Стандартные договорные условия (СДУ)

Мы разработали это Соглашение об обработке данных (СОД), чтобы включить все возможные конфигурации СДУ. Не все из них могут быть применимы к вам. Для большей ясности:  

Закон Калифорнии о защите персональных данных потребителей (CCPA) 

Мы обновили настоящее СОД, чтобы отразить поправки к Закону Калифорнии о праве на неприкосновенность частной жизни (CPRA) к CCPA. Мы не принимаем никаких изменений или поправок Клиента к настоящему СОД. 

Настоящее Соглашение об обработке данных Momentive («СОД») является частью вашего Соглашения с Momentive и содержит определенные условия, касающиеся защиты данных, конфиденциальности и безопасности в соответствии с Законодательством о защите данных, где это применимо. В случае (и только при условии) возникновения конфликта между различными положениями Законодательства о защите данных стороны должны соблюдать более строгое требование или более высокий стандарт, как определит компания Momentive по своему усмотрению в случае возникновения спора. 

Настоящее СОД между Клиентом и соответствующей организацией Momentive определяется следующим образом: 

(i) для Клиентов, проживающих за пределами США, поставщиком услуг является компания Momentive Europe UC; 

(ii) для Клиентов, проживающих в США, поставщиком услуг является компания Momentive Inc. 

Это наиболее актуальная версия СОД (от 1 января 2023 г.). 

В настоящем СОД следующие выражения, если из контекста не следует иное, имеют приведенные ниже значения. 

«Соглашение» означает любое соглашение об Услугах между компанией Momentive Inc. или Momentive Europe и клиентом. Такое соглашение может называться по-разному, например «Форма заказа», «Заказ на продажу», «Условия использования» или «Генеральное или регулирующее соглашение об услугах». 

«Статья 28» означает статью 28 регламента GDPR и GDPR Соединенного Королевства, применимую к обработке Персональных данных клиентов. 

«Клиент» или «вы» означает клиента, который указан в Соглашении и (или) является его стороной. 

Термин «Данные клиента» означает все данные (включая, помимо прочего, Персональные данные клиента), которые предоставляются компании Momentive Клиентом или от его имени при использовании Клиентом Услуг, а также любые данные, которые третьи стороны передают Клиенту через Услуги. 

Термин «Персональные данные клиента» означает все Персональные данные, которые предоставляются Клиентом или Клиенту при использовании Услуг и обрабатываются компанией Momentive в целях предоставления Услуг Клиенту, включая, помимо прочего, персональные данные, указанные в Приложении 2 к настоящему СОД. 

«Законодательство о защите данных» означает: 
i) Общий регламент по защите персональных данных (закон ЕС 2016/679, GDPR) и все прочие применимые законы или нормативные акты стран-членов ЕС, Европейской экономической зоны (ЕЭЗ) или Европейского единого рынка, а также любые их обновления, изменения и заменяющие документы, которые применяются к обработке персональных данных в рамках Соглашения;

ii) Швейцарский федеральный закон о защите данных (FADP) или новый Федеральный закон о защите данных, который вступает в силу с 1 января 2023 года (nFADP);

iii) все законы и нормативные акты США, которые применяются к обработке персональных данных в рамках Соглашения, включая, в частности, Закон Калифорнии о защите персональных данных потребителей от 2018 г. (Cal. Civ. Code §§ 1798.100 - 1798.199) (CCPA); 

iv) все законодательные акты и нормативные документы, которые применяются к обработке персональных данных в соответствии с Соглашением, время от времени действующие в Соединенном Королевстве (включая GDPR Соединенного Королевства), а также

v) Закон о защите персональных данных и электронных документов (PIPEDA) и любые его обновления, изменения и заменяющие документы, которые применяются к обработке персональных данных в Канаде.

Термины «контроллер», «оценка влияния на защиту данных», «обработка», «процедура обработки», «обработчик» и «надзорный орган» имеют те же значения, что и в регламенте GDPR или GDPR Соединенного Королевства.

«Momentive» или «мы» означает, в случае клиентов в США, компанию Momentive Inc., а в случае клиентов за пределами США — компанию Momentive Europe. 

«Momentive Europe» означает ирландскую компанию Momentive Europe UC, зарегистрированную по адресу 2 Shelbourne Buildings, Second Floor, Shelbourne Road, Dublin 4, Ireland (Ирландия). 

