金融服務附錄
《數位營運韌性法案》(DORA) 是歐盟的一項法規,旨在加強銀行、保險公司和投資公司等金融機構的IT安全。 DORA 統一了歐盟金融業的規則,旨在確保金融業在遭遇嚴重營運中斷時仍能維持韌性。作為一家為受 DORA 監管的機構提供資訊通信技術服務的供應商,我們的《金融服務附加條款》(FSA) 提供合約承諾,以滿足客戶採購的非關鍵資訊通訊技術服務在 DORA 方面的要求。
可下載FSA的Word文件版本。 此處 供客戶審核。
本金融服務附錄(“FSA“或”補遺”)是本協議(定義見下文)的補充。 Digital.ai 和 [_____________] (”客戶)。客戶和 Digital.ai 統稱為「各方」或「雙方」。
由於客戶受《資料保護條例》(定義見下文)約束,並且在一定程度上, Digital.ai 服務構成 DORA 中定義的“ICT 服務”,雙方同意本協議必須包含本附件中規定的某些條款。
鑑於雙方在此所列的相互義務,雙方同意遵守下列規定,各自以合理和誠信的方式行事。
1.定義
除非本協議另有定義,所有大寫術語均具有與協議中相同的含義。此外,以下定義適用:
“協議「指雙方之間所有現有與未來的協議 Digital.ai 以及與此相關的客戶 Digital.ai 向客戶提供服務(定義見下文),例如主訂閱協議(「MSA」),包括所有根據該協議(直接或透過授權合作夥伴)適用於該等服務的訂單。本資料處理協定透過此引用併入該等協定。
“Digital.ai“ 方法 Digital.ai 軟體公司或適用的 Digital.ai 本協議的當事方實體。
“多拉「指歐洲議會和理事會 2022 年 12 月 14 日關於金融部門數位營運韌性的 (EU) 2022/2554 號條例,該條例修訂了 (EC) No 1060/2009、(EU) No 648/2012、(EU) No 600/2014,(EU) No 648/2012、(EU) No 600/2014,(201909(2019909(EU) 2016/1011 號條例。
“DPA“指客戶與[供應商名稱]之間適用的資料處理或資料保護附錄” Digital.ai 管理個人資料處理 Digital.ai 代表客戶,這是協議的一部分。
“客戶數據就本補充協議而言,“指客戶向其提供的任何資訊” Digital.ai 或在存取和使用服務的過程中以其他方式獲得授權,包括所有客戶機密資訊以及與客戶營運、客戶、員工、合約方和其他人員相關的任何信息,包括個人資料。 Digital.ai 從客戶接收或在提供服務過程中有權存取的資訊。
“資訊通信技術相關事件” 指客戶未規劃的、與服務直接相關的單一事件或一系列關聯事件,這些事件會損害網路和資訊系統的安全,並對客戶資料的可用性、真實性、完整性或機密性,或客戶提供的服務產生不利的重大影響。
“個人資料「客戶資料」指與已識別或可識別的自然人相關的任何客戶數據,且該等數據受資料保護法律保護。數據保護法「指適用於保護個人基本權利和自由以及其在本協議項下處理個人資料方面的隱私權的地方、州、聯邦或國際法律、法規或條約,如該等法律所定義,包括歐洲區域法律、經 2020 年加州隱私權法案(「CCPA」)修訂的 2018 年加州消費者保護法案,以及該法案的任何後續補充、修訂或替代修訂。
“服務範圍」是指提供雲端服務(例如軟體即服務)SaaS的」)和/或託管或管理服務),與客戶許可的軟體和/或雲端服務相關的維護和支援服務,和/或由…提供的專業服務 Digital.ai 根據本協議向客戶提供,且用於該等目的 Digital.ai 是客戶根據《資料保護條例》(DORA) 提供的 ICT 服務提供者。本附件中提及的「服務」或「ICT 服務」是指根據《資料保護條例》(DORA) 構成 ICT 服務的服務(在本附件中可互換地稱為「服務」或「ICT 服務」)。
“ICT服務」具有DORA定義的意思。
服務水準「服務等級」是指在適用於提供給客戶的服務的範圍內,協議中規定的約定服務等級。為避免疑義,適用於支援和/或 SaaS 產品的服務等級可在以下網址取得: https://digital.ai/support/support-and-maintenance/ .
