Aguisín um Phróiseáil Sonraí Marzipan

Tá na bríonna a shanntar dóibh sa DPA ag téarmaí le ceannlitir nach bhfuil sainmhínithe ar shlí eile anseo.

Déileálann an Iarscríbhinn A seo leis na bearta teicniúla agus eagraíochtúla, lena n-áirítear coimircí praiticiúla agus bearta slándála teicniúla, a choimeádann Marzipan chun (a) Sonraí an Chustaiméara a dhaingniú in aghaidh caillteanais, rochtana nó nochtadh thimpistigh nó neamhdhleathach; (b) rioscaí inmheánacha agus réamh-intuartha do shlándáil agus rochtain neamhúdaraithe ar na Seirbhísí a aithint, lena n-áirítear cuntas Marzipan an Chustaiméara; agus (c) rioscaí slándála a íoslaghdú, lena n-áirítear trí mheasúnú riosca agus tástáil rialta. Ainmneoidh Marzipan fostaí amháin nó níos mó a bheidh freagrach as na cleachtais agus bearta slándála faisnéise a thuairiscítear thíos agus a fhreagróidh aon cheisteanna ina leith.

1. Samhail Chomhroinnte Freagrachta

   Oibríonn Marzipan feidhlíonna bunaithe sa scamall ar marzipan.co, labls.co, labls.io faoi seach, agus déantar a mbonneagar agus na sonraí gaolmhara a óstáil ar fhreastalaithe arna n-oibriú ag na soláthraithe seirbhíse scamaill seo a leanas: (1) UpCloud Oy ("UpCloud") ag a ionad sonraí DE-FRA1 in Frankfurt, an Ghearmáin; (2) Hetzner Online GmbH ("Hetzner Online") ag a ionaid sonraí in Nuremberg agus Falkenstein, an Ghearmáin; (3) Scaleway SAS ("Scaleway") ag a ionad sonraí i bPáras. Ciallaíonn sé seo go seachadtar Seirbhís Marzipan tríd an idirlíon de réir shamhail Bogearraí mar Sheirbhís ("SaaS").

   Idir UpCloud, Hetzner Online agus Scaleway, óstálann UpCloud leagan táirgthe beo na bhfeidhlíonna Marzipan agus a gcuid sonraí gaolmhara, agus soláthraíonn sé an chumhacht ríomhaireachta a ligeann don Chustaiméar rochtain a fháil ar na Seirbhísí gan gá cóip de cheachtar feidhlínn a shuiteáil go fisiciúil. Soláthraíonn Scaleway seirbhísí ríomhphoist idirbheartaíochta. Dá pháirt féin, soláthraíonn Hetzner Online freastalaí tiomnaithe do Marzipan ar a n-óstálann Marzipan leaganacha stáitsínge (i.e. tástála) de na feidhlíonna chun críocha tástála cóid, gnéithe agus nuashonruithe nua i dtimpeallacht rialaithe sula gcuirtear iad beo.

   Bunaíonn an tsamhail SaaS roinnt oibre maidir le bearta teicniúla agus eagraíochtúla cosanta a chur i bhfeidhm chun Sonraí an Chustaiméara a chosaint. Mar rialaitheoir sonraí, tá Marzipan freagrach as uirlisí bainistíochta rochtana agus uirlisí slándála líonra a dhearadh de réir a stóráiltear Sonraí an Chustaiméara sa scamall — slándáil sa scamall. Mar sholáthraithe seirbhíse scamaill agus próiseálaithe sonraí, tá UpCloud, Hetzner Online agus Scaleway freagrach, de réir mar is infheidhme, as slándáil na timpeallachta scamaill bhunúsaí agus na bhfreastalaithe fisiciúla ina stóráiltear Sonraí an Chustaiméara a chothabháil, lena n-áirítear bearta teicniúla agus fisiciúla a chur i bhfeidhm chun cosaint in aghaidh rochtain neamhúdaraithe ar a n-ionaid sonraí agus a n-ailtireacht líonra — slándáil an scamaill.

