户提供
地址：	由客户提供
联系人姓名、职位和联系方式：	由客户提供
与根据本数据处理附录（DPA）传输的数据相关的活动：	根据主协议使用服务。
签名和日期：	当双方签署主协议时，本附表 B 应自动视为已签署。
角色（控制者/处理者）：	控制者

数据输入者：

名称：	Avetta, LLC
地址：	1330 Post Oak Blvd., Suite 600, Houston, TX 77056, USA
联系人姓名、职位和联系方式：	隐私官 privacy@avetta.com
与根据本数据处理附录（DPA）传输的数据相关的活动：	向客户提供服务所必需的处理。根据 Avetta 的隐私政策（“隐私政策”）所述，为了 Avetta 的合法利益所必需的处理，详情请访问隐私政策。
签名和日期：	当双方签署主协议时，本附表 B 应自动视为已签署。
角色（控制者/处理者）：	如果是代表客户执行处理，则为处理者。至于其他处理活动，包括但不限于为了 Avetta 的合法利益所必需的处理活动，则为控制者。

B.传输说明

被传输个人数据的数据主体类别：	通过客户帐户访问或使用服务的客户管理员用户。客户的员工（如果客户为雇员订阅了 Avetta 的员工产品）。客户的访问者（如果客户订阅了相关服务）。
传输的个人数据类别：	客户管理员用户：业务联系数据（例如姓名、头衔、电子邮件、电话号码、邮寄地址）；位置数据（IP 地址）；技术和使用数据（例如浏览器类型和版本、时区设置和位置、浏览器插件类型和版本、操作系统和平台，以及用户用于访问服务的设备上的其他技术）；生物识别数据（如果管理员用户联系 Avetta 的支持团队并明确同意使用管理员用户的声音进行身份验证）；交易数据（例如客户的订阅状态和历史记录，但仅限于交易数据中包含个人数据的情况）；以及营销和通信数据（例如客户的营销和通信偏好，但仅限于此类数据中包含个人数据的情况）。客户的员工（如果客户为雇员订阅了 Avetta 的员工产品）：客户和/或其员工向 Avetta 提交的任何个人数据，可能包括身份数据（例如姓名、身份证号码、二维码或徽章、头衔、出生日期、出生地、性别和公民身份）；联系数据（例如电子邮件、电话号码、家庭/邮寄地址、紧急联系人和关系以及近亲信息）；简档数据（例如用户名、密码、简档照片、语言偏好、雇主、员工所属组、工作站点、工作角色以及员工参加的培训和评估）；健康数据（例如疫苗接种状况、酒精和药物筛查结果以及医疗记录或证明，如果客户要求此类数据）；生物识别数据（如果员工联系 Avetta 的支持团队并明确同意使用员工的声音进行身份验证，或者如果员工在需要指纹来验证员工身份的工作站点工作）；专业数据（例如职业、工作能力、工作能力证明、专业认证、培训状况、学历和学术背景、认证和工作经验）；以及通信数据（例如通信偏好）； Avetta 生成的有关员工的简档数据，可能包括唯一 ID、订阅状态、客户设定的要求的合规状态和/或网站访问密钥；以及交易数据（仅当交易数据中包含员工个人数据时）；位置数据（例如 IP 地址、工作站点位置和登录网站访问控制系统时的地理位置）；以及技术和使用数据（例如浏览器类型和版本、时区设置和位置、语言设置、浏览器插件类型和版本、操作系统和平台、员工用于访问服务的设备上的其他技术、登录/退出时间、网站停留时间、访问的网页、搜索词、评估的第三方内容）。客户的访问者（如果客户订阅了相关服务）：客户和/或其访问者向 Avetta 提交的任何个人数据，可能包括身份数据（例如姓名、身份证号码、头衔、出生日期、出生地和性别）；联系数据（例如电子邮件、电话号码、家庭/邮寄地址）；简档数据（例如用户名、密码、简档照片、语言偏好以及访问者已参加的培训和评估）；生物识别数据（如果访问者联系 Avetta 支持团队并明确同意使用访问者的声音进行身份验证，或者如果访问者经常访问需指纹验证身份的工作站点）；专业数据（例如职业和培训状态）；以及通信数据（例如通信偏好）； Avetta 生成的有关访问者的简档数据；以及交易数据（仅当访问者的个人数据包含在交易数据中时）；位置数据（例如 IP 地址）；技术和使用数据（例如浏览器类型和版本、时区设置和位置、语言设置、浏览器插件类型和版本、操作系统和平台、访问者用于访问服务的设备上的其他技术、登录/退出时间、网站停留时间、访问的网页、搜索词、评估的第三方内容）。
传输的敏感数据（如适用）以及充分考虑到数据性质和所涉风险而应用的限制或保护措施，例如严格的目的限制、访问限制（包括只有经过专门培训的员工才能访问）、保存数据访问记录、对再传输的限制或额外的安全措施：	如上所述，生物识别数据可在数据主体明确同意的情况下收集。客户和/或其员工/访问者上传或提交的内容可能包含特殊类别的数据，其范围完全由客户自行决定和控制。这些特殊类别的数据包括但不限于表明种族或民族血统的信息、工会会员资格以及与个人健康有关的数据处理。此外，可能会收集与服务相关的地理位置数据（例如，当员工登录网站访问控制系统时会收集地理位置数据）。任何此类特殊类别的数据均应采用附表 B 所述的安全措施加以保护。
传输频率（例如，数据是一次性传输还是持续传输）：	在主协议有效期内持续传输。
处理性质：	向客户提供服务所必需的处理。如隐私政策中所述，为维护 Avetta 合法利益所必需的处理。
数据传输和进一步处理的目的：	提供服务所必需的处理。如隐私政策中所述，为维护 Avetta 合法利益所必需的处理。
个人数据的保留期限，或（如不可能）用于确定该期限的标准：	Avetta 应根据本数据处理附录（DPA）第 12 条返还或删除个人数据。
对于向（子）处理者的传输，还应说明处理的主题、性质和期限：	有关（子）处理者的详情，请访问：处理者和关联公司。

