Informations produit
Accédez à toutes les informations requises concernant les produits Nitro, depuis les mises à jour et téléchargements de produits jusqu'aux guides utilisateur et notes de version.

ADDENDUM DE TRAITEMENT DES DONNÉES

Cet addendum sur le traitement des données (« DPA ») fait partie des conditions d'utilisation de Nitro Business et des conditions d'utilisation de Nitro régissant l'utilisation des services de Nitro. ("Accord") conclu par et entre vous, le Client (collectivement, "Individu", "Entité", "Licencié") et Nitro Software Inc. ("Nitro") pour refléter l'accord des parties concernant le Traitement des Données personnelles par Nitro uniquement pour le compte du Client. Les deux Parties seront dénommées les « Parties » et chacune, une « Partie ».

1 . Définitions

Aux fins du présent DPA, les termes ci-dessous ont la signification indiquée ci-dessous. Les termes en majuscules qui sont utilisés mais non définis dans le présent ATD ont la signification qui leur est donnée dans le Contrat.

(a) Affilié désigne toute entité qui contrôle directement ou indirectement, est contrôlée par, ou est sous contrôle commun avec l'entité soumise, où « contrôle » fait référence au pouvoir de diriger ou de provoquer la direction de l'entité soumise, que ce soit par la propriété de titres avec droit de vote, par contrat ou autrement.

(b) Lois applicables sur la protection des données désigne les lois et réglementations en matière de confidentialité, de protection des données et de sécurité des données de toute juridiction applicable au traitement des données personnelles en vertu de l'Accord, y compris, sans s'y limiter, les lois européennes sur la protection des données et le CCPA.

(c) CCPA désigne la California Consumer Privacy Act de 2018 et tout règlement promulgué en vertu de celle-ci.

(d) Les données client désignent les informations fournies ou mises à la disposition de Nitro pour traitement au nom du client afin d'exécuter les services.

(e) EEE désigne l'Espace économique européen.

(f) Lois européennes sur la protection des données désigne le RGPD et d'autres lois et règlements sur la protection des données de l'Union européenne, de ses États membres, de la Suisse, de l'Islande, du Liechtenstein, de la Norvège et du Royaume-Uni, dans chaque cas, dans la mesure applicable au Traitement des Données personnelles en vertu de l'Accord.

(g) GDPR désigne le Règlement (UE) 2016 / 679 du Parlement européen et du Conseil du 27 avril 2016 , tel que modifié de temps à autre.

(h)Incident de sécurité de l'information désigne une violation de la sécurité de Nitro entraînant la destruction accidentelle ou illégale, la perte,l'altération, la divulgation non autorisée ou l'accès à des données personnelles en possession, sous la garde ou sous le contrôle de Nitro. Les incidents de sécurité de l'information n'incluent pas les tentatives infructueuses ou les activités qui ne compromettent pas la sécurité des données personnelles,y compris les tentatives de connexion infructueuses, les pings, les analyses de port, les attaques par déni de service ou d'autres attaques réseau sur les pare-feu ou les systèmes en réseau.

(i) Les données personnelles désignent les données client qui constituent des « données personnelles », des « informations personnelles » ou des « informations personnelles identifiables » définies dans la loi applicable sur la protection des données, ou des informations de caractère similaire réglementées par celles-ci, sauf que les données personnelles n'incluent pas ces informations relatives au personnel ou aux représentants du Client qui sont des contacts commerciaux de Nitro, où Nitro agit en tant que contrôleur de ces informations.

(j) Traitement désigne toute opération ou ensemble d'opérations effectuées sur des Données Personnelles ou sur des ensembles de Données Personnelles, par des moyens automatisés ou non, tels que la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, la récupération, la consultation , utilisation, divulgation par transmission, diffusion ou autre mise à disposition, alignement ou combinaison, restriction, effacement ou destruction.

(k) Mesures de sécurité a le sens qui lui est donné à la Section 5 (a) (Mesures de sécurité du fournisseur).

(l) Clauses contractuelles types désigne les dispositions obligatoires des clauses contractuelles types pour le transfert de données à caractère personnel à des sous-traitants établis dans des pays tiers sous la forme définie par la décision de la Commission européenne 2010 / 87 /UE.

(m) Les sous- traitants désignent les tiers engagés par Nitro pour traiter les données personnelles en relation avec les services.

(n) Sous-traitants tiers a le sens indiqué dans la section 5 (Sous-traitants secondaires) de l'annexe 1 .

(o) Les termes responsable du traitement, personne concernée, sous-traitant et autorité de surveillance tels qu'utilisés dans le présent DPA ont la signification qui leur est donnée dans le RGPD.

2 . Durée et portée de la DPA

(a) Ce DPA restera en vigueur tant que Nitro traite les données personnelles, nonobstant l'expiration ou la résiliation de l'accord.