   I dtéarmaí níos mionsonraithe, ciallaíonn sé seo go bhfuil Marzipan freagrach as slándáil bhogearraí feidhmchláir Marzipan a bhainistiú (lena n-áirítear nuashonruithe agus paistí slándála d'fheidhmchláir Marzipan agus Labls), chomh maith le cumraíocht gnéithe slándála a chuireann UpCloud, Hetzner Online agus Scaleway ar fáil mar chuid dá dtairiscintí seirbhíse scamall. Ina theannta sin, oibríonn, bainistíonn agus rialaíonn UpCloud, Hetzner Online agus Scaleway (de réir mar is infheidhme) na comhpháirteanna ó chóras feidhmchláir Marzipan agus an ciseal fíorúlaithe síos go dtí slándáil fhisiciúil na n-áiseanna ina bhfeidhmíonn seirbhís fheidhmchláir Marzipan agus ina stóráiltear a chuid sonraí gaolmhara.

   Tugaimid 'Samhail Freagrachta Comhroinnte' air seo, toisc go gciallaíonn sé, chomh maith le bearta teicniúla agus eagraíochtúla suntasacha a chur i bhfeidhm lenár gcuid féin, go mbraitear ar mheicníochtaí slándála cuimsitheacha UpCloud, Hetzner Online agus Scaleway.

   Is féidir tuilleadh eolais ar na bearta slándála fisiciúla, líonra agus córais a úsáideann UpCloud, Hetzner Online agus Scaleway faoi seach chun a n-ionaid sonraí agus na sonraí atá stóráilte iontu a chosaint a fháil anseo do UpCloud, anseo do Hetzner agus anseo do Scaleway.

2. Freastalaithe UpCloud agus Hetzner Online

   UpCloud

   De réir Airteagal 28(3)(c) UK GDPR, ní mór do Marzipan próiseálaí ríomhaireachta scamall a roghnú a thugann ráthaíochtaí leordhóthanacha maidir lena chumais na bearta slándála sonraí a leagtar amach in Airteagal 32 UK GDPR a chomhlíonadh.¹

   We have selected UpCloud to be our principal hosting provider, infrastructure partner and cloud computing processor for the production versions of the Marzipan and Labls applications based on a careful selection process, considering legal, organisation and technical measures. We chose UpCloud because their IT architecture and infrastructure has been certified as being designed and managed in accordance with industry-leading best practises and security standards including:

   • ISO 9001 Bainistíocht cáilíochta
   • ISO 14001 Bainistíocht comhshaoil
   • ISO 22301 Slándáil agus athléimneacht
   • ISO 27001 Bainistíocht slándála faisnéise
   • ISO 50001 Bainistíocht fuinnimh
   • SOC 2 Type II Slándáil sonraí agus príobháideachas
   • PCI-DSS Slándáil faisnéise

   Chun comhlíonadh le breithiúnas 'Schrems II' ó Chúirt Bhreithiúnais an AE (CJEU) i mí Iúil 2020 a áirithiú, óstáiltear gach Sonraí Custaiméara atá óstaithe le UpCloud ag ionad sonraí DE-FRA1 UpCloud i Frankfurt, an Ghearmáin.

   Hetzner

   Roghnaigh Marzipan Hetzner Online mar pháirtí iontaofa chun spás freastalaí tiomnaithe breise a sholáthar dó. Tá Hetzner Online deimhnithe de réir caighdeáin DIN ISO/IEC 27001. Ina theannta sin, deimhníonn an caighdeán idirnáisiúnta aitheanta do bhainistíocht slándála faisnéise go bhfuil Córas Bainistíochta Slándála Faisnéise ("ISMS") oiriúnach bunaithe agus curtha i bhfeidhm ag Hetzner Online.

