Produktinformationen
Alles, was Sie über Nitro Produkte wissen müssen - von Produkt-Updates und Downloads bis hin zu Benutzerhandbüchern und Versionshinweisen.

NACHTRAG ZUR DATENVERARBEITUNG

Dieser Zusatz zur Datenverarbeitung ("DPA") ist Teil der Nitro-Geschäftsbedingungen und Nitro-Geschäftsbedingungen, die die Nutzung der Nitro-Dienste regeln. ("Vereinbarung"), die von und zwischen Ihnen, dem Kunden (zusammenfassend als "Einzelperson","Unternehmen") und Nitro Software Inc. ("Nonro") geschlossen wurde, um die Vereinbarung der Parteien hinsichtlich der Verarbeitung Personenbezogener Daten von Nitro ausschließlich im Auftrag des Kunden zu verarbeiten. Beide Parteien werden als "Parteien" bezeichnet und jeweils eine "Parific" bezeichnet."

1 . Definitionen

Für die Zwecke dieser DPA haben die nachstehenden Begriffe die nachstehend dargelegte Bedeutung. Großgeschriebene Begriffe, die in diesem DPA verwendet, aber nicht definiert werden, haben die in der Vereinbarung angegebene Bedeutung.

(a) Verbundenes Unternehmen bezeichnet jede juristische Person, die die betroffene juristische Person direkt oder indirekt kontrolliert, von ihr kontrolliert wird oder mit ihr unter gemeinsamer Kontrolle steht, wobei sich „Kontrolle“ auf die Befugnis bezieht, die betroffene juristische Person zu leiten oder deren Leitung zu bewirken, sei es durch Eigentum an stimmberechtigte Wertpapiere, vertraglich oder anderweitig.

(b) Anwendbare Datenschutzgesetze bezeichnet die Datenschutz-, Datenschutz- und Datensicherheitsgesetze und -vorschriften aller Gerichtsbarkeiten, die für die Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung gelten, einschließlich, aber nicht beschränkt auf die europäischen Datenschutzgesetze und den CCPA.

(c) CCPA bezeichnet den California Consumer Privacy Act von 2018 und alle darunter verkündeten Vorschriften.

(d) Kundendaten bezeichnet Informationen, die Nitro zur Verfügung gestellt oder zur Verfügung gestellt werden, um sie im Namen des Kunden zu verarbeiten, um die Dienste auszuführen.

(e) EWR bezeichnet den Europäischen Wirtschaftsraum.

(f) Europäische Datenschutzgesetze bezeichnet die DSGVO und andere Datenschutzgesetze und -vorschriften der Europäischen Union, ihrer Mitgliedstaaten, der Schweiz, Islands, Liechtensteins, Norwegens und des Vereinigten Königreichs, jeweils in dem für die Verarbeitung anwendbaren Umfang Personenbezogene Daten im Rahmen der Vereinbarung.

(g) DSGVO bezeichnet die Verordnung (EU) 2016 / 679 des Europäischen Parlaments und des Rates vom 27 April 2016 in der jeweils gültigen Fassung.

(h) Informationssicherheitsvorfall bedeutet eine Verletzung der Sicherheit von Nitro, die zu versehentlicher oder rechtswidriger Zerstörung, Verlust, Änderung, unbefugter Offenlegung oder unbefugtem Zugriff auf personenbezogene Daten in Nitros Besitz, Verwahrung oder Kontrolle führt. Informationssicherheitsvorfälle umfassen keine erfolglosen Versuche oder Aktivitäten, die die Sicherheit personenbezogener Daten nicht gefährden, einschließlich erfolgloser Anmeldeversuche, Pings, Port-Scans, Denial-of-Service-Angriffe oder anderer Netzwerkangriffe auf Firewalls oder vernetzte Systeme.

(i) Personenbezogene Daten sind Kundendaten, die personenbezogene Daten, personenbezogene Daten, personenbezogene Daten oder personenbezogene Daten darstellen, die im geltenden Datenschutzgesetz definiert sind, oder Informationen ähnlicher Art, die dadurch geregelt sind, mit Ausnahme der Ausnahme, dass personenbezogene Daten solche nicht enthalten, Informationen über Mitarbeiter oder Vertreter des Kunden enthalten, die Nitro sind, wobei Nitro als Datenverantwortlicher für diese Informationen fungiert.

(j) Verarbeitung bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, die an personenbezogenen Daten oder an Sätzen personenbezogener Daten durchgeführt werden, unabhängig davon, ob sie automatisiert sind oder nicht, wie z. B. Sammlung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Änderung, Abruf, Abfrage , Nutzung, Offenlegung durch Übermittlung, Verbreitung oder anderweitiges Zurverfügungstellen, Abgleich oder Kombination, Einschränkung, Löschung oder Vernichtung.

(k) Sicherheitsmaßnahmen hat die in Abschnitt 5 (a) (Sicherheitsmaßnahmen des Anbieters) festgelegte Bedeutung.

(l) Standardvertragsklauseln bezeichnet die zwingenden Bestimmungen der Standardvertragsklauseln für die Übermittlung personenbezogener Daten an in Drittländern niedergelassene Auftragsverarbeiter in der durch die Entscheidung 2010 / 87 /EU der Europäischen Kommission festgelegten Form.

(m) Unterauftragsverarbeiter bezeichnet Dritte, die Nitro mit der Verarbeitung personenbezogener Daten in Bezug auf die Dienste beauftragt.

(n) Dritte Unterauftragsverarbeiter hat die in Abschnitt 5 (Unterauftragsverarbeiter) von Anhang 1 festgelegte Bedeutung.

(o) Die in dieser DPA verwendeten Begriffe „Verantwortlicher“, „betroffene Person“ , „Verarbeiter “ und „ Aufsichtsbehörde “ haben die in der DSGVO festgelegte Bedeutung.