«Momentive Inc.» означает делавэрскую корпорацию, зарегистрированную по адресу One Curiosity Way, San Mateo, CA 94403, United States (США).  

«Уведомление Momentive о конфиденциальности» означает Уведомление Momentive о конфиденциальности, опубликованное на веб-странице https://ru.surveymonkey.com/mp/legal/privacy/.

Термин «Персональные данные» означает информацию, относящуюся к физическому лицу, которое в разумных пределах может быть идентифицировано при использовании этой информации или при ее использовании в сочетании с другими сведениями («Субъект данных»).

«Услуги» означают услуги, заказанные Клиентом у Momentive в рамках Соглашения. 

Аббревиатура «СДУ» означает «Стандартные договорные условия», прилагаемые к Решению Европейской комиссии: i) о стандартных договорных условиях о передаче персональных данных в третьи страны в соответствии с GDPR от 4 июня 2021 г. или ii) (до тех пор, пока Momentive не примет Стандартные договорные условия, изложенные в пункте i) о передаче Персональных данных Клиентов обработчикам, зарегистрированным в третьих странах в соответствии с Директивой 95/46/EC от 5 февраля 2010 г. Если применяется FADP/nFADP, все указания в СДУ должны пониматься как соответствующие указания на FADP/nFADP. Таким образом, все термины, используемые в этом контексте, должны иметь определения, которые предоставлены в FADP/nFADP.

Термин «Дополнение для Соединенного Королевства» означает i) типовое дополнение, выпущенное Управлением Комиссара по информации Соединенного Королевства и представленное 2 февраля 2022 года в парламент Соединенного Королевства в соответствии с разделом 119A Закона Соединенного Королевства о защите данных от 2018 года, который может время от времени пересматриваться в соответствии с разделом 18 Обязательных пунктов. Типовое дополнение, упомянутое в этом определении, означает документ, озаглавленный: «Дополнение о международной передаче данных к Стандартному договору Комиссии ЕС», версия B1.0, вступившее в силу 21 марта 2022 г.; или ii) (до тех пор, пока Momentive не примет Дополнение для Соединенного Королевства, упомянутое в пункте i) Решение Европейской комиссии от 5 февраля 2010 г. о передаче персональных данных обработчикам, зарегистрированным в третьих странах в соответствии с Директивой 95/46/EC.

Термин «GDPR Соединенного Королевства» означает регламент GDPR ЕС, поскольку он является частью законодательства Англии и Уэльса, Шотландии и Северной Ирландии согласно разделу 3 Закона о Европейском Союзе (выход) от 2018 г., в соответствии с поправками Регламента о защите данных, конфиденциальности и электронных средствах связи (поправки и т. д.) (выход из ЕС) 2019 и 2020 гг. соответственно, а также в соответствии с любыми законодательными актами, действующими в Соединенном Королевстве время от времени, которые впоследствии могут изменить или заменить GDPR Соединенного Королевства.

При предоставлении Услуг Клиенту Momentive является обработчиком Персональных данных Клиента в целях GDPR. В соответствии с Законом CCPA, если применимо, Momentive и Клиент настоящим подтверждают, что в отношении Персональной информации Momentive является «Поставщиком услуг», а Клиент — «Компанией» (как определено в CCPA).

Настоящее СОД остается в силе до тех пор, пока Соглашение не будет расторгнуто (в соответствии с его условиями) или не истечет срок его действия. 

Клиент должен обеспечить и настоящим гарантирует и заявляет, что он имеет право передавать Данные клиента компании Momentive, чтобы компания Momentive могла законно обрабатывать и передавать персональные данные в соответствии с настоящим СОД. Клиент должен позаботиться о том, чтобы все соответствующие субъекты данных были проинформированы о таком использовании, обработке и передаче, как того требует Законодательство о защите данных, и чтобы было получено законное согласие (при необходимости). Клиент должен обеспечить, чтобы обработка или передача любых персональных данных компании Momentive осуществлялась законно и надлежащим образом.

