Illustration 1

OpenMethods

Conditions de service

 

Les présentes Conditions de service (ce « Accord ») sont un contrat exécutoire et régissent l’utilisation et l’accès aux Services par Vous (l’« Abonné » identifié sur le CDC Zendesk auquel le présent Accord est joint), vos agents et les utilisateurs finaux dans d’un Abonnement aux Services.

 

Lors de la signature du CDC Zendesk auquel est joint le présent Accord, Vous acceptez d’être lié par cet Accord à la date à partir de la date à laquelle le Service a été créé ou utilisé (la « Date d’entrée en vigueur »). Si Vous passez cet Accord au nom d’une entreprise, d’une organisation ou d’une autre entité juridique (une « Entité »), Vous acceptez cet Accord pour cette Entité et indiquez à OpenMethods que Vous avez le pouvoir de lier cette Entité et ses Filiales. du présent Accord, auquel cas les termes « Abonné », « Vous », « Votre » ou « Client » font référence ici à une telle Entité et ses Filiales. Si Vous n’avez pas ce pouvoir ou si Vous n’acceptez pas le présent contrat, vous ne devez pas utiliser ou autoriser l’utilisation des Services.  L’Abonné et OpenMethods sont tous deux des « Parties » et collectivement les « Parties » aux fins du présent Accord.

 

En cas d’incompatibilité ou de conflit entre les modalités du présent Accord et les modalités de tout CDC Zendesk, les modalités du CDC Zendesk prévaudront.

 

OpenMethods et Vous acceptez ce qui suit :

 

SERVICES.

 

1.  Utilisation des Services.  OpenMethods accorde au Client le droit d’accéder aux Services.

1.1.       Abonnement. Dès l’acceptation par OpenMethods d’un CDC Zendesk et sous réserve des conditions du présent contrat, OpenMethods accorde au Client un Abonnement non exclusif, non cessible, gratuit et limité dans le monde entier pour l’utilisation des Services uniquement pour les opérations commerciales du Client.  OpenMethods fournira ces Services sur le Web à partir de son environnement logiciel en tant que service (« SaaS ») basé sur le nuage ou de l’environnement SaaS basé dans le nuage de ses partenaires tiers autorisés (« Partenaires »).

1.2.       Le présent Accord envisage un ou plusieurs CDC Zendesk pour les Services et chaque CDC Zendesk décrit les Services commandés et les frais associés de façon plus détaillée.

1.3.       Les abonnements expirent à la fin de la période de commande applicable (définie ci-dessous) définie dans le CDC de Zendesk, jusqu’à ce qu’ils soient renouvelés.

1.4.       Les employés, agents et sous-traitants du Client (chacun un « Utilisateur final autorisé ») et les utilisateurs finaux du Client (chacun un « Utilisateur final ») peuvent utiliser les Services.  Chaque utilisateur final autorisé doit être inscrit avec un nom d’utilisateur et un mot de passe uniques. aucun Utilisateur final autorisé ne peut s’inscrire ou utiliser les Services en tant qu’utilisateur final autorisé, et les Utilisateurs finaux autorisés ne peuvent pas partager le même nom d’utilisateur et mot de passe. Le client est responsable de la conformité de chaque utilisateur final autorisé et de chaque utilisateur final à l’Accord.

1.5.       Le client peut commander des Services pour utilisation par ses Filiales et dans ce cas, l’abonnement accordé au client en vertu du présent Accord s’appliquera à de telles Filiales, étant entendu que seul le Client aura le droit d’appliquer cet Accord à OpenMethods.  Le client restera responsable de toutes les obligations en vertu de cet accord et de la conformité de ses affiliés avec cet accord et tout CDC Zendesk applicable.

1.6.       OpenMethods se réserve tous les droits non expressément accordés dans le présent contrat.  Aucun droit ne sera accordé ou implicite par renonciation ou estoppel.

1.7.       obligations Support les services.