2 . Dauer und Umfang der DPA

(a) Diese DPA bleibt in Kraft, solange Nitro personenbezogene Daten verarbeitet, ungeachtet des Ablaufs oder der Kündigung der Vereinbarung.

(b) Anhang 1 (EU-Anhang) zu diesem DPA gilt ausschließlich für die Verarbeitung, die den europäischen Datenschutzgesetzen unterliegt. Anhang 2 (Kalifornien-Anhang) zu diesem DPA gilt ausschließlich für die Verarbeitung, die dem CCPA unterliegt, wenn der Kunde in Bezug auf diese Verarbeitung ein „Unternehmen“ oder „Dienstleister“ (wie im CCPA definiert) ist.

3 . Kundenanweisungen

Nitro verarbeitet personenbezogene Daten nur gemäß den Anweisungen des Kunden an Nitro. Dieses DPA ist ein vollständiger Ausdruck solcher Anweisungen, und zusätzliche Anweisungen des Kunden sind für Nitro nur gemäß einer von beiden Parteien unterzeichneten Änderung dieses DPA bindend. Der Kunde weist Nitro an, personenbezogene Daten zu verarbeiten, um die Dienste gemäß dieser Vereinbarung bereitzustellen.

4 . Analytik

Der Kunde erkennt an und stimmt zu, dass Nitro im Rahmen der Services anonymisierte und/oder aggregierte Daten, die den Kunden oder eine natürliche Person nicht identifizieren, erstellen und aus der Verarbeitung im Zusammenhang mit den Services ableiten und diese verwenden, veröffentlichen oder an Dritte weitergeben kann, um die Produkte und Dienstleistungen von Nitro zu verbessern und für andere legitime Geschäftszwecke zu nutzen.

5 . Sicherheit

(a) Sicherheitsmaßnahmen des Anbieters . Nitro wird technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten gegen versehentliche oder rechtswidrige Zerstörung, Verlust, Änderung, unbefugte Offenlegung oder unbefugten Zugriff auf personenbezogene Daten (die „ Sicherheitsmaßnahmen “) implementieren und aufrechterhalten, wie in Anhang 3 (Sicherheitsmaßnahmen) beschrieben. . Nitro kann die Sicherheitsmaßnahmen von Zeit zu Zeit aktualisieren, solange die aktualisierten Maßnahmen den Gesamtschutz personenbezogener Daten nicht beeinträchtigen.

(b) Informationssicherheitsvorfälle. Nitro benachrichtigt den Kunden unverzüglich über jeden Informationssicherheitsvorfall, von dem der Kunde Kenntnis erlangt. Solche Benachrichtigungen beschreiben verfügbare Details des Informationssicherheitsvorfalls, einschließlich Maßnahmen zur Minderung potenzieller Risiken und Maßnahmen, die Nitro dem Kunden empfiehlt, den Informationssicherheitsvorfall anzugehen. Nitro-Benachrichtigungen oder Reaktion auf einen Informationssicherheitsvorfall wird nicht als Nitro Anerkennung eines Fehlers oder einer Haftung in Bezug auf den Informationssicherheitsvorfall ausgelegt.

(c) Sicherheitsverantwortlichkeiten und -bewertung des Kunden (i) Sicherheitsverantwortlichkeiten des Kunden . Der Kunde erklärt sich damit einverstanden, dass der Kunde ohne Einschränkung der Verpflichtungen von Nitro gemäß Abschnitt 5 (Sicherheit) allein für seine Nutzung der Dienste verantwortlich ist, einschließlich (a) der angemessenen Nutzung der Dienste, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten Achtung der personenbezogenen Daten; (b) Sichern der Zugangsdaten, Systeme und Geräte zur Kontoauthentifizierung, die der Kunde für den Zugriff auf die Dienste verwendet; (c) Sicherung der Systeme und Geräte des Kunden, die Nitro zur Bereitstellung der Dienste verwendet; und (d) Sicherung personenbezogener Daten. (ii) Sicherheitsbewertung des Kunden . Der Kunde erklärt sich damit einverstanden, dass die Dienste, die Sicherheitsmaßnahmen und die Verpflichtungen von Nitro gemäß diesem DPA angemessen sind, um die Bedürfnisse des Kunden zu erfüllen, einschließlich in Bezug auf alle Sicherheitsverpflichtungen des Kunden gemäß den geltenden Datenschutzgesetzen, und ein Sicherheitsniveau bieten, das dem Risiko in Bezug auf angemessen ist die personenbezogenen Daten.

6 . Rechte der betroffenen Person

(a) Nitros Antrag auf Unterstützung durch betroffene Personen . Nitro wird (unter Berücksichtigung der Art der Verarbeitung personenbezogener Daten) dem Kunden die Unterstützung leisten, die vernünftigerweise erforderlich ist, damit der Kunde seinen Verpflichtungen gemäß den geltenden Datenschutzgesetzen nachkommen kann, um Anfragen betroffener Personen zur Ausübung ihrer Rechte gemäß den geltenden Datenschutzgesetzen zu erfüllen („ Daten Subjektanfragen “) in Bezug auf personenbezogene Daten, die sich im Besitz oder unter der Kontrolle von Nitro befinden. Der Kunde entschädigt Nitro für eine solche Unterstützung zu den jeweils aktuellen Tarifen für professionelle Dienstleistungen von Nitro, die dem Kunden auf Anfrage zur Verfügung gestellt werden.

(b) Verantwortung des Kunden für Anfragen. Wenn Nitro eine Anfrage einer betroffenen Person erhält, weist Nitro die betroffene Person an, die Anfrage an den Kunden zu senden, und der Kunde ist für die Beantwortung der Anfrage verantwortlich.

