Kasunduan sa Pagpoproseso ng Datos

Kasunduan sa Pagproseso ng Datos ng Botpress (DPA)

Ang DPA na ito ay karagdagan at mahalagang bahagi ng kasunduan sa pagitan ng entidad ng Botpress group na tinukoy sa Terms of Service at ng Customer. Epektibo ang DPA na ito kapag isinama sa naturang kasunduan sa pamamagitan ng pagtukoy dito.

1. Mga Kahulugan

1.a Ang mga salitang may malaking titik na hindi binigyang-kahulugan dito ay may kahulugang nakasaad sa Kasunduan.

1.b Sa DPA na ito:

(a) Ang “Kasunduan” ay may kahulugang nakasaad sa Terms of Service.

(b) Ang “Botpress Group” ay tumutukoy sa Botpress at mga kaakibat nito.

(c) Ang “California Personal Information” ay tumutukoy sa Personal Data na sakop ng proteksyon ng CCPA.

(d) Ang “Canadian Data Protection Laws” ay tumutukoy sa Personal Information Protection and Electronic Documents Act, SC 2000, c 5 at sa Act respecting the protection of personal information in the private sector, CQLR c P-39.1 na maaaring amyendahan, palitan, o mapalitan.

(e) Ang “CCPA” ay tumutukoy sa California Civil Code Sec. 1798.100 et seq. (kilala rin bilang California Consumer Privacy Act of 2018).

(f) Ang “Consumer”, “Business”, “Sell” at “Service Provider” ay may kahulugang nakasaad sa CCPA.

(g) Ang “Controller” ay tumutukoy sa sinumang Tao na mag-isa o kasama ng iba, ang nagtatakda ng layunin at paraan ng Pagproseso ng Personal na Datos.

(h) Ang “Batas sa Proteksyon ng Datos” ay tumutukoy sa lahat ng umiiral na pandaigdigang batas na may kaugnayan sa proteksyon ng datos at privacy na naaangkop sa isang partido sa DPA na ito, kabilang na ang, ngunit hindi limitado sa, European Data Protection Laws, Canadian Data Protection Laws, at ang CCPA, sa bawat kaso na maaaring baguhin, bawiin, pagsamahin, o palitan paminsan-minsan.

(i) Ang “Data Subject” ay tumutukoy sa indibidwal na may kaugnayan ang Personal Data.

(j) Ang “Europe” ay tumutukoy sa European Union, European Economic Area at/o mga miyembrong estado nito, Switzerland at United Kingdom.

(k) Ang “European Data Protection Laws” ay tumutukoy sa mga batas sa proteksyon ng datos na naaangkop sa Europa, na maaaring amyendahan, palitan, o baguhin.

(l) Ang “European Data” ay tumutukoy sa Personal Data na sakop ng European Data Protection Laws.

(m) Ang “Permitted Affiliates” ay tumutukoy sa anumang Customer Affiliates na (i) pinapayagang gumamit ng Software Services ayon sa Kasunduan, (ii) kwalipikadong Controller ng Personal Data na pinoproseso ng Botpress, at (iii) saklaw ng European Data Protection Laws.

(n) Ang “Tao” ay dapat unawain nang malawakan at kabilang ang sinumang indibidwal, korporasyon, kompanya na may limitadong pananagutan, limitadong partnership, kumpanya, asosasyon, partnership, trust o estate, joint venture, yunit ng pamahalaan o bahagi nito, o anumang iba pang entidad.

(o) Ang “Personal na Datos” ay anumang impormasyong may kaugnayan sa isang natukoy o matutukoy na indibidwal.

(p) Ang “Processing” o “Process” ay nangangahulugang anumang operasyon o serye ng operasyon na isinasagawa ng Processor sa Personal Data, awtomatiko man o hindi;

(q) “Processor” ay tumutukoy sa isang Tao na Nagpoproseso ng Personal na Datos para sa Controller.

(r) Ang “Regulator” ay tumutukoy, kung naaangkop, sa sinumang Tao o ahensya ng batas o iba pang ahensya na may regulatory, supervisory, o governmental na awtoridad (batay man sa batas o iba pa) sa lahat o bahagi ng Pagproseso ng Personal na Datos na may kaugnayan sa pagbibigay o pagtanggap ng Serbisyo, kabilang na ang European data protection supervisory authorities;

(s) “Security Breach” ay nangangahulugang paglabag sa seguridad na nagdudulot ng aksidenteng o labag sa batas na pagkasira, pagkawala, pagbabago, hindi awtorisadong pagbubunyag, o pag-access sa Personal Data na ipinadala, nakaimbak, o pinoproseso ng Botpress at/o Sub-Processors kaugnay ng pagbibigay ng Serbisyo, hindi kasama ang mga pangyayaring hindi nakokompromiso ang seguridad ng Personal Data, tulad ng hindi matagumpay na pagtatangkang mag-log-in, pings, port scans, denial of service attacks, at iba pang network attacks sa firewalls o networked systems.