Support. OpenMethods fournira, sans frais supplémentaires, assistance standard à l’Abonné pour les Services, comme détaillé dans le Site et la Documentation applicables. Si l’Abonné l’a acheté, OpenMethods fournira une assistance mise à niveau ou une assistance qui inclut des accords sur les niveaux de service.

1.8.   OpenMethods déclare et garantit que les Services atteindront un pourcentage de disponibilité mensuelle d’au moins 99,9 % pour chaque mois calendaire (c.-à-d. un maximum de quarante-trois (43) minutes d’indisponibilité par mois) pendant la Période de commande. Les temps de maintenance/indisponibilité planifiés seront limités à moins de quatre (4) heures par mois donné et OpenMethods fournira un préavis écrit d’au moins sept (7) jours (e-mail acceptable) au Client de cette indisponibilité.

1.9.   OpenMethods informera le Client au moins six (6) mois à l’avance de la fin de vie ou de l’abandon d’une fonction ou fonctionnalité.

 

2.  Responsabilités envers les clients. 

2.1.       Gestion des connexions.  En l’absence de texte Abonnement de OpenMethods stipulant expressément le contraire, Vous acceptez et reconnaissez que vous ne pouvez pas utiliser les services, y compris mais sans s’y limiter, l’API pour éviter l’exigence d’une connexion de l’agent individuelle pour chaque individu qui utilise les services pour interagir avec l’utilisateur final Utilisateurs ; (b) utiliser les données ayant trait à leurs interactions avec les Utilisateurs finaux dans le cadre des Services ; ou (c) utiliser des données ayant trait aux interactions provenant d’un Service Non OpenMethods qui fournit des fonctionnalités similaires aux fonctionnalités fournies par les Services et qui, en vertu du présent Accord, nécessiterait une Identifiant d’agent individuel, si vous utilisez les Services pour une telle interaction. En outre, le Client n’utilisera pas l’API ou les Services d’une telle façon pour contourner les restrictions applicables du Plan de Service ou les restrictions de licences d’Agent qui sont appliquées dans l’interface utilisateur du Service. OpenMethods se réserve le droit de Vous facturer, et Vous acceptez par les présentes de payer, pour toute utilisation excessive du Service en violation du Zendesk SOW.

2.2.       Conformité Comme convenu avec OpenMethods, vous êtes responsable de vous assurer du respect des dispositions du présent contrat par vos agents et utilisateurs finaux et de toutes les activités effectuées dans le cadre de votre compte, que OpenMethods peut vérifier de temps à autre. Sans limiter ce qui précède, Vous Vous assurerez que Votre utilisation des Services est conforme à toutes les lois et réglementations applicables, ainsi qu’à tous les avis de confidentialité, accords ou autres obligations que Vous pouvez maintenir ou accepter avec Vos Agents ou Vos Utilisateurs finaux.

2.3.       Contenu et conduitedans votre utilisation des Services Vous acceptez de ne pas (a) modifier, adapter ou modifier les Services ou d'essayer d'obtenir un accès non autorisé aux Services ou aux systèmes ou réseaux connexes ; (b) essayer de contourner ou d'endommager tout mécanisme de sécurité ou de limitation de débit de l'un des Services ou d'utiliser les Services de toute façon qui perturbe ou perturbe l'intégrité, la sécurité ou les performances des Services et de leurs composants ; (c) essayer de déchiffrer, décompiler, désélectionner ou découvrir le code source de tout logiciel composant les Services ; ou (d) dans la mesure où Vous êtes soumis à la loi américaine sur la portabilité et la responsabilité de l’assurance médicale (Health Insurance Portability and Accountability Act) de 1996 et à ses réglementations d’application (HIPAA), utilisez les Services pour stocker ou transmettre des « informations de santé protégées » telles que définies par HIPAA, sauf autorisation expresse. convenu autrement par écrit par OpenMethods.