7 . Verantwortlichkeiten des Kunden

(a) Kunden-Compliance . Der Kunde muss seinen Verpflichtungen gemäß den geltenden Datenschutzgesetzen nachkommen. Der Kunde stellt sicher (und ist allein dafür verantwortlich), dass seine Anweisungen in Abschnitt 3 den geltenden Datenschutzgesetzen entsprechen und dass der Kunde alle Mitteilungen an Personen gerichtet hat und alle diese Mitteilungen von Personen erhalten hat, auf die sich personenbezogene Daten beziehen und alle anderen Parteien, wie durch geltende Gesetze oder Vorschriften für den Kunden erforderlich, um personenbezogene Daten wie in der Vereinbarung vorgesehen zu verarbeiten.

(b) Verbotene Daten . Der Kunde erklärt und garantiert gegenüber Nitro, dass Kundendaten ohne die vorherige schriftliche Zustimmung von Nitro keine Sozialversicherungsnummern oder andere von der Regierung ausgestellte Identifikationsnummern enthalten und nicht enthalten werden; biometrische Informationen; Passwörter für Online-Konten; Anmeldeinformationen zu allen Finanzkonten; Steuererklärungsdaten; Kreditauskünfte oder Verbraucherberichte; alle Zahlungskarteninformationen, die dem Payment Card Industry Data Security Standard unterliegen; Informationen, die dem Gramm-Leach-Bliley Act, dem Fair Credit Reporting Act oder den unter einem dieser Gesetze erlassenen Vorschriften unterliegen; Informationen, die Einschränkungen gemäß den geltenden Datenschutzgesetzen unterliegen, die personenbezogene Daten von Kindern regeln, einschließlich, aber nicht beschränkt auf alle Informationen über Kinder unter 13 Jahren; oder alle Informationen, die in besondere Datenkategorien (wie in der DSGVO definiert) fallen. Der Kunde erklärt ferner, dass Kundendaten keine geschützten Gesundheitsinformationen enthalten, die dem Health Insurance Portability and Accountability Act (HIPAA) oder ähnlichen Gesetzen in anderen Gerichtsbarkeiten unterliegen; andere Informationen über die Krankengeschichte, den geistigen oder körperlichen Zustand einer Person oder die medizinische Behandlung oder Diagnose durch einen Angehörigen der Gesundheitsberufe; oder Krankenversicherungsinformationen, es sei denn, der Kunde und Nitro haben separat einen HIPAA Business Associate Agreement abgeschlossen.

8 . Sonstig

Sofern nicht ausdrücklich durch die DPA geändert wird, bleiben die Bedingungen der Vereinbarung in vollem Umfang gültig und wirksam. Im Falle eines Konflikts oder Widerspruchs zwischen dieser DPA und den anderen Bedingungen der Vereinbarung ist diese DPA maßgebend. Ungeachtet gegenteiliger Angaben in der Vereinbarung oder einem damit in Verbindung stehenden Bestellformular erkennen die Parteien an und erklären sich damit einverstanden, dass der Zugriff von Nitro auf personenbezogene Daten keinen Teil der von den Parteien in Bezug auf die Vereinbarung ausgetauschten Gegenleistung darstellt. Ungeachtet gegenteiliger Bestimmungen in der Vereinbarung können alle Mitteilungen, die Nitro dem Kunden gemäß dieser DPA zukommen lassen muss, oder (a) in Übereinstimmung mit einer Mitteilungsklausel der Vereinbarung erfolgen; (b) an die primären Kontaktpunkte von Nitro mit dem Kunden; oder (c) an eine vom Kunden bereitgestellte E-Mail-Adresse, um ihm dienstbezogene Mitteilungen oder Benachrichtigungen zukommen zu lassen. Der Kunde ist allein dafür verantwortlich, dass diese E-Mail-Adressen gültig

ANHANG 1 ZUM DPA
EU-ANHANG

1 . Verarbeitung von Daten

(a) Sämtlichand und Einzelheiten der Verarbeitung. Die Parteien erkennen an und stimmen zu, dass (i) der Gegenstand der Verarbeitung im Rahmen der Vereinbarung die Bereitstellung der Dienste durch Nitro ist; (ii) die Dauer der Verarbeitung vom Erhalt personenbezogener Daten durch Nitro bis zur Löschung aller personenbezogenen Daten durch Nitro gemäß der Vereinbarung; (iii) Art und Zweck der Verarbeitung ist die Bereitstellung der Dienste; (iv) die betroffenen Personen, auf die sich die personenbezogenen Daten beziehen, sind der Kunde (soweit der Kunde eine Einzelperson ist), Benutzer der Dienste oder der Nitro-Software und betroffene Personen, deren personenbezogene Daten generiert, weitergegeben oder vom Kunden und/oder Benutzern der Services und/oder der Software von Nitro hochgeladen; und (v) die Kategorien personenbezogener Daten sind die vom Kunden oder Benutzern der Dienste und/oder der Nitro-Software generierten, geteilten, hochgeladenen oder angeforderten personenbezogenen Daten (die personenbezogene Daten enthalten können), die in Dokumenten, Bildern und anderen Medien enthalten sind

(b) Rollen und Einhaltung gesetzlicher Vorschriften; Autorisierung . Die Parteien erkennen an und stimmen zu, dass (i) Nitro ein Verarbeiter dieser personenbezogenen Daten gemäß den europäischen Datenschutzgesetzen ist; (ii) der Kunde ein Verantwortlicher (oder ein Auftragsverarbeiter, der auf Anweisung eines Verantwortlichen handelt) dieser personenbezogenen Daten gemäß den europäischen Datenschutzgesetzen ist; und (iii) jede Partei wird die für sie in dieser Rolle geltenden Verpflichtungen gemäß den europäischen Datenschutzgesetzen in Bezug auf die Verarbeitung dieser personenbezogenen Daten erfüllen. Wenn der Kunde ein Verarbeiter ist, erklärt und garantiert der Kunde gegenüber Nitro, dass die Anweisungen und Handlungen des Kunden in Bezug auf personenbezogene Daten, einschließlich der Ernennung von Nitro als einem weiteren Verarbeiter, vom jeweiligen Verantwortlichen autorisiert wurden.

