金融サービス補足条項
DORA(デジタル・オペレーショナル・レジリエンス法)は、銀行、保険会社、投資会社などの金融機関のITセキュリティ強化を目的としたEU規制です。DORAは、EU全体の金融セクターの規則を調和させ、深刻な業務中断が発生した場合でも金融セクターがレジリエンスを維持できるようにすることを目的としています。DORAの対象となる規制対象事業体へのICTサービスプロバイダーとして、当社は金融サービス補足契約(FSA)を通じて、お客様が調達する非クリティカルなICTサービスに関するDORA要件に対応する契約上のコミットメントを提供しています。
FSAのWord文書版をダウンロードできます こちら 顧客レビュー用。
この金融サービス補足条項(「FSA」または「補遺(以下「本契約」)は、 Digital.ai そして [_____________] ("Customer顧客と Digital.ai 総称して「当事者」といいます。
お客様はDORA(以下に定義)の対象となるため、 Digital.ai サービスは DORA で定義される「ICT サービス」を構成するものであり、当事者は、本契約には本補足条項に定める特定の規定が含まれていなければならないことに同意します。
本契約に規定された相互の義務を考慮して、両当事者はそれぞれ合理的かつ誠実に行動し、以下の規定を遵守することに同意します。
1.HEADSPINとは
本契約において別途定義されていない限り、大文字で表記された用語はすべて、本契約において定義されている意味と同一の意味を有します。加えて、以下の定義が適用されます。
「契約「」とは、 Digital.ai およびそれに関連する顧客 Digital.ai マスターサブスクリプション契約(以下「MSA」)などのサービス(以下に定義)を顧客に提供します。これには、サービスに適用される、当該契約に基づくすべての注文(直接または認定パートナー経由)が含まれます。本DPAは、この参照により当該契約に組み込まれます。
「Digital.ai" 手段 Digital.ai ソフトウェア株式会社、または該当する Digital.ai 本契約の当事者となる団体。
「DORA「」とは、金融セクターのデジタル運用レジリエンスに関する2022年12月14日の欧州議会および理事会の規則(EU)2022/2554、ならびに規則(EC)No1060/2009、(EU)No648/2012、(EU)No600/2014、(EU)No909/2014および(EU)2016/1011の改正を意味します。
「DPA「」とは、顧客とデータ処理またはデータ保護に関する補足契約(該当する場合)を意味します。 Digital.ai 個人データの処理を管理する Digital.ai 顧客に代わって、本契約の一部を構成します。
「顧客データ「」とは、本補足契約の目的上、顧客が Digital.ai または、サービスにアクセスして使用する過程でアクセスを許可したすべての顧客機密情報、および顧客の業務、顧客、従業員、契約当事者、その他の人物に関する情報(個人データを含む)が含まれます。 Digital.ai サービスの提供に関連して顧客から受け取ったりアクセスしたりします。
「ICT関連インシデント」 顧客が計画していない、サービスに直接関連し、ネットワークおよび情報システムのセキュリティを侵害し、顧客データの可用性、真正性、完全性、機密性、または顧客が提供するサービスに重大な悪影響を及ぼす単一のイベントまたは一連の関連するイベントを意味します。
「個人データ「データ保護法に基づいて保護されている、特定された、または特定可能な自然人に関する顧客データを意味します。」データ保護法「」とは、本契約に基づく個人データの処理に関して、個人の基本的権利および自由、ならびにプライバシー権を保護するために適用される地方、州、連邦、または国際法、規制、または条約を意味し、かかる法律で定義される場合があり、欧州地域法、2020 年カリフォルニア州プライバシー権法によって改正された 2018 年カリフォルニア州消費者保護法 (「CCPA」)、およびそれらの後続の補足、修正、または置き換えが含まれます。
「Services」とは、クラウドサービス(サービスとしてのソフトウェア(「SaaSの(「ホスティングサービス」および/または管理サービス)、お客様がライセンスを取得したソフトウェアおよび/またはクラウドサービスに関連するメンテナンスおよびサポートサービス、および/または当社が提供するプロフェッショナルサービス Digital.ai 本契約に基づき顧客に提供され、その目的のため Digital.ai DORAに基づく顧客のICTプロバイダーです。本補足契約における「サービス」または「ICTサービス」とは、DORAに基づくICTサービスを構成するサービス(本補足契約では「サービス」または「ICTサービス」と交互に表記)を指します。
「ICTサービス「」とは、DORA で定義されている意味を持ちます。
「サービスレベル」とは、お客様に提供されるサービスに適用される範囲において、合意されたサービスレベルが本契約に定められていることを意味します。疑義を回避するため、サポートおよび/またはSaaSオファリングに適用されるサービスレベルは、以下のウェブサイトで公開されます。 https://digital.ai/support/support-and-maintenance/ .