(t) Ang “Services” ay tumutukoy sa Software Services o Professional Services na ibinibigay ng alinmang entidad ng Botpress Group sa Customer o sa mga Kaanib nito.

(u) Ang “Standard Contractual Clauses” ay tumutukoy sa standard contractual clauses na naka-annex sa European Commission’s Decision (EU) 2021/914 ng 4 Hunyo 2021; maaaring amyendahan, palitan, o palitan ng bago.

(v) “Sub-Processor” ay tumutukoy sa anumang Processor na kinontrata ng Botpress o Botpress Affiliates para tumulong sa pagtupad ng mga obligasyon ng Botpress kaugnay ng pagbibigay ng mga Serbisyo sa ilalim ng Kasunduan. Maaaring kabilang dito ang mga third party o Botpress Affiliates ngunit hindi kasama ang mga indibidwal na empleyado o kinontrata ng Botpress.

(w) Ang “Third-Country” ay tumutukoy sa isang hurisdiksyon o tumatanggap na: (i) hindi kinikilala ng European Commission bilang nagbibigay ng sapat na proteksyon para sa personal na datos; at (ii) hindi saklaw ng angkop na balangkas na kinikilala ng mga kaugnay na awtoridad o hukuman bilang nagbibigay ng sapat na proteksyon para sa personal na datos;

(x) Ang “Usage Data” ay tumutukoy sa datos kaugnay ng Paggamit ng Software ng mga Awtorisadong User, na maaaring maglaman ng Personal na Datos kung kinakailangan para matukoy ang mga indibidwal na user ngunit hindi kasama ang anumang Conversation Data. Maaaring kabilang sa Usage Data ang Personal na Datos tungkol sa mga empleyado at kontratista ng Customer ngunit hindi tungkol sa end-users na nakikipag-ugnayan sa Customer Bots.

2. Tungkulin ng mga partido

2.a Sa Pagproseso ng Conversation Data sa pamamagitan ng mga Serbisyo, kinikilala at sinasang-ayunan ng mga partido na ang Customer ang Controller at ang Botpress ang Processor.

2.b Kung ang Customer ay kumikilos bilang Processor para sa isang Controller, ituturing na sub-processor ng Customer ang Botpress.

2.c Ang Botpress ay magiging Controller kaugnay ng Usage Data.

3. Pagsunod sa Batas sa Proteksyon ng Datos

3.a Ang bawat partido ay dapat magsagawa ng anumang pagproseso ng Personal Data alinsunod sa lahat ng naaangkop na Batas sa Proteksyon ng Datos.

3.b Hindi responsable ang Botpress sa pagsunod sa anumang Batas sa Proteksyon ng Datos na naaangkop sa Customer o sa industriya ng Customer na hindi karaniwang naaangkop sa Botpress.

3.c Kung malaman ng Botpress na hindi nito kayang Iproseso ang Personal na Datos ayon sa utos ng Customer dahil sa legal na pangangailangan sa ilalim ng anumang umiiral na batas, ang Botpress ay (i) agad na magbibigay-alam sa Customer tungkol sa legal na pangangailangan na iyon hangga’t pinapayagan ng batas; at (ii) kung kinakailangan, ititigil ang lahat ng Pagproseso (maliban sa simpleng pag-iimbak at pagpapanatili ng seguridad ng apektadong Personal na Datos) hanggang magbigay ng bagong utos ang Customer na sumusunod sa batas. Kapag ginamit ang probisyong ito, hindi mananagot ang Botpress sa Customer sa ilalim ng Kasunduan para sa anumang hindi pagtupad ng Software Services o Professional Services hanggang matukoy ng Botpress na legal ang utos ng Customer.

4. Mga Obligasyon ng Botpress

4.a Gagamitin lang ng Botpress ang Personal Data para sa mga layuning nakasaad sa DPA na ito o ayon sa napagkasunduan sa loob ng saklaw ng legal na tagubilin mula sa Customer, maliban kung may ibang hinihingi ang naaangkop na batas.

4.b Magpapatupad at magpapanatili ang Botpress ng angkop na teknikal at organisasyonal na hakbang para maprotektahan ang Personal Data mula sa Security Incidents, kabilang ang mga inilarawan sa Schedule 2 ng DPA na ito (“Security Measures”). Maaaring baguhin o i-update ng Botpress ang Security Measures ayon sa pagpapasya nito basta’t hindi nito babawasan nang malaki ang antas ng proteksyon na ibinibigay ng Security Measures.