2.4.       Configuration requise Une connexion Internet haut débit est nécessaire pour une bonne utilisation des Services. Vous êtes responsable de vous procurer et d’assurer la maintenance des connexions réseau qui connectent votre réseau aux Services, y compris, mais sans s’y limiter, les logiciels de navigateur qui prennent en charge les protocoles utilisés par OpenMethods et définis dans la Documentation, notamment le protocole Transport Layer Security (TLS) ou autre les protocoles acceptés par OpenMethods et de suivre les procédures d’accès aux services qui assistance ces protocoles.  OpenMethods n’est pas responsable de Vous avertir, Vos Agents ou Vos Utilisateurs finaux de toute mise à niveau, correction ou amélioration d’un tel logiciel ou de tout compromis sur les données, y compris les Données de service, transmises sur les réseaux informatiques ou les installations de télécommunications (y compris, mais sans s’y limiter, Internet ) qui ne sont pas propriétaires, exploités ou contrôlés par OpenMethods. OpenMethods n’est pas responsable de la fiabilité ou des performances d’une quelconque connexion comme le décrit cette section.

2.5.       Interne uniquement Sauf autorisation contraire d’OpenMethods dans le présent Accord ou expressément convenue par écrit avec OpenMethods, Vous ne pouvez pas utiliser les Services de quelque façon que ce soit quand Vous agissez en tant que bureau de service ou pour fournir des services de transactions commerciales externalisés au nom de plus d’une (1 ) tiers (autre que les Filiales) par le biais d’un seul Compte. Cette disposition n’est pas destinée à empêcher ou à restreindre l’utilisation des Services pour fournir une assistance commerciale à plusieurs Utilisateurs finaux ; Cependant, Vous vous engagez à ne pas concéder une licence, sous-licence, vendre, sous-traiter, louer, louer, transférer, affecter, distribuer, partager le temps ou exploiter commercialement ou revendre les Services à un tiers, autre que les Agents et Utilisateurs finaux autorisés. à des fins professionnelles internes, comme expressément autorisé par le présent Accord. Sans limiter ce qui précède, Votre droit d’accès et d’utilisation de l’API OpenMethods est également soumis aux restrictions et politiques mises en œuvre par OpenMethods de temps à autre en ce qui concerne l’API, comme elles sont définies dans la Documentation ou qui Vous sont communiquées d’une autre façon conformément au présent Accord.

2.6.       Pas d’accès concurrentiel Vous ne pouvez pas (i) désélectionner les Services, (ii) supprimer ou modifier toute marque propriétaire ou légende restrictive dans les Services, ou (III) accéder aux Services pour créer un produit ou service concurrentiel, ou copier toute fonctionnalité, la fonction, l’interface ou les graphiques des Services. Vous ne pouvez pas accéder aux Services si Vous êtes un concurrent de OpenMethods.

 

3.  Données client et confidentialité.

3.1.       Le client doit fournir toutes les données (« Données client ») pour utiliser les Services et OpenMethods n’est pas dans l’obligation de modifier ou d’ajouter des données aux Données client.  Le client est seul responsable de la légalité des Données client.  OpenMethods ne stockera ni n’archivera les données client des Services et il est donc de la responsabilité du client de stocker et archiver ses données client.

3.2.       Les données client appartiennent à Customer et OpenMethods ne prétend pas avoir de droit de propriété sur ces données.

3.3.       Sous-traitants. OpenMethods utilisera des sous-traitants qui auront accès aux Données Client ou les traiteront pour vous aider à Vous fournir les Services. Vous confirmez par la présente et fournissez l’autorisation générale pour l’utilisation par OpenMethods des sous-traitants répertoriés dans notre Politique concernant les sous-traitants à : https://www.openmethods.com/privacy. OpenMethods sera responsable des actions et oublis des membres du personnel et des sous-traitants de OpenMethods dans la même mesure que nous serions responsables si OpenMethods fournissait les services de chaque membre du personnel ou sous-traitant de OpenMethods directement dans le cadre de cet Accord. Vous pouvez vous inscrire pour recevoir des notifications de toute modification de notre politique des sous-traitants dans la page Web consacrée aux politiques.