Если компания Momentive осуществляет обработку Персональных данных Клиента для него, выступая как обработчик, она:

а) делает это только по задокументированным указаниям Клиента и в соответствии с Законодательством о защите данных, в том числе в отношении передачи персональных данных в другие юрисдикции или международные организации, и стороны соглашаются, что Соглашение представляет собой такие задокументированные указания Клиента компании Momentive по обработке Персональных данных Клиента (в том числе за пределами ЕЭЗ) наряду с другими разумными указаниями, предоставляемыми Клиентом компании Momentive (например, по электронной почте), если такие инструкции соответствуют Соглашению; 

б) обеспечивает принятие всем персоналом Momentive, участвующим в обработке Персональных данных Клиента, обязательства по соблюдению конфиденциальности в отношении персональных данных; 

в) предоставляет информацию, необходимую Клиенту для демонстрации соблюдения его обязательств по Статье 28 (если это применимо к Клиенту), если такая информация хранится у Momentive и не доступна Клиенту иным образом через его учетную запись и пользовательские зоны или на веб-сайтах Momentive, при условии, что Клиент не менее чем за 14 дней направит Momentive письменный запрос о такой информации;

г) по обоснованному запросу Клиента помогает ему обеспечить любое осуществление прав субъектов данных, предоставляемых им Законодательством о защите данных в отношении персональных данных, обрабатываемых компанией Momentive при предоставлении Услуг; 

д) при необходимости оказывает содействие в выполнении запросов, полученных непосредственно от Субъекта данных в отношении его Персональных данных, предоставленных в рамках Услуг;

е) после удаления вами Персональных данных Клиента из своей учетной записи сохраняет их только в тех случаях, когда это необходимо в целях соблюдения применимых законов и нормативных актов, а также в рамках регулярного создания резервных копий, предназначенных для аварийного восстановления и обеспечения бесперебойной работы бизнеса, в соответствии с нашими политиками хранения; 

ж) периодически сотрудничает с любым надзорным органом или любым заменяющим или преемственным органом (или, в той степени, в которой это требуется Клиенту, с любым другим регулятором защиты данных или конфиденциальности в соответствии с Законодательством о защите данных) при выполнении задач такого надзорного органа, если это необходимо; 

з) в разумных пределах оказывает Клиенту помощь, когда Клиент: 

(i) проводит оценку влияния Услуг на защиту данных (что может включать предоставление документации, позволяющей клиенту провести собственную оценку); или

(ii) должен сообщить о Случае нарушения безопасности (как определено ниже) надзорному органу или соответствующему субъекту данных;

и) не будет а) продавать или передавать любую Персональную информацию (как определено в CCPA) в коммерческих целях, или b) собирать, хранить, использовать, раскрывать или иным образом обрабатывать Персональную информацию, кроме как 1) для выполнения своих обязательств перед Клиентом по Соглашению, 2) от имени Клиента, 3) для операционных целей Клиента, 4) для внутреннего пользования в Momentive, как это разрешено Законодательством о защите данных, 5) для выявления нарушений безопасности данных или защиты от мошеннических или незаконных действий, или 6) в прочих случаях в соответствии с Законодательством о защите данных; 

к) в случаях, когда этого требует Законодательство о защите данных, будет информировать Клиента, если ей станет известно, что какие-либо указания, полученные от Клиента, нарушают положения Законодательства о защите данных. Несмотря на вышесказанное, компания Momentive не обязана контролировать или проверять законность любого указания, полученного от Клиента; и

л) подтверждает, что понимает ограничения и обязательства, изложенные в настоящем СОД, и будет их соблюдать. 

6.1. Дополнительная обработка. Клиент дает компании Momentive общее разрешение на привлечение последующих дополнительных обработчиков при условии соблюдения требований настоящего Раздела 6.

6.2. Список дополнительных обработчиков. С учетом положений о конфиденциальности, предусмотренных Соглашением или иным образом установленных компанией Momentive, она:

a) предоставит Клиенту список субподрядчиков Momentive, которые участвуют в обработке или дополнительной обработке Персональных данных Клиентов в связи с предоставлением Услуг («Дополнительные обработчики»), вместе с описанием характера услуг, предоставляемых каждым Дополнительным обработчиком («Список Дополнительных обработчиков»). Копию этого списка Дополнительных обработчиков можно запросить здесь; 

б) обеспечивает, чтобы все Дополнительные обработчики, включенные в Список дополнительных обработчиков, были связаны договорными условиями, которые во всех существенных аспектах не менее строги, чем установленные в настоящем СОД; и 

в) несет ответственность за действия и упущения своих Дополнительных обработчиков в том же объеме, в котором несла бы ответственность компания Momentive, если бы она самостоятельно оказывала услуги каждого из этих Дополнительных обработчиков в соответствии с условиями настоящего СОД, кроме случаев, оговоренных в Соглашении. 

