Versions Compared

Old Version 1

changes.mady.by.user Monica Rüegg

Saved on

compared with

New Version 2

changes.mady.by.user Monica Rüegg

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Subject matter/purpose of the Processing:

Processing any Personal Data, entered by Controller and/or his End Users for the use of the SaaS-Services.

Categories of data subjects:

People who use the SaaS-Services (End Users).

People whose Personal Data is processed using the SaaS-Services by Controller and/or his End Users.

People whose data is transmitted via the SaaS-Services by Controller and/or his End Users.

Other possible data subject categories whose Personal Data is processed using the SaaS-Services.

Categories of personal data:

Any data that Controller or its End Users enter into the SaaS-Services (may contain special categories of personal data).

Nature of the Processing:

Hosting, transmitting and backup of Personal Data.

Duration of the Processing:

As long as the controller uses the SaaS-Services and does not delete the Personal Data.

...

Annex B: TECHNICAL AND ORGANIZATIONAL MEASURES

Zugangskontrollen (Schlüssel, Badge, Wache)Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit

Physische Sicherheit und Zugangskontrolle

Physical security and access control

Access controls (key, badge, guard)

  • Schlüssel/Badges sind Einzelpersonen zugeordnet

    • Keys/badges are assigned to individuals

    Benutzer- und Zugriffskontrolle (Identity- und Access-Management)

    User and access control (identity and access management)

    Alle Zugriffe erfordern Authentifizierung

    All access requires require authentication

    Regeln für Passwort-Komplexität und Erneuerung

    Password Rules for password complexity and renewal rules

    Rollenbasiertes Identity- und Access-Management

    Role-based identity and access management

    Arbeitsgeräte werden bei Nichtgebrauch gesperrt

    Tools are locked when not in use

    Multifaktorauthentifizierung bei externen Zugriffen

    Multi-factor authentication for external access

    Least-Privilege-Prinzip

    Least privilege principle

    Privileged Access Management (PAM);

    Protokollierung von Zugriffen

    Access logging

    Nutzung von Admin-Konten nur wenn nötig

    Use of admin accounts only when necessary

    Berechtigungskonzept (need-to-know Prinzip)

    Authorization concept (need-to-know principle)

    Confidentiality, integrity, availability and traceability

    Verschlüsselung von Daten "at rest"

    Encryption of data "at rest"

    Backup-Konzept

    Backup concept

    Verschlüsselung von Endgeräten

    BCM-Konzept, Notfallplan

    Verschlüsselung von Daten "in transit"

    Regelmässige Überprüfung des Backups

    Verschlüsselungen nach Stand der Technik

    Hard- und Software inventarisiert

    Penetration Tests, externe Security Audits

    Hard- und Software laufend geprüft/aktualisiert

    Personal unterzeichnet Geheimhaltungserklärung

    Technische Redundanz (z.B. RAID, zwei Systeme)

    Änderungen von Daten/Systemen protokolliert

    Andere: Logische Trennung der als Auftragsbearbeiter bearbeiteten Daten von anderen Daten

    Verschlüsselung von Daten "at rest"

    Encryption of data "at rest"

    Massnahmen zur Einhaltung der Datenschutzgrundsätze und Betroffenenrechte

    Datenschutzerklärung für alle Anwendungen

    Zuständigkeit für Betroffenenrechte festgelegt

    Trennung von produktiven Daten/Testdaten

    Verzeichnis der Bearbeitungstätigkeiten

    Verantwortlichkeit für Bearbeitungen definiert

    Organisation, Überwachung und Zertifizierungen

    TOMS werden regelmässig geprüft/angepasst

    Interne oder externe Datenschutzstelle

    Weisungen und Schulungen

    Schulung zum Informationssicherheit

    Schulung zum Datenschutz

    Awareness-Massnahmen Datenschutz/InfoSec

    ...

    Annex C: Approved Sub-Processors

    The Parties agree to the commissioning of the following Sub-Processors:

    Company

    Service Pro-vided

    Corporate Location

    Address

    Contact Point

    Further Details (including own Sub-Processors)

    Atlassian. Pty Ltd

    Hosting (Forge Apps)

    Australia

    Level 6, 341 George Street

    Sydney NSW 2000

    eudatarep@atlassian.com

    The provider is using further sub-processors as per the following list:

    https://www.atlassian.com/legal/sub-processors

    Technical and organizational measures can be found here:

    https://developer.atlassian.com/platform/forge/resources/Forge-Data-Processing-Addendum.pdf

    SFDC Ireland Limited

    Hosting (Heroku)

    Ireland

    Salesforce Tower Dublin
    North Dock

    Dublin 1
    D01 W2Y3
    Ireland

    + 353 14403500

    legal@salesforce.com

    The provider is using further sub-processors as per the following list:

    https://www.salesforce.com/company/legal/trust-and-compliance-documentation/

    Technical and organizational measures can be found here:

    https://www.salesforce.com/company/legal/trust-and-compliance-documentation/

    Alpine Shark, LLC

    Static IP Service

    USA

    2831 St. Rose Pkwy. Unit 221 Henderson NV 89052

    ...