3.4.       Fournisseurs de services tiers. OpenMethods peut utiliser des prestataires de services tiers, qu’utilise OpenMethods pour vous aider à Vous fournir les Services, mais qui n’ont pas accès aux Données de service. Tous les prestataires de services tiers utilisés par OpenMethods seront soumis aux obligations de confidentialité qui sont essentiellement similaires aux termes de confidentialité présents dans le présent document.

3.5.       Mesures de protection. OpenMethods utilisera les mesures de protection administratives, physiques et techniques appropriées pour protéger la sécurité, la confidentialité et l’intégrité des Services, conformément à notre politique de confidentialité suivante : https://www.openmethods.com/privacy et les exigences en matière de sécurité des informations définies dans l'illustration A, ci-jointe.

3.6.       Coordonnées de l’agent. OpenMethods sera un fournisseur de traitement des données des coordonnées de l’agent et traitera ces coordonnées de l’agent conformément à notre avis de confidentialité à : https://www.openmethods.com/privacy. Vous êtes responsable d’informer Vos Agents de leurs droits définis dans Notre Avis de confidentialité. Vous déclarez et garantissez que Vous avez obtenu tous les consentements, permissions et droits pertinents et fourni tous les avis pertinents nécessaires en vertu des Lois applicables en matière de protection des données pour que OpenMethods traite légalement les Coordonnées des agents.

3.7.       Accord de traitement de données. L’accord de traitement de données défini dans l’illustration B ci-jointe et/ou toutes autres conditions de confidentialité fournies par OpenMethods à l’adresse : https://www.OpenMethods.com/privacy sont incorporés par référence dans cet accord.

 

4.  Garanties de service.  OpenMethods garantit que : (i) les Services fonctionneront dans l’ensemble comme décrit dans la Documentation ; et (ii) OpenMethods possède ou a le droit de fournir les Services au Client dans le cadre de cet Accord.  Les recours définis dans cette section 4 sont les recours exclusifs du client en cas de violation de l’une ou l’autre de ces garanties.

4.1.       Si les Services ne fonctionnent pas pour l’essentiel conformément à la Documentation, OpenMethods doit, à sa discrétion, soit (i) modifier les Services pour les rendre conformes à sa documentation ; ou (ii) fournir une solution alternative qui répondra raisonnablement aux exigences du Client.  Si aucune de ces options n’est commercialement possible, chaque partie peut résilier le CDC Zendesk concerné dans le cadre de cet Accord.

4.2.       S’il s’avère que l’exploitation normale, la propriété ou l’utilisation des Services par le Client enfreint un droit de propriété intellectuelle américain tiers ou que OpenMethods pense que cela est probable, OpenMethods doit, à son choix, soit (i) obtenir une licence ou un Abonnement d’un tel tiers pour le compte du Client ; (ii) modifier les Services afin qu’ils ne commettent plus de violation ; ou (III) si aucune de ces options n’est commercialement possible, résilier le CDC Zendesk concerné dans le cadre de cet Accord.

4.3.       Cependant, OpenMethods n’a aucune obligation de garantie pour :

4.3.1. si les Services ont été modifiés par le Client ou un tiers ;

4.3.2. les problèmes dans les Services dus à des logiciels ou du matériel tiers, à des dommages accidentels ou à d’autres problèmes extérieurs au contrôle raisonnable de OpenMethods.

4.4.       OpenMethods effectue régulièrement des analyses de la vulnérabilité du réseau interne et externe.  Les vulnérabilités identifiées seront corrigées d'une façon commerciale raisonnable et dans un délai fondé sur leur gravité.

 

SERVICES PROFESSIONNELS.