(c) Nitro Befolgung von Anweisungen. Nitro verarbeitet personenbezogene Daten nur gemäß den Anweisungen des Kunden, die in diesem DPA angegeben sind, es sei denn, geltende europäische Datenschutzgesetze verlangen etwas anderes. In diesem Fall wird Nitro den Kunden benachrichtigen (es sei denn, dieses Gesetz verbietet Nitro diese aus wichtigen Gründen des öffentlichen Interesses).

(d) Datenlöschung . Nitro löscht alle personenbezogenen Daten auf den Systemen von Nitro auf Anfrage des Kunden und nach dem Ende der Bereitstellung von Diensten und löscht vorhandene Kopien, es sei denn, eine fortgesetzte Speicherung der personenbezogenen Daten ist durch (i) geltende Gesetze der Europäischen Union oder ihres Mitglieds erforderlich Staaten in Bezug auf personenbezogene Daten, die europäischen Datenschutzgesetzen unterliegen, oder (ii) anwendbaren Datenschutzgesetzen in Bezug auf alle anderen personenbezogenen Daten. Nitro wird einer solchen Anweisung so schnell wie möglich und spätestens 180 Tage nach einem solchen Ablauf oder einer solchen Beendigung nachkommen, es sei denn, geltende Datenschutzgesetze erfordern eine Speicherung. Der Kunde kann gegen eine zusätzliche Gebühr eine Kopie dieser personenbezogenen Daten von Nitro anfordern, indem er dies mindestens 30 Tage vor Ablauf oder Kündigung der Vereinbarung schriftlich anfordert. Nach Zustimmung der Parteien zu einer solchen Belastung gemäß einem Arbeitsauftrag oder einer anderen Vertragsänderung stellt Nitro eine solche Kopie dieser personenbezogenen Daten bereit, bevor sie gemäß dieser Klausel gelöscht werden.

2 . Datensicherheit

(a) Sicherheitsmaßnahmen, Kontrollen und Nitro von Nitro (i) Sicherheitsunterstützung von Nitro. Nitro bietet dem Kunden angemessene Unterstützung, die erforderlich ist, damit der Kunde seinen Verpflichtungen in Bezug auf personenbezogene Daten gemäß den europäischen Datenschutzgesetzen nachkommen kann, einschließlich der Artikel 32 bis 34 (einschließlich) der DSGVO, durch (a) Umsetzung und Aufrechterhaltung der Sicherheitsmaßnahmen; (b) Einhaltung der Bestimmungen von Abschnitt 5(b) (Informationssicherheitsvorfälle) des DPA; und (c) Einhaltung dieses Anhangs 1. Der Kunde erkennt hiermit an und stimmt zu, dass solche Maßnahmen ausreichen, um dem Kunden die Einhaltung dieser Verpflichtungen zu ermöglichen. (ii) Einhaltung der Sicherheitsvorschriften durch Nitro Mitarbeiter. Nitro stellt sicher, dass seine Mitarbeiter, die zum Zugriff auf personenbezogene Daten berechtigt sind, angemessenen Vertraulichkeitsverpflichtungen unterliegen.

(b) Überprüfungen und Audits der Einhaltung
Der Kunde kann Nitros Einhaltung seiner Verpflichtungen aus diesem DPA bis zu einmal pro Jahr und bei anderen Gelegenheiten prüfen, die von den europäischen Datenschutzgesetzen verlangt werden, einschließlich wenn dies von der Aufsichtsbehörde des Kunden vorgeschrieben wird. Nitro trägt zu solchen Audits bei, indem es dem Kunden oder der Aufsichtsbehörde des Kunden die Informationen und Unterstützung bereitstellt, die für die Durchführung des Audits erforderlich sind. Wenn ein Dritter die Prüfung durchführen soll, kann Nitro dem Prüfer widersprechen, wenn der Prüfer nach begründeter Meinung von Nitro nicht unabhängig, ein Konkurrent von Nitro oder anderweitig offensichtlich ungeeignet ist. Ein solcher Einspruch von Nitro erfordert, dass der Kunde einen anderen Prüfer ernennt oder das Audit selbst durchführt. Um ein Audit zu beantragen, muss der Kunde Nitro mindestens zwei Wochen vor dem vorgeschlagenen Audittermin einen vorgeschlagenen Auditplan vorlegen, und jeder externe Auditor muss eine übliche Geheimhaltungsvereinbarung unterzeichnen, die für beide Seiten akzeptabel ist (eine solche Annahme darf nicht unangemessen sein einbehalten), die die vertrauliche Behandlung aller im Zusammenhang mit der Prüfung ausgetauschten Informationen und etwaiger Berichte über die Ergebnisse oder Feststellungen derselben vorsieht. Der vorgeschlagene Auditplan muss den vorgeschlagenen Umfang, die Dauer und das Startdatum des Audits beschreiben. Nitro überprüft den vorgeschlagenen Prüfplan und stellt dem Kunden alle Bedenken oder Fragen zur Verfügung (z. B. alle Informationsanfragen, die die Sicherheit, den Datenschutz, die Beschäftigung oder andere relevante Richtlinien von Nitro gefährden könnten). Nitro arbeitet mit dem Kunden zusammen, um einen endgültigen Auditplan zu vereinbaren. Nichts in diesem Abschnitt 2 (b) verpflichtet Nitro dazu, Vertraulichkeitspflichten zu verletzen. Wenn die im angeforderten Audit zu bewertenden Kontrollen oder Maßnahmen in einem SOC 2 Typ 2 , ISO, NIST oder einem ähnlichen Auditbericht behandelt werden, der von einem qualifizierten externen Auditor innerhalb von zwölf ( 12 ) Monaten nach dem Audit des Kunden durchgeführt wird Anfrage gestellt hat und Nitro bestätigt hat, dass seit dem Datum eines solchen Berichts keine wesentlichen Änderungen bei den geprüften Kontrollen bekannt geworden sind, stimmt der Kunde zu, diesen Bericht zu akzeptieren, anstatt eine Prüfung dieser Kontrollen oder Maßnahmen zu verlangen. Das Audit muss während der regulären Geschäftszeiten durchgeführt werden, vorbehaltlich des vereinbarten endgültigen Auditplans und der Sicherheits- oder sonstigen relevanten Richtlinien von Nitro, und darf die Geschäftsaktivitäten von Nitro nicht unangemessen beeinträchtigen. Der Kunde wird Nitro umgehend über jede Nichteinhaltung informieren, die im Verlauf eines Audits entdeckt wird, und Nitro alle Auditberichte zur Verfügung stellen, die im Zusammenhang mit einem Audit gemäß diesem Abschnitt 2 (b) erstellt wurden, es sei denn, dies ist durch europäische Datenschutzgesetze verboten oder anderweitig von ihm angewiesen eine Aufsichtsbehörde. Der Kunde darf die Prüfberichte nur zum Zwecke der Erfüllung der behördlichen Prüfungsanforderungen des Kunden und/oder zur Bestätigung der Einhaltung der Anforderungen dieses DPA verwenden. Alle Audits gehen zu Lasten des Kunden. Der Kunde erstattet Nitro die Zeit, die Nitro und Dritte im Zusammenhang mit Audits oder Inspektionen gemäß diesem Abschnitt 2 (b) aufgewendet haben, zu den jeweils aktuellen Tarifen für professionelle Dienstleistungen von Nitro, die dem Kunden auf Anfrage zur Verfügung gestellt werden. Der Kunde ist für alle Gebühren verantwortlich, die von einem vom Kunden mit der Durchführung einer solchen Prüfung beauftragten Prüfer erhoben werden.

