データ処理に関する補遺

このDPAを実行する方法:

このDPAを完了するには、電子メールでお問い合わせください。 法的@digital.ai有効に記入されたDPAを受領後、 Digital.ai、かかるDPAは法的拘束力を持つことになります。

DPAのPDF文書版をダウンロードできます こちら 顧客レビュー用。

データ処理に関する補遺

このデータ保護補足条項（「DPA（以下「本契約」）は、 Digital.ai 顧客向け Digital.ai お客様にサービスを提供するため。本契約において別途定義されていない限り、大文字で表記された用語はすべて、該当する契約において定義された意味を有するものとします。

Digital.ai 当社は、本契約に基づき顧客にサービスを提供する過程において、欧州連合の一般データ保護規則（規則（EU）2016/679（以下「EU規則」という。））の対象となる顧客個人データを処理することができる。EU一般データ保護規則」およびEU GDPRは、2018年欧州連合（離脱）法第3条（「英国GDPR）（以下、総称して「GDPR（「個人データ保護法」）またはその他のデータ保護法。本DPAは、本契約に基づく個人データの処理に関する当事者の義務を定めるものです。

本契約に規定された相互の義務を考慮して、両当事者はそれぞれ合理的かつ誠実に行動し、以下の規定を遵守することに同意します。

1.HEADSPINとは

「パートナー「当事者」とは、当事者を直接または間接に所有、支配、支配​​される、または当事者と共同支配下にある個人または団体を意味します。支配とは、支配される団体の議決権付き株式または類似の所有権の 50% 以上を所有または指揮することを意味します。

「契約「」とは、 Digital.ai およびそれに関連する顧客 Digital.ai マスターサブスクリプション契約（「MSA（以下「本契約」といいます）および本サービスに適用されるすべての注文に適用されます。本DPAは、この参照により当該契約に組み込まれます。

「コントローラー「個人データの処理の目的および手段を単独でまたは他の者と共同で決定する主体を意味します。」

「データ保護法「」とは、本契約に基づく個人データの処理に関して、個人の基本的権利と自由、およびプライバシー権を保護するために適用されるすべてのデータ保護法を意味し、これには、地方、州、国および/または外国の法律および規制、GDPR、およびGDPRの国内法への実装（随時修正、置き換え、または置き換えられる場合を含む）が含まれます。

「個人データ」とは、特定された、または特定可能な自然人（「データ主体（個人情報）は、データ保護法によって保護されています。

「個人情報漏えい「個人データ」とは、送信、保管、またはその他の方法で処理された個人データの偶発的または違法な破壊、紛失、変更、不正開示、またはアクセスにつながるセキュリティ侵害を意味し、データ保護法に基づき管理者が管轄のデータ保護当局またはデータ主体に通知することが義務付けられています。

「処理「個人データ」とは、自動的な手段によるか否かを問わず、個人データまたは個人データセットに対して実行されるあらゆる操作または一連の操作を意味し、収集、記録、整理、構造化、保管、適応または変更、検索、照会、使用、送信による開示、頒布またはその他の方法による提供、調整または組み合わせ、制限、消去または破壊などが含まれます。

"プロセッサ「」とは、管理者に代わって個人データを処理する主体を意味します。

「Services「」とは、本契約に基づいて提供される保守およびサポートサービスの提供、および/またはサービスとしてのソフトウェア（「SaaS」）の提供、および/またはホスト、管理、またはその他の方法で提供されるその他のサービスを意味します。 Digital.ai 顧客に代わって個人データを処理します。

「標準契約条項「」とは、（i）EU GDPRが適用される場合、欧州議会および理事会の規則（EU）2016/679に基づく個人データの第三国への移転に関する2021年6月4日の欧州委員会の実施決定（EU）2021/914に付属する条項を意味し、公式に発表されているとおりである。 https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj  (“2021年のSCC（ii）英国GDPRが適用される場合、英国GDPR第46条に基づいて採択または許可されている標準データ保護条項（公式に公表されているもの） https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32010D0087 (“2010年のSCC」）から生じた、裁判所により認定され、または和解により合意されたすべての損失、損害、賠償金、費用と出費（合理的な弁護士費用および訴訟費用を含む）について、貴社を防御、免責し、貴社に損害を与えない。