“監管機構“或”調節器「指對客戶和/或對…擁有監控或監管權的任何歐洲金融服務監管機構或國家主管機構 Digital.ai 作為根據 DORA 法規向客戶提供 ICT 服務的提供者。
“分包商「指由第三方聘請的 Digital.ai 與服務相關的,(i) 執行和處理與服務交付相關的操作,和/或 (ii) 根據本協議儲存或處理與資訊通訊技術服務相關的客戶資料(也稱為「子處理者」)。
2. 一般義務
a. 服務說明服務內容以協議及相關文件中所述為準。
b. 服務水平在本協議下向客戶提供的服務適用範圍內, Digital.ai 應按照服務等級協定提供此類服務。已約定服務等級的任何更新和修訂均須以書面形式記錄,並由雙方授權代表簽署方可生效。
c. 合作. Digital.ai 在所有事項上,應與監管機構(包括其任命的人員)充分合作。
d. 通知義務客戶應通知 Digital.ai 如果《DORA》的任何變更影響到各方在本附件項下的義務,則應予以考慮。 Digital.ai 如果 DORA 在客戶不知情的情況下獲悉有關 ICT 服務的任何變更,並且有理由相信客戶尚未知曉, Digital.ai 將及時通知客戶。此外,如果 ai 被監管機構指定為 DORA 規定的關鍵 ICT 第三方服務提供者, Digital.ai 該指定應立即以書面形式通知客戶。
e. 標準合約條款如果主管機關或歐盟機構根據《資料保護條例》(DORA) 就本附件的主題事項制定了任何標準合約條款,則在客戶要求的情況下,雙方應真誠地協商並同意將該等標準合約條款納入本附件(適用於根據本協議向客戶提供的 ICT 服務),並將本附件中任何重疊的條款和條件替換為標準合約條款的相應條款和條件。
f. 保護個人資料關於資料(包括個人資料)保護的可用性、真實性、完整性和保密性規定,以及確保個人資料存取、恢復和返還的條款,均在雙方之間的協議和適用的資料處理協議中予以規定。 Digital.ai 以及客戶。為避免歧義,個人資料是指 Digital.ai 代表客戶進行的處理、傳輸和儲存均按照位於以下地址的資料保護附錄中的規定進行: https://digital.ai/data-processing-addendum.
3. 資訊安全
a. Digital.ai 應維護資訊安全計畫(包括相關流程、措施和工具),旨在保護客戶資料。 Digital.ai擁有和/或控制權,並確保其可用性、保密性、真實性和完整性。 Digital.ai的資訊安全計畫應符合協議中規定的任何資訊安全要求,並與業界最佳實務保持一致。 Digital.ai 本公司採用 ISO 27001 和 NIST 800-53 作為資訊安全策略、實施和實務的參考標準。所有審查 Digital.ai 資訊安全政策、程序和技術標準至少每年進行一次審查。更多資訊請參閱相關說明。 Digital.ai的安全實務和認證資訊可透過以下方式取得: Digital.ai 安全與合規常見問題解答.