 

5.  Services professionnels. 

5.1  !  Les livrables, les honoraires, le personnel, le cadre et autres conditions de chaque engagement de services professionnels seront définis dans le CDC de Zendesk.  Les engagements de services professionnels sont facturés au temps et pièces ou frais fixes, conformément au CDC de Zendesk.

5.2 Garanties. OpenMethods garantit que (i) les Services professionnels seront essentiellement conformes au CDC ; et (ii) les Services professionnels seront fournis avec des compétences, des soins et de la diligence raisonnables. Les recours définis dans cette section 5 sont les recours exclusifs du client en cas de violation de l’une ou l’autre de ces garanties.

5.2.1 Si les Services professionnels ne sont pas conformes au CDC ou s’ils ne sont pas fournis avec des compétences, des soins et de la diligence raisonnables, OpenMethods fournira à nouveau les Services professionnels dans la mesure nécessaire pour remédier à la défaillance.

5.3 Responsabilités du client.  Le client doit fournir à OpenMethods toutes les informations, l’accès et la coopération de bonne foi raisonnablement nécessaires pour permettre à OpenMethods de fournir les Services professionnels et doit faire tout ce qui est identifié dans le CDC comme relevant du client.  Si le client ne le fait pas, OpenMethods sera exempté de ses obligations dans la mesure où ces obligations dépendent des performances du client.

 

PROPRIÉTÉ INTELLECTUELLE.

 

6.  Propriété intellectuelle.  OpenMethods est uniquement propriétaire (ou a accordé les droits de propriété intellectuelle) de tous les droits de propriété intellectuelle dans les Services et de tout ce qui est fourni dans le cadre des Services professionnels. OpenMethods est propriétaire de tous les commentaires, améliorations, améliorations ou modifications des services.

 

GÉNÉRAL

 

7.  Paiements. 

7.1 Factures. Zendesk traitera la facturation des frais pour l’achat des Services OpenMethods par le Client dans le cadre de cet Accord. Le client doit payer les frais indiqués dans le CDC Zendesk pertinent et toutes les informations de facturation seront définies dans le CDC Zendesk. 

 

 

8.  Condition, résiliation et suspension.

8.1 Le présent Accord se poursuit pendant la durée du CDC Zendesk, jusqu’à sa résiliation par une partie, comme expliqué ci-dessous (« Condition »).  La durée de chaque commande (« Durée de la commande ») sera définie dans le CDC Zendesk. À la date de fin de la Période de commande, les droits d’accès et d’utilisation des Services du Client prendront fin.

8.2 L’une ou l’autre des parties peut résilier le présent Accord immédiatement si le Client ne respecte pas l’une des clauses matérielles de cet Accord et que la violation n’est pas remédiée dans les 30 jours suivant la notification écrite. 

8.3 Les sections 2, 6, 7, 8, 9, 10, 11, 12 et 15.3 se continuent à la fin de cet Accord.

8.4 Si OpenMethods résilie le présent Accord pour non-paiement par le Client, tous les frais impayés pour le reste de la Durée de la commande doivent être payés immédiatement.

 

9.  Exonération de garantie.  SACHEZ QUE LES SERVICES ET LES SERVICES PROFESSIONNELS SONT FOURNIS SANS AUCUNE AUTRE GARANTIE, ET LES METAUX OUVERTES EXAMINER TOUTES LES AUTRES GARANTIES, EXPLOITÉES OU IMPL ZENDESK, Y COMPRIS SANS LIMITATION TOUTE GARANTIE DE MERCI OUVERTES DE FOURNIR LES SERVICES PROFESSIONNELS ET LES SERVICES SATISFAISANTS

 