「サブプロセッサ」は Digital.ai 関連会社または第三者 Digital.ai サービスに関連して、本DPAに従って個人データを処理します。

「監督当局「」とは、適用されるデータ保護法に基づいて設立された独立した公的機関を意味します。

2.個人データの処理

2.1. 当事者の役割 本DPAは、以下の当事者による個人データの処理に適用されます。 Digital.ai およびその下請け業者に対し、サービス提供に関連して、本DPAに基づき、 Digital.ai はプロセッサーであり、顧客はコントローラーです。

2.2. 処理の範囲。個人データの処理の対象および期間は、お客様へのサービスの提供を規定する本契約に定められています。お客様に代わって個人データが処理される処理の性質および目的、個人データの種類、およびデータ主体のカテゴリーは、本契約に定められています。 附属1 このDPAに。

2.3. 指示 Digital.ai 当社は、お客様の代理として、かつお客様の書面による指示に従ってのみ、個人データを処理するものとします。本契約（本DPAを含む）は、お客様の個人データを処理するための当該書面による最初の指示を構成し、その後のサービスの利用は、追加の指示を構成するものとします。 Digital.ai 当社は、本契約の条件に準拠し、データ保護法で要求され、技術的に実行可能である限り、その他の合理的な顧客指示に従うよう合理的な努力を払います。 Digital.ai 指示に従えない場合、または Digital.aiの意見によれば、顧客の指示は適用されるデータ保護法に違反している可能性があります。

2.4. 法令遵守 両当事者は、以下に詳述するすべての適用されるデータ保護法を遵守することに同意します。

2.4.1. Digital.ai 適用されるすべてのデータ保護法を遵守するものとします。 Digital.ai 個人データに関する処理者としての役割において。サービスを提供する際には、 Digital.ai 個人データを第三国または国際機関（第7条に記載）への転送を含め、顧客の文書化された指示に従って処理するものとします。 Digital.ai 適用されるデータ保護法によって要求される場合、個人データを処理することもあります。 Digital.ai 重要な公共の利益上の理由で法律により通知が禁止されていない限り、処理前にその法的要件を顧客に通知するものとします。

2.4.2. 顧客は、管理者としての役割において顧客に適用されるすべてのデータ保護法を遵守し、データ主体が以下のことを可能にするために必要なすべての同意を取得し、必要なすべての通知を提供するものとします。 Digital.ai 本DPAで想定される処理を合法的に実施するため。お客様は、個人データの正確性および品質、ならびに個人データの取得方法について責任を負います。

3. データ主体の権利

3.1. データ主体の要求。 Digital.ai サービスの機能と一致する方法で、 Digital.aiプロセッサーとしての役割を果たすために、適用されるデータ保護法（「データ主体の要求」）から生じた、裁判所により認定され、または和解により合意されたすべての損失、損害、賠償金、費用と出費（合理的な弁護士費用および訴訟費用を含む）について、貴社を防御、免責し、貴社に損害を与えない。

3.2. データ主体の要求への対応 お客様は、データ主体の要求に対応する責任を負います。 Digital.ai 個人データの処理に関してデータ主体からデータ主体の要求またはその他の苦情を受けた場合、 Digital.ai 法的に認められる範囲において、データ主体が顧客を特定するのに十分な情報を提供している場合、当社は速やかに顧客に通知します。適用法で義務付けられている場合を除き、 Digital.ai 当社は、当該要求が顧客に関連するものであることを確認する場合を除き、顧客の事前の書面による許可または指示がない限り、かかるデータ主体の要求に応じないものとします。

4. 個人データの保持と削除

4.1. 個人データの保持。当事者間の契約の終了時および／または本DPAが適用されるサービスの提供終了後、 Digital.ai 適用法によりさらなる保管が要求されない限り、当社は、データ保護法および/または本契約の条件に従って、合理的に実行可能な限り速やかに顧客の個人データを削除または返却するものとします。

5. 処理のセキュリティ

5.1. セキュリティ対策。 Digital.ai 適切な技術的および組織的措置を実施し、維持する。 附属書II 本DPAに基づき、適用されるデータ保護法に従い、個人データを偶発的または違法な破壊、紛失、改ざん、不正開示、またはアクセスから保護します。お客様は、本サービスに適用される技術的および組織的措置が、適用されるデータ保護法に基づくセキュリティ義務を含む、お客様の要件を満たしているかどうかを独自に判断する責任を負います。

5.2. 人事 個人データを処理するために、 Digital.ai およびその下請処理者は、本DPAまたは本契約に定められた機密保持要件と同等以上の機密保持要件を遵守することを約束した権限のある担当者にのみ、アクセスを許可するものとします。当該担当者は、本契約に定められたお客様の指示に従い、かつ本サービスの履行に必要な範囲においてのみ、個人データを処理するものとします。

6. サブプロセッサー

6.1. サブプロセッサーの使用。お客様は、 Digital.ai このDPAに従ってサブプロセッサーを雇用すること。ただし、 Digital.ai 当該サブプロセッサーと本契約の条件に一致する書面による契約を締結するものとします。 Digital.ai サブプロセッサーの行為および不作為に対して、 Digital.ai.