6.3. Новые/замененные Дополнительные обработчики. Momentive обязуется предоставить Клиенту письменное уведомление о добавлении нового Дополнительного обработчика или замене существующего Дополнительного обработчика в любое время в течение срока действия Соглашения («Уведомление о новом Дополнительном обработчике»). Клиент может подписаться на почтовую рассылку, с помощью которой компания Momentive будет отправлять такие уведомления по электронной почте, или проверять обновления списка здесь. Если у Клиента есть разумные основания возражать против использования компанией Momentive нового Дополнительного обработчика или замены старого, Клиент должен незамедлительно уведомить Momentive в письменной форме в течение 30 дней после получения Уведомления о новом Дополнительном обработчике. В случае такого разумного возражения Клиент или Momentive могут расторгнуть часть любого Соглашения, относящуюся к Услугам, которые на разумных основаниях не могут быть предоставлены без нового Дополнительного обработчика, в отношении использования которого имеются возражения, с немедленным вступлением в силу после направления письменного уведомления другой стороне (что может, по усмотрению и выбору Momentive, повлечь за собой расторжение всего Соглашения). Такое расторжение не предусматривает права на возмещение любых сумм, предварительно уплаченных Клиентом за период после расторжения Соглашения.

7.1. Меры безопасности. С учетом современного уровня развития технологий, стоимости реализации, характера, объема, контекста и целей Услуг, а также уровня риска компанией Momentive внедрены соответствующие технические и организационные меры (в соответствии с Приложением 1) для обеспечения безопасности на уровне, соответствующем риску несанкционированной или незаконной обработки, случайной утраты и/или повреждения Данных клиентов. Компания Momentive проверяет и оценивает эффективность указанных технических и организационных мер с разумной периодичностью в целях обеспечения безопасности обработки данных.

7.2. Случай нарушения безопасности и Уведомление о нарушении. Если компании Momentive станет известно о любом несанкционированном или незаконном доступе к Персональным данным клиента, их приобретении, изменении, использовании, раскрытии или уничтожении (далее — «Случай нарушения безопасности»), Momentive предпримет разумные шаги для своевременного уведомления Клиента. К Случаям нарушения безопасности не относятся неудачные попытки или действия, которые не ставят под угрозу безопасность Персональных данных, в том числе неудачные попытки входа в систему, проверки связи, сканирование портов, атаки типа «отказ в обслуживании» или другие сетевые атаки на брандмауэры или сетевые системы. Любое уведомление Клиента о Случае нарушения безопасности не означает принятия ответственности за него компанией Momentive.

7.3. Кроме того, компания Momentive будет разумно сотрудничать с Клиентом в связи с любыми расследованиями, касающимися Случаев нарушения безопасности, включая подготовку необходимых уведомлений, а также предоставлять иную информацию, обоснованно запрашиваемую Клиентом в связи с любыми Случаями нарушения безопасности.  

8.1. Аудит. Если Momentive обрабатывает Персональные данные Клиента за него, выступая только в качестве обработчика, Клиент предоставляет компании Momentive письменное уведомление по крайней мере за один месяц до проведения аудита, который может быть проведен Клиентом или независимым аудитором, назначенным Клиентом (при условии, что ни одно из лиц, проводящих аудит, не является конкурентом Momentive и не действует от имени такого конкурента) (далее «Аудитор»). К аудиту применяются следующие условия:

а) Клиент имеет право проводить аудит только один раз в год подписки, если только по закону или по требованию регулирующего органа, имеющего установленные полномочия в отношении Клиента, он не должен провести или содействовать проведению более одного аудита в том же году (при таких обстоятельствах Клиент и Momentive заранее согласуют разумный размер возмещения расходов Momentive на проведение аудита).

б) С соблюдением соответствующих и обоснованных ограничений на использование конфиденциальной информации компания Momentive соглашается предоставлять подтверждения соответствия нормам и стандартам соблюдения нормативных требований, которых она придерживается, и по требованию будет предоставлять Клиенту краткий отчет о ежегодных тестах на проникновение, проведенных компанией Momentive за последнее время, с указанием мероприятий по устранению выявленных несоответствий, осуществленных компанией Momentive по результатам этих тестов. 

