Addendum dwar l-Ipproċessar tad-Data ta' Marzipan

Anness A: Standards ta' Sigurtà ta' Marzipan

Din hija traduzzjoni pprovduta għall-konvenjenza biss. Il-verżjoni bl-Ingliż hija t-test awtoritattiv u legalment vinkolanti; f'każ ta' kwalunkwe diskrepanza, il-verżjoni bl-Ingliż tipprevali.

It-termini bil-kapital li mhumiex definiti hawnhekk b'mod ieħor għandhom it-tifsiriet mogħtija lilhom fid-DPA.

Dan l-Anness A jindirizza l-miżuri tekniċi u organizzattivi, inklużi salvagwardji prattiċi u miżuri tekniċi ta' sigurtà, li Marzipan iżomm biex (a) jiżgura d-Data tal-Klijent kontra telf, aċċess jew żvelar aċċidentali jew illegali; (b) jidentifika riskji prevedibbli b'mod raġonevoli u riskji interni għas-sigurtà u l-aċċess mhux awtorizzat għas-Servizzi, inklużi l-kont Marzipan tal-Klijent; u (ċ) inaqqas ir-riskji ta' sigurtà, inkluż permezz ta' valutazzjoni tar-riskju u ttestjar regolari. Marzipan jinnomina impjegat wieħed jew aktar biex ikun responsabbli u jwieġeb għal kwalunkwe domanda dwar il-prattiki u l-miżuri ta' sigurtà tal-informazzjoni deskritti hawn taħt.

  1. Mudell ta' Responsabbiltà Kondiviża

    Marzipan topera applikazzjonijiet ibbażati fuq il-cloud fuq marzipan.co, labls.co, labls.io rispettivament, li l-infrastruttura tagħhom u d-data assoċjata huma ospitati fuq servers operati mill-fornituri tas-servizz tal-cloud (1) UpCloud Oy ("UpCloud") fiċ-ċentru tad-data DE-FRA1 tagħha fi Frankfurt, il-Ġermanja (2) Hetzner Online GmbH ("Hetzner Online") fiċ-ċentri tad-data tagħha f'Nuremberg u Falkenstein, il-Ġermanja (3) Scaleway SAS ("Scaleway") fiċ-ċentru tad-data tagħha f'Pariġi. Dan ifisser li s-Servizz ta' Marzipan jitwassal permezz tal-internet skont mudell ta' Software bħala Servizz ("SaaS").

    Minn bejn UpCloud, Hetzner Online u Scaleway, UpCloud tospita l-verżjoni ta' produzzjoni attiva tal-applikazzjonijiet ta' Marzipan u d-data assoċjata tagħhom, u tipprovdi l-qawwa tal-kompjuting li tippermetti lill-Klijent jaċċessa s-Servizzi mingħajr il-ħtieġa li jinstalla fiżikament kopja ta' kwalunkwe waħda mill-applikazzjonijiet. Scaleway tipprovdi servizzi ta' posta elettronika tranżazzjonali. Hetzner Online, min-naħa tagħha, tipprovdi lil Marzipan server dedikat li fuqu Marzipan tospita verżjonijiet ta' staging (jiġifieri ta' ttestjar) tal-applikazzjonijiet għall-finijiet tal-ittestjar ta' kodiċi, karatteristiċi u aġġornamenti ġodda f'ambjent ikkontrollat qabel ma jsiru attivi.

    Il-mudell SaaS jistabbilixxi diviżjoni tax-xogħol fir-rigward tal-implimentazzjoni tas-salvagwardji tekniċi u organizzattivi meħtieġa biex tipproteġi d-Data tal-Klijent. Bħala kontrollur tad-data, Marzipan hija responsabbli mid-disinn tal-għodod ta' ġestjoni tal-aċċess u l-għodod ta' sigurtà tan-netwerk li skonthom id-Data tal-Klijent tinħażen fil-cloud - is-sigurtà fil-cloud. Bħala fornituri tas-servizz tal-cloud u proċessuri tad-data, UpCloud, Hetzner Online u Scaleway huma responsabbli, kif applikabbli, għaż-żamma tas-sigurtà tal-ambjent sottostanti tal-cloud u s-servers fiżiċi li fihom tinħażen id-Data tal-Klijent, inkluż l-implimentazzjoni ta' miżuri tekniċi u fiżiċi biex tipproteġi kontra l-aċċess mhux awtorizzat taċ-ċentri tad-data u l-arkitettura tan-netwerk tagħhom - is-sigurtà tal-cloud.