C.主管监督机构

根据欧盟标准合同条款（EU SCC）第 13 条确定主管监管机构：

在欧盟《通用数据保护条例》（GDPR）适用情况下，根据欧盟标准合同条款（EU SCC）第 13 条确定主管监管机构。
在英国 GDPR 适用情况下，为英国信息专员办公室。

附件 II——技术和组织安全措施

概览

Avetta 软件即服务应用程序（“SaaS 服务”）在设计之初就考虑到了安全性。Connect 和 Workforce Management SaaS 服务在各个处理层采用各种安全控制措施，以应对各种安全风险。这些安全控制措施可能会发生变化；但是，任何变化都将保持或改进 SaaS 平台的整体安全状况。

以下主要安全控制措施领域适用于 Avetta Connect 和 Workforce Management SaaS 服务的各个组成部分。Avetta 在云服务提供商平台上托管其 SaaS 服务，主要使用 Amazon Web Services (AWS)，在有限的情况下也使用 Equinix。

审计和认证

Avetta SaaS 服务已通过 ISO/IEC 27001:2013、ISO/IEC 27701:2019、ISO/IEC 27017:2015、ISO/IEC 27018:2019 和 ISO/IEC 22301:2019 认证（“ISO 认证”），Avetta 每年都会通过内部控制审计来审查其是否符合 ISO 认证。审计由信息安全和隐私管理系统委员会审查，该委员会由 Avetta 高层管理团队成员组成。

Avetta 主要利用全球 AWS 区域来提供 SaaS 服务的计算和存储。AWS 提供的顶级设施已获得多项认证，包括 SOC2、ISO/IEC 27001:2022、ISO/IEC 27017:2015、ISO/IEC 27018:2019、ISO/IEC 27701:2019、ISO/IEC 22301:2019、ISO/IEC 20000-1:2018 和 ISO/IEC 9001:2015。这些 AWS 设施还提供最先进的物理安全保护设施，用于存储和处理 Avetta 的客户数据。Avetta 使用 Equinix 作为特定地区 Workforce Management 的云服务提供商。Equinix 还拥有多项认证，包括 ISO/IEC 27001、ISO/IEC 22301、ISO/IEC 14001、ISO/IEC 9001、ISO/IEC 50001、PCI DSS、SOC 1 Type II 和 SOC 2 Type II。有关云服务提供商的更多信息，请访问 https://aws.amazon.com/compliance/programs/ 和 https://www.equinix.com/data-centers/asia-pacific-colocation/australia-colocation/sydney-data-centers/sy6。

灾难恢复和业务连续性

为了确保 SaaS 服务保持高度的系统可用性，Avetta 使用指定的备份/故障转移 AWS 数据中心，该中心位于与其正常生产数据处理设施不同的地理位置。这确保了 Avetta 能够对可能导致 AWS 生产设施中断的任何环境、物理或意外事件做出快速反应。

Avetta 制定了全面的灾难恢复和业务连续性计划，并至少每年审查一次。这项审查使 Avetta 的人员能够熟悉应急预案，以应对可能导致 Avetta 正常业务活动中断的事件。