10. Limitation de responsabilité.  AUCUNE PARTIE N’EST RESPONSABLE, DANS LE CADRE DU PRÉSENT CONTRAT, ENVERS L’AUTRE PARTIE POUR TOUT DOMMAGE INTERACTIF, SPÉCIAL, INCIDENTAIRE, PUNITIVE OU CONSÉQUENTIF (Y COMPTE ( NOTAM PERTE D’ENTREPRISE OU D’OPPORTUNITÉ PERDUE), OU TOUTE AUTRE DOMMAGE SIMILAIRE DANS LE CADRE DE TOUTE RESPONSABILITÉ (SOUS L’ENSEMBLE DU CONTRAT, TORS, RESPONSABLES OU TOUTE AUTRE), MAIS SI L’AUTRE PARTIE A ÉTÉ INFORMÉE DE CETTE ÉVENTITÉ. LA RESPONSABILITÉ TOTALE DE CHAQUE PARTIE POUR TOUTE PERTE DIRECTE, COUT, RÉCLUSION OU DOMMAGE DE TOUTE QUELQUE FAÇON PERTINENTE À LA VERSION ZENDESK PERTINENTE N’EST PAS DÉPLOYÉE PAR LE CLIENT DANS LE CADRE DES DEUXIÈMES (12) MOIS L’ÉVÉNEMENT QUI APPORTE UNE PERTE, UN COÛT, UNE RÉCLAMATION OU DES DOMMAGES.  C ICI, IL N’Y A PAS DE LIMITATIONS DE RESPONSABILITÉ EN CAS DE VIOLATION PAR LE CLIENT DES DROITS DE PROPRIÉTÉ INTELLECTUELLE DE L’ENTREPRISE, POUR LES SOMMES DUES PAR LE CLIENT AUX MÉTHODES OUVERTES DANS LE CADRE DE CET ACCORD, OU DANS LE CADRE DES OBLIGATIONS D’INDEMNISATION D’UNE PARTIE.  CETTE LIMITATION DE RESPONSABILITÉ A ÉTÉ ET EST EXPRISE DE L’ACCORD ENTRE L’ENTREPRISE ET LE CLIENT ET A ÉTÉ IMPORTANTE DANS LE CHOIX DES FRAIS PAYABLES POUR LES ÉTATS-UNIS.

 

11. Confidentialité.

11.1 Le présent Accord et les Services, la Documentation et le Produit de travail contiennent des secrets commerciaux précieux qui sont la propriété exclusive de OpenMethods, et le Client s’engage à prendre toutes les mesures raisonnables pour empêcher d’autres parties de découvrir ces secrets commerciaux.  Le Client doit prendre des mesures raisonnables pour empêcher tout accès non autorisé ou toute duplication des Services, de la Documentation et du Produit, mais en tout cas, il ne s’agit en aucun cas de prendre les mesures nécessaires pour protéger ses propres informations confidentielles et secrets.

11.2 Les Données des clients et autres documents marqués comme « confidentials » par le Client ou qui devraient raisonnablement être reconnus comme des informations confidentielles et communiqués à OpenMethods peuvent inclure des secrets précieux qui sont la propriété exclusive du Client.  OpenMethods doit prendre des mesures raisonnables pour empêcher d’autres parties de découvrir ces secrets commerciaux, mais en aucun cas moins de soin que celui qu’utilise OpenMethods pour protéger ses propres informations confidentielles et secrets.

11.3 Les sections 12.1 et 12.2 ne s’appliquent pas aux informations qui (i) sont maintenant ou deviennent ultérieurement du fait de l’action ou du défaut d’action de la partie destinataire (le « Récepteur »), généralement connu ou disponible ; (ii) est connu du destinataire au moment de recevoir de telles informations, comme le montrent les dossiers du destinataire ; (III) sont ensuite fournis au Destinataire par un tiers, de droit et sans restriction de divulgation ; ou (iv) doit être communiqué par la loi, à condition que la partie à laquelle les informations appartiennent est notifiée au préalable, par écrit, d’une telle divulgation.