4.c Ituturing ng Botpress na kumpidensyal na impormasyon ng Customer ang Personal Data at titiyakin na ang sinumang empleyado o kontratista na awtorisadong mag-access o magproseso ng Personal Data ay may angkop na obligasyong pang-kumpidensyal (kontraktwal man o ayon sa batas) kaugnay ng Personal Data na iyon.

4.d Buburahin o ibabalik ng Botpress ang lahat ng Personal Data na naproseso ayon sa DPA na ito, kapag natapos o nag-expire ang Kasunduan. Maaaring magpanatili ang Botpress ng kopya ng Personal Data kung kailangan ng batas, o kung ang Personal Data ay na-archive sa backup system, na ang datos ay hiwalay at protektado mula sa karagdagang pagproseso at buburahin ayon sa tamang proseso ng pagbura.

5. Mga Obligasyon ng Customer

5.a Responsibilidad ng Customer na tiyaking ang paggamit nito ng Software Services o Software ay alinsunod sa lahat ng naaangkop na Batas sa Proteksyon ng Datos, kabilang ang pagtitiyak na (i) awtorisado itong italaga ang Botpress para Iproseso ang Personal Data sa ngalan nito alinsunod sa DPA na ito, (ii) may karapatan itong ilipat, o bigyan ng access, ang Personal Data sa Botpress para sa Pagproseso alinsunod sa mga termino ng Kasunduan (kabilang ang DPA na ito), (iii) tiyaking ang mga tagubilin ng Customer ukol sa Pagproseso ng Personal Data ay sumusunod sa mga naaangkop na batas, kabilang ang mga Batas sa Proteksyon ng Datos;

Dapat agad na ipaalam ng Customer sa Botpress sa pamamagitan ng sulat kung may dahilan itong maniwala o kung naabisuhan na ang Pagproseso ng Personal Data na isinasagawa ng Customer sa pamamagitan ng Services ay lumalabag o maaaring lumabag sa naaangkop na batas, kabilang ang Data Protection Laws.

5.c Responsibilidad ng Customer na tiyakin kung sapat ang mga hakbang sa seguridad na ipinatupad ng Botpress upang matugunan ang mga obligasyon ng Customer ayon sa naaangkop na Batas sa Proteksyon ng Datos. Responsibilidad din ng Customer na tiyakin na ang pag-access sa Software Services ay ligtas at nakalaan lamang sa awtorisadong tauhan.

‍6. Paglabag sa Seguridad

6.a Agad na ipapaalam ng Botpress sa Customer kung may nalaman itong Security Breach at magbibigay ng napapanahong impormasyon kaugnay nito habang ito ay nalalaman o ayon sa makatwirang hiling ng Customer.

6.b Sa kahilingan, agad na magbibigay ang Botpress ng makatwirang tulong sa Customer kung kinakailangan upang mapahintulutan ang Customer na mag-abiso ng Security Breach sa mga Regulator at/o apektadong Data Subjects, kung kinakailangan ito sa ilalim ng mga Batas sa Proteksyon ng Datos.

7. Mga Sub-Processor

7.a Maaaring kumuha ang Botpress ng Sub-Processors para magproseso ng Personal Data. Ang kasalukuyang Sub-Processors ay nakalista sa Schedule 3, at anumang pagbabago ay ipapaalam sa Customer.

7.b Pinipili ng Botpress ang mga Sub-Processor na may kasunduan sa proteksyon ng datos na nagbibigay ng kaparehong antas ng proteksyon para sa Personal Data gaya ng nasa DPA na ito (kabilang, kung naaangkop, ang Standard Contractual Clauses), depende sa uri ng serbisyong ibinibigay ng Sub-Processor. Mananatiling responsable ang Botpress sa pagsunod ng bawat Sub-Processor sa mga obligasyon ng DPA na ito at sa anumang kilos o pagkukulang ng Sub-Processor na nagdudulot ng paglabag sa alinmang obligasyon ng Botpress sa ilalim ng DPA na ito.

7.c Kung ang Botpress ay nagpoproseso ng European Data para sa Customer, maaaring tutulan ng Customer ang bagong Sub-Processor, kung may makatuwirang dahilan batay sa data protection. Kapag naabisuhan ng ganitong pagtutol, pumapayag ang Botpress na pag-usapan ito nang tapat para makamit ang makatarungang solusyon. Kung walang mararating na solusyon, maaaring piliin ng Botpress na hindi ituloy ang bagong Sub-Processor, o payagan ang Customer na tapusin ang subscription sa bahagi ng Software Services na umaasa sa bagong Sub-Processor na iyon nang walang pananagutan sa magkabilang panig (ngunit hindi kasama ang anumang bayarin bago ang pagtatapos).