в) Аудит распространяется только на системы, процессы и документацию компании Momentive, которые имеют отношение к обработке и защите Персональных данных Клиента. Аудиторы будут проводить проверки с соблюдением всех соответствующих и обоснованных ограничений на использование конфиденциальной информации, установленных компанией Momentive.

г) Клиент незамедлительно и конфиденциально уведомляет компанию Momentive о предполагаемом несоблюдении установленных требований или проблемах безопасности, обнаруженных в ходе проверки, и предоставляет ей все связанные с этим сведения.

8.2. Стороны соглашаются, что кроме случаев, когда постановлением или иным обязательным для исполнения распоряжением надзорного или регулирующего органа, обладающего полномочиями в отношении Клиента, установлены иные требования, в данном Разделе 8 определен весь объем прав Клиента на проведение проверок в отношении компании Momentive.

9.1. Насколько это применимо, в отношении передач Персональных данных Клиентов из Европейской экономической зоны («ЕЭЗ»), Швейцарии или Соединенного Королевства в места за пределами ЕЭЗ, Швейцарии и Соединенного Королевства (напрямую или посредством последующих передач), при которых не применяются надлежащие стандарты защиты данных, установленные Европейской комиссией, или другие соответствующие требования Законодательства о защите данных, компания Momentive полагается на:

а) SCC (СДУ) и

б) Дополнение для Соединенного Королевства (для процедур передачи, подпадающих под действие GDPR Соединенного Королевства) или

в) аналогичные соответствующие гарантии или отступления (в ограниченной степени), предлагаемые или разрешенные в соответствии с Законодательством о защите данных.

9.2. При необходимости стороны настоящим обязуются заключить SCC (СДУ) (копия которых доступна здесь) и Дополнение для Соединенного Королевства (Приложение 3). SCC (СДУ) включены в настоящее Соглашение посредством ссылки и применяются следующим образом:

a) если Клиент заключает контракт с Momentive Inc. в США в соответствии с Соглашением об оказании услуг, является контролером Персональных данных клиентов и посредством использования Услуг передает эти Персональные данные клиентов из ЕЭЗ в места, которые не были определены Европейской комиссией как обеспечивающие надлежащий уровень защиты Персональных данных, Momentive заключает SCC (СДУ) в качестве импортера данных, а Клиент заключает SCC (СДУ) в качестве экспортера данных, причем будет применяться только Второй модуль SCC (СДУ), и/или

б) если Клиент заключает контракт с Momentive Inc. в США в соответствии с Соглашением об оказании услуг, является обработчиком Персональных данных клиентов и посредством использования Услуг передает эти Персональные данные клиентов из ЕЭЗ в места, которые не были определены Европейской комиссией как обеспечивающие надлежащий уровень защиты Персональных данных, Momentive заключает SCC (СДУ) в качестве импортера данных, а Клиент заключает SCC (СДУ) в качестве экспортера данных, причем будет применяться только Третий модуль SCC (СДУ), и/или

в) если Клиент не является резидентом ЕЭЗ и заключает договор с Momentive Europe UC на хранение Персональных данных клиентов в ЕЭЗ в соответствии с Соглашением, является контролером Персональных данных клиентов и посредством использования Услуг передает эти Персональные данные из ЕЭЗ в места, которые не были определены Европейской комиссией как обеспечивающие надлежащий уровень защиты Персональных данных, Momentive заключает SCC (СДУ) в качестве экспортера данных, а Клиент заключает SCC (СДУ) в качестве импортера данных, причем будет применяться только Четвертый модуль SCC (СДУ), кроме того

г) в Пункте 7 применяется необязательная стыковочная оговорка;

д) в Пункте 11 необязательная формулировка не применяется;

е) в Пункте 17 SCC (СДУ) будут регулироваться законодательством Ирландии;

ж) в Пункте 18 споры должны разрешаться в судах Ирландии;

з) Приложения I и II SCC (СДУ) должны быть дополнены информацией, изложенной в Соглашении, и данными, предоставленными в Приложениях к настоящему СОД.