「監督当局」または「レギュレーター「顧客および/または顧客に対して監視または監督権を持つ欧州金融サービス規制当局または国の管轄当局を意味します。 Digital.ai DORA 規制に基づく顧客への ICT サービスのプロバイダーとして。
「下請業者」とは、 Digital.ai 本サービスに関連して、(i)本サービスの提供に関連する業務を実行および処理し、および/または(ii)本契約に従ってICTサービスに関連して顧客データを保存または処理する(「サブプロセッサー」とも呼ばれます)。
2. 一般的な義務
a. サービスの説明サービスは本契約および該当するドキュメントに記載されているとおりです。
b. サービスレベル本契約に基づき顧客に提供されるサービスに適用される範囲において、 Digital.ai 当該サービスは、サービスレベルに従って提供されるものとします。合意されたサービスレベルの更新および改訂は、有効とするために書面で記録され、両当事者の権限を有する代表者によって署名されなければなりません。
c. 協力. Digital.ai あらゆる事項において、監督当局(監督当局により任命された者を含む)に全面的に協力するものとする。
d. 届出義務顧客は通知するものとする Digital.ai 本補足契約に基づく両当事者の義務に影響を与えるDORAの変更について。 Digital.ai 顧客とは独立して、ICTサービスに関するDORAの変更を認識し、顧客がまだ認識していないと信じる理由がある場合、 Digital.ai 速やかにお客様に通知します。さらに、AIがDORAに定める重要なICTサードパーティサービスプロバイダーとして監督当局に指定された場合、 Digital.ai 当該指定を遅滞なく書面で顧客に通知するものとします。
e. 標準契約条項本補足契約の主題に関してDORAに基づく管轄当局または欧州連合機関によって標準契約条項が策定されている場合、お客様の要請に応じて、両当事者は誠意をもって当該標準契約条項(本契約に基づきお客様に提供されるICTサービスに適用されるもの)の組み込みについて交渉し合意し、本補足契約内の重複する条件を当該標準契約条項の対応する条件に置き換えるものとします。
f. 個人データの保護個人データを含むデータの保護に関する可用性、真正性、完全性、機密性に関する規定、および個人データへのアクセス、回復、返却を保証する条件は、本契約および適用されるDPAに記載されています。 Digital.ai および顧客。疑義を避けるために、 Digital.ai 顧客に代わって処理されるプロセスは、データ保護補足条項に定められたとおりに処理、転送、保管されます。 https://digital.ai/data-processing-addendum.