7.d Kung kinakailangan ng batas o ng Standard Contractual Clauses, magsisikap ang Botpress na magbigay sa Customer ng kinakailangang impormasyon tungkol sa mga kasunduan ng Botpress sa Sub-Processors. Sumasang-ayon ang Customer na maaaring may mga impormasyong tatanggalin sa mga kasunduang ito o ibibigay nang kumpidensyal.

8. Paglipat ng Personal na Datos

8.a Ang pagproseso ng Personal Data maliban sa European Data ng mga entity ng Botpress Group ay gagawin sa anumang hurisdiksyon kung saan pinapayagan ng mga umiiral na batas ng Privacy Jurisdiction ang ganitong pagproseso.

8.b Ang pagproseso ng European Data ay gagawin lamang:

a) Sa loob ng Europa;

b) sa isang hurisdiksyon na nagbibigay ng sapat na antas ng proteksyon ayon sa desisyon ng European Commission batay sa umiiral na Batas sa Proteksyon ng Datos;

c) sa anumang hurisdiksyon, ng isang organisasyon o entidad na nag-aalok ng angkop na mga pananggalang, kabilang ang sa pamamagitan ng Standard Contractual Clauses;

d) sa anumang hurisdiksyon, na may nakasulat na pahintulot ng Customer o ng kaugnay na Data Subject.

8.c Kapag ang Pagproseso ng European Data ay naganap sa Third-Country, ituturing na pumasok ang mga partido sa Standard Contractual Clauses para lamang sa kaugnay na Personal Data at kaugnay na Pagproseso. Sumasang-ayon ang mga partido na para sa layunin ng Standard Contractual Clauses:

a) Kung ang Customer ay isang Controller at ang Botpress ay isang Processor, ang Module 2 (Controller to Processor) ang ipapatupad.

b) Kung ang Customer ay isang Processor at Botpress ay sub-processor, Module 3 (Processor to Processor) ang ipapatupad.

c) Para sa Usage Data, ang Module 1 (Controller to Controller) ang ipapatupad.

d) Sa Clause 7 ng Standard Contractual Clauses, hindi ipapatupad ang opsyonal na docking clause;

e) Sa Clause 9 ng Standard Contractual Clauses, Option 2 ang ipapatupad at ang panahon ng paunang nakasulat na abiso para sa pagbabago ng sub-processor ay 10 araw;

f) Sa Clause 11 ng Standard Contractual Clauses, hindi ipapatupad ang opsyonal na wika;

g) Sa Clause 17 (Option 1), ang Standard Contractual Clauses ay sasailalim sa batas ng Ireland;

h) Sa Clause 18(b) ng Standard Contractual Clauses, ang mga hindi pagkakaunawaan ay lulutasin sa mga korte ng Ireland;

i) Ang Botpress ang magiging "data importer" at ang Customer ang "data exporter" (para sa sarili nito at mga Pinapayagang Affiliate);

j) ang kaugnay na impormasyon na nakasaad sa Schedule 1 at Schedule 2 ng DPA na ito ay ituturing na kasama sa Annexes ng Standard Contractual Clauses;

k) Kung at sa lawak na may hindi pagkakatugma ang Standard Contractual Clauses sa alinmang probisyon ng DPA na ito, mananaig ang Standard Contractual Clauses sa lawak ng hindi pagkakatugma.

8.d Paglipat sa Switzerland at United Kingdom. Kung ang paglipat ng Personal Data sa pagitan ng Customer at Botpress at/o Sub-Processor ay sakop ng Data Protection Laws ng Switzerland o United Kingdom, ang Standard Contractual Clauses ay ituturing na binago upang sumunod sa mga kinakailangan ng naaangkop na Swiss at UK Data Protection Laws, kabilang ang mga sanggunian sa batas, naaangkop na batas at mga awtoridad at korte.

9. Pagproseso ng CCPA

9.a Kapag pinoproseso ang California Personal Information ayon sa tagubilin ng Customer, kinikilala at sinasang-ayunan ng mga partido na ang Customer ay isang Negosyo at ang Botpress ay isang Service Provider para sa layunin ng CCPA. Sumasang-ayon ang mga partido na ipoproseso ng Botpress ang California Personal Information bilang Service Provider para lamang sa layunin ng pagbibigay ng Software Services at Professional Services sa ilalim ng Kasunduan (ang “Business Purpose”) o gaya ng pinapayagan ng CCPA.

