Marzipan Datu apstrādes papildvienošanās

A pielikums: Marzipan drošības standarti

Šis ir tulkojums, kas sniegts tikai ērtības nolūkos. Angļu valodas versija ir autoritatīvs un juridiski saistošs teksts; jebkuru neatbilstību gadījumā angļu valodas versija ir noteicošā.

Kapitalizētiem terminiem, kas šeit nav citādi definēti, ir DPA piešķirtās nozīmes.

Šis A pielikums attiecas uz tehniskajiem un organizatoriskajiem pasākumiem, tostarp praktiskajiem aizsardzības līdzekļiem un tehniskajiem drošības pasākumiem, ko Marzipan uztur, lai (a) aizsargātu Klienta datus pret nejaušu vai nelikumīgu zaudēšanu, piekļuvi vai izpaušanu; (b) identificētu saprātīgi paredzamus un iekšējus drošības riskus un nesankcionētu piekļuvi Pakalpojumiem, tostarp Klienta Marzipan kontam; un (c) mazinātu drošības riskus, tostarp izmantojot riska novērtēšanu un regulāru testēšanu. Marzipan norīkos vienu vai vairākus darbiniekus, kas būs atbildīgi par tālāk aprakstītajām informācijas drošības praksēm un pasākumiem un atbildēs uz jebkādiem jautājumiem par tiem.

  1. Kopīgas atbildības modelis

    Marzipan ekspluatē mākoņdatošanas lietojumprogrammas vietnēs marzipan.co, labls.co un labls.io attiecīgi, kuru infrastruktūra un ar to saistītie dati tiek glabāti mākoņpakalpojumu sniedzēju serveros: (1) UpCloud Oy ("UpCloud") tā datu centrā DE-FRA1 Frankfurtē, Vācijā; (2) Hetzner Online GmbH ("Hetzner Online") tā datu centros Nirnbergā un Falkensteinā, Vācijā; (3) Scaleway SAS ("Scaleway") tā datu centrā Parīzē. Tas nozīmē, ka Marzipan pakalpojums tiek sniegts, izmantojot internetu, saskaņā ar programmatūra kā pakalpojums ("SaaS") modeli.

    No UpCloud, Hetzner Online un Scaleway vidus UpCloud mitina Marzipan lietojumprogrammu dzīvo ražošanas versiju un ar to saistītos datus, kā arī nodrošina skaitļošanas jaudu, kas ļauj Klientam piekļūt Pakalpojumiem bez nepieciešamības fiziski instalēt nevienas lietojumprogrammas kopiju. Scaleway sniedz transakciju e-pasta pakalpojumus. Savukārt Hetzner Online nodrošina Marzipan ar dedikētu serveri, kurā Marzipan mitina lietojumprogrammu testēšanas (t.i., izstrādes) versijas, lai kontrolētā vidē testētu jaunu kodu, funkcijas un atjauninājumus pirms to ieviešanas ražošanā.

    SaaS modelis nosaka darba dalījumu attiecībā uz tehnisko un organizatorisko aizsardzības pasākumu īstenošanu Klienta datu aizsardzībai. Kā datu pārzinis Marzipan ir atbildīgs par piekļuves pārvaldības rīku un tīkla drošības rīku izstrādi, saskaņā ar kuriem Klienta dati tiek glabāti mākonī — drošība mākonī. Kā mākoņpakalpojumu sniedzēji un datu apstrādātāji UpCloud, Hetzner Online un Scaleway ir attiecīgi atbildīgi par to pakārtotās mākoņvides un fizisko serveru drošības uzturēšanu, kuros tiek glabāti Klienta dati, tostarp par tehnisko un fizisko pasākumu īstenošanu, lai aizsargātu pret nesankcionētu piekļuvi to datu centriem un tīkla arhitektūrai — drošība no mākoņa puses.