(b) L' annexe 1 (annexe de l'UE) du présent DPA s'applique uniquement au traitement soumis aux lois européennes sur la protection des données. L'annexe 2 (annexe de Californie) du présent ATD s'applique uniquement au traitement soumis au CCPA si le client est une « entreprise » ou un « prestataire de services » (tel que défini dans le CCPA) en ce qui concerne ce traitement.

3 . Instructions client

Nitro traitera les données personnelles uniquement conformément aux instructions du client à Nitro. Ce DPA est une expression complète de ces instructions, et les instructions supplémentaires du Client ne lieront Nitro qu'en vertu d'un amendement à ce DPA signé par les deux parties. Le client demande à Nitro de traiter les données personnelles pour fournir les services tels qu'envisagés par le présent accord.

4 . Analytique

Le client reconnaît et accepte que, dans le cadre des services, Nitro peut créer et dériver du traitement lié aux services des données anonymisées et/ou agrégées qui n'identifient pas le client ou toute personne physique, et utiliser, publier ou partager avec des tiers tels que données pour améliorer les produits et services de Nitro et à d'autres fins commerciales légitimes.

5 . Sécurité

(a) Mesures de sécurité du fournisseur . Nitro mettra en œuvre et maintiendra des mesures techniques et organisationnelles conçues pour protéger les données personnelles contre la destruction accidentelle ou illégale, la perte, l'altération, la divulgation non autorisée ou l'accès aux données personnelles (les « mesures de sécurité ») comme décrit dans l' annexe 3 (mesures de sécurité) . Nitro peut mettre à jour les mesures de sécurité de temps à autre, tant que les mesures mises à jour ne diminuent pas la protection globale des données personnelles.

(b) Incidents liés à la sécurité de l'information . Nitro informera le Client sans retard injustifié de tout Incident de sécurité de l'information dont le Client aura connaissance. Ces notifications décriront les détails disponibles de l'incident de sécurité de l'information, y compris les mesures prises pour atténuer les risques potentiels et les mesures que Nitro recommande au client de prendre pour résoudre l'incident de sécurité de l'information. La notification ou la réponse de Nitro à un incident de sécurité de l'information ne sera pas interprétée comme une reconnaissance par Nitro de toute faute ou responsabilité concernant l'incident de sécurité de l'information.

(c) Responsabilités et évaluation du Client en matière de sécurité (i) Responsabilités du Client en matière de sécurité . Le Client accepte que, sans limitation des obligations de Nitro en vertu de la Section 5 (Sécurité), le Client est seul responsable de son utilisation des Services, y compris (a) l'utilisation appropriée des Services pour assurer un niveau de sécurité approprié au risque dans respect des Données Personnelles ; (b) sécuriser les informations d'authentification du compte, les systèmes et les appareils que le Client utilise pour accéder aux Services ; (c) sécuriser les systèmes et appareils du Client que Nitro utilise pour fournir les Services ; et (d) la sauvegarde des données personnelles. (ii) l'évaluation de la sécurité du client . Le client accepte que les services, les mesures de sécurité et les engagements de Nitro en vertu du présent ATD sont adéquats pour répondre aux besoins du client, y compris en ce qui concerne les obligations de sécurité du client en vertu des lois applicables sur la protection des données, et fournissent un niveau de sécurité approprié au risque en ce qui concerne les Données Personnelles.

6 . Droits des personnes concernées

(a) Demande d'assistance de la personne concernée de Nitro . Nitro (en tenant compte de la nature du traitement des données personnelles) fournira au client l'assistance raisonnablement nécessaire pour que le client s'acquitte de ses obligations en vertu des lois applicables sur la protection des données afin de répondre aux demandes des personnes concernées d'exercer leurs droits en vertu des lois applicables sur la protection des données (« données Demandes du sujet ») en ce qui concerne les données personnelles en possession ou sous le contrôle de Nitro. Le client doit indemniser Nitro pour toute assistance de ce type aux tarifs des services professionnels alors en vigueur de Nitro, qui seront mis à la disposition du client sur demande.

(b) Responsabilité du client pour les demandes . Si Nitro reçoit une demande de personne concernée, Nitro conseillera à la personne concernée de soumettre la demande au client et le client sera responsable de répondre à la demande.

7 . Responsabilités du client

(a) Conformité client . Le client doit se conformer à ses obligations en vertu des lois applicables en matière de protection des données. Le client doit s'assurer (et est seul responsable de s'assurer) que ses instructions dans la section 3 conformes aux lois applicables sur la protection des données, et que le client a donné tous les avis et a obtenu tous ces avis des personnes auxquelles les données personnelles se rapportent et toutes les autres parties, comme requis par les lois ou réglementations applicables pour que le Client traite les données personnelles comme prévu par le Contrat.