3 . Folgenabschätzungen und Konsultationen

Nitro wird (unter Berücksichtigung der Art der Verarbeitung und des Nitro zur Verfügung stehenden Informationen) den Kunden angemessen bei der Erfüllung seiner Verpflichtungen gemäß den Artikeln 35 und 36 der DSGVO unterstützen, indem sie (a) die Dokumentation zur Verfügung stellt, die relevante Aspekte beschreibt, wie Nitro Informationssicherheitsprogramm und die damit verbundenen Sicherheitsmaßnahmen enthält und (b) die anderen in der Vereinbarung enthaltenen Informationen, einschließlich dieser DPA, bereitzustellen.

4 . Datenübertragungen

(a) Datenverarbeitungseinrichtungen . Der Anbieter kann, vorbehaltlich Abschnitt 4 (b) (Übertragungen aus dem EWR), personenbezogene Daten in den Vereinigten Staaten oder überall dort speichern und verarbeiten, wo der Anbieter oder seine Unterauftragsverarbeiter Einrichtungen unterhalten.

(b) Übertragungen aus dem EWR. Wenn der Kunde personenbezogene Daten aus dem EWR an Nitro in ein Land überträgt, das nach Ansicht der Europäischen Kommission keinen angemessenen Datenschutz bietet, unterliegt diese Übertragung den Standardvertragsklauseln, deren Bedingungen hiermit in diese DPA aufgenommen werden. Zur Unterstützung des Vorstehenden vereinbaren die Parteien, dass (i) der Kunde als Datenexporteur und Nitro als Datenimporteur gemäß den Standardvertragsklauseln auftritt; (ii) für die Zwecke von Anhang 1 der Standardvertragsklauseln, die Kategorien betroffener Personen, Daten, besondere Datenkategorien (falls zutreffend) und die Verarbeitungsvorgänge sind in Abschnitt 1(a) dieses Anhangs 1 (Gegenstand und Einzelheiten der Verarbeitung) festgelegt sind; (iii) für die Zwecke von Anhang 2 der Standardvertragsklauseln sind die technischen und organisatorischen Maßnahmen die Sicherheitsmaßnahmen; (iv) der Datenimporteur stellt die Kopien der Unterauftragsverarbeitervereinbarungen bereit,

Ungeachtet des Vorstehenden gelten die Standardvertragsklauseln (oder Verpflichtungen, die denen der Standardvertragsklauseln entsprechen) nicht, soweit ein alternativer anerkannter Compliance-Standard für die Übermittlung personenbezogener Daten außerhalb des EWR gemäß den europäischen Datenschutzgesetzen gilt die Übertragung. Im Falle eines Konflikts oder Widerspruchs zwischen (a) diesem Anhang 1 und einer anderen Bestimmung dieses DPA gilt dieser Anhang 1 oder (b) die Standardvertragsklauseln und alle anderen Bestimmungen dieser Vereinbarung, der Standard Es gelten die Vertragsklauseln.

5 . Unterauftragsverarbeiter

(a) Zustimmung zur Beauftragung von Unterauftragsverarbeitern . Der Kunde autorisiert ausdrücklich die Beauftragung von Nitros Verbundenen Unternehmen als Unterauftragsverarbeiter und autorisiert allgemein die Beauftragung anderer Dritter als Unterauftragsverarbeiter („Unterauftragsverarbeiter von Drittanbietern “).

(b) Informationen über Unterauftragsverarbeiter. Informationen über Unterauftragsverarbeiter, einschließlich ihrer Funktionen und Standorte, sind verfügbar unter: www.gonitro.com/legal/subprocessors, die von Nitro von Zeit zu Zeit aktualisiert werden) oder unter einer anderen Website-Adresse, die Nitro dem Kunden von Zeit zu Zeit zur Verfügung stellt (die "Website des Unterauftragsverarbeiters").

(c) Anforderungen für die Beauftragung von Unterauftragsverarbeitern . Bei der Beauftragung eines Unterauftragsverarbeiters schließt Nitro einen schriftlichen Vertrag mit diesem Unterauftragsverarbeiter ab, der Datenschutzverpflichtungen enthält, die nicht weniger schützend sind als die in diesem DPA in Bezug auf personenbezogene Daten, soweit dies für die Art der von diesem Unterauftragsverarbeiter erbrachten Dienstleistungen gilt. Nitro haftet für alle Verpflichtungen aus dem Vertrag, der an den Unterauftragsverarbeiter oder seine damit verbundenen Handlungen und Unterlassungen vergeben wird.