6.2. サブプロセッサーリスト。 Digital.ai 本DPAの発効日現在における本サービスを提供するために定められた条件は、付属文書IIIとして本DPAに添付されており、以下の場所に公開されています。 https://info.digital.ai/rs/981-LQX-968/images/Data-Protection-FAQ-February-2025.pdf  (“サブプロセッサーリスト」）から生じた、裁判所により認定され、または和解により合意されたすべての損失、損害、賠償金、費用と出費（合理的な弁護士費用および訴訟費用を含む）について、貴社を防御、免責し、貴社に損害を与えない。 Digital.ai 個人データの処理を新しいサブプロセッサーに許可する少なくとも30日前に、公開されているサブプロセッサーリストを更新することにより、サブプロセッサーリストへの追加または置き換えの予定を顧客に通知するものとします。

6.3. 異議申し立て権。本第6.3条は、顧客が欧州経済地域（「EEA」、英国（「UK（スイス）および／またはスイス、またはお客様に適用されるデータ保護法によって別途要求される場合。その場合、お客様がデータ保護に関する合理的な理由に基づいて異議を申し立てる場合、 Digital.aiが新しいサブプロセッサーを使用する場合、顧客は速やかに、そして15日以内に Digital.ai上記6.2項に基づく通知については、 Digital.ai 異議がある場合は、書面にて通知する。異議があった場合は、 Digital.ai 顧客が提起した異議に対処するために商業的に合理的な措置を講じ、かかる異議に対処するために講じた措置について顧客に合理的な書面による説明を提供します。

7.データ転送

7.1. 譲渡 お客様は、 Digital.ai およびその下請け業者は、本DPAの条件に従い、サービスを提供するために個人データを処理します。この処理には、個人データの必要な転送が含まれる場合があります。

7.2. 制限された移転。本DPAに基づく個人データのEEA、英国および/またはスイスから、前述の地域のデータ保護法（「制限された国（以下「本DPA」という。）は、本DPAに組み込まれている関連する標準契約条項に準拠するものとします。 safeこの第 7 条に定める保護措置は、(i) EU GDPR が適用される場合、EEA またはスイスから制限国への個人データの移転、および (ii) 英国 GDPR が適用される場合、英国から制限国への個人データの移転に適用されます。(「制限付き譲渡」）から生じた、裁判所により認定され、または和解により合意されたすべての損失、損害、賠償金、費用と出費（合理的な弁護士費用および訴訟費用を含む）について、貴社を防御、免責し、貴社に損害を与えない。

7.3. 管理者から処理者への標準契約条項: 標準契約条項は、顧客（「データ輸出者」）から管理者への個人データの制限付き移転に適用されます。 Digital.ai （「データ輸入者」）として、以下のとおりです。

7.3.1. EU個人データEU GDPRによって保護される個人データに関しては、2021年のSCCが以下のように適用されます。(i) モジュール2（管理者から処理者へ）が適用され、モジュール1、3、4は完全に削除されます。(ii) 第7条は完全に削除され、当事者は追加のDPA（入手可能な場合）を締結することにより、このDPAに追加のエンティティを追加できます。 こちら(iii) 第9条では、本DPAの第6項に詳述されているとおり、オプション2が適用されるものとします。(v) 第17条では、オプション1が適用され、2021年SCCはオランダ法に準拠するものとします。(vi) 第18条(b)では、紛争はオランダの裁判所で解決されるものとします。(vii) 2021年SCCの付属書Iおよび付属書IIには、本DPAに添付されている付属書Iおよび付属書IIに記載されている情報が入力されます。

7.3.2. スイスの個人データ2021年SCCにおいて、「加盟国」という用語は、スイスのデータ主体が第18条(c)項に基づき、その通常の居住地（スイス）において権利を主張するための訴訟を起こす可能性を排除するものとして解釈されないものとする。2022年12月31日まで、および適用されるスイスの法律で要求されるより長い期間、2021年SCCは、1992年6月19日のスイス連邦データ保護法（SR 235.1、「FADP」）の適用範囲内にある法人のデータも保護するものとする。