(b) Données interdites . Le client déclare et garantit à Nitro que les données client ne contiennent pas et ne contiendront pas, sans le consentement écrit préalable de Nitro, des numéros de sécurité sociale ou d'autres numéros d'identification émis par le gouvernement ; informations biométriques; mots de passe pour les comptes en ligne; les informations d'identification à tous les comptes financiers ; données de déclaration de revenus ; rapports de crédit ou rapports de consommation ; toute information de carte de paiement soumise à la norme de sécurité des données de l'industrie des cartes de paiement ; les informations soumises au Gramm-Leach-Bliley Act, au Fair Credit Reporting Act ou aux règlements promulgués en vertu de l'une ou l'autre de ces lois ; les informations soumises à des restrictions en vertu des lois applicables sur la protection des données régissant les données personnelles des enfants, y compris, sans limitation, toutes les informations sur les enfants de moins de 13 ans ; ou toute information relevant de catégories spéciales de données (telles que définies dans le RGPD). Le client déclare en outre que les données client ne contiennent pas et ne contiendront pas d'informations de santé protégées soumises à la loi HIPAA (Health Insurance Portability and Accountability Act) ou à toute législation similaire dans une autre juridiction ; d'autres informations concernant les antécédents médicaux d'un individu, son état mental ou physique, ou un traitement médical ou un diagnostic par un professionnel de la santé ; ou des informations d'assurance maladie, sauf si le client et Nitro ont conclu séparément un accord d'associé commercial HIPAA.

8 . Divers

Sauf modification expresse du DPA, les termes de l'Accord restent pleinement en vigueur. En cas de conflit ou d'incohérence entre le présent ATD et les autres conditions de l'Accord, le présent ATD prévaudra. Nonobstant toute disposition contraire de l'Accord ou de tout bon de commande entré en relation avec celui-ci, les parties reconnaissent et conviennent que l'accès de Nitro aux Données personnelles ne fait pas partie de la contrepartie échangée par les parties au titre de l'Accord. Nonobstant toute disposition contraire dans l'Accord, toute notification requise ou autorisée à être donnée par Nitro au Client en vertu du présent ATD peut être donnée (a) conformément à toute clause de notification de l'Accord ; (b) aux principaux points de contact de Nitro avec le Client ; ou (c) à tout e-mail fourni par le Client dans le but de lui fournir des communications ou des alertes liées aux Services. Le Client est seul responsable de s'assurer que ces adresses e-mail sont valides.

ANNEXE 1 AU DPA
ANNEXE UE

1 . Traitement des données

(a) Objet et détails du traitement . Les parties reconnaissent et conviennent que (i) l'objet du Traitement en vertu du Contrat est la fourniture des Services par Nitro ; (ii) la durée du Traitement s'étend de la réception par Nitro des Données personnelles jusqu'à la suppression de toutes les Données personnelles par Nitro conformément à l'Accord ; (iii) la nature et la finalité du Traitement sont de fournir les Services ; (iv) les personnes concernées auxquelles les données personnelles se rapportent sont le client (dans la mesure où le client est un individu), les utilisateurs des services ou du logiciel de Nitro, et les personnes concernées dont les données personnelles ont été générées, partagées ou téléchargées par Client et/ou utilisateurs des Services et/ou du logiciel de Nitro ; et (v) les catégories de données personnelles sont les données personnelles générées, partagées, téléchargées ou demandées par le Client ou les utilisateurs des Services et/ou du logiciel de Nitro (qui peuvent inclure des données personnelles contenues dans des documents, des images et d'autres médias et utilisateurs- contenu généré tel que des documents, du texte, des images et d'autres contenus).

(b) Rôles et conformité réglementaire ; Autorisation . Les parties reconnaissent et conviennent que (i) Nitro est un processeur de ces données personnelles en vertu des lois européennes sur la protection des données ; (ii) le client est un responsable du traitement (ou un sous-traitant agissant sur les instructions d'un responsable du traitement) de ces données personnelles en vertu des lois européennes sur la protection des données ; et (iii) chaque partie se conformera aux obligations qui lui sont applicables dans ce rôle en vertu des lois européennes sur la protection des données en ce qui concerne le traitement de ces données personnelles. Si le Client est un sous-traitant, le Client déclare et garantit à Nitro que les instructions et actions du Client concernant les Données personnelles, y compris sa nomination de Nitro en tant qu'autre sous-traitant, ont été autorisées par le contrôleur concerné.

(c) Conformité de Nitro aux instructions . Nitro traitera les données personnelles uniquement conformément aux instructions du client énoncées dans le présent APD, à moins que les lois européennes applicables sur la protection des données n'en décident autrement, auquel cas Nitro en informera le client (à moins que cette loi n'interdise à Nitro de le faire pour des motifs importants d'intérêt public).