9.3. Для передач, которые защищены FADP/nFADP, СДУ должны применяться в соответствии с вышеупомянутым Разделом 9.2. со следующими исключениями: 

a) любые указания на GDPR в СДУ должны толковаться как указания на FADP/nFADP;  

b) любые указания на «ЕС», «Союз» и «Законодательство страны-члена» должны толковаться как указания на Швейцарию и швейцарское законодательство, а также  

c) любые указания на «компетентный надзорный орган» и «компетентные суды» должны толковаться как указания на соответствующий орган по защите данных и суды в Швейцарии, если только СДУ, применимые как описано выше, не могут быть использованы на законных основаниях для передачи таких Персональных данных Клиента в соответствии с FADP/nFADP, и в этом случае швейцарские СДУ должны быть включены посредством указания, являясь неотъемлемой частью настоящего СОД, и должны применяться к таким передачам данных. В целях применения швейцарских СДУ соответствующие Приложения швейцарских СДУ заполняются с использованием информации, содержащейся в Приложениях I и II к настоящему СОД (в зависимости от обстоятельств), и применяются положения о толковании, изложенные в Разделе 9.3 настоящего документа (в зависимости от обстоятельств и в соответствии с требованиями соблюдения FADP/nFADP).  

9.4. По письменному запросу и в соответствии с положениями Стандартных договорных условий или Дополнения для Соединенного Королевства (если применимо) компания Momentive обязуется предоставить Клиенту копии Стандартных договорных условий или Дополнения для Соединенного Королевства, которые она приняла в рамках договора с импортерами данных в качестве обработчика данных.

10.1. Ответственность за обработку данных. Совокупная ответственность каждой из сторон по любым претензиям, возникшим на основании договора, вследствие гражданского правонарушения (включая неосторожность), нарушения законодательно установленной обязанности или по иным основаниям, возникающим из настоящего СОД или в связи с ним, определяется в соответствии с Соглашением, если иное не согласовано сторонами в письменной форме.

10.2. Противоречия. В случае противоречия или неоднозначности между: (i) положениями настоящего СОД и положениями Соглашения в отношении предмета настоящего СОД, положения настоящего СОД имеют преимущественную силу; (ii) любыми положениями настоящего СОД и любыми положениями Стандартных договорных положений, преимущественную силу имеют Стандартные договорные положения.

10.3 Независимая обработка. Клиент несет полную ответственность за соблюдение им Законодательства о защите данных в отношении независимого сбора и обработки персональных данных, не связанных с Услугами. Клиент обязуется предоставить свои собственные ясные и легко доступные уведомления о конфиденциальности, которые точно описывают, как им обрабатываются персональные данные. Компания Momentive не будет нести ответственности за использование персональных данных Клиентом при таких обстоятельствах. Согласно условиям настоящего соглашения Клиент полностью освобождает компанию Momentive от ответственности за любые претензии, возникающие в результате такого сбора и использования персональных данных при таких обстоятельствах.

10.4. Полнота соглашения. Соглашение (которое включает в себя настоящее СОД) и любая Форма заказа представляют собой полное и единственное соглашение между сторонами и заменяют собой любые другие предыдущие или одновременные соглашения или условия, письменные или устные, касающиеся их предмета. Каждая из сторон подтверждает, что она не полагалась на какие-либо заверения, не зафиксированные в Соглашении, побудившие ее заключить Соглашение.

10.5 Автономность условий и положений. Если какое-либо положение настоящего СОД будет признано судом компетентной юрисдикции неисполнимым, это положение будет аннулировано, но остальные положения останутся в полной силе. Никакие положения в настоящем СОД не должны рассматриваться как условия для создания какого-либо партнерства или совместного предприятия между любой из сторон, а также не дают права какой-либо стороне принимать какие-либо обязательства в интересах или от имени любой другой стороны, за исключением случаев, прямо предусмотренных в настоящем документе.

10.6. Электронная копия. СОД предоставляется в виде электронного документа.

10.7. Регулирующее законодательство. Настоящее СОД регулируется законодательством Ирландии, и стороны подчиняются исключительной юрисдикции ирландских судов (в отношении всех договорных и внедоговорных споров), за исключением случаев предполагаемого нарушения или нарушения действующих или будущих законов о конфиденциальности, нормативных актов, стандартов, нормативных указаний и руководящих принципов саморегулирования на уровне штата или федеральном уровне в Соединенных Штатах Америки; в этом случае действует законодательство штата Калифорния, если иное не предусмотрено законом.