    Detalizētāk tas nozīmē, ka Marzipan ir atbildīgs par Marzipan lietojumprogrammatūras drošības pārvaldību (ieskaitot Marzipan un Labls lietojumprogrammu atjauninājumus un drošības ielāpus), kā arī par jebkādu ar drošību saistītu funkciju konfigurēšanu, kuras UpCloud, Hetzner Online un Scaleway piedāvā savu mākoņpakalpojumu ietvaros. Savukārt UpCloud, Hetzner Online un Scaleway (attiecīgi) ekspluatē, pārvalda un kontrolē Marzipan lietojumprogrammu sistēmas un virtualizācijas slāņa komponentus, sākot no tiem līdz pat objektu fiziskajai drošībai, kuros darbojas Marzipan lietojumprogrammu pakalpojums un kuros tiek glabāti ar to saistītie dati.

    Mēs to saucam par "Kopīgās atbildības modeli", jo tas nozīmē, ka papildus mūsu pašu būtiskiem tehniskiem un organizatoriskiem pasākumiem mēs paļaujamies uz UpCloud, Hetzner Online un Scaleway plašajiem drošības mehānismiem.

    Papildinformācija par fiziskajiem, tīkla un sistēmas drošības pasākumiem, ko UpCloud, Hetzner Online un Scaleway attiecīgi īsteno savu datu centru un tajos glabāto datu aizsardzībai, pieejama šeit par UpCloud, šeit par Hetzner un šeit par Scaleway.

  2. UpCloud un Hetzner Online serveri

    UpCloud

    Saskaņā ar UK GDPR 28. panta 3. punkta c) apakšpunktu Marzipan ir pienākums izvēlēties mākoņdatošanas apstrādātāju, kas sniedz pietiekamas garantijas par spēju izpildīt UK GDPR 32. pantā noteiktos datu drošības pasākumus.1

    We have selected UpCloud to be our principal hosting provider, infrastructure partner and cloud computing processor for the production versions of the Marzipan and Labls applications based on a careful selection process, considering legal, organisation and technical measures. We chose UpCloud because their IT architecture and infrastructure has been certified as being designed and managed in accordance with industry-leading best practises and security standards including:

    • ISO 9001 Kvalitātes vadība
    • ISO 14001 Vides pārvaldība
    • ISO 22301 Drošība un noturība
    • ISO 27001 Informācijas drošības pārvaldība
    • ISO 50001 Enerģijas pārvaldība
    • SOC 2 Type II Datu drošība un privātums
    • PCI-DSS Informācijas drošība

    Lai nodrošinātu atbilstību ES Tiesas (CJEU) 2020. gada jūlija spriedumam lietā "Schrems II", visi UpCloud mitinātie klientu dati tiek glabāti UpCloud DE-FRA1 datu centrā Frankfurtē, Vācijā.

    Hetzner

    Marzipan ir izvēlējies Hetzner Online kā uzticamu partneri papildu dedikētās servera vietas nodrošināšanai. Hetzner Online ir sertificēts saskaņā ar DIN ISO/IEC 27001 standartiem. Turklāt šis starptautiski atzītais informācijas drošības standarts apliecina, ka Hetzner Online ir izveidojusi un ieviesusi atbilstošu Informācijas drošības pārvaldības sistēmu ("ISMS").

    Hetzner Online izmanto ISMS savā infrastruktūrā un darbībās abās Vācijas datu centru atrašanvietās, kurās Marzipan nomā dedikēto serveru vietu, proti, Nirnbergas un Falkentšteinas datu centru parkos. FOX certification — trešās puses sertifikācijas iestāde — ir auditējusi un sertificējusi Hetzner Online datu centru parku ISMS procesus.