(d) Suppression des données . Nitro supprimera toutes les données personnelles sur les systèmes de Nitro à la demande du client et après la fin de la fourniture des services, et supprimera les copies existantes à moins que le stockage continu des données personnelles ne soit requis par (i) les lois applicables de l'Union européenne ou de ses membres États, en ce qui concerne les données personnelles soumises aux lois européennes sur la protection des données ou (ii) aux lois applicables sur la protection des données, en ce qui concerne toutes les autres données personnelles. Nitro se conformera à ces instructions dès que raisonnablement possible et au plus tard 180 jours après cette expiration ou résiliation, à moins que les lois applicables sur la protection des données n'exigent le stockage. Le client peut choisir de demander une copie de ces données personnelles à Nitro moyennant des frais supplémentaires en le demandant par écrit au moins 30 jours avant l'expiration ou la résiliation du contrat. Dès l'accord des parties sur une telle charge conformément à un ordre de travail ou à un autre amendement à l'Accord, Nitro fournira une telle copie de ces Données personnelles avant qu'elles ne soient supprimées conformément à la présente clause.

2 . Sécurité des données

(a) Mesures de sécurité Nitro, contrôles et assistance (i) Assistance à la sécurité Nitro . à la disposition de Nitro) fournir au Client l'assistance raisonnable nécessaire pour que le Client se conforme à ses obligations en matière de données personnelles en vertu des lois européennes sur la protection des données, y compris les articles 32 à 34 (inclus) du RGPD, en (a) mettant en œuvre et maintenir les mesures de sécurité ; (b) se conformer aux conditions de la section 5 (b) (Incidents de sécurité de l'information) de la DPA ; et (c) se conformer à la présente annexe 1 . Le Client reconnaît et accepte par la présente que ces mesures sont suffisantes pour permettre au Client de se conformer à ces obligations. (ii) Conformité à la sécurité par le personnel de Nitro . Nitro veillera à ce que son personnel autorisé à accéder aux données personnelles soit soumis à des obligations de confidentialité appropriées.

(b) Examens et audits de conformité
Le client peut auditer la conformité de Nitro à ses obligations en vertu du présent APD jusqu'à une fois par an et à toute autre occasion requise par les lois européennes sur la protection des données, y compris lorsque mandaté par l'autorité de surveillance du client. Nitro contribuera à ces audits en fournissant au Client ou à l'autorité de surveillance du Client les informations et l'assistance raisonnablement nécessaires pour effectuer l'audit. Si un tiers doit effectuer l'audit, Nitro peut s'opposer à l'auditeur si l'auditeur est, de l'avis raisonnable de Nitro, non indépendant, un concurrent de Nitro, ou autrement manifestement inapte. Une telle objection de Nitro obligera le Client à nommer un autre auditeur ou à effectuer l'audit lui-même. Pour demander un audit, le Client doit soumettre une proposition de plan d'audit à Nitro au moins deux semaines avant la date d'audit proposée et tout auditeur tiers doit signer un accord de non-divulgation habituel mutuellement acceptable pour les parties (une telle acceptation ne doit pas être déraisonnable retenu) prévoyant le traitement confidentiel de toutes les informations échangées dans le cadre de l'audit et de tout rapport concernant les résultats ou les conclusions de celui-ci. Le plan d'audit proposé doit décrire la portée, la durée et la date de début de l'audit. Nitro examinera le plan d'audit proposé et fournira au Client toute préoccupation ou question (par exemple, toute demande d'informations qui pourrait compromettre la sécurité, la confidentialité, l'emploi ou d'autres politiques pertinentes de Nitro). Nitro travaillera en coopération avec le Client pour convenir d'un plan d'audit final. Rien dans la présente Section 2 (b) n'oblige Nitro à violer ses obligations de confidentialité. Si les contrôles ou les mesures à évaluer dans l'audit demandé sont traités dans un 2 Type 2 , ISO, NIST ou similaire réalisé par un auditeur tiers qualifié dans les douze ( 12 ) mois suivant l'audit du Client demande et que Nitro a confirmé qu'il n'y a eu aucun changement important connu dans les contrôles audités depuis la date de ce rapport, le Client s'engage à accepter ce rapport au lieu de demander un audit de ces contrôles ou mesures. L'audit doit être effectué pendant les heures normales de bureau, sous réserve du plan d'audit final convenu et des politiques de sûreté, de sécurité ou d'autres politiques pertinentes de Nitro, et ne doit pas interférer de manière déraisonnable avec les activités commerciales de Nitro. Le client notifiera rapidement à Nitro toute non-conformité découverte au cours d'un audit et fournira à Nitro tous les rapports d'audit générés dans le cadre de tout audit en vertu de la présente section 2 (b), sauf si interdit par les lois européennes sur la protection des données ou autrement demandé par une autorité de contrôle. Le Client peut utiliser les rapports d'audit uniquement dans le but de répondre aux exigences réglementaires du Client en matière d'audit et/ou de confirmer la conformité aux exigences du présent DPA. Tous les audits sont à la charge exclusive du Client. Le Client remboursera Nitro pour tout temps passé par Nitro et tout tiers dans le cadre de tout audit ou inspection en vertu de la présente Section 2 (b) aux tarifs des services professionnels alors en vigueur de Nitro, qui seront mis à la disposition du Client sur demande. Le client sera responsable de tous les frais facturés par tout auditeur nommé par le client pour exécuter un tel audit.