3. 情報セキュリティ
a. Digital.ai 顧客データを保護するために設計された情報セキュリティプログラム(関連するプロセス、対策、ツールを含む)を維持するものとします。 Digital.aiの所有および/または管理を制限し、その可用性、機密性、真正性、完全性を保証します。 Digital.aiの情報セキュリティ プログラムは、本契約で規定されている情報セキュリティ要件に準拠し、業界のベスト プラクティスに準拠するものとします。 Digital.ai 情報セキュリティポリシー、実装、実践のための参照標準としてISO 27001とNIST 800-53を使用しています。 Digital.ai 情報セキュリティポリシー、手順、技術基準の策定は、少なくとも年に1回実施されます。 Digital.aiのセキュリティプラクティスと認証は、 Digital.ai セキュリティとコンプライアンスに関するよくある質問.
b. Digital.ai お客様に提供されたサービスに関連するICT関連インシデントが発生した場合、当社はお客様に必要な支援を提供するものとします。別途インシデントサポートまたは報告手順がお客様と当社との間で合意されていない限り、 Digital.ai お客様は、サービスの継続性またはセキュリティに悪影響を及ぼす可能性のあるICT関連インシデントが発生した場合、 Digital.ai 遅滞なく、(i) ICT関連インシデントについて顧客に通知し、(ii) 顧客に合理的に要求された情報を提供する。 Digital.ai ICT関連インシデントに関して、お客様がそのインシデントにより危険にさらされているお客様の機能を保護する必要があること、および(iii)お客様に合理的に要求される情報を提供する。 Digital.ai ICT関連インシデントを処理した。ICT関連インシデントが顧客に起因する場合、 Digital.ai かかる支援に対して、時間と材料を基準として、本契約に定められた時間給および/または本契約に基づく注文書または作業範囲に従って合意された時間給で報酬を受ける権利を有する。
c. Digital.ai 顧客が顧客データにアクセスできるようにするものとする Digital.ai サービスに関連して保存、送信、またはその他の処理を行います。 Digital.ai トランスポート層セキュリティ(TLS)1.2または高度暗号化標準(AES)256を満たすかそれを超える暗号化方法を使用して、保存中および転送中のデータを暗号化します。顧客データは、倒産、解決、またはサービス停止が発生した場合に、標準的な読み取り可能な形式で回復され、顧客に返却されます。 Digital.aiの事業運営または本契約の終了。
4. デジタル運用のレジリエンスと セキュリティ意識向上トレーニング
a. Digital.ai 適用される規制に従い、従業員が継続的なITセキュリティ研修コースに参加できるようにしなければならない。必要に応じて、 Digital.ai 適切なセキュリティ意識向上プログラムおよびデジタル運用レジリエンストレーニング(例:NIST 800-53 Rev 4 条項 AT-2 または ISO 27002 条項 7.2.2、12.2.1、18.1.4 に準拠したプログラムおよび/またはトレーニング)に参加することを約束します。 Digital.ai 当該研修の内容に関する十分な情報を顧客に提供し、当該研修への参加の証拠を提示するものとする。顧客は、 Digital.ai 職員の参加 Digital.ai独自のまたは同等のICTセキュリティ意識向上プログラムとデジタル運用耐性トレーニングを義務付ける代わりに Digital.ai 以下の(b)項に従って、顧客のICTセキュリティ意識向上トレーニングに参加する担当者。
b. 適切な場合には、 Digital.ai顧客へのサービス提供に直接関与する当社の担当者は、顧客の関連するセキュリティ意識向上プログラムおよびデジタル運用レジリエンス研修に参加することができます。この場合、参加条件は以下のとおりです。 Digital.ai当該プログラムにおける当社の人員については、顧客と当社との間で事前に合意されるものとする。 Digital.ai. Digital.ai 顧客が関連する参加者を特定できるよう合理的に支援するものとする。 Digital.ai顧客データにアクセスし、処理する権限と能力に基づいて、特定のプログラムやトレーニングに参加する必要がある の担当者を決定します。 Digital.ai DORA第13.6条に従い、顧客のICTセキュリティ意識向上プログラムおよびデジタル運用レジリエンストレーニングに参加するために発生する直接的、不可避的、合理的かつ実証済みの追加費用に対する補償を受ける権利を有します。