    Scaleway

    Marzipan izmanto Scaleway, lai mitinātu transakciju e-pasta pakalpojumus Marzipan lietojumprogrammai. Scaleway ir sertificēts saskaņā ar ISO/IEC 27001:2022 standartiem. Kopš 2024. gada jūlija Scaleway ir sertificēts kā "Hébergeur de Données de Santé" (veselības datu mitinātājs). HDS sertifikācijas sistēmu pārvalda Francijas Nacionālā digitālās veselības aģentūra (ANS) Veselības ministrijas uzraudzībā, un tā ir viena no prasīgākajām, kurai digitālo pakalpojumu sniedzējiem jāatbilst, lai Francijā mitinātu un pārvaldītu veselības datus. Scaleway sertifikāts apliecina stingru tehnisko un organizatorisko pasākumu ieviešanu veselības datu aizsardzībai, atbilstību tiesiskajām un normatīvajām prasībām, kā arī regulāriem auditiem, lai nodrošinātu augstu veselības datu drošības līmeni.

  3. Šifrēšana

    Būtisks Marzipan drošības pasākumu pamatelements ir datu šifrēšana gan miera stāvoklī, gan pārsūtīšanas laikā. Visa ārējā tīkla komunikācija starp klientiem un Marzipan lietojumprogrammu publiskajos tīklos notiek, izmantojot Transporta slāņa drošību ("TLS") 1.2 vai jaunāku versiju. Klientu dati, kas glabājas Marzipan UpCloud, Scaleway un Hetzner Online serveros, tiek šifrēti, izmantojot AES 256 vai augstāku standartu.

    Marzipan izmanto attiecīgi UpCloud, Scaleway un Hetzner Online šifrēšanas pakalpojumu, lai šifrētu Klientu datus.

    UpCloud šifrēšanas sistēma ir izstrādāta tā, lai neviens, tostarp Marzipan vai UpCloud darbinieki, nevarētu piekļūt atklātā teksta šifrēšanas atslēgām. UpCloud izmanto aparatūras drošības moduļus ("HMS"), kas ir vai ir bijuši validēti saskaņā ar FIPS 140-2, lai aizsargātu Klientu datu šifrēšanai izmantoto atklātā teksta atslēgu konfidencialitāti. Visas kriptogrāfiskās atslēgas tiek automātiski rotētas reizi gadā.

    Hetzner Online pilnā diska šifrēšana izmanto AES 256 šifrēšanas algoritmus un obligātus autentifikācijas procesus, lai šifrētu visus programmatūras un aparatūras diskus, kas tiek glabāti tā dedikētajos serveros. Tas samazina datu zuduma un nesankcionētas piekļuves Klientu datiem risku.

    Marzipan sistēmas izmanto transporta šifrēšanu ikreiz, kad dati jāpārsūta pa nedrošu vai publisko tīklu. Tīmekļa saskarne un visi ar Marzipan lietojumprogrammu savienotie API ir pieejami tikai ar HTTPs savienojumiem, un klientu sistēmām jāizmanto vismaz TLS 1.2, lai piekļūtu Marzipan sistēmai.

  4. Serveru atrašanvietu ierobežošana ar EEZ/ES

    Marzipan glabā datus tikai EEA teritorijā, proti, UpCloud datu centros Frankfurtē, Vācijā, Hetzner Online datu centros Nirnbergā un Falkensteinā, Vācijā, kā arī Scaleway datu centrā Parīzē.

    Tas ir paredzēts, lai pēc iespējas nodrošinātu, ka klientu dati netiek izmantoti vai izpausti bez atļaujas, jo īpaši ņemot vērā Eiropas Savienības Tiesas Schrems II spriedumu, kas pieņemts 2020. gada 16. jūlijā, un datu aizsardzības ekspertu bažas saistībā ar datu nodošanas pienākumu likumu ieviešanu Amerikas Savienotajās Valstīs un citās valstīs ārpus EEA.

  5. Reģistrēšana / Audita pieraksts

    Marzipan savās UpCloud vidēs izmanto reģistrēšanu vairākās jomās. Tās ietver:

    • Sistēmas notikumus;
    • Kļūdu reģistrēšanu;
    • Lietotāju darbības;
    • Pieteikšanās un pieprasījumus datu bāzes sistēmās;
    • Citus ar drošību saistītus notikumus / audita reģistrēšanu.