10. Mga Kahilingan ng Third-Party

10.a Responsibilidad ng Customer na tugunan ang anumang kahilingan mula sa Data Subject o Regulator kaugnay ng kanilang Personal Data at gamitin ang mga feature ng Software Services para kunin ang kaugnay na impormasyon tungkol sa pagproseso ng Personal Data.

10.b Kung hindi kayang tugunan ng Customer ang isang kahilingan mula sa Data Subject o Regulator (“Request”) nang mag-isa, magbibigay ang Botpress ng makatwirang tulong sa Customer upang matugunan ang anumang kahilingan kaugnay ng Pagproseso ng Personal Data sa ilalim ng Kasunduan. Maliban kung at sa lawak na ang kahilingan ay dahil sa pagkukulang ng Botpress na tuparin ang mga obligasyon nito sa ilalim ng DPA na ito, dapat bayaran ng Customer ang makatwirang gastos ng Botpress sa pagbibigay ng tulong.

10.c Kapag may Request o iba pang komunikasyon tungkol sa Pagproseso ng Personal Data sa ilalim ng Kasunduan na direktang ipinadala sa Botpress, agad na ipapaalam ng Botpress sa Customer at papayuhan ang Data Subject o Regulator na isumite ang kanilang Request direkta sa Customer. Tanging ang Customer ang may pananagutan sa pagsagot sa anumang Request o komunikasyon na may kinalaman sa Personal Data.

11. Audit kaugnay ng personal na datos

11.a Sa kahilingan at may sapat na abiso sa Botpress, pinapayagan ang Customer, sa sarili nilang gastos, na magsagawa ng kinakailangang beripikasyon upang matiyak na ang Personal Data na pinoproseso ng Botpress para sa Customer ay alinsunod sa mga tagubilin ng Customer. Sa kahilingan ng Customer, papayagan ng Botpress ang audit at inspeksyon ng mga prosesong isinasagawa ng Botpress. Maaaring isagawa ang audit na ito ng Customer at/o ng third party (na pinili ng Customer at tinanggap ng Botpress) na kumikilos para sa Customer. Kailangang tiyakin ng Customer na hindi makakasira o makakaabala sa mga pasilidad, kagamitan, tauhan, at negosyo ng mga entity ng Botpress Group.

11.b Magkakasundo muna ang Customer at Botpress tungkol sa uri, saklaw, at tagal ng anumang audit ng Customer, at babayaran ng Customer ang lahat ng makatwirang gastos na may kaugnayan sa audit na ito, na maaaring tantiyahin kung hihilingin ng Customer bago simulan ang audit. Hangga’t maaari, matutugunan ang mga kinakailangan ng Customer para sa audit sa pamamagitan ng mga ulat ng third-party audit na ibinibigay ng Botpress, kung mayroon.

11.c Kung ang Botpress ay nagpoproseso ng European Data para sa Customer, magbibigay ang Botpress sa Customer, kapag makatwiran ang kahilingan, (naka-confidential) (i) buod ng security testing report(s) nito at (ii) nakasulat na sagot sa lahat ng makatwirang kahilingan ng impormasyon ng Customer na kailangan para kumpirmahin ang pagsunod ng Botpress sa DPA na ito, basta’t hindi lalampas sa isang beses kada taon ang paggamit ng Customer ng karapatang ito maliban kung may makatwirang dahilan ang Customer na maghinala ng hindi pagsunod ng Botpress sa DPA.

12. Limitasyon ng Pananagutan

12.a Ang kabuuang pananagutan ng Botpress at mga Affiliate nito, na pinagsama-sama, na nagmumula o may kaugnayan sa DPA na ito (at anumang iba pang DPA sa pagitan ng mga partido) at sa Standard Contractual Clauses (kung naaangkop), maging ito man ay kontrata, tort, o iba pang teorya ng pananagutan, ay limitado sa kabuuang halaga ng mga Bayad na ibinayad ng Customer sa Botpress bilang kabayaran para sa mga Serbisyo sa loob ng 12 buwang panahon bago ang pangyayaring nagdulot ng pananagutan.

13. Hurisdiksyon

Maliban kung hinihingi ng naaangkop na Batas sa Proteksyon ng Datos, ang DPA na ito ay pamamahalaan at ipapaliwanag ayon sa mga batas na naaangkop sa Kasunduan at anumang hindi pagkakaunawaan ay lulutasin ng karampatang hukuman ng hurisdiksyon na tinukoy sa Proposal.

Kung kinakailangan ng Data Protection Laws na ang DPA na ito ay saklaw ng batas ng isang miyembrong estado ng European Union, ang DPA na ito ay sasaklawin ng batas ng Ireland at ang mga hindi pagkakaunawaan tungkol sa Kasunduang ito ay lulutasin ng mga korte ng Ireland.