Описание технических и организационных мер безопасности, реализуемых Momentive.

Компания Momentive будет принимать соответствующие административные, физические и технические меры («Меры обеспечения безопасности») для защиты безопасности, конфиденциальности и целостности Персональных данных, предоставленных ей для оказания Услуг Клиенту. 

Меры обеспечения безопасности включают следующее: 

а) Область действия: организация информационной безопасности.

(i) Роли и обязанности в сфере безопасности. На персонал Momentive, имеющий доступ к данным, распространяются обязательства по соблюдению конфиденциальности.

(ii) Программа управления рисками. Перед обработкой данных Momentive при необходимости проводит оценку рисков.

б) Область действия: управление ресурсами.

(i) Работа с ресурсами.

(1) В Momentive предусмотрены процедуры утилизации печатных материалов, содержащих Данные клиентов.

(2) Momentive ведет учет всего оборудования, на котором хранятся Данные клиентов.

в) Область действия: безопасность персонала.

(i) Обучение по вопросам безопасности.

(1) Компания Momentive информирует свой персонал о процедурах обеспечения безопасности и соответствующих обязанностях. Momentive также информирует персонал о возможных последствиях нарушения правил и процедур безопасности.

г) Область действия: физическая и экологическая безопасность.

(i) Физический доступ в помещения. Momentive разрешает доступ в помещения, где расположены информационные системы, обрабатывающие Данные клиентов, только идентифицированным уполномоченным лицам.

(ii) Защита от сбоев. Momentive использует различные принятые в отрасли системы для защиты от потери данных из-за сбоев электропитания или помех в линиях связи.

(iii) Утилизация компонентов. Momentive использует стандартные отраслевые процессы для удаления Данных клиентов, когда они больше не нужны.

д) Область действия: управление коммуникациями и операциями. 

(i) Операционная политика. Momentive ведет документацию по безопасности, в которой описываются меры безопасности, соответствующие процедуры и обязанности персонала, имеющего доступ к Данным клиентов. 

ii) Процедуры восстановления данных. 

(1) Momentive на регулярной и постоянной основе создает резервные копии Данных клиентов, из которых можно восстановить Данные клиентов в случае утраты основной копии. 

(2) Momentive хранит копии Данных клиентов и процедуры восстановления данных отдельно от расположения основного компьютерного оборудования, обрабатывающего Данные клиентов. 

(3) В Momentive приняты специальные процедуры, регулирующие доступ к копиям Данных клиентов. 

(iii) Вредоносные программы. В Momentive имеются средства защиты от вредоносных программ, которые помогают избежать несанкционированного доступа к Данным клиентов, в том числе от вредоносных программ, проникающих из общедоступных сетей.

(iv) Данные через границы. 

(1) Momentive шифрует Данные клиентов, передаваемые по общедоступным сетям. 

(v) Ведение журнала событий.

(1) Momentive ведет учет использования своих систем обработки данных. 

(2) Momentive ведет журнал доступа и использования информационных систем, содержащих Данные клиентов, в которых регистрируются идентификаторы доступа, метки времени и некоторые действия.

е) Область действия: контроль нарушений информационной безопасности.

(i) Процесс реагирования на нарушения. 

(1) В Momentive принят план реагирования на нарушения.  

(2) Momentive ведет учет нарушений безопасности с описанием нарушения, периода времени, последствий нарушения, имени лица, сообщившего о нарушении и кому было сообщено о нем, и мер по устранению последствий, если это применимо.

ж) Область действия: управление непрерывностью процессов.

(i) Обширные хранилища данных и процедуры восстановления данных в Momentive рассчитаны на восстановление Данных клиентов до их первоначального состояния, предшествовавшего моменту их потери или уничтожения.   