11.4 Lors de la résiliation pour quelque raison que ce soit, à la demande de la partie concernée, la partie destinataire renverra rapidement toutes les Informations confidentielles de la partie concernée, à condition que ni l’une ni l’autre des parties ne soit dans l’obligation de renvoyer les Informations confidentielles reçues par la partie partie destinataire. de routine de sauvegarde de routine et dans ce cas, les obligations de confidentialité de la partie destinataire en ce qui concerne de telles Informations confidentielles survivront indéfiniment.

 

12. INDEMNISATION PAR OpenMethods. 

12.1 OpenMethods doit garantir et garantir le Client, ses affiliés et ses administrateurs, ses cadres et ses employés à cause de tous dommages et intérêts accordés à l’entreprise dans le cadre d’un règlement à l’encontre d’un Client (y compris, sans s’y limiter, les frais raisonnables et les frais juridiques engagés par le Client) de toute action en justice, toute réclamation d’un tiers ou toute autre action légale d’un tiers alléguant que l’utilisation des Services, de la Documentation ou du Produit par le Client ne respecte pas les droits d’auteur, le secret commercial ou le brevet des États-Unis (« Action légale »).  OpenMethods doit également assumer la défense de l’action en justice.

12.2 Cependant, OpenMethods n’aura aucune obligation d’indemnisation pour toute Action en justice résultant de : (i) une combinaison des Services ou du Produit avec des logiciels ou produits non fournis par OpenMethods ; (ii) toute réparation, ajustement, modification ou affectation des Services par le Client ou toute tierce partie ; ou (III) de tout refus du Client d’installer et d’utiliser une version ne constitue pas une violation des Services ou d’un Produit proposé par OpenMethods.  La section 4.2(ii) et cette section 12 décrivent l’intégralité de la responsabilité d’OpenMethods à l’égard de toute violation de propriété intellectuelle par les Services ou les Produits travaillés.

12.3 Le client doit envoyer un avis écrit à OpenMethods de toute action en justice au plus tard 30 jours après avoir reçu le premier avis d’une action en justice et doit envoyer des copies à OpenMethods de toutes les communications, avis et/ou autres actions en rapport avec l’action en droit.  Le client doit donner à OpenMethods le contrôle exclusif de la défense contre toute action en justice, doit agir conformément aux instructions raisonnables d’OpenMethods et doit fournir à OpenMethods l’assistance dont elle a besoin pour se défendre ou régler une telle réclamation. OpenMethods doit constamment se défendre d’une façon qui ne traite pas les intérêts du client. Le Client peut employer son propre conseiller pour l’aider dans le cadre d’une telle réclamation.  Le client doit assumer tous les coûts liés à l’engagement de son propre conseil, sauf si cela est nécessaire en raison d’un conflit d’intérêt avec OpenMethods ou son conseil, ou parce que OpenMethods n’assumera pas le contrôle de la défense.  Le client ne doit pas régler ou compromettre une action en justice sans le consentement écrit de OpenMethods. OpenMethods sera exempté de son obligation d’indemnisation en vertu de la section 12 si le client ne satisfait pas à la section 12.2.

 

13. INDEMNISATION PAR LE CLIENT. 

13.1 Le Client doit garantir et garantir OpenMethods, ses affiliés et ses administrateurs, ses cadres et ses employés à cause de tous dommages et intérêts accordés à OpenMethods (y compris, mais sans s’y limiter, les coûts raisonnables et les frais juridiques encourus par le Client) de toute action en justice, toute réclamation d’un tiers ou toute autre action légale d’un tiers (y compris, mais sans s’y limiter, toutes les enquêtes, réclamations et actions gouvernementales) en rapport avec l’utilisation des Services ou des Produits du Travail par le Client (collectivement la « Réclamation légale ») .  Le client doit également assumer la défense de la réclamation légale.