    F'termini aktar dettaljati, dan ifisser li Marzipan hija responsabbli mill-ġestjoni tas-sigurtà tas-softwer tal-applikazzjoni Marzipan (inkluż aġġornamenti u patches tas-sigurtà għall-applikazzjonijiet Marzipan u Labls), kif ukoll mill-konfigurazzjoni ta' kwalunkwe karatteristika relatata mas-sigurtà li UpCloud, Hetzner Online u Scaleway joffru bħala parti mill-offerti tas-servizz cloud tagħhom. Min-naħa tagħhom, UpCloud, Hetzner Online u Scaleway joperaw, jġestixxu u jikkontrollaw (skont il-każ) il-komponenti mis-sistema tal-applikazzjoni Marzipan u l-livell ta' virtwaliżżazzjoni, sal-livell tal-ħarsien fiżiku tal-faċilitajiet fejn is-servizz tal-applikazzjoni Marzipan jopera u fejn jinħażnu d-data assoċjati miegħu.

    Dan insejħulu 'Mudell ta' Responsabbiltà Kondiviża,' peress li jfisser li minbarra l-implimentazzjoni ta' miżuri tekniċi u organizzattivi sostanzjali tagħna stess, niddependu fuq il-mekkaniżmi estensivi ta' sigurtà ta' UpCloud, Hetzner Online u Scaleway.

    Aktar tagħrif dwar il-miżuri ta' sigurtà fiżika, tan-netwerk u tas-sistemi li UpCloud, Hetzner Online u Scaleway jimplimentaw rispettivament biex jissalvagwardjaw iċ-ċentri tad-data tagħhom u d-data maħżuna fihom jista' jinstab hawnhekk għal UpCloud, hawnhekk għal Hetzner u hawnhekk għal Scaleway.

  2. Servers ta' UpCloud u Hetzner Online

    UpCloud

    Skont l-Artikolu 28(3)(c) UK GDPR, Marzipan hija meħtieġa tagħżel proċessur ta' cloud computing li joffri garanziji suffiċjenti tal-kapaċità tiegħu li jilħaq il-miżuri ta' sigurtà tad-data stabbiliti fl-Artikolu 32 UK GDPR.1

    We have selected UpCloud to be our principal hosting provider, infrastructure partner and cloud computing processor for the production versions of the Marzipan and Labls applications based on a careful selection process, considering legal, organisation and technical measures. We chose UpCloud because their IT architecture and infrastructure has been certified as being designed and managed in accordance with industry-leading best practises and security standards including:

    • ISO 9001 Ġestjoni tal-kwalità
    • ISO 14001 Ġestjoni ambjentali
    • ISO 22301 Sigurtà u reżiljenza
    • ISO 27001 Ġestjoni tas-sigurtà tal-informazzjoni
    • ISO 50001 Ġestjoni tal-enerġija
    • SOC 2 Type II Sigurtà u privatezza tad-data
    • PCI-DSS Sigurtà tal-informazzjoni

    Biex tiġi żgurata l-konformità mas-sentenza 'Schrems II' tal-Qorti tal-Ġustizzja tal-UE (CJEU) f'Lulju 2020, id-Data tal-Klijenti kollha ospitata ma' UpCloud hija ospitata fid-data centre DE-FRA1 ta' UpCloud fi Frankfurt, il-Ġermanja.

    Hetzner

    Marzipan għażlet lil Hetzner Online bħala sieħeb affidabbli biex tipprovdilha spazju addizzjonali ta' server dedikat. Hetzner Online hija ċċertifikata skont l-istandards DIN ISO/IEC 27001. Barra minn hekk, l-istandard internazzjonalment rikonoxxut għaċ-ċertifikazzjoni tas-sigurtà tal-informazzjoni jiċċertifika li Hetzner Online stabbiliet u implimentat Sistema Xierqa ta' Ġestjoni tas-Sigurtà tal-Informazzjoni ("ISMS").

    Hetzner Online tuża l-ISMS fl-infrastruttura u l-operazzjonijiet tagħha fiż-żewġ postijiet taċ-ċentri tad-data Ġermaniżi fejn Marzipan tikri spazju ta' server dedikat, jiġifieri l-parks taċ-ċentri tad-data ta' Nuremberg u Falkenstein. FOX certification, awtorità ta' ċertifikazzjoni terza, awditjat u ċċertifikat il-proċessi tal-ISMS tal-parks taċ-ċentri tad-data ta' Hetzner Online.