(d) Möglichkeit, Änderungen des Unterauftragsverarbeiters zu widersprechen . Wenn Nitro nach dem Datum des Inkrafttretens der Vereinbarung einen neuen Drittunterauftragsverarbeiter beauftragt, benachrichtigt Nitro den Kunden über die Beauftragung (einschließlich des Namens und Standorts des betreffenden Unterauftragsverarbeiters und der von ihm durchzuführenden Aktivitäten) durch Aktualisierung der Unterauftragsverarbeiter-Website oder auf andere schriftliche Weise . Wenn der Kunde einer solchen Beauftragung in einer schriftlichen Mitteilung an Nitro innerhalb von 15 Tagen nach Benachrichtigung über die Beauftragung aus angemessenen Gründen in Bezug auf den Schutz personenbezogener Daten widerspricht, werden der Kunde und Nitro nach Treu und Glauben zusammenarbeiten, um eine für beide Seiten akzeptable Lösung zu finden auf einen solchen Einwand eingehen. Wenn die Parteien nicht in der Lage sind, innerhalb eines angemessenen Zeitrahmens eine für beide Seiten akzeptable Lösung zu finden, kann der Kunde als einziges und ausschließliches Rechtsmittel den Vertrag kündigen und die Dienste kündigen, indem er Nitro schriftlich benachrichtigt und Nitro alle fälligen und geschuldeten Beträge gemäß der Vereinbarung zahlt Vereinbarung zum Zeitpunkt einer solchen Kündigung.

(e) Ausreichende Zustimmung . Der Kunde erkennt hiermit an und stimmt zu, dass die vorstehenden Verfahren ausreichen, um die vorherige schriftliche Zustimmung des Kunden zur Unterverarbeitung gemäß Artikel 28 der DSGVO und in dem gemäß Klausel 5 (h) der Standardvertragsklauseln erforderlichen Umfang einzuholen.

ANHANG 2 ZUM DPA
KALIFORNIEN ANHANG

  1. Für die Zwecke dieses Anhangs 2 haben die Begriffe „Geschäft“, „kommerzieller Zweck“, „verkaufen“ und „Dienstleister“ die ihnen im CCPA zugewiesene Bedeutung, und „personenbezogene Daten“ sind personenbezogene Daten, die sie darstellen personenbezogene Daten, die dem CCPA unterliegen.
  2. Es ist die Absicht der Parteien, dass Nitro in Bezug auf personenbezogene Daten ein Dienstleister ist. Nitro darf (a) keine personenbezogenen Daten verkaufen; (b) personenbezogene Daten für andere Zwecke als den spezifischen Zweck der Bereitstellung der Dienste aufzubewahren, zu verwenden oder offenzulegen, einschließlich der Aufbewahrung, Verwendung oder Offenlegung der personenbezogenen Daten für einen anderen kommerziellen Zweck als die Bereitstellung der Dienste; oder (c) die personenbezogenen Daten außerhalb der direkten Geschäftsbeziehung zwischen Nitro und dem Kunden aufbewahren, verwenden oder offenlegen. Nitro bestätigt hiermit, dass es seine Verpflichtungen gemäß diesem Abschnitt 2 versteht und ihnen nachkommen wird.
  3. Die Parteien erkennen an, dass Nitros Aufbewahrung, Nutzung und Offenlegung personenbezogener Daten, die durch die im DPA dokumentierten Anweisungen des Kunden autorisiert sind, ein wesentlicher Bestandteil der Bereitstellung der Dienste durch Nitro und der Geschäftsbeziehung zwischen den Parteien sind.

ANHANG 3 ZUM DPA
SICHERHEITSMASSNAHMEN

Technik und Sicherheit
Überblick über Nitro Sign

Anwendungssicherheit, Compliance, Benutzerauthentifizierung,
Dokumentenintegrität und Notfallwiederherstellung

Zusammenfassung
Die Softwarelösungen aus Nitro wurden entwickelt, um die Produktivität zu steigern und den Papierverbrauch für jeden Wissensarbeiter zu reduzieren. Durch die Bereitstellung von End-to-End-Workflows für digitale Dokumente hilft Nitro Unternehmen dabei, Dokumentensicherheits- und Unternehmensinitiativen zu fördern – wichtige Faktoren beim Aufbau der Grundlage für eine erfolgreiche digitale Transformation.

Nitro Sign, Teil der Nitro Productivity Suite, ist eine browserbasierte Anwendung, die schnelle, sichere und rechtsverbindliche eSigning-Workflows bietet. Nitro Sign wurde entwickelt, um einfaches, angenehmes eSignieren für alle bereitzustellen, und bietet eine intuitive Benutzeroberfläche und umfangreiche Funktionen, die von starken Sicherheitsgrundlagen unterstützt werden, für ein wirklich unternehmenstaugliches Erlebnis. Mit unserer eSigning-Lösung wandeln Nitro-Kunden getrennte, zeitaufwändige Legacy-Prozesse in moderne digitale Workflows um, die in wenigen Minuten ausgeführt werden können.

Die Nitro Signatur bietet alle Funktionen, die für schnelle, sichere und rechtsverbindliche elektronische Signaturen erforderlich sind:

  • Reihenfolge der Unterzeichner
  • Benachrichtigungen in Echtzeit
  • Anzeigen von Analysen
  • Multi-Faktor-Authentifizierung zur Überprüfung der Identität des Unterzeichners
  • Manipulationssicher signierte Dokumente
  • Vollständiger Prüfpfad für jedes Dokument
  • Wiederverwendbare Vorlagen
  • Einhaltung der höchsten globalen Vorschriften und Standards

Der Zweck dieses Dokuments besteht darin, einen Gesamtüberblick über das gesamte Sicherheitssystem von Nitro Signing-Signal zu erhalten, einschließlich, aber nicht beschränkt auf: Anwendungssicherheit, Compliance, Unternehmenssicherheit, Netzwerksicherheit, Datensicherheit und Notfallwiederherstellung.