3 . Évaluations d'impact et consultations

Nitro (compte tenu de la nature du Traitement et des informations disponibles pour Nitro) aidera raisonnablement le Client à se conformer à ses obligations en vertu des articles 35 et 36 du RGPD, en (a) mettant à disposition une documentation décrivant les aspects pertinents de le programme de sécurité des informations de Nitro et les mesures de sécurité appliquées en rapport avec celui-ci et (b) fournir les autres informations contenues dans le Contrat, y compris le présent ATD.

4 . Transferts de données

(a) Installations de traitement des données . Le fournisseur peut, sous réserve de la section 4 (b) (Transferts hors de l'EEE), stocker et traiter des données personnelles aux États-Unis ou partout où le fournisseur ou ses sous-traitants ont des installations.

(b) Transferts hors de l'EEE . Si le Client transfère des Données personnelles hors de l'EEE vers Nitro dans un pays qui n'est pas considéré par la Commission européenne comme ayant une protection adéquate des données, ce transfert sera régi par les Clauses contractuelles types, dont les termes sont incorporés dans le présent ATD. En plus de ce qui précède, les parties conviennent que (i) le Client agira en tant qu'exportateur de données et Nitro agira en tant qu'importateur de données en vertu des Clauses contractuelles types ; (ii) aux fins de l'Annexe 1 aux Clauses contractuelles types, les catégories de personnes concernées, les données, les catégories spéciales de données (le cas échéant) et les opérations de traitement doivent être telles que définies à la section 1 (a) de la présente annexe 1 (Objet et détails du traitement) ;( iii) aux fins de l'annexe 2 aux clauses contractuelles types, les mesures techniques et organisationnelles seront les mesures de sécurité ; (iv) l'importateur de données fournira les copies des accords de sous-traitant qui doivent être envoyées par l'importateur de données aux données l'exportateur conformément à la clause 5 (j) des clauses contractuelles types à la demande de l'exportateur de données, et cet importateur de données peut supprimer ou supprimer au préalable toutes les informations ou clauses commerciales sans rapport avec les clauses contractuelles types ou leur équivalent ;(v) l'au Les travaux décrits à la Clause 5 (f) et à la Clause 12 ( 2 ) des Clauses contractuelles types doivent être exécutés conformément à la Section 2 (b) de la présente Annexe 1 (Examens et audits de conformité );(vi) Les autorisations du Client à la Section 5 (Sous-traitants) de la présente Annexe 1 constitueront le consentement écrit préalable du Client à la sous-traitance par Nitro du Traitement des Données à caractère personnel si un tel consentement est requis en vertu de la Clause 5 (h ) des clauses contractuelles types ; et (vii) la certification de la suppression des données personnelles telle que décrite dans la clause 12 ( 1 ) des clauses contractuelles types doit être fournie à la demande de l'importateur de données.

Nonobstant ce qui précède, les clauses contractuelles types (ou les obligations identiques à celles des clauses contractuelles types) ne s'appliqueront pas dans la mesure où une autre norme de conformité reconnue pour le transfert de données personnelles en dehors de l'EEE conformément aux lois européennes sur la protection des données s'applique à le transfert. En cas de conflit ou d'incohérence entre (a) la présente annexe 1 et toute autre disposition du présent ATD, cette annexe 1 régira ou (b) les clauses contractuelles types et toute autre disposition du présent accord, la norme Les clauses contractuelles prévaudront.

5 . Sous-traitants

(a) Consentement à l'engagement d'un sous-traitant . Le Client autorise spécifiquement l'engagement des Affiliés de Nitro en tant que Sous-processeurs et autorise généralement l'engagement d'autres tiers en tant que Sous-processeurs (« Sous-processeurs tiers »).

(b) Informations sur les sous-traitants . Des informations sur les sous-processeurs, y compris leurs fonctions et emplacements, sont disponibles sur : www.gonitro.com/legal/subprocessors, qui peuvent être mises à jour par Nitro de temps à autre) ou toute autre adresse de site Web que Nitro peut fournir au client de temps à autre ( le « Site du sous-traitant »).

(c) Exigences pour l'engagement des sous-traitants . Lors de l'engagement d'un sous-processeur, Nitro conclura un contrat écrit avec ce sous-traitant contenant des obligations de protection des données non moins protectrices que celles du présent DPA en ce qui concerne les données personnelles dans la mesure applicable à la nature des services fournis par ce sous-traitant. Nitro sera responsable de toutes les obligations en vertu de l'Accord sous-traité au Sous-traitant ou de ses actions et omissions qui y sont liées.