5. 認定拠点および下請業者
a. 本契約または該当する注文書に別段の定めがない限り、 Digital.ai 当社は、以下の場所から顧客にICTサービス(下請け機能を含む)を提供したり、顧客データを以下の場所で処理/保管したりすることがあります。
米国、カナダ、英国、オランダ、ドイツ、フランス、スペイン、リトアニア、イスラエル、インド、日本、オーストラリア、シンガポール、スイス、アイルランド、インドネシア。
b. Digital.ai 事前に書面で顧客に通知し、遅滞なく通知するものとする。 Digital.ai またはその下請業者は、本条に従って ICT サービスの提供および/または顧客データの処理または保管に関して前述のいずれかの場所を変更することがあります。
i. 顧客データの処理場所は、 デジタル.ai DPA または Digital.aiさん データ保護に関するよくある質問この FSA の別紙 1 に加えて、 Digital.ai 処理場所の追加または交換を予定している場合は、本契約に定められた手順に従い、顧客に通知するものとする。 Digital.ai 個人情報保護方針
ii. に関して Digital.aiICTサービスに関連するデータセンター機能を含むICTサービスの提供、 Digital.ai サービス拠点の最新リストは以下からご覧いただけます。 https://digital.ai/why-digital-ai/global-footprint. Digital.ai 当社は、かかるデータセンターの場所への追加または置換を予定している場合は、かかる変更が有効になる前に、この公開されているグローバル フットプリントの Web サイトを更新して顧客に通知するものとします。
c. 顧客は Digital.ai この補遺に従って下請業者を雇用すること。ただし、 Digital.ai 当該下請業者と、本補足契約および本契約に含まれるものと同等以上の機密性、データ保護およびセキュリティに関する条項を含む書面による契約を締結するものとします。aiは、下請業者の行為および不作為に対して、自らが行った場合と同程度に責任を負うものとします。 Digital.ai.
d. 当社が利用する下請業者および下請処理業者のリスト Digital.ai ICTサービスに関連する機能を提供する目的は別紙1に記載されています。
6. 解約
本契約に規定されている解約権に加えて、お客様は以下の場合に本契約または該当する注文書の全部または一部を解約することができます。
(a) Digital.ai 適用される法律、規制、または本補足条項に重大な違反がある場合;
(b)ICTサードパーティリスクの監視を通じて、顧客の合理的な判断で、サービス機能のパフォーマンスに重大な悪影響を与える可能性がある状況が特定された場合 Digital.ai 契約、取り決め、または状況に影響を与える重要な変更を含む明示的な保証を提供します。 Digital.ai;
(c) Digital.ai 顧客の機密情報の可用性、真正性、完全性、機密性を確保する方法に悪影響を及ぼす可能性のある、全体的なICTリスク管理に関する重大な弱点が明らかになった場合、または
(d)監督当局が顧客を効果的に監督できなくなった場合など、監督当局が解約の指示を出した場合。ただし、(1)前述の解約権は本補足契約の対象となるサービスに限定され、(2)顧客は違反の性質と根拠を記載した書面による通知を顧客に提出しなければならない。 Digital.ai の三脚と Digital.ai お客様からの違反通知を受領してから 30 日以内に違反を是正しなかった場合。
顧客は支払う Digital.ai 終了の発効日までのサービスに対して未払いの金額はすべて、当該終了と同時に支払期限が到来するものとし、前払い金額(該当する場合)の一部は返金されないものとします。
7。 監査
a. 合理的な要求に応じて、お客様は、以下のウェブサイトから入手可能な関連する監査報告書および/または証明書(SOC 2タイプ2など)を確認することができます。 Digital.ai 本補足条項の遵守を確認するためにサービスに適用され、 Digital.aiの技術的および組織的対策。お客様は、セキュリティに関するアンケートを提出する権利を有します。 Digital.ai 顧客によるレビュー後に、特定されたギャップや未解決の質問が存在する場合、 Digital.aiのドキュメント。