14. Pangkalahatan

14.a Precedence. Kung may hindi pagkakatugma sa alinmang probisyon ng DPA na ito at iba pang probisyon ng Kasunduan, ang mga probisyon ng DPA ang laging mananaig, maliban kung tahasang nakasaad na ibang probisyon ng Kasunduan ang uunahin o may itatabi o babaguhin sa DPA na ito.

14.b Pagbabago. Maaaring baguhin ng Botpress ang DPA na ito para ipakita ang mga pagbabago sa paraan ng pagproseso ng datos. Anumang pagbabago maliban sa paglilinaw ng wika (na regular na ipapaalam sa Customer) ay ipapasa sa Customer at hindi ipapatupad hangga't hindi tinatanggap ng Customer. Kung kinakailangan ng batas ang pagbabago ng DPA na ito, may opsyon ang Customer na tanggapin ang pagbabago o tapusin ang subscription sa Software Services.

14.c  Pagkahiwalay. Kung may bahagi ng DPA na mapatunayang walang bisa o hindi maipatupad, hindi maaapektuhan ang bisa at pagpapatupad ng iba pang bahagi ng DPA.‍

‍

Schedule 1 – Detalye ng Pagproseso

Pagkilala sa Controller

Ang Customer

Contact Person : ang taong tinukoy sa Proposal na tinanggap ng Customer.

Pagkilala sa Processor

Kung ang Customer ay nasa Canada : Technologies Botpress Inc. Kung ang Customer ay nasa ibang lugar : Botpress, Inc.

Contact Person:

Jean-Bernard Perron [email protected]

Mga Kategorya ng Data Subjects

Maaaring magsumite ang Customer ng Personal Data habang ginagamit ang Software Service, na saklaw at kontrolado ng Customer ayon sa sariling pagpapasya, at maaaring kabilang, ngunit hindi limitado sa, Personal Data na may kaugnayan sa mga sumusunod na kategorya ng Data Subjects:

• Mga indibidwal na gumagamit ng Software para sa Customer
• Mga End-User ng Customer Bots

Mga Kategorya ng Personal na Datos

Maaaring magsumite ang Customer ng Personal Data sa Software Services at maaaring pahintulutan ang End-Users na magsumite ng Personal Data sa Software Services, depende sa desisyon ng Customer, ayon sa mga naaangkop na terms of service.

Hindi idinisenyo ang Software Service para sa pagproseso ng sensitibong datos, kaya responsibilidad ng Customer na tukuyin kung angkop ang Software Services para sa ganitong uri ng datos.

Ipoproseso ng Botpress ang contact information ng mga Awtorisadong User (pangalan, email, telepono) at usage at behavioral data tungkol sa paggamit ng produkto para sa technical support at estadistika.

Uri ng Pagproseso

• Imbakan at iba pang Pagproseso na kailangan para maibigay, mapanatili, at mapabuti ang mga Serbisyong ibinibigay sa Customer;
• Pagbubunyag alinsunod sa Kasunduan (kabilang ang DPA na ito) at/o kung kinakailangan ng naaangkop na batas;
• Ipoproseso ng Botpress ang Personal Data kung kinakailangan para maibigay ang mga Serbisyo ayon sa Kasunduan, at ayon sa karagdagang tagubilin ng Customer sa paggamit nito ng mga Serbisyo.
• Pinoproseso ng Botpress ang Usage Data para magbigay ng teknikal na suporta at para sa estadistikal na layunin (para sa pagpapabuti at pag-develop ng produkto).

Panahon ng pag-iingat ng Personal na Data

Sang-ayon sa obligasyon ng Botpress na burahin o ibalik ang datos sa Customer, sa ilalim ng Kasunduan, ipoproseso ng Botpress ang Personal Data sa tagal ng Kasunduan, maliban kung may ibang napagkasunduan na nakasulat

‍

‍Iskedyul 2 – Mga Panukalang Pangseguridad‍

1. Pamamahala

Nagpapatupad ang Botpress ng angkop na mga polisiya at proseso tungkol sa Personal Data, kabilang ang:

• Mga Pamamaraan sa Seguridad ng Impormasyon;
• Mga patakaran sa paggamit ng Personal Data ;
• Pamamaraan sa Pag-uulat ng Insidente sa Seguridad at Privacy ;
• Mga Mekanismo ng Pagtatasa ng Panganib;
• Mga Panloob na Proseso ng Audit ;
• Mga Kontraktwal na Hakbang;