(d) Possibilité de s'opposer aux modifications apportées par le sous-traitant . Lorsque Nitro engage un nouveau sous-traitant tiers après la date d'entrée en vigueur de l'accord, Nitro informera le client de l'engagement (y compris le nom et l'emplacement du sous-traitant concerné et les activités qu'il effectuera) en mettant à jour le site du sous-traitant ou par d'autres moyens écrits. . Si le Client s'oppose à un tel engagement dans une notification écrite à Nitro dans les 15 jours après avoir été informé de l'engagement pour des motifs raisonnables liés à la protection des données personnelles, le Client et Nitro travailleront ensemble de bonne foi pour trouver une solution mutuellement acceptable pour répondre à une telle objection. Si les parties ne sont pas en mesure de parvenir à une résolution mutuellement acceptable dans un délai raisonnable, le Client peut, à titre de recours unique et exclusif, résilier le Contrat et annuler les Services en fournissant un avis écrit à Nitro et payer Nitro pour tous les montants dus et dus en vertu de la Contrat à compter de la date de cette résiliation.

(e) Suffisance du consentement . Le client reconnaît et accepte par la présente que les procédures ci-dessus sont suffisantes pour obtenir le consentement écrit préalable du client au sous-traitement en vertu de l'article 28 du RGPD, et dans la mesure requise en vertu de la clause 5 (h) des clauses contractuelles types.

ANNEXE 2 AU DPA
CALIFORNIE ANNEXE

  1. Aux fins de la présente annexe 2 , les termes « entreprise », « objectif commercial », « vendre » et « prestataire de services » auront les significations respectives qui leur sont données dans le CCPA, et « informations personnelles » désignent les données personnelles qui constituent renseignements personnels régis par la CCPA.
  2. Il est de l'intention des parties qu'en ce qui concerne toute information personnelle, Nitro soit un fournisseur de services. Nitro ne doit pas (a) vendre des informations personnelles ; (b) conserver, utiliser ou divulguer des informations personnelles à des fins autres que dans le but spécifique de fournir les services, y compris la conservation, l'utilisation ou la divulgation des informations personnelles à des fins commerciales autres que la fourniture des services ; ou (c) conserver, utiliser ou divulguer les informations personnelles en dehors de la relation commerciale directe entre Nitro et le client. Nitro certifie par la présente qu'il comprend ses obligations en vertu de la présente section 2 et qu'il s'y conformera.
  3. Les parties reconnaissent que la conservation, l'utilisation et la divulgation par Nitro des informations personnelles autorisées par les instructions du Client documentées dans le DPA font partie intégrante de la fourniture des Services par Nitro et de la relation commerciale entre les parties.

ANNEXE 3 AU DPA
MESURES DE SÉCURITÉ

Technique et sécurité
Présentation de Nitro Sign

Sécurité des applications, conformité, authentification des utilisateurs,
intégrité des documents et reprise après sinistre

Résumé
Les solutions logicielles de Nitro sont conçues pour améliorer la productivité et réduire la consommation de papier pour chaque travailleur du savoir. En permettant des workflows de documents numériques de bout en bout, Nitro aide les organisations à faire progresser les initiatives de sécurité des documents et de durabilité des entreprises, des facteurs essentiels pour jeter les bases d'une transformation numérique réussie.

Nitro Sign, qui fait partie de Nitro Productivity Suite, est une application basée sur un navigateur offrant des workflows de signature électronique rapides, sécurisés et juridiquement contraignants. Conçu pour fournir une signature électronique simple et agréable pour tout le monde, Nitro Sign offre une interface intuitive et des fonctionnalités riches soutenues par de solides principes de sécurité, pour une expérience véritablement professionnelle. Avec notre solution de signature électronique, les clients Nitro transforment des processus hérités déconnectés et chronophages en workflows numériques modernes qui peuvent être exécutés en quelques minutes.

Nitro Sign fournit toutes les fonctionnalités requises pour obtenir des signatures électroniques rapides, sécurisées et juridiquement contraignantes :

  • Ordre séquencé des signataires
  • Notifications en temps réel
  • Affichage des analyses
  • Authentification multifacteur pour la vérification de l'identité du signataire
  • Documents signés inviolables
  • Piste d'audit complète pour chaque document
  • Modèles réutilisables
  • Conformité au plus haut niveau des réglementations et normes mondiales

Le but de ce document est de fournir une vue d'ensemble de haut niveau du cadre de sécurité global de Nitro Sign, y compris, mais sans s'y limiter : la sécurité des applications, la conformité, la sécurité organisationnelle, la sécurité du réseau, la sécurité des données et la reprise après sinistre.