b. Digital.ai 當發生與提供給客戶的服務相關的ICT事件時,應提供客戶必要的協助。除非雙方另有約定,否則不應適用其他事件支援或通報程序。 Digital.ai 若發生可能對服務的連續性或安全性產生負面影響的ICT相關事件,則客戶應承擔相應責任。 Digital.ai 將在不無故拖延的情況下:(i) 通知客戶有關資訊通信技術相關事件;(ii) 向客戶提供客戶合理要求的信息 Digital.ai (三)就客戶需要保護的因資訊通信技術相關事件而面臨風險的客戶功能而言,提供客戶合理要求的有關如何應對的信息 Digital.ai 處理了與資訊通信技術相關的事件。如果資訊通信技術相關事件是由客戶造成的, Digital.ai 有權按時間和材料成本以及協議中規定的小時費率和/或根據協議項下的訂單或工作範圍約定的費率獲得此類協助的補償。
c. Digital.ai 應確保客戶能夠存取客戶數據 Digital.ai 儲存、傳輸或以其他方式處理與服務相關的內容。 Digital.ai 使用符合或高於傳輸層安全協定 (TLS) 1.2 或進階加密標準 (AES) 256 的加密方法,對靜態資料和傳輸中的資料進行加密。在破產、清算或終止營運的情況下,客戶資料可以恢復並以標準可讀格式返還給客戶。 Digital.ai的業務運營或協議終止。
4.數位化營運韌性與 安全意識培訓
a. Digital.ai 應確保其員工依照適用的法規參加持續的IT安全培訓課程。必要時, Digital.ai 承諾參加適當的安全意識計畫和數位營運彈性培訓(例如:符合 NIST 800-53 Rev 4 AT-2 條款或 ISO 27002 7.2.2、12.2.1、18.1.4 條款的計畫和/或培訓)。 Digital.ai 將向客戶提供有關此類培訓內容的充分信息,並提供參與此類培訓的證據。客戶將接受以下證據: Digital.ai 其人員參與 Digital.ai以自身或其他同等的ICT安全意識計劃和數位運營彈性培訓代替要求 Digital.ai 根據下文(b)款規定,人員將參加客戶的ICT安全意識培訓。
b. 在適當情況下, Digital.ai直接參與向客戶提供服務的員工可以參加客戶相關的安全意識培訓和數位化營運韌性培訓。在這種情況下,參與條件為: Digital.ai此類專案中的人員配備應事先由客戶與本公司協商決定。 Digital.ai. Digital.ai 應合理協助客戶辨識相關參與者 Digital.ai根據員工的權限和存取及處理客戶資料的能力,決定哪些員工應該參加某些專案和/或培訓。 Digital.ai 根據 DORA 第 13.6 條,參與客戶的 ICT 安全意識計劃和數位營運彈性培訓所產生的直接、不可避免的、合理的和已證實的額外費用,應獲得補償。
5. 授權地點和分包商
a. 除非本協議或適用的訂單另有規定, Digital.ai 可能從以下地點向客戶提供資訊通訊技術服務(包括分包功能),和/或客戶資料可能在以下地點處理/儲存:
美國、加拿大、英國、荷蘭、德國、法國、西班牙、立陶宛、以色列、印度、日本、澳洲、新加坡、瑞士、愛爾蘭、印尼。
b. Digital.ai 若有以下情況,應事先以書面通知客戶,且不得無故拖延: Digital.ai 或其任何分包商依本節規定,更改上述任何地點以提供資訊通訊技術服務和/或處理或儲存客戶資料。
i. 客戶資料處理地點已在下列文件中指定: Digital.ai DPA 而在 Digital.ai“ 資料保護常見問題解答除本 FSA 附件 1 外。 Digital.ai 應依照本文件中規定的流程,將任何擬對加工地點進行的增加或更換通知客戶。 Digital.ai 資料保護署。
二、關於 Digital.ai提供資訊通信技術服務,包括與資訊通信技術服務相關的資料中心功能, Digital.ai 提供服務地點的最新列表,該列表可在以下網址取得: https://digital.ai/why-digital-ai/global-footprint. Digital.ai 如擬對資料中心位置進行任何新增或替換,應在變更生效前透過更新已發布的全球佈局網站通知客戶。
c. 客戶授權 Digital.ai 依本補充協議的規定聘用分包商,但前提是: Digital.ai 應與此類分包商簽訂書面協議,該協議應包含與保密、資料保護和安全相關的條款,其保護力度至少應與本附件和協議中的條款同等。 ai 應對任何分包商的行為和不作為承擔與自身行為相同的責任。 Digital.ai.