з) Контроль доступа в зоны обработки.  Процессы, предотвращающие доступ посторонних лиц к оборудованию для обработки данных (а именно к телефонам, серверам баз данных и приложений и соответствующему оборудованию), на котором обрабатываются или используются Персональные данные Клиентов, включают: 

(i) создание безопасных зон; 

(ii) защита и ограничение путей доступа;

(iii) обеспечение безопасности мобильных телефонов;   

(iv) оборудование для обработки данных и персональные компьютеры;

(v) весь доступ к центрам обработки данных, где размещены Персональные данные Клиентов, регистрируется, контролируется и отслеживается;  

(vi) центры обработки данных, в которых размещаются Персональные данные Клиентов, защищены системой охранной сигнализации и другими подходящими средствами безопасности; и 

(vii) помещения спроектированы таким образом, чтобы противостоять неблагоприятным погодным и другим разумно предсказуемым природным условиям, обеспечены круглосуточной охраной, системой доступа по ключ-картам и (или) биометрического доступа (в зависимости от уровня риска) и контролем доступа с сопровождением, а также оснащены резервными генераторами на случай отключения электроэнергии.

и) Контроль доступа к системам обработки данных. Процессы для предотвращения использования систем обработки данных неуполномоченными лицами, включая:  

(i) идентификацию терминалов или пользователей терминалов систем обработки данных; 

(ii) автоматическое завершение сеанса через 30 минут или менее при бездействии пользователя терминала; для повторного открытия сеанса требуются идентификация и пароль;

(iii) выдачу и обеспечение сохранности идентификационных кодов;  

(iv) требования к сложности паролей (минимальная длина, срок действия паролей и т. д.); и

(v) защиту от внешнего доступа с помощью межсетевого экрана на уровне отраслевых стандартов.  

к) Контроль доступа для использования определенных областей систем обработки данных. Меры по обеспечению того, чтобы лица, имеющие право использовать системы обработки данных, могли получить доступ к данным только в рамках и в объеме, предусмотренном их соответствующим разрешением на доступ (авторизацией), и чтобы Персональные данные Клиентов нельзя было прочитать, скопировать, изменить или удалить без разрешения, в том числе путем:

(i) введения обязательных правил для сотрудников и проведения обучения по правам доступа каждого сотрудника к Персональным данным Клиентов;

(ii) эффективных и взвешенных дисциплинарных мер в отношении лиц, которые получают доступ к Персональным данным Клиентов без разрешения;  

(iii) выдачи данных только уполномоченным лицам;  

(iv) внедрения принципов наименее привилегированного доступа к информации, содержащей Персональные данные Клиентов, строго на основании требований «минимальной осведомленности»;

(v) управления доступом к рабочей сети и данным с помощью VPN, двухфакторной аутентификации и контроля доступа на основе ролей;

(vi) сведения информации из журналов приложений и систем инфраструктуры в централизованно управляемое хранилище журналов для устранения неполадок, проверки безопасности и анализа; и 

(vii) политик, контролирующих хранение резервных копий, которые соответствуют действующему законодательству, характеру данных и существующему риску.

л) Контроль передачи. Процедуры по предотвращению чтения, копирования, изменения или удаления Персональных данных Клиента неуполномоченными лицами во время их передачи или транспортировки носителей данных, а также по обеспечению возможности проверить и установить, в какие органы предусмотрена передача Персональных данных Клиентов с помощью средств передачи данных, включают: 

(i) использование брандмауэров и технологий шифрования для защиты шлюзов и линий, через которые проходят данные;

(ii) введение VPN-соединений для защиты подключения к внутренней корпоративной сети;

(iii) постоянный мониторинг инфраструктуры (например, ICMP-Ping на сетевом уровне, исследование дискового пространства на системном уровне, успешная доставка заданных тестовых страниц на уровне приложений; и

(iv) контроль полноты и правильности передачи данных (сквозная проверка). 

м) Контроль хранения. При хранении любых Персональных данных Клиентов: их резервное копирование осуществляется в рамках установленных процессов резервного копирования и восстановления в зашифрованном виде с использованием коммерчески поддерживаемого шифровального решения, а все данные, определенные как Персональные данные Клиентов, хранящиеся на любом портативном или переносном вычислительном устройстве или любом переносном носителе информации, также шифруются. Используются шифровальные решения с ключом длиной не менее 128 бит для симметричного шифрования и 1024 (или больше) бит для асимметричного шифрования;

н) Входной контроль. Меры по обеспечению возможности проверить и установить, были ли, и если да, то кем, введены в системы обработки данных или удалены из них Персональные данные Клиентов, включают:

(i) аутентификацию уполномоченного персонала;

(ii) меры защиты для ввода данных в память, а также для чтения, изменения и удаления хранимых данных;

(iii) использование кодов пользователей (паролей);