7.3.3. 英国の個人データ英国GDPRによって保護される個人データに関しては、英国からの個人データの移転または個人データに関連する2010年SCCが適用されます。英国データ保護局が2018年英国データ保護法の国際データ移転規定を遵守する目的で導入した2010年SCCの将来的な変更、更新、または修正版は、お客様と当社との間の契約に組み込まれ、その一部を構成するものとします。 Digital.ai2010 年の SCC の付録 1 および付録 2 には、この DPA に添付されている付録 I および II に記載されている情報を入力するものとします。

7.4. 明確化。いずれの当事者も、本DPAの効果も、標準契約条項に定められた条項に矛盾または制限を加えることを意図していません。いかなる場合においても、本DPAはデータ主体または管轄監督当局の権利を制限または制約するものではありません。本DPAのいかなる条項も、2010年標準契約条項または2021年標準契約条項の矛盾する条項に優先するものと解釈されることはありません。本DPAにおいて監査およびサブプロセッサーに関するルールがさらに規定されている場合、当該規定は2010年標準契約条項および2021年標準契約条項にも適用されます。

7.5. 代替データ移転メカニズム。疑義を回避するために、本第7条に規定する移転メカニズムが監督機関または管轄権を有する裁判所によって無効と判断された場合、両当事者は、個人データの継続的な移転を可能にするために、代替メカニズム（利用可能かつ必要な場合）について誠意をもって交渉するよう努めるものとします。

8. 個人データ侵害通知

8.1. 個人データ侵害の通知。 Digital.ai 当社が処理した顧客の個人データに関連する個人データ侵害を認識した後、遅滞なく顧客に通知します。 Digital.ai また、データ保護法に基づいて個人データ侵害を報告する義務をお客様が果たせるよう、当社が保有する合理的な情報を提供します。 Digital.ai 当社は、かかる個人情報漏洩の原因を特定するために合理的な努力を払い、その是正が可能な範囲で、個人情報漏洩の影響を軽減し、その結果生じた損害を最小限に抑えるために適切な措置を講じるものとします。 Digital.aiの合理的な管理下で行われます。通知は第8.2条に従って顧客に送付されます。かかる通知は、当社の過失または責任の承認と解釈されるものではありません。 Digital.ai.

8.2. 通知の送付 個人データ侵害に関する通知は、該当する場合、お客様のビジネス、技術、または管理担当者の1人または複数人に、以下の方法で送付されます。 Digital.ai 電子メールを含む、お客様が選択した方法で連絡を取ることができます。お客様は、常に正確な連絡先情報を提供し、維持する責任を負います。

9。 監査

9.1. 情報要求。 Digital.ai 合理的な書面による要求に応じて、顧客の個人データの処理に関連する情報を、必要に応じて顧客に提供するものとする。 Digital.ai本DPAに基づく義務の遵守。

9.2. 顧客監査。 Digital.ai 顧客（またはその独立監査人）による個人データ処理に関する検査要求を許可するものとする。 Digital.ai 確認するために Digital.ai以下の場合、本DPAの遵守は、 Digital.ai 技術的および組織的措置の遵守について十分な書面による証拠（例えば、ISO 27001またはその他の基準への適合証明書など）を提供していない場合、(b) 個人データ漏洩が発生した場合、(c) 顧客の監督当局から正式に監査が要請された場合、または(d) データ保護法により顧客に強制的なオンサイト検査の権利が与えられている場合。ただし、強制的なデータ保護法によりより頻繁な検査が要求されない限り、顧客はこの権利を1年に1回以上行使することはできない。 Digital.ai 第9条に基づく検査は、本契約の守秘義務の対象となります。かかる検査は、検査対象の施設、ネットワーク、システムのセキュリティ、機密性、完全性、可用性、継続性に影響を与えず、また、そこで処理される機密データを侵害しない方法で実施されます。

9.3. 監査費用 監査によって重大な違反が明らかになった場合を除き、お客様は監査費用を負担します。 Digital.ai このDPAの Digital.ai 監査費用は自己負担とする。監査の結果、 Digital.ai 本DPAに基づく義務に違反した場合、 Digital.ai 速やかに自らの費用負担で違反を是正するものとします。

10. データ保護影響評価

10.1. 適用されるデータ保護法により、お客様が本サービスの利用に関連してデータ保護影響評価を実施したり、監督機関と事前に協議したりする必要がある場合、 Digital.ai お客様からの合理的な要求に応じて、サービスに関して一般的に提供されている文書（サービスに該当する場合、その時点の最新のサービス組織統制 (SOC) SOC 2 レポート、ISO/IEC 27001:2013 認証、および/または同等の業界標準後継レポートなど）を提供します。