   Úsáideann Hetzner Online an ISMS ina bhonneagar agus ina oibríochtaí ag an dá ionad sonraí Gearmánacha ina ligeann Marzipan ar cíos spás freastalaí tiomnaithe, eadhon páirceanna ionad sonraí Nuremberg agus Falkenstein. D'iniúch agus d'dheimhnigh FOX certification, údarás deimhniúcháin tríú páirtí, próisis ISMS páirceanna ionad sonraí Hetzner Online.

   Scaleway

   Úsáideann Marzipan Scaleway chun seirbhísí ríomhphoist idirbheartaíochta d'fheidhmchlár Marzipan a óstáil. Tá Scaleway deimhnithe de réir caighdeáin ISO/IEC 27001:2022. Tá Scaleway deimhnithe mar "Hébergeur de Données de Santé" (Óstaí Sonraí Sláinte) ó Iúil 2024. Arna bhainistiú ag Gníomhaireacht Náisiúnta na Fraince um Sláinte Dhigiteach (ANS), faoi mhaoirseacht na hAireachta Sláinte, is é creat deimhniúcháin HDS ceann de na cinn is éilitheach a gcaithfidh soláthraithe seirbhíse digiteacha cloí leis chun sonraí sláinte a óstáil agus a bhainistiú sa Fhrainc. Deimhníonn deimhniúchán Scaleway cur i bhfeidhm bearta teicniúla agus eagraíochtúla righin chun sonraí sláinte a chosaint; comhlíonadh ceanglais dhlíthiúla agus rialála; agus foráil d'iniúchtaí rialta chun leibhéal ard slándála do shonraí sláinte a áirithiú.

3. Criptiú

   Is eilimint lárnach riachtanach de bhearta slándála Marzipan é criptiú sonraí idir stóráil agus tarchur. Úsáidtear Transport Layer Security ("TLS") 1.2 nó níos airde le haghaidh gach cumarsáide seachtraí líonra idir custaiméirí agus feidhmchlár Marzipan thar líonraí poiblí. Tá Sonraí Custaiméirí atá stóráilte ar fhreastalaithe UpCloud, Scaleway agus Hetzner Online Marzipan criptithe ag baint úsáide as AES 256 nó níos airde.

   Úsáideann Marzipan seirbhís criptithe UpCloud, Scaleway agus Hetzner Online faoi seach chun Sonraí Custaiméirí a chriptiú.

   Tá córas criptithe UpCloud deartha ar bhealach nach féidir le haon duine, Marzipan nó foireann UpCloud san áireamh, rochtain a fháil ar na heochracha criptithe téacs soiléir. Úsáideann UpCloud modúil slándála crua-earraí ("HMS") atá bailíochtaithe nó á mbailíochtú faoi láthair de réir FIPS 140-2 chun eochracha téacs soiléir a úsáidtear chun Sonraí Custaiméirí a chriptiú a chosaint. Rothlaítear gach eochair cripteagrafaíochta go huathoibríoch uair sa bhliain.

   Úsáideann criptiú iomlán-diosca Hetzner Online algartaim criptithe AES 256 agus próisis fhíordheimhnithe éigeantacha chun gach tiomántán bogearraí agus crua-earraí-bhunaithe atá stóráilte ar a freastalaithe tiomnaithe a chriptiú. Íoslaghdaítear leis seo an baol cailliúna sonraí agus rochtana neamhúdaraithe ar Shonraí Custaiméirí.

   Úsáideann córais Marzipan criptiú iompair aon uair a bhíonn gá sonraí a aistriú thar líonra neamhshlán nó poiblí. Ní féidir rochtain a fháil ar an gcomhéadan gréasáin agus ar gach API atá nasctha le feidhmchlár Marzipan ach trí naisc HTTPs, agus ní mór do chórais cliaint TLS 1.2 ar a laghad a úsáid chun rochtain a fháil ar chóras Marzipan.