    Scaleway

    Marzipan tuża Scaleway biex tospita s-servizzi ta' email tranżazzjonali għall-applikazzjoni Marzipan. Scaleway hija ċċertifikata skont l-istandards ISO/IEC 27001:2022. Scaleway hija ċċertifikata "Hébergeur de Données de Santé" (Ospitant tad-Data tas-Saħħa) minn Lulju 2024. Amministrata mill-Aġenzija Nazzjonali Franċiża għas-Saħħa Diġitali (ANS), taħt is-superviżjoni tal-Ministeru tas-Saħħa, il-qafas taċ-ċertifikazzjoni HDS huwa wieħed mill-aktar eżiġenti li fornituri tas-servizzi diġitali jridu jikkonformaw miegħu biex jospitaw u jġestixxu data tas-saħħa fi Franza. Iċ-ċertifikazzjoni ta' Scaleway tikkonferma l-implimentazzjoni ta' miżuri tekniċi u organizzattivi rigorużi biex tipproteġi d-data tas-saħħa; il-konformità mar-rekwiżiti legali u regolatorji; u s-sottomissjoni għal awditi regolari biex tiġi żgurata livell għoli ta' sigurtà għad-data tas-saħħa.

  3. Kriptaġġ

    Element ewlieni essenzjali tal-miżuri ta' sigurtà ta' Marzipan huwa l-kriptaġġ tad-data kemm fil-mistrieħ kif ukoll fit-tranzitu. Il-komunikazzjoni kollha esterna tan-netwerk bejn il-klijenti u l-applikazzjoni Marzipan fuq netwerks pubbliċi ssir bl-użu ta' Transport Layer Security ("TLS") 1.2 jew ogħla. Id-Data tal-Klijent maħżuna fuq is-servers ta' UpCloud, Scaleway u Hetzner Online ta' Marzipan hija kriptata bl-użu ta' AES 256 jew ogħla.

    Marzipan tuża s-servizz ta' kriptaġġ rispettiv ta' UpCloud, Scaleway u Hetzner Online biex tikkripta d-Data tal-Klijent.

    Is-sistema ta' kriptaġġ ta' UpCloud hija ddisinjata b'mod li ħadd, inkluż il-persunal ta' Marzipan jew ta' UpCloud, ma jista' jaċċessa ċ-ċwievet ta' kriptaġġ f'test ċar. UpCloud tuża moduli ta' sigurtà tal-hardware ("HMS") li ġew jew qed jiġu validati skont FIPS 140-2 biex tipproteġi s-sigurtà taċ-ċwievet f'test ċar użati biex jikriptaw id-Data tal-Klijent. Iċ-ċwievet kriptografiċi kollha jiġu rrotati awtomatikament darba fis-sena.

    Il-kriptaġġ tal-disk sħiħ ta' Hetzner Online juża algoritmi ta' kriptaġġ AES 256 u proċessi mandatorji ta' awtentikazzjoni biex jikkripta d-drivves kollha bbażati fuq softwer u hardware maħżuna fuq is-servers dedikata tiegħu. Dan inaqqas ir-riskju ta' telf tad-data u aċċess mhux awtorizzat għad-Data tal-Klijent.

    Is-sistemi ta' Marzipan jużaw kriptaġġ tat-trasport kull meta d-data trid tiġi trasferita fuq netwerk insigur jew pubbliku. L-interface web u l-APIs kollha konnessi mal-applikazzjoni Marzipan huma aċċessibbli biss permezz ta' konnessjonijiet HTTPs, u s-sistemi tal-klijenti jridu jużaw mill-inqas TLS 1.2 biex jaċċessaw is-sistema Marzipan.

  4. Restrizzjoni tal-postijiet tas-servers għaż-ŻEE/UE

    Marzipan jaħżen id-data esklużivament fiż-ŻEE, jiġifieri fid-data centres ta' UpCloud fi Frankfurt, il-Ġermanja, fid-data centres ta' Hetzner Online f'Nuremberg u Falkenstein, il-Ġermanja u fid-data centre ta' Scaleway f'Pariġi.

    Dan sabiex jiġi żgurat bl-aħjar mod li d-data tal-klijenti ma tkunx tista' tintuża jew tiġi żvelata mingħajr awtorizzazzjoni, partikolarment fid-dawl tas-sentenza Schrems II tal-Qorti Ewropea tal-Ġustizzja tas-16 ta' Lulju 2020, u t-tħassib tal-esperti fil-protezzjoni tad-data dwar l-adozzjoni ta' liġijiet ta' żvelar tal-data fl-Istati Uniti u f'ġurisdizzjonijiet oħra barra miż-ŻEE.