‍2. Pag-access ng Gumagamit

• Malinaw na tinutukoy ang mga tungkulin at responsibilidad ng mga gumagamit ng Botpress at mga user profile na may access sa Personal Data at mga sistema ng impormasyon.
• Nagpapatupad ang Botpress ng mga hakbang para ipaalam sa mga user ang mga patakaran sa seguridad na nakakaapekto sa kanilang trabaho at ang mga kahihinatnan kapag nilabag ang mga ito.
• Hindi ginagamit ang clear text protocols sa pag-access o paglilipat ng Personal Data. Tanging SSL protocol lang ang tinatanggap para sa mga operasyong ito.
• Tinitiyak ng Botpress ang seguridad ng mga proseso at pamamaraan sa paghawak o pagtatapon ng pisikal na media o kagamitan na maaaring naglalaman ng Personal na Datos.
• Ang Personal na Datos ay pisikal na hiwalay, o lohikal na hiwalay kung nasa database o virtual environment, mula sa ibang datos ng Botpress. Kung hindi pisikal na hiwalay ang Personal na Datos, gumagamit ang Botpress ng angkop na panseguridad na kontrol, kabilang ang access control.

3. Kontrol sa pag-access

Pinapanatili ng Botpress ang mga server, kaugnay na database, at iba pang hardware at/o software na nag-iimbak ng Personal na Datos sa isang ligtas na data center na may kontroladong pag-access at binabantayan upang tanging awtorisadong tauhan lamang ang makapasok.

Nagpapatupad ang Botpress ng epektibong kontrol sa lohikal na access sa lahat ng sistema na ginagamit para lumikha, magpadala, o magproseso ng Personal na Datos, kabilang ngunit hindi limitado sa mga sumusunod:

• Pagpapatunay ng user, na dapat gumamit ng natatanging mga identifier ("user ID") at pangalan.
• Isang sapat na komplikado at matibay na estratehiya ng password.
  
• Ang karapatan/pribilehiyo ng user sa mga impormasyong naglalaman ng Personal Data ay dapat ibigay lamang kung kinakailangan batay sa tungkulin at responsibilidad ng user.
• Ang access ng mga user sa computer systems na may access sa Personal Data ay dapat agad na tanggalin kapag umalis ang user o kung nagbago ng trabaho at hindi na kailangan ng access sa bagong tungkulin.
• Ang default na password at security settings ay kailangang palitan sa mga third-party na produkto/aplikasyon na ginagamit para suportahan ang Personal Data.
• Ang mga third party service provider ay kailangang sumunod sa katumbas na mga kinakailangan sa seguridad at obligasyon gaya ng mga awtorisadong user ng Botpress kapag nagpoproseso ng Personal Data.
• Taunang muling pagberipika ng dahilan ng mga user account at kaugnay na awtorisasyon na may access sa personal na impormasyon.

‍4. Arkitektura ng seguridad ng network

Nagpapatupad ang Botpress ng epektibong kontrol sa network access sa lahat ng sistemang ginagamit para lumikha, magpadala, o magproseso ng Personal Data, kabilang dito ngunit hindi limitado sa:

• Laging gumagana ang mga firewall at naka-install sa hangganan ng network sa pagitan ng internal (pribado) na network ng Botpress at ng pampublikong network (Internet).
• Maayos na naka-configure at mino-monitor ang mga intrusion detection at prevention system na ginagamit sa network ng Botpress.
• Tanging ang mga serbisyo/proseso at port na kailangan para sa karaniwang pagpapatakbo ng mga programa ang pinapagana sa database at iba pang sistema ng impormasyon na ginagamit sa pagproseso ng Personal Data. Lahat ng iba pang serbisyo/proseso sa host ay hindi pinapagana.
• Lahat ng mga sistema ng impormasyon, repositoryo, at iba pang sistema na ginagamit upang iproseso ang Personal Data ay dapat na pisikal na matatagpuan sa isang kontroladong data center environment at ginagamit para sa layuning protektahan ang mga sistema ng impormasyon.
• Dapat laging gumamit ng secure na channel (hal. TLS, SFTP, SSH, IPSEC, atbp.) para sa komunikasyon sa Botpress data center.

5. Mga Kontrol sa Pamamahala ng Kahinaan

Nagpapatupad ang Botpress ng epektibong mga kontrol sa pamamahala ng kahinaan sa lahat ng sistemang ginagamit para lumikha, magpadala, o magproseso ng Personal Data, kabilang ang mga hakbang na ito ngunit hindi limitado sa:

• Pag-deploy ng mga device para sa pag-iwas at pagtuklas ng network upang salain ang phishing emails at malware bago makarating sa mga workstation na pinamamahalaan ng Botpress at may direktang o hindi direktang access sa Personal Data.
• Pag-deploy ng anti-virus at anti-malware na software para sa pag-iwas at pagtuklas sa lahat ng workstation na pinamamahalaan ng Botpress at nagpoproseso ng Personal Data.
• Panatilihin ang pamantayang proseso at gawain sa patch management para matiyak ang proteksyon ng lahat ng device na ginagamit sa pag-access, pagproseso, o pag-iimbak ng Personal Data.
  