Sécurité des applications
Nitro Sign fonctionne sur une plate-forme de micro-services conteneurisée hébergée dans un VPC dédié à Nitro (Virtual Private Cloud) sur plusieurs zones de disponibilité au sein d'une même région de l'UE : Francfort, Allemagne. Les clients Nitro accèdent à l'application Nitro Sign via leurs navigateurs Web via le site Web public cloud.gonitro.com.

Le trafic Internet public vers et depuis cloud.gonitro.com est crypté via TLS (Transport Layer Security) sécurisé à l'aide d'un 2 ) de DigiCert (www.digicert.com) avec les deux SHA 1 et SHA 256 empreintes digitales ; SHA 256 est l'algorithme de hachage utilisé et le schéma de signature utilisé est 2048 -bit RSA.

Les documents Nitro Sign sont stockés dans des emplacements sécurisés, dédiés et gérés, en utilisant la norme de cryptage avancée avec une taille de clé de 256 256 ). AES est inclus dans l'ISO/CEI 18033 - 3 : Technologies de l'information – Techniques de sécurité – Algorithmes de chiffrement – Partie 3 : Norme de chiffrement par bloc. AES est défini comme la norme fédérale américaine de traitement de l'information : FIPS PUB 197 : Advanced Encryption Standard (AES).

Les communications de données entre les clients Web et les serveurs principaux de Nitro sont cryptées à l'aide de TLS, qui protège les données en transit. Les métadonnées du document sont conservées dans un service de base de données relationnelle qui assure une haute disponibilité et une durabilité des données. Le stockage est assuré par des compartiments Amazon S 3 (Simple Storage Service) — dédiés à Nitro — qui sont chiffrés pour protéger les données au repos.

Les informations sensibles (informations d'identification, jetons, certificats, clés API) sont gérées via une base de données de coffre-fort cryptée.

system-overview.png

Authentification d'utilisateur
Nitro Sign prend en charge plusieurs méthodes de gestion et d'authentification des identités des utilisateurs.

Nitro Admin, notre portail dédié de gestion des utilisateurs et des licences, est utilisé par des administrateurs désignés pour inviter de nouveaux utilisateurs, gérer les utilisateurs existants et leurs licences, et suspendre ou supprimer des utilisateurs, si nécessaire.

Nitro propose également des intégrations Single Sign-On (SSO) dans le cadre de notre plan de niveau Entreprise. L'authentification unique permet aux utilisateurs d'accéder aux produits Nitro en s'authentifiant via le fournisseur d'identité (IdP) de l'organisation. Nitro prend en charge l'authentification unique avec n'importe quel SAML- 2 . 0 IdP conforme.

Vous trouverez plus d'informations sur l'activation de l'intégration SSO de Nitro ici https://www.gonitro.com/user-guide/admin/article/single-sign-on-overview

Intégrité des documents
À la fin d'un flux de travail de signature, Nitro signe numériquement le PDF à l'aide d'un certificat délivré pour identifier Nitro en tant qu'organisation. La signature numérique vérifie l'intégrité du document et confirme que le document n'a pas été falsifié depuis son achèvement. Veuillez consulter l'image suivante pour savoir comment la signature numérique apparaît sur un document terminé affiché dans Nitro Pro 13 . La signature numérique sera présente dans la copie du document reçu par toutes les parties à la demande.

document-security.png

Conformité
Nitro Software Inc. détient les 2 Type 1 et SOC 2 Type 2 , entre autres. Nitro est également auto-certifié pour le Privacy Shield et s'engage pleinement à soutenir le Règlement général sur la protection des données (RGPD) de l'UE.

conformité.png

Nous abordons la sécurité des données comme notre première priorité et prérogative. Ainsi, nous assurons la sécurité à chaque étape du cycle de développement de système de tous les produits Nitro.

Nous suivons les meilleures pratiques de l'industrie pour transférer, traiter et stocker les données des clients. Toutes les fonctionnalités compatibles avec le cloud Nitro utilisent des installations informatiques de pointe qui satisfont aux normes clés de l'industrie, telles que PCI DSS, HIPAA et SOC. Notre centre de données principal se trouve dans l'UE à Francfort, en Allemagne.

Nitro protège les documents en mouvement et au repos avec des pistes d'audit numériques et le cryptage TLS AES. Grâce à une journalisation et à une instrumentation étendues, nous surveillons notre environnement de production pour auditer la sécurité, la disponibilité, l'accès et d'autres mesures de nos services.

Nous utilisons une combinaison d'outils automatisés et d'inspection manuelle pour assurer une surveillance constante des événements de sécurité. Pour toute notre infrastructure cloud, nous utilisons Amazon Web Services (AWS), qui fournit une documentation complète sur leurs pratiques de sécurité ici . AWS utilise des mesures de sécurité des données de pointe, ainsi que des restrictions d'accès physique aux emplacements des serveurs.

Pour une liste complète des certifications Nitro, y compris SOC 2 Type 2 , HIPAA et Privacy Shield, veuillez cliquer ici .