Anwendungssicherheit
Nitro Sign wird auf einer containerisierten Microservices-Plattform ausgeführt, die in einer dedizierten Nitro-VPC (Virtual Private Cloud) über mehrere Availability Zones innerhalb einer einzigen EU-Region – Frankfurt, Deutschland – gehostet wird. Nitro-Kunden greifen über ihre Webbrowser über die öffentliche Website cloud.gonitro.com auf die Anwendung Nitro Sign zu.

Das öffentliche Internet – Datenverkehr zu und von cloud.gonitro.com wird über TLS (Transport Layer Security) verschlüsselt und mit einem erweiterten digitalen Validierungszertifikat der sicheren Hash Alchemhm (SHA-2)-Produktfamilie von DigiCert (www.digicert.com) sowohl SHA 1 - als auch SHA 256 -Fingerabdrücke; SHA 256 ist der verwendete Hashalgorithmus und das verwendete Signaturschema ist 2048 -Bit-RSA.

Nitro Sign-Dokumente werden unter Verwendung des Advanced Encryption Standard mit einer 256 -Bit-Schlüsselgröße (AES- 256 ) an sicheren, dedizierten und verwalteten Speicherorten gespeichert. AES ist in ISO/IEC 18033 - 3 enthalten: Informationstechnologie – Sicherheitstechniken – Verschlüsselungsalgorithmen – Teil 3 : Blockverschlüsselungsstandard. AES ist definiert als US Federal Information Processing Standard: FIPS PUB 197 : Advanced Encryption Standard (AES).

Die Datenkommunikation zwischen den Webclients und den Nitro-Backend-Servern wird mit TLS verschlüsselt, wodurch die Daten während der Übertragung geschützt werden. Dokument-Metadaten werden in einem relationalen Datenbankdienst gespeichert, der für hohe Verfügbarkeit und Dauerhaftigkeit der Daten sorgt. Der Speicher wird von Amazon S 3 -Buckets (Simple Storage Service) – speziell für Nitro – bereitgestellt, die verschlüsselt sind, um ruhende Daten zu schützen.

Sensible Informationen (Anmeldeinformationen, Token, Zertifikate, API-Schlüssel) werden über eine verschlüsselte Tresordatenbank verwaltet.

systemübersicht.png

Benutzerauthentifizierung
Nitro Sign unterstützt mehrere Methoden zur Verwaltung und Authentifizierung von Benutzeridentitäten.

Nitro Admin, unser spezielles Benutzer- und Lizenzverwaltungsportal, wird von designierten Administratoren verwendet, um neue Benutzer einzuladen, vorhandene Benutzer und ihre Lizenzen zu verwalten und Benutzer nach Bedarf zu entfernen.

Nitro bietet auch Single Sign-On (SSO)-Integrationen als Teil unseres Plans auf Unternehmensebene an. SSO ermöglicht Benutzern den Zugriff auf die Produkte von Nitro, indem sie sich über den Identitätsanbieter (IdP) der Organisation authentifizieren. Nitro unterstützt SSO mit jedem SAML- 2 . 0 konformer IdP.

Weitere Informationen zur Aktivierung der SSO-Integration von Nitro finden Sie hier https://www.gonitro.com/user-guide/admin/article/single-sign-on-overview

Dokumentintegrität
Nach Abschluss eines Signatur-Workflows signiert Nitro die PDF-Datei digital mit einem Zertifikat, das ausgestellt wurde, um Nitro als Organisation zu identifizieren. Die digitale Signatur verifiziert die Integrität des Dokuments und bestätigt, dass das Dokument seit seiner Fertigstellung nicht manipuliert wurde. Bitte sehen Sie sich das folgende Bild an, wie die digitale Signatur auf einem fertigen Dokument angezeigt wird, das in Nitro Pro 13 angezeigt wird. Die digitale Signatur wird in der Kopie des Dokuments vorhanden sein, das alle Parteien des Antrags erhalten.

document-security.png

Compliance
Nitro Software Inc. verfügt unter anderem über HIPAA, SOC2-Typ-1- und SOC2-Typ-2-Zertifizierungen. Nitro ist auch für Privacy Shield selbstzertifiziert und verpflichtet sich uneingeschränkt zur Unterstützung der EU-Datenschutz-Grundverordnung (DSGVO).

Konformität.png

Da wir Datensicherheit als unsere wichtigste Aufgabe und Priorität betrachten, bauen wir Sicherheit in jede Phase des Systems Development Life Cycle für alle Nitro-Produkte ein.

Wir befolgen die Best Practices der Branche, um Kundendaten zu übertragen, zu verarbeiten und zu speichern. Alle Cloud-fähigen Nitro-Funktionen verwenden modernste Computereinrichtungen, die wichtige Industriestandards wie PCI DSS, HIPAA und SOC erfüllen. Unser primäres Rechenzentrum befindet sich in der EU in Frankfurt, Deutschland.

Nitro schützt Dokumente in Bewegung und im Ruhezustand mit digitalen Prüf-Trails und TLS-AES-Verschlüsselung. Dank umfassender Protokollierung und Instrumentierung überwachen wir unsere Produktionsumgebung, um Sicherheit, Verfügbarkeit, Zugriff und andere Metriken für unsere Services zu prüfen.

Wir verwenden eine Kombination aus automatisierter Tool und manueller Überprüfung, um eine ständige Überwachung von Sicherheitsereignissen sicherzustellen. Für unsere gesamte Cloud-Infrastruktur verwenden wir Amazon Web Services (AWS), die hier eine ausführliche Dokumentation über ihre Sicherheitspraktiken bereitstellt. AWS wendet modernste Datensicherheitsmaßnahmen sowie physische Zugangsbeschränkungen an Serverstandorten an.