d. 所用分包商和分包加工商的名單 Digital.ai 與資訊通信技術服務相關的功能規定請參閱附件 1。
6。 終止
除本協議規定的終止權外,如果出現以下情況,客戶可以全部或部分終止本協議或適用的訂單:
(A) Digital.ai 嚴重違反適用法律、法規或本附件;
(b) 在資訊通訊科技第三方風險的監控過程中,已發現一些情況,客戶合理認為這些情況可能會對服務的功能履行產生重大不利影響,而這些服務的功能正是客戶所期望的。 Digital.ai 提供明示保證,包括影響協議、安排或情況的重大變更。 Digital.ai;
(C) Digital.ai 已證明其整體資訊通信技術風險管理存在重大缺陷,可能對其確保客戶機密資訊的可用性、真實性、完整性和保密性的方式產生不利影響;或
(d) 監管機構發出終止指令,例如,當監管機構無法再有效監管客戶時;但前提是,(1) 上述終止權僅限於本附件所涵蓋的服務,並且 (2) 客戶必須向監管機構發出書面通知,說明違約的性質和依據。 Digital.ai 以及 Digital.ai 在收到客戶的違約通知後 30 天內,未能糾正違約行為。
客戶應支付 Digital.ai 截至終止生效日期,所有應付的服務款項將立即到期,且任何預付款項(如有)均不予退還。
7。 審計
a. 經合理要求,客戶可以查閱相關稽核報告和/或認證(例如 SOC 2 Type 2)。 Digital.ai 並適用於服務,以驗證是否遵守本附錄和/或 Digital.ai技術和組織措施。客戶有權利向…提交安全問卷。 Digital.ai 如果在客戶審核後發現任何差距或未解決的問題, Digital.ai的文檔。
b. 如果客戶認為資訊通信技術服務支援關鍵或重要功能,且客戶或其監管機構要求對服務進行審計以滿足監管要求, Digital.ai 應允許客戶和/或相關監管機構在雙方同意的日期和時間,於正常工作時間內進行此類審計。 Digital.ai 以及客戶和/或相關監管機構。在計劃進行審計或現場檢查之前,客戶應提前至少 30 天向相關機構發出合理通知。 Digital.ai以及有關此類審計的範圍和持續時間的詳細資訊。客戶應提供 Digital.ai 並附上任何最終審計報告的副本(除非適用法律禁止),且該報告僅用於評估目的。 Digital.ai遵守本協議、本附件及任何適用法律的條款。除非相關監管機構或適用法律另有規定,審計次數每年不得超過一次。
c. 客戶可委託獨立的第三方代表客戶進行此類審計,但前提是該第三方須承擔至少與本協議規定的保密義務同等嚴格的保密義務,並且該第三方審計師須與客戶簽署適當的保密協議。 Digital.ai客戶不得使用與本公司有競爭關係的獨立第三方。 Digital.ai 執行審核工作。客戶必須確保執行審核的任何人員(無論其為客戶內部人員或外部人員)都具備適當且相關的技能和知識,能夠有效地執行相關的審核和/或評估。客戶應對其審核員在執行審核過程中的行為和疏忽承擔責任。
d. 如果客戶監管機構要求並執行審計,且在適用法律要求的範圍內, Digital.ai 客戶應合理配合監管機構(包括其指定的人員)獲取其要求的有關向客戶提供的服務的信息,前提是客戶無法通過其他途徑獲取相關信息。客戶應直接回應監管機構提出的客戶資料請求,不得透過將此類事項轉介給第三方來規避此類請求。 Digital.ai.
e. 由以下人員提供或獲得的任何信息 Digital.ai 依本第7條規定,應視為保密資訊。 Digital.ai 並受本協議規定的保密義務約束。任何審計或檢查都將以不影響正在進行的工作的方式進行。 safe不得損害被檢查設施、網路和系統的完整性、安全性、保密性、完整性、可用性、連續性和彈性,也不得以其他方式暴露或損害其中處理的任何資料。
f. 依第7條規定,ai因執行任何檢查和審計而產生的費用應計入應付給ai的報酬中。 Digital.ai.