La liste des certifications AWS, y compris les 27001 et SOC 1 , 2 et 3 , est disponible ici .

Sécurité organisationnelle
Nitro Software a développé et communiqué à ses utilisateurs des procédures pour restreindre l'accès logique aux systèmes de Nitro Software. Les procédures couvrent les domaines clés suivants du cycle de vie de la sécurité :

  • Gestion des politiques et communication
  • Autorisation, modifications et résiliation de l'accès au système d'information
  • Autorisation, test et approbation des modifications apportées aux applications de l'environnement de production
  • Surveillance des contrôles de sécurité
  • Gestion des accès et des rôles
  • Maintenance et support du système de sécurité et des sauvegardes/stockage multimédia nécessaires
  • Reprise après sinistre et réponse aux incidents
  • Maintenance de l'accès restreint aux configurations système, aux fonctionnalités administratives, aux mots de passe, aux utilitaires puissants et aux dispositifs de sécurité

Vérifications des antécédents : Nitro met tout en œuvre pour s'assurer que personne ne voit ou ne traite vos données à moins d'y être autorisé - et nous limitons strictement les exceptions. Tous les employés sont soumis à des vérifications d'antécédents et l'accès aux serveurs de production est limité uniquement aux ingénieurs qui doivent travailler directement avec nos systèmes de production.

Normes de sécurité de l'information Nitro v 1 . 5 existent et sont en vigueur.

Ces normes sont développées sous l'autorité de la politique de sécurité de l'information de Nitro.

Ces normes s'appliquent à tous les composants de Nitro et à toutes les régions géographiques où Nitro opère.

Ces normes sont basées sur et alignées sur ISO/IEC 27002 : 2013 Technologies de l'information - Code de pratique pour les contrôles de sécurité de l'information (sous licence par Nitro).

Ces normes sont également alignées sur et prennent en charge la publication spéciale du NIST du département du commerce des États-Unis 800 - 53 .

La politique de sécurité de l'information de Nitro appartient au responsable de la sécurité mondiale, qui a obtenu l'approbation de la direction et la responsabilité de développer, réviser et maintenir la politique.

Les normes de sécurité de l'information de Nitro sous-tendent la politique de sécurité de l'information de Nitro. Les normes sont révisées en permanence et des mises à jour sont appliquées au fur et à mesure des besoins.

Les normes et la politique de sécurité de l'information de Nitro sont révisées chaque année dans le cadre de nos initiatives de conformité réglementaire en cours, notamment SOC 2 et HIPAA.

Sensibilisation à la sécurité et formation
Nitro a une politique de sécurité de l'information pour s'assurer que les employés comprennent leurs rôles et responsabilités individuels concernant le traitement et les contrôles afin de garantir que les événements importants sont communiqués en temps opportun.

Ceux-ci incluent des programmes de formation formels et informels et l'utilisation du courrier électronique, de Slack et d'autres méthodes pour communiquer des informations et des processus urgents à des fins de sécurité et de disponibilité du système, qui informent le personnel clé en cas de problème.

Une formation générale sur la sécurité de l'information est dispensée pendant le processus d'embauche et d'intégration et actualisée au moins une fois par an par la suite. Une formation spécifique en fonction des rôles est dispensée dans des domaines spécialisés tels que le développement de logiciels et l'ingénierie de systèmes ou de plates-formes.

Sécurité des données
Tous les systèmes et applications sont régulièrement soumis à des analyses d'évaluation de vulnérabilité par un tiers indépendant et accrédité.

Le service de plate-forme en ligne Nitro est une solution basée sur le cloud hébergée dans AWS VPC sur plusieurs zones de disponibilité dans une même région (Francfort, Allemagne), conçue pour les pannes, l'auto-réparation, la robustesse et est hautement disponible.

Des sauvegardes automatisées sont en place et couvrent 20 générations de données.

Le cryptage AES- 256 est en place et couvre les données au repos et les données en transit.

Plusieurs instances de la technologie Anti-Virus et Anti-Malware sont en place, au niveau du poste de travail ainsi qu'au niveau des couches de passerelle de messagerie et de passerelle Internet.

Nitro utilise également un pare-feu d'application Web et une plate-forme de protection DDoS.

reprise après sinistre
Tous les systèmes Nitro sont conçus pour être hautement résilients, hautement disponibles et tolérants aux pannes.

Cela dit, nous avons un plan de reprise après sinistre Nitro et un plan de continuité des activités Nitro, qui sont examinés et testés chaque année.

Le test le plus récent du plan de reprise après sinistre Nitro a été réalisé au cours du trimestre 3 2020 .

Des signatures électroniques
Un leader dans les signatures électroniques
Nitro Sign reconnu comme leader dans le rapport radar 2022 GigaOm pour les signatures électroniques. En savoir plus sur l'évaluation et l'analyse par GigaOm des principaux fournisseurs de signature électronique de la catégorie.