b. ICTサービスが顧客によって重要または重要な機能をサポートするとみなされ、顧客またはその監督当局のいずれかが規制要件を満たすためにサービスの監査を要求した場合、 Digital.ai 顧客および/または監督当局が、双方が合意した日時に通常の営業時間内に監査を実施することを許可するものとする。 Digital.ai 顧客および/または当該監督当局。計画された監査または現地訪問の前に、顧客は合理的な通知(少なくとも30日前)を当該監督当局に提供するものとする。 Digital.ai、ならびに当該監査の範囲および期間に関する詳細を記載する。顧客は以下を提供するものとする。 Digital.ai 最終監査報告書のコピーを(適用法で禁止されていない限り)受け取り、その報告書を評価の目的にのみ使用するものとする。 Digital.ai本契約、本補足契約および適用法令の条項の遵守状況。関連する監督当局または適用法令により別段の定めがない限り、監査の回数は年間1回を超えないものとします。
c. 顧客は、顧客に代わって監査を実施するために独立した第三者を利用することができるが、その第三者は少なくとも本契約に規定されているものと同程度の厳格な守秘義務を負い、当該第三者監査人は適切な守秘義務契約を締結する必要がある。 Digital.aiお客様は、当社の競合相手である独立した第三者を利用しないものとします。 Digital.ai 監査を実施するため。お客様は、検査を実施するすべての担当者(お客様の社内担当者または社外担当者を問いません)が、関連する監査および/または評価を効果的に実施するための適切かつ関連するスキルと知識を有していることを確認する必要があります。お客様は、監査実施時の監査人の行為および不作為について責任を負います。
d. 顧客の監督当局によって監査が要請され、実施される場合、適用法で要求される範囲において、 Digital.ai お客様は、監督当局が任命した者を含む監督当局に対し、お客様に提供されるサービスに関する要求された情報について、お客様が関連情報にアクセスできない限り、合理的に協力するものとします。お客様は、監督当局による顧客データに関する要求に直接応じるものとし、そのような事項を監督当局に照会することで、そのような要求を回避しないものとします。 Digital.ai.
e. 提供された情報または入手した情報 Digital.ai この第7条に従って、 Digital.ai また、本契約に定められた守秘義務の対象となります。監査または検査は、進行中の業務に影響を与えない方法で実施されます。 safe検査対象の施設、ネットワーク、システムの信頼性、セキュリティ、機密性、完全性、可用性、継続性、回復力を損なうことはなく、また、そこで処理されるデータを公開したり危険にさらしたりすることもありません。
f. 第7条に従って検査および監査の実施に関連してaiが負担した費用は、支払われる報酬に加算されるものとする。 Digital.ai.
8. 事業継続
Digital.ai お客様は、本契約が終了した場合であっても、監督当局から事業を継続できることを保証するよう求められる場合があることを認めます。したがって、 Digital.ai お客様は以下のとおり同意します。
a. 顧客に提供されるICTサービスに関しては、 Digital.ai 適切な事業継続計画、ICT事業継続計画、対応・復旧計画を実施し、維持するものとする。
b. Digital.ai 事業継続計画、ICT事業継続計画、対応および復旧計画を定期的に(少なくとも年に1回)、またICTシステムの効率性と適切性に関する重大な変更があった場合にも見直し、テストし、更新し、重大な欠陥や不備を排除するものとする。 safe特定された問題については、遅滞なく対応いたします。お客様の合理的な要求に応じて、 Digital.ai ICTサービスに関連する範囲で、かかるテストの状況および結果を、該当する場合は重大な欠陥や問題を含め、書面で顧客に通知するものとする。 safe特定された問題とその是正措置の説明。
c. 顧客に提供されるICTサービスに適用される範囲において、 Digital.ai お客様のICT事業継続管理のテストをサポートし、参加するものとします。 Digital.ai テスト結果の分析および必要な修復措置の実施において顧客をサポートするものとします。
9。 雑多
a. 終了本補足契約は、本契約の終了または満了と同時に終了するものとします。