10.2. データ保護法で要求される範囲において、本第10条に関連する監督機関の任務の遂行における協力または事前協議における追加的な支援については、処理の性質および監督機関が利用できる情報を考慮して、両当事者間で合意されるものとする。 Digital.ai法的に認められる範囲において、お客様は、以下に起因する費用について責任を負うものとします。 Digital.aiのそのような援助の提供

11。 GENERAL

11.1. 顧客関連会社。顧客は、顧客関連会社とのすべてのコミュニケーションを調整する責任を負います。 Digital.ai 本DPAに関して、お客様は、その関連会社に代わって、本DPAおよび本DPAに組み込まれている、または本DPAに基づいて締結される標準契約条項を締結し、指示を発行し、本DPAに関するあらゆる通信または通知を送受信する権限を有することを表明します。

11.2. 抵触。本DPAの準拠法および管轄裁判所は、本DPAが付属する主契約の法とします。本DPAと本契約との間に抵触または矛盾が生じた場合、当該抵触または矛盾が個人データに関連する範囲において、本DPAが優先するものとします。

11.3. 終了。本DPAの期間は、本契約の条件に従って終了します。

11.4. その他。本書におけるDPAへの言及は、本DPAおよびその付属書類および／または付録を指します。本DPAに含まれるセクションの見出しは参照のみを目的としており、本DPAの意味または解釈にいかなる影響も及ぼしません。

以上の証として、本DPAが締結され、お客様と Digital.ai下記のお客様の署名日現在。本文書がいずれかの当事者によって電子署名されている場合、当該署名は手書きの署名と同じ法的効力を有します。

附属書I

処理の説明

この付属書類 1 は、2010 年標準契約条項、2021 年標準契約条項、および適用されるデータ保護法の目的における顧客の個人データの処理を説明するために適用されます。

A. 当事者のリスト

データエクスポーター:

1。 名前： 契約書に記載されている顧客名

住所： 契約書に記載されている顧客住所

担当者の名前、役職、連絡先の詳細: 協定の正式な署名者

関連活動: 活用 Digital.ai本契約に基づく当社の製品およびサービス。

署名と日付: DPA を締結することにより、データ輸出者は DPA の発効日時点でここに組み込まれている標準契約条項に署名したものとみなされます。

役割 (コントローラー/プロセッサー):   コントローラー

データインポーター:

名前： Digital.ai Software、Inc。

住所： 555 フェイエットビル ストリート、スイート #210、ローリー、ノースカロライナ州 27601

担当者の名前、役職、連絡先の詳細: 法的@digital.ai

関連活動: の提供 Digital.ai本契約に基づく当社の製品およびサービス。

署名と日付: DPA を締結することにより、データ輸入者は DPA の発効日時点でここに組み込まれている標準契約条項に署名したものとみなされます。

役割 (コントローラー/プロセッサー): プロセッサ

B. 譲渡の説明

個人データが転送されるデータ主体のカテゴリ:

データ主体のカテゴリーには、顧客のユーザー（本契約で定義）が含まれます。 Digital.ai 製品とサービス。

転送される個人データのカテゴリ:

識別情報（名前、役職、メールアドレス）、ログイン情報（ユーザー名とパスワード）、ログインデータ（ログの日時）、ユーザーのサポートリクエストに関連するデータ。

転送される機密データ（該当する場合）および適用される制限または safeデータの性質とそれに伴うリスクを十分に考慮した保護措置（厳格な目的制限、アクセス制限（専門の訓練を受けた職員のみのアクセスを含む）、データへのアクセス記録の保持、転送の制限、追加のセキュリティ対策など）:

機密情報は処理されません Digital.ai.