• Ang mga device at dokumentong naglalaman ng Personal na Datos ay dapat nagpapakilala ng impormasyong na-access, nakatala, at tanging awtorisadong user lamang ang maaaring makakuha nito ayon sa dokumento ng seguridad.
• Mga hakbang para maiwasan ang pagnanakaw, pagkawala, o hindi awtorisadong pag-access sa Personal na Datos habang nililipat o inililipat ito.

6. Pag-backup, pag-recover at availability ng data

Ipinapatupad ng Botpress ang mga sumusunod na plano sa disaster recovery at business continuity para mabawasan ang maximum downtime at pagkawala ng datos.

• Nagpapatupad ang Botpress ng mga disaster recovery function na dinisenyo upang maibalik ang paggana ng sistemang naglalaman ng Personal Data sa loob ng panahong napagkasunduan ng mga partido o, kung wala, sa makatwirang panahon batay sa uri ng Personal Data.
• Sisiguraduhin ng Botpress na ang Personal na Datos ay hindi maaabot maliban ng awtorisadong tauhan ng Botpress (hal. ang mga panlabas na backup ay palaging naka-encrypt).
• Para mabawasan ang panganib mula sa mga banta sa kapaligiran, panganib, at pagkakataon ng di-awtorisadong pag-access, ang mga kagamitan ay dapat ilagay sa mga lugar na malayo sa mataas na panganib sa kapaligiran at dagdagan ng mga backup na kagamitan na nasa makatuwirang distansya.
• Magpapatupad ng mga mekanismo ng seguridad at redundancies para maprotektahan ang kagamitan mula sa pagkaantala ng serbisyo ng utility (hal. pagkawala ng kuryente, pagkaantala ng network, atbp.).
• Dapat magtatag ng mga polisiya at pamamaraan para sa pag-iingat at pag-imbak ng datos at magpatupad ng backup o redundancy na mekanismo para matiyak ang pagsunod sa mga regulasyon, batas, kontrata, o pangangailangan ng negosyo. Dapat ding subukan ang pagbawi mula sa disk o tape backup sa mga nakatakdang panahon.

7. Seguridad na audit

Naglalagay ang Botpress ng mga kontrol sa lahat ng sistemang ginagamit para lumikha, magpadala, o magproseso ng Personal na Datos, kabilang ngunit hindi limitado sa:

• Mga third party na vulnerability scan o audit ng mga panlabas na (public) infrastructure device na naglalaman ng Personal Data.
• Pagsusuri ng third party sa seguridad ng Botpress systems na nag-iimbak at nagpoproseso ng Personal Data.
• Pana-panahong pagsusuri ng third-party kung saan ang mga aplikasyon o proseso ay sumusuporta sa impormasyong pinansyal.
• Nangangako ang Botpress na tugunan ang lahat ng kahinaang matutukoy mula sa penetration tests at ipaalam sa Customer ang mga hakbang na ginawa para ayusin ito.
  

8. Pagsasanay at kamalayan

Nagpapatupad ang Botpress ng programa sa kamalayan sa seguridad para sa mga empleyado at tagapagbigay-serbisyo na may interaksyon sa mga sistemang humahawak ng Personal na Datos, kabilang ang:

• Tinitiyak ng Botpress na nauunawaan ng kanilang staff ang mga banta at alalahanin sa pamamahala ng impormasyon kaugnay ng Botpress Services at ng mga kaugnay na patakaran sa pamamahala ng impormasyon.
• Ang mga kawani ng Botpress ay tatanggap ng pagsasanay at regular na update tungkol sa mga patakaran at pamamaraan sa pamamahala ng panganib na naaayon sa pamantayang risk management classification scheme at angkop na mga proseso.
• Dapat ipaalam sa mga tauhan ng sub-kontraktor ang klasipikasyon ng pamamahala ng impormasyon ng Botpress at angkop na mga pamamaraan.
• Dapat magtatag ng mga polisiya at proseso para sa paglilinis ng mga dokumentong may sensitibong datos kapag walang tao sa workspace at pagpapatupad ng session logout ng workstation kapag walang aktibidad.

‍

Schedule 3 – Mga Sub-Processor

Pinananatili ng Botpress ang updated na listahan ng mga Sub-Processor sa kanilang Trust Center. Maliban kung may ibang sinabi, lahat ng datos ay pinoproseso sa United States.