4. Srianta ar shuíomhanna freastalaí don LEE/AE

   Stórálann Marzipan sonraí go heisiach sa LEE, go sonrach i lárionaid sonraí UpCloud i Frankfurt, an Ghearmáin, i lárionaid sonraí Hetzner Online i Nuremberg agus Falkenstein, an Ghearmáin, agus i lárionad sonraí Scaleway i bPáras.

   Is é is aidhm leis seo a áirithiú chomh fada agus is féidir nach féidir sonraí custaiméirí a úsáid ná a nochtadh gan údarás, go háirithe i bhfianaise bhreithiúnas Schrems II ó Chúirt Bhreithiúnais na hEorpa an 16 Iúil 2020, agus imní saineolaithe cosanta sonraí maidir le teacht chun cinn dlíthe géillte sonraí sna Stáit Aontaithe agus i ndlínsí eile lasmuigh den LEE.

5. Logáil/Conair Iniúchta

   Úsáideann Marzipan logáil ina thimpeallachtaí UpCloud le haghaidh roinnt réimsí. Áirítear leo seo:

   • Imeachtaí córais;
   • Logáil earráidí;
   • Gníomhaíocht úsáideoirí;
   • Logálacha isteach agus iarratais chuig córais bunachar sonraí;
   • Imeachtaí eile a bhaineann le slándáil/logáil iniúchta.

6. Monatóireacht

   Úsáideann Marzipan uirlisí monatóireachta éagsúla chun infhaighteacht agus feidhmíocht uasta chórais agus feidhlínn Marzipan a áirithiú. Déanann siad monatóireacht ar na paraiméadair seo a leanas ar a laghad:

   Infhaighteacht

   • Inrochtaineacht an fheidhlínn
   • Inrochtaineacht na gcóras agus na seirbhísí cúil

   Acmhainní

   • Úsáid LAP
   • Úsáid comhéadan líonra
   • Úsáid comhéadan buan agus so-athraitheach

   Feidhmíocht

   • Amanna freagartha an fheidhlínn
   • Amanna freagartha na gcóras cúil
   • Amanna ceisteanna do inneachar bunachair sonraí MySQL

   Slándáil

   • Feidhmíocht DS
   • Stádas nuashonraithe na gcóras

   Monatóireacht

   • Logaí earráidí
   • Logaí rochtana

   Chomh maith leis an monatóireacht uathoibrithe seo, déanann fostaithe Marzipan monatóireacht ar mheáin agus blaganna ábhartha ar líne (lena n-áirítear an nuashonrú OWASP dá dtagraítear thuas) ionas gur féidir leo freagairt orthu go pras.

7. Rialú Rochtana

   Sannann Marzipan leibhéil éagsúla rialaithe rochtana dá fhostaithe agus dá chonraitheoirí ar a chórais agus seirbhísí ar fhreastalaithe UpCloud agus Hetzner Online. Bainistítear iad seo trí chórais Bainistíochta Céannachta agus Rochtana (IAM) faoi seach UpCloud agus Hetzner Online, a chumasaíonn mionroinnt ghráinneach rochtana ar sheirbhísí éagsúla.

   Is é an prionsabal foriomlán a bhíonn i réim ag Marzipan agus cearta á gceapadh dá phearsanra ná "gá le fios a bheith agat." Go praiticiúil, ciallaíonn sé seo nach dtugtar do bhaill foirne Marzipan ach rochtain ar na feidhmeanna a theastaíonn uathu chun a gcuid post a dhéanamh. Ní féidir rochtain a fháil ar chórais chúil ach amháin trí naisc shlána fíordheimhnithe. Tá sé toirmiscthe córais chúil a scaoileadh go poiblí. Níl rochtain ag ach líon beag teoranta d'fhoireann Marzipan ar an gcóras a stórálann sonraí custaiméara. Tá an rochtain dhíreach seo ar mhaithe le hanailís earráidí amháin agus déantar monatóireacht uirthi.