転送の頻度（例：データが一度だけ転送されるか、継続的に転送されるか）:

移行は、クラウド製品およびサービスの場合は継続的に行われ、サポート リクエストの場合は 1 回限りで行われます。

処理の性質:

Digital.ai お客様が当社を利用する過程で提出した個人データの処理者として機能します。 Digital.aiの製品およびサービス。処理の性質には、転送、保管、および契約条件に従って指定されるその他の処理活動が含まれます。

データ転送およびさらなる処理の目的:

提供およびサポート Digital.ai契約（本DPAを含む）で合意されたとおり、当社はお客様に製品およびサービスを提供します。

個人データの保存期間、またはそれが不可能な場合はその期間を決定するために使用される基準:

契約期間中、 Digital.aiただし、本契約に別途規定されている場合、または法律により別途許可もしくは要求されている場合を除きます。

（サブ）プロセッサーへの転送の場合は、処理の主題、性質、期間も指定します。

Digital.ai （データインポーター）は、 サブプロセッサーリスト に記載されている 付属書III サポートへ Digital.ai 顧客（データエクスポーター）に製品およびサービスを提供する場合。 処理の対象と期間は、この付属文書に概説されています。具体的な再処理サービスの性質については、再処理業者リストでさらに詳しく説明されています。 付録IIIに記載されています。

C. 管轄監督当局

第13条に従って管轄監督機関を特定する。

標準契約条項第 13 条に従って決定される管轄監督当局。

• 2021 年標準契約条項: 2021 年の SCC の準拠法はオランダの法律となります。

• 2010 年標準契約条項: 2010 年の SCC は、データ輸出者が設立されている加盟国、すなわち英国の法律に準拠するものとします。

附属書II

技術的および組織的なセキュリティ対策

この付属書 II は、2010 年標準契約条項、2021 年標準契約条項、および適用されるデータ保護法の目的のために適用される技術的および組織的措置を説明するために適用されます。

付属書 II に規定する技術的および組織的措置は、処理の性質、範囲、状況および目的、ならびに自然人の権利と自由に対するさまざまな可能性と重大性のリスクを考慮して、適切なレベルのセキュリティを確保するためにデータ輸入者によって実装されています。

技術的および組織的措置の説明。これには、 データのセキュリティ:

情報セキュリティポリシー、手順、および標準. Digital.ai 個人データの偶発的または違法な紛失、アクセス、開示から保護するために設計された情報セキュリティプログラム（社内ポリシーと手順の採用と施行を含む）を維持する。 Digital.ai 情報セキュリティに関するポリシー、手順、および技術基準の遵守は、少なくとも年に1回実施されます。必要に応じて、個人データのバックアップコピーを作成し、定期的にテストを実施することで、整合性を確認し、回復力を実証します。重要なシステムについては、定期的に脆弱性評価を実施し、侵入テストは少なくとも年に1回実施されます。

Encryption. Digital.ai 業界のベストプラクティスに基づき安全とみなされる暗号化方式を採用し、保存時および転送中のデータのセキュリティを確保します。使用される暗号化方式は、トランスポート層セキュリティ (TLS) 1.2 または高度暗号化標準 (AES) 256 の基準を満たすか、それを超えています。

監査該当する場合、 Digital.ai ISO 27001、SOC 2、または ISO 13485 規格に従って、セキュリティ対策の妥当性を検証するために外部監査人を使用したり、内部監査を実施したりします。

アクセス制御。ユーザーの識別と認証。 Digital.ai アクセス制御とポリシーを維持し、どのようなアクセスが許可されるかを管理します。 Digital.ai ファイアウォールまたは機能的に同等のテクノロジーと認証制御の使用を含め、各ネットワーク接続とユーザーからネットワークを保護します。

物理的なセキュリティ。 物理的な障壁制御は、個人データが処理される施設への不正な立ち入りを防ぐために使用されます。 Digital.ai管理は建物の境界とアクセスポイントの両方に設置されています。入場には通常、電子アクセス制御（例：カードアクセスシステムなど）による認証、または人によるセキュリティ担当者（例：契約警備員、社内警備員、受付係など）による認証が必要です。従業員および請負業者には写真付きIDバッジが割り当てられており、施設内にいる間はこれを着用する必要があります。訪問者は、指定された担当者によるサインイン、適切な身分証明書の提示、訪問者IDバッジの発行、施設内にいる間はこれを着用する義務があり、施設訪問中は許可された従業員または請負業者による継続的な付き添いが必要です。

イベントのログ記録。 Digital.aiのネットワークとシステムは、システム エラーとセキュリティ イベントがログに記録されるように構成されており、ログ ファイルはユーザーによる変更から保護されています。

システム構成。 Digital.ai 対象範囲内のすべてのシステムについて、最新のベースライン構成を開発、文書化し、維持します。ベースラインは毎年、またシステムのアップグレード、パッチ適用、その他の重要な変更があった場合には必要に応じてレビューおよび更新する必要があります。ロールバックをサポートするために、以前の構成は保持する必要があります。情報システムまたは高度なセキュリティ制御を備えたコンピュータについては、最低限のベースライン構成を確立する必要があります。