  5. Reġistrazzjoni/Traċċa ta' Verifika

    Marzipan juża r-reġistrazzjoni fl-ambjenti UpCloud tiegħu f'diversi oqsma. Dawn jinkludu:

    • Avvenimenti tas-sistema;
    • Reġistrazzjoni ta' żbalji;
    • Attività tal-utent;
    • Logins u talbiet lis-sistemi ta' database;
    • Avvenimenti oħra relatati mas-sigurtà/reġistrazzjoni ta' verifika.

  6. Monitoraġġ

    Marzipan juża diversi għodod ta' monitoraġġ biex jiżgura l-massimu ta' disponibilità u rendiment tas-sistemi u l-applikazzjoni ta' Marzipan. Dawn jimmonitorjaw tal-anqas il-parametri li ġejjin:

    Disponibilità

    • Aċċessibbiltà tal-applikazzjoni
    • Aċċessibbiltà tas-sistemi u s-servizzi tal-backend

    Riżorsi

    • Utilisazzjoni tal-CPU
    • Utilisazzjoni tal-interfaces tan-netwerk
    • Utilisazzjoni tal-interfaces persistenti u volatili

    Rendiment

    • Ħinijiet ta' risposta tal-applikazzjoni
    • Ħinijiet ta' risposta tas-sistemi tal-back-end
    • Ħinijiet ta' query għall-kontenut tad-database MySQL

    Sigurtà

    • Rendiment tad-DS
    • Status tal-aġġornament tas-sistemi

    Monitoraġġ

    • Logs tal-iżbalji
    • Logs tal-aċċess

    Minbarra dan il-monitoraġġ awtomatizzat, l-impjegati ta' Marzipan jimmonitorjaw il-midja online u l-bloggs rilevanti (inkluż l-OWASP imsemmi hawn fuq) sabiex ikunu jistgħu jirreaġixxu għalihom malajr.

  7. Kontroll tal-Aċċess

    Marzipan tassenja lill-impjegati u l-kontraturi tagħha livelli differenti ta' kontroll tal-aċċess għas-sistemi u s-servizzi tagħha fuq is-servers ta' UpCloud u Hetzner Online. Dawn jiġu amministrati permezz tas-sistemi rispettivi ta' Ġestjoni tal-Identità u l-Aċċess (IAM) ta' UpCloud u Hetzner Online, li jippermettu granulazzjoni fina tal-aċċess għas-servizzi differenti.

    Il-prinċipju ewlieni ta' Marzipan meta tassenja drittijiet lill-persunal tagħha huwa "need-to-know" (bżonn ta' għarfien). Fil-prattika, dan ifisser li l-istaff ta' Marzipan jingħata aċċess biss għal dawk il-funzjonijiet li jeħtieġ biex iwettaq ix-xogħol tiegħu. L-aċċess għas-sistemi tal-backend huwa possibbli biss permezz ta' konnessjonijiet siguri u awtentikati. Il-pubblikazzjoni tas-sistemi tal-backend hija projbita. Numru strettament limitat biss ta' persunal ta' Marzipan għandu aċċess għas-sistema li taħżen id-data tal-klijenti. Dan l-aċċess dirett huwa esklussivament għall-analiżi tal-iżbalji u jiġi mmonitorjat.

  1. L-Artikolu 32 tal-UK GDPR jeħtieġ lill-kontrolluri u lill-proċessuri jadottaw approċċ ibbażat fuq ir-riskju fis-sigurtà tad-data. Jeħtieġ lill-kontrolluri u lill-proċessuri "jiżguraw livell ta' sigurtà xieraq għar-riskju". L-għan ta' approċċ ibbażat fuq ir-riskju huwa li jiġu vvalutati r-riskji potenzjali inerenti f'attività partikolari u jiġu identifikati u implimentati tekniki ta' mitigazzjoni biex jiġu kkontrollati u mminimizzati kwalunkwe impatti potenzjali.

Temmex biss fuq kliemna

“Għamilna s-switch minn WooCommerce għal soluzzjoni personalizzata msejsa fuq Marzipan. Il-ġestjoni tal-ordnijiet tagħna saret faċilissima u l-flessibilità tal-API tal-abbonamenti ppermettitilna ntejbu l-offerta tagħna tal-adozzjoni ta' dwieli qodma.”

Katie Jones żżomm irqajja' Tuchan
Katie Jones
Owner, Domaine Jones

“Marzipan huwa inkredibbilment faċli biex tuża, u estremament flessibbli u konfigurabbli. Jagħmilha ħafna aktar faċli biex tmexxi klabbs tal-inbid b'abbonament rikorrenti minn kwalunkwe sistema oħra li użajt, u jlaħħaq kważi ma' kollox li taffronta.”

Justin Howard-Sneyd, MW
Justin Howard-Sneyd, MW
Owner, Domaine of the Bee