Avetta 系统旨在支持少于 2 小时的恢复点目标（RPO）和少于 4 小时的恢复时间目标（RTO）。

Avetta 还定期开展全面的风险评估活动，以确保在组织内部实施适当的风险缓解策略和控制措施。

事件响应

Avetta 制定了全面的事件响应计划。该计划及相关流程和程序使 Avetta 人员能够快速应对 Avetta 环境中的可疑或潜在安全漏洞或其他可疑网络安全活动。由合格的安全团队成员领导的事件响应小组将对任何该等情况实施评估，并制定适当的行动计划和缓解策略。如果确认存在疑似违规行为，事件响应小组将按照指定程序立即采取行动并做出适当反应，以减少恶意活动，同时保留法证证据。此外，还将遵循通知程序。

加密

Avetta SaaS 服务使用 AES-256 对静态数据进行加密。其他数据元素也使用 SALT 方法加密。这些加密过程保证了客户数据的高度机密性和完整性。Avetta SaaS 服务通过逻辑数据隔离，确保未经授权的来源无法访问客户数据。客户数据访问通过具有属性的唯一身份和访问管理进行控制，禁止未经授权的用户访问客户数据。

Avetta 安全措施的实施基于“最小权限”方法，即只有有业务需求的员工才能访问特定数据和系统功能。

Web 应用程序安全控制

客户仅能通过安全通信协议（TLS 1.2 或更高版本）访问 SaaS 服务。这将建立一个加密通道，以便在最终用户和 SaaS 服务之间安全传输数据。这可以在数据传输过程中保护客户的数据。

客户对 SaaS 服务的管理可以根据需要配置和取消配置 SaaS 服务用户及相关访问权限。SaaS 服务允许客户启用多因素身份验证，通过 SAML 2.0 身份提供商，使用单点登录访问 SaaS 服务帐户。SaaS 服务允许客户启用可定制密码策略，使 SaaS 服务密码与客户公司政策保持一致。

网络

SaaS 服务利用云服务提供商网络控制来限制网络入口和出口。采用安全组将网络活动限制在授权端点范围内。SaaS 服务使用多层网络架构，包括多个逻辑上分离的 Cloudflare 虚拟环境，利用云服务基础设施内的私有区域、DMZ 区域和不受信任区域。

监控与审计

对 SaaS 服务系统和网络进行监控，以检测安全事件、系统健康状况、网络异常、处理活动、基础设施处理水平和可用性。Avetta 使用入侵检测系统来监控网络活动，在发现可疑行为时向 Avetta 的指定团队成员发出警报。所有公共 Web 服务也都实施了 Web 应用程序防火墙。

Avetta 将应用程序、网络、用户和操作系统事件记录在本地系统日志服务器和安全信息和事件管理（SIEM）。这些日志会被自动分析和审查，以查找可疑活动和威胁。任何系统活动异常都会被上报，并采取可能需要的适当行动。Avetta 利用安全信息和事件管理系统，为 Avetta 网络和安全环境提供持续的安全分析，并记录潜在或可疑活动指标的警报、检测和报告。所有这些功能和活动均由 Avetta 的开发运维和网络安全人员管理。

漏洞管理

作为全面安全计划的一部分，Avetta 定期执行 Web 应用程序漏洞评估、静态代码分析和外部安全评估，以便确保实施适当的安全控制和有效运行。Avetta 每半年聘请一次独立的第三方漏洞和渗透测试人员实施网络和 Web 漏洞评估。这些外部审计范围包括针对开放式 Web 应用程序安全项目（OWASP）十大 Web 漏洞的合规性。漏洞评估结果纳入 Avetta 软件开发生命周期（“SDLC”），以修复发现的漏洞。特定漏洞会按照优先级别输入到 Avetta 内部工单系统中，以便跟踪解决。

安全软件开发

Avetta 在其 SDLC 中遵循安全开发实践。这些实践包括静态代码分析和实时代码分析工具。将代码部署到生产环境之前，Avetta 还会实施同行评审。Avetta 实施了独立的处理环境：生产环境、测试/质量保证环境和演示环境。Avetta 软件开发人员必须每年参加安全编码培训。

Avetta 网络安全团队

Avetta 拥有一支专门的安全团队，由拥有网络安全硕士学位的网络安全经理领导。团队定期开展全公司范围的安全培训、安全演习及定期的漏洞和渗透演习。通过这些工作，网络安全团队确保定期测试、评估和评价技术和组织措施的有效性，以确保客户数据处理的安全性。

网络安全团队还参与年度审计和认证，并参加网络安全研讨会。

隐私和数据保护

Avetta 制定了强有力的信息安全和个人数据保护政策。这些政策概述了为确保客户信息安全遵循的程序。它们进一步概述了实施的控制措施，包括数据保留、可访问性和身份验证准则、可接受使用准则以及数据隐私准则。

附件 III——子处理者列表

Avetta 现有子处理者列表可参见：处理者和关联公司。