8. 業務連續性
Digital.ai 知悉客戶可能被其監管機構要求確保在協議終止的情況下,客戶仍能繼續開展業務。因此, Digital.ai 客戶同意如下:
a. 關於提供給客戶的資訊通信技術服務, Digital.ai 應實施並維護充分的業務連續性計劃、資訊通信技術業務連續性計劃以及回應和恢復計劃。
b. Digital.ai 應定期(至少每年一次)審查、測試和更新其業務連續性計劃、資訊通信技術業務連續性計劃以及響應和恢復計劃,並在資訊通信技術系統的效率和適用性發生任何實質性變化時,也應進行審查、測試和更新,並消除任何重大差距。 safe及時發現並解決已發現的問題。根據客戶的合理要求, Digital.ai 應以書面形式告知客戶與資訊通信技術服務相關的此類測試的狀態和結果,包括(如適用)任何重大差距或缺陷。 safe已發現的問題及相應的糾正措施。
c. 在適用於提供給客戶的資訊通信技術服務的範圍內, Digital.ai 應支援並參與客戶對其 ICT 業務連續性管理的測試。 Digital.ai 應協助客戶分析測試結果並實施必要的補救措施。
9. 雜項
a. 終止本補充協議將在本協議終止或到期時終止。
b. 其他本附件中的章節標題僅供參考,不應以任何方式影響本附件的含義或解釋。客戶對任何違約行為的唯一且排他的補救措施是: Digital.ai 就本附件而言,終止本附件以及受影響的ICT服務的適用協議或訂單是必要的。就本附件而言,各方在本附件中的權利和義務是對各方在原協議中的權利和義務的補充,而非替代,但本附件中的條款優先於原協議中任何與之衝突的條款。除本附件另有規定外,原協議將繼續完全有效。若本附件與原協議之間存在任何衝突或不一致之處,則以本附件為準,但僅限於與本附件標的物相關的部分。除適用法律另有規定外,本附件應受原協議中關於管轄法律和管轄權的條款的約束並依其解釋。
展覽1
分包商名單
Digital.ai 可能涉及以下公司參與提供服務 Digital.ai向客戶提供公司的產品和/或服務,包括資訊通信技術服務。
| 分包商 | 服務描述 | 公司地址 | 資料儲存和處理地點 |
|---|---|---|---|
| 亞馬遜網絡服務(AWS) | 雲端基礎設施服務供應商 | 美國華盛頓州西雅圖市北特里大道410號,郵編:98109-5210 | 美國、德國、英國、加拿大、愛爾蘭、印度尼西亞 |
| Pendo.io公司 | 基於雲端的軟體支援和分析 | 美國北卡羅來納州羅利市希爾斯伯勒街301號 | 美國 |
| 的Zendesk | 用於客戶服務的軟體 Digital.ai 支援基礎設施 | 美國加州舊金山市場街999號,郵編94103 | 美國、德國 |
| Sumo Logic公司 | 基於雲端的軟體安全和日誌分析 | 美國加州雷德伍德城主街305號,郵編:94063 | 美國、愛爾蘭 |
| 雪花 | 資料庫即服務提供者 | 蒙大拿州博茲曼市東巴布科克街106號3A室,郵編:59715 | 美國 |
| Maven AGI公司 | 客戶支援內容服務與支援工單分析 | 達特茅斯街131號,3rd 美國麻薩諸塞州波士頓,郵編 02116,Floor | 美國 |
| 分包商 | 服務描述 | 公司地址 | 託管資料中心所在地 |
| Equinix公司* | 資料中心提供者 Digital.ai Continuous Testing 解決方案 | 美國加州雷德伍德城潟湖大道1號,郵編94065 | 美國、德國、加拿大、新加坡 |
| Centrilogic* | 資料中心提供者 Digital.ai Continuous Testing 解決方案 | 加拿大安大略省密西沙加市羅伯特‧斯佩克大道2號500室,郵編:L4Z 1H8 | 英國、澳大利亞 |
| 核心站點* | 資料中心提供者 Digital.ai Continuous Testing 解決方案 | 美國科羅拉多州丹佛市第17街1001號500室,郵編80202 | 美國 |
| 數位房地產* | 資料中心提供者 Digital.ai Continuous Testing 解決方案 | 美國德州奧斯汀市西南大道5707號1號樓275室,郵編78735 | 瑞士 |
*僅適用於購買商品的顧客 Digital.ai“ Continuous Testing 軟體.這些分包商是託管資料中心,由此 Digital.ai 負責運作和維護軟體/硬體。因此,分包商不處理任何客戶資料。