  6. Uzraudzība

    Marzipan izmanto dažādus uzraudzības rīkus, lai nodrošinātu maksimālu Marzipan sistēmu un lietojumprogrammas pieejamību un veiktspēju. Tie uzrauga vismaz šādus parametrus:

    Pieejamība

    • Lietojumprogrammas pieejamība
    • Aizmugursistēmu un pakalpojumu pieejamība

    Resursi

    • Centrālā procesora izmantojums
    • Tīkla saskarņu izmantojums
    • Pastāvīgo un īslaicīgo saskarņu izmantojums

    Veiktspēja

    • Lietojumprogrammas atbilžu laiki
    • Aizmugursistēmu atbilžu laiki
    • MySQL datu bāzes satura vaicājumu laiki

    Drošība

    • DS veiktspēja
    • Sistēmu atjauninājumu statuss

    Uzraudzība

    • Kļūdu žurnāli
    • Piekļuves žurnāli

    Papildus šai automatizētajai uzraudzībai Marzipan darbinieki uzrauga attiecīgos tiešsaistes plašsaziņas līdzekļus un emuārus (tostarp iepriekš minēto OWASP atjaunināto materiālu), lai uz tiem varētu ātri reaģēt.

  7. Piekļuves kontrole

    Marzipan piešķir saviem darbiniekiem un darbuzņēmējiem dažādus piekļuves kontroles līmeņus savām sistēmām un pakalpojumiem UpCloud un Hetzner Online serveros. To pārvalda, izmantojot attiecīgi UpCloud un Hetzner Online identitātes un piekļuves pārvaldības (IAM) sistēmas, kas nodrošina precīzu piekļuves granulāciju dažādiem pakalpojumiem.

    Marzipan vadošais princips, piešķirot tiesības personālam, ir "nepieciešamība zināt" (need-to-know). Praksē tas nozīmē, ka Marzipan darbiniekiem tiek piešķirta piekļuve tikai tām funkcijām, kas nepieciešamas viņu darba pienākumu veikšanai. Piekļuve aizmugursistēmām ir iespējama tikai caur drošiem un autentificētiem savienojumiem. Aizmugursistēmu publiska atklāšana ir aizliegta. Tikai stingri ierobežots Marzipan darbinieku skaits var piekļūt sistēmai, kurā tiek glabāti klientu dati. Šī tiešā piekļuve ir paredzēta tikai kļūdu analīzei un tiek uzraudzīta.

  1. UK GDPR 32. pants uzliek pārziņiem un apstrādātājiem pienākumu pieņemt uz risku balstītu pieeju datu drošībai. Tas pieprasa, lai pārziņi un apstrādātāji "nodrošinātu riskam atbilstošu drošības līmeni". Uz risku balstītas pieejas mērķis ir novērtēt konkrētai darbībai raksturīgos potenciālos riskus, identificēt un ieviest riska mazināšanas metodes, lai kontrolētu un samazinātu jebkādu iespējamo ietekmi.

Neticiet tikai mūsu vārdiem

“Mēs pārgājām no WooCommerce uz pielāgotu risinājumu, ko darbina Marzipan. Pasūtījumu pārvaldība ir vienkārša, un abonementu API elastība ļāva mums uzlabot mūsu vecā vīnogulāja adopcijas piedāvājumu.”

Keitija Džounsa tur Tušanas grābekli
Katie Jones
Īpašnieks, Domaine Jones

“Marzipan ir neticami viegli lietojams, ārkārtīgi elastīgs un konfigurējams. Tas padara regulārus abonementu vīna klubus daudz vienkāršākus nekā jebkura cita sistēma, ko esmu izmantojis, un tiek galā ar gandrīz visu, ko esam tam uzticējuši.”

Justin Howard-Sneyd, MW
Justin Howard-Sneyd, MW
Īpašnieks, Domaine of the Bee