b. その他この補足条項に含まれるセクションの見出しは参考目的のみであり、この補足条項の意味または解釈にいかなる影響も及ぼさないものとします。 Digital.ai 本補足書類に関する本補足書類の最終目的は、影響を受ける ICT サービスについて、本補足書類および該当する契約または注文を終了することです。本補足書類の目的上、本補足書類における当事者の権利および義務は、契約における当事者の権利および義務に追加されるものであり、これらに代わるものではありません。ただし、本条項は、契約内の矛盾する条項に優先します。本補足書類によって修正されない限り、契約は完全に効力を維持します。本補足書類と契約の間に矛盾または不一致がある場合、矛盾または不一致が本補足書類の主題に関連する範囲で、本補足書類が優先するものとします。適用法によって別途義務付けられている場合を除き、本補足書類は、契約の準拠法および管轄条項に準拠し、それに従って解釈されます。
展示物1
下請業者リスト
Digital.ai 以下の会社が提供業務に関与する場合があります Digital.aiICT サービスを含む当社の製品および/またはサービスを顧客に提供します。
| サブプロセッサ | サービス内容 | 職場住所 | データの保存および処理の場所 |
|---|---|---|---|
| Amazon Webサービス(AWS) | クラウド インフラストラクチャ サービス プロバイダー | 410 テリーアベニューノース、シアトル、ワシントン州 98109-5210、アメリカ合衆国 | アメリカ、ドイツ、イギリス、カナダ、アイルランド、インドネシア |
| Pendo.io株式会社 | クラウドベースのソフトウェアサポートと分析 | 301 ヒルズボロ ストリート、ローリー、ノースカロライナ州、アメリカ合衆国 | USA |
| のZendesk | 顧客サービスソフトウェアの使用目的 Digital.ai サポートインフラストラクチャ | 999 Market Street, San Francisco, CA 94103, USA | アメリカ、ドイツ |
| Sumo Logic株式会社 | クラウドベースのソフトウェアセキュリティとログ分析 | 305 メインストリート、レッドウッドシティ、カリフォルニア州 94063、アメリカ合衆国 | アメリカ、アイルランド |
| スノーフレーク | データベース・アズ・ア・サービス・プロバイダー | 106 E. バブコック ストリート、スイート 3A、ボーズマン、MT 59715 | USA |
| メイヴンAGI株式会社 | 顧客サポートコンテンツサービスとサポートチケット分析 | ダートマス通り131番地、3rd フロア、ボストン、マサチューセッツ州 02116、米国 | USA |
| 下請業者 | サービス内容 | 職場住所 | コロケーションデータセンターの場所 |
| エクイニクス株式会社* | データセンタープロバイダー Digital.ai Continuous Testing ソリューション | ワン・ラグーン・ドライブ、レッドウッドシティ、カリフォルニア州 94065、アメリカ合衆国 | アメリカ、ドイツ、カナダ、シンガポール |
| セントリロジック* | データセンタープロバイダー Digital.ai Continuous Testing ソリューション | 2 Robert Speck Pkwy #500、ミシサガ、ON L4Z 1H8、カナダ | イギリス、オーストラリア |
| コアサイト* | データセンタープロバイダー Digital.ai Continuous Testing ソリューション | 1001 17th St, Suite 500, デンバー, CO 80202, アメリカ合衆国 | USA |
| デジタルリアリティ* | データセンタープロバイダー Digital.ai Continuous Testing ソリューション | 5707 Southwest Parkway、Building 1、Suite 275、Austin、TX 78735、アメリカ合衆国 | スイス・モントルー店 |
*ご購入のお客様のみ対象 Digital.aiさん Continuous Testing ソフトウェア。これらの下請け業者はコロケーションデータセンターであり、 Digital.ai ソフトウェア/ハードウェアの運用および保守は下請業者が行います。そのため、顧客データは下請業者によって処理されません。