Für eine vollständige Liste der Nitro-Zertifizierungen, einschließlich SOC 2 Type 2, HIPAA und Privacy Shield, klicken Sie bitte hier.

Die Liste der AWS-Zertifizierungen, einschließlich ISO 27001 und SOC-Berichten 1 , 2 und 3 , ist hier verfügbar .

Organisatorische Sicherheit
Die Nitro Software hat Verfahren entwickelt und kommuniziert an die Benutzer, um den logischen Zugriff auf die Systeme von Nitro-Software zu beschränken. Die Verfahren decken folgende Schlüsselbereiche des Sicherheitslebenszyklus ab:

  • Politikmanagement und Kommunikation
  • Autorisierung, Änderung und Beendigung des Zugriffs auf das Informationssystem
  • Autorisierung, Prüfung und Genehmigung von Änderungen an Anwendungen in Produktionsumgebungen
  • Überwachung der Sicherheitskontrollen
  • Zugriffs- und Rollenverwaltung
  • Wartung und Support des Sicherheitssystems und notwendiger Backups/Medienspeicherung
  • Disaster Recovery und Incident Response
  • Wartung des eingeschränkten Zugriffs auf Systemkonfigurationen, Verwaltungsfunktionen, Kennwörter, leistungsstarke Dienstprogramme und Sicherheitsgeräte

Hintergrundüberprüfungen: Nitro unternimmt große Anstrengungen, um sicherzustellen, dass niemand Ihre Daten sieht oder verarbeitet, es sei denn, er ist dazu autorisiert – und wir beschränken Ausnahmen streng. Alle Mitarbeiter werden Hintergrundüberprüfungen unterzogen und der Zugriff auf Produktionsserver ist ausschließlich auf Ingenieure beschränkt, die direkt mit unseren Produktionssystemen arbeiten müssen.

Nitro Information Security Standards v 1.5 sind vorhanden und sind in Kraft.

Diese Standards werden unter der Autorität der Nitro Information Security Policy entwickelt.

Diese Standards gelten für alle Komponenten von Nitro und alle geografischen Regionen, in denen Nitro tätig ist.

Diese Standards basieren auf und sind ausgerichtet auf ISO/IEC 27002:2013 Informationstechnologie – Verhaltenskodex für Informationssicherheitskontrollen (lizenziert von Nitro).

Diese Standards stimmen ebenfalls mit der NIST überein und stimmen Sie den 800-53 der US-Handelsministeriums zu und unterstützen diese.

Nitro - Richtlinie für die Informationssicherheit ist Eigentum des Global Security Lead, der die Genehmigung des Managements und die Verantwortung für die Entwicklung, Bewertung und Pflege der Richtlinie erhalten hat.

Nitro Informationssicherheitsstandards untermauern die Nitro Informationssicherheitsrichtlinie. Die Standards werden laufend überprüft und bei Bedarf aktualisiert.

Die Informationssicherheitsstandards und -richtlinien von Nitro werden jährlich im Rahmen unserer laufenden Initiativen zur Einhaltung gesetzlicher Vorschriften, einschließlich SOC 2 und HIPAA, überprüft.

Sicherheitsbewusstseinstraining
Nitro verfügt über eine Informationssicherheitsrichtlinie, um sicherzustellen, dass die Mitarbeiter ihre individuellen Rollen und Verantwortlichkeiten in Bezug auf die Verarbeitung und Kontrolle verstehen, um sicherzustellen, dass wichtige Ereignisse rechtzeitig mitgeteilt werden.

Dazu gehören formelle und informelle Schulungsprogramme und die Verwendung von E-Mail, Slack und anderen Methoden zur Übermittlung zeitkritischer Informationen und Prozesse für Sicherheits- und Systemverfügbarkeitszwecke, die Schlüsselpersonal im Falle von Problemen benachrichtigen.

Allgemeine Informationssicherheitsschulungen werden während des Einstellungs- und Onboarding-Prozesses durchgeführt und danach mindestens jährlich aufgefrischt. Spezifische Schulungen in Abhängigkeit von den Rollen werden für Fachbereiche wie Softwareentwicklung und System- oder Plattformtechnik angeboten.

Datensicherheit
Alle Systeme und Anwendungen werden regelmäßig Schwachstellenanalysen durch einen unabhängigen und akkreditierten Drittanbieter unterzogen.

Der Online-Plattform-Service von Nitro ist eine Cloud-basierte Lösung, die in AWS VPC über mehrere Verfügbarkeitszonen in einer einzigen Region (Frankfurt, Deutschland) gehostet wird und auf Fehler, Selbstheilung, Robustheit und hohe Verfügbarkeit ausgelegt ist.

Es sind automatisierte Sicherungen vorhanden, die 20 Datengenerationen abdecken.

AES- 256 -Verschlüsselung ist vorhanden und deckt ruhende Daten und Daten während der Übertragung ab.

Mehrere Instanzen von Anti-Virus- und Anti-Malware-Technologie sind vorhanden, sowohl auf der Desktop-Ebene als auch auf den E-Mail-Gateway- und Internet-Gateway-Ebenen.

Nitro nutzt außerdem eine Web Application Firewall und eine DDoS-Schutzplattform.

Notfallwiederherstellung
Alle Nitro-Systeme sind auf hohe Belastbarkeit, hohe Verfügbarkeit und Fehlertoleranz ausgelegt.

Allerdings verfügen wir über einen Nitro Disaster Recovery-Plan und einen Nitro-Geschäftsplan, der jährlich überprüft und getestet wurde.

Der letzte Test des Nitro Disaster Recovery-Plans wurde in Q3 2020 durchgeführt.

Elektronische Unterschriften
Ein führender Anbieter von elektronischen Signaturen
Nitro Sign wurde im 2022 GigaOm Radar Report für elektronische Signaturen als führend anerkannt. Erfahren Sie mehr über GigaOms Bewertung und Analyse der Top-Anbieter von eSignaturen in der Kategorie.