13.2 OpenMethods doit envoyer un avis écrit au Client de toute Prétention légale au plus tard 30 jours après avoir reçu la première notification d’une Plainte légale et lui envoyer des copies de toutes les communications, notifications et/ou autres actions ayant trait à la Plainte légale.  OpenMethods doit donner au Client le contrôle unique de la défense contre toute réclamation légale, doit agir conformément aux instructions raisonnables du Client et doit fournir au Client l’assistance dont il a besoin pour se défendre ou résoudre son problème. Le client doit toujours se défendre d’une façon qui ne compromet pas les intérêts de OpenMethods. OpenMethods peut employer son propre conseiller pour l’aider à résoudre une telle réclamation.  OpenMethods doit assumer tous les coûts liés aux engagements de ses propres conseils, sauf si les services d’un conseil sont nécessaires en raison d’un conflit d’intérêts avec le client ou son conseil, ou parce que le client n’assumera pas le contrôle de la défense.  OpenMethods ne doit pas régler ou compromettre toute Réclamation légale sans le consentement écrit formel du Client. Le client sera exempté de son obligation d’indemnisation en vertu de la section 13 si OpenMethods ne satisfait pas à la section 13.2.

 

14.         Publications.  OpenMethods peut répertorier un client en tant que client et utiliser le logo du client sur le site Web de OpenMethods, dans les listes de clients accessibles au public et dans les communiqués de presse.

 

15.         Divers.

15.1 Le présent Accord et le CDC Zendesk représentent la totalité de l’accord des parties et remplace tout accord préalable ou actuel, qu’il soit écrit ou oraux. 

15.2 Il est impossible de modifier le présent Accord ou d’y apporter toute partie, sauf par écrit, par les parties.

15.3 Le présent Accord est régi par les lois de la Californie. Les parties acceptent que les juridictions exclusives de l’état ou des juridictions fédérales de l’état de Californie s’appliquent à toute réclamation relative au présent Accord.

15.4 Le client ne doit pas céder ou transférer aucun de ses droits ou obligations en vertu du présent contrat sans le consentement écrit préalable de OpenMethods.  OpenMethods ne peut pas refuser un tel consentement en cas d’affectation de ses droits et obligations à une entité qui a acheté la totalité ou la majorité des actifs du client ou à une affectation faisant partie d’une véritable structure d’entreprise.  Toute affectation en violation de cette section est annulée.

15.5 Toute notification envoyée en vertu du présent Accord doit être écrite et envoyée par service personnel ou par courrier certifié des États-Unis, avec un reçu de retour demandé, en portant les frais de port ou par un coursier de nuit reconnu à l’adresse apparaissant au début de cet Accord ou toute autre modification par le biais d’une notification écrite à l’autre partie. 

15.6 Le Client ne doit pas exporter ou réexporter, directement ou indirectement, les Services, Documentation, Produits de travail ou informations confidentielles vers des pays autres que les États-Unis, sauf autorisation contraire dans le cadre des États-Unis. Réglementation de l’administration des exportations du ministère du Commerce.

15.7 Les services, produits du travail et documentation fournis aux États-Unis Les gouvernements sont des « articles commerciaux », comme ce terme est défini au 48 CFR 2.101, qui se compose de « Logiciels informatiques commerciaux » et de « Documentation des logiciels informatiques commerciaux », au sens de 48 CFR 12.212 ou 48 CFR227.7202, le cas échéant. Conforme à 48 CFR 12.212 ou 48 CFR 227.7202-1 à 227.7202-4, le cas échéant, les logiciels commerciaux et la documentation des logiciels informatiques commerciaux sont sous licence des États-Unis Utilisateurs finaux gouvernementaux (a) uniquement comme Articles commerciaux et (b) avec seulement les droits accordés à tous les autres utilisateurs finaux en vertu des présentes Conditions générales, comme prévu dans FAR 12.212, et DPIRA 227.7202-1(a), 227.7202 -3(a), 227.7202-4, le cas échéant.

15,8 OpenMethods devra, à ses frais, acheter et maintenir en vigueur pendant la durée du présent contrat, des polices d'assurance, des types et des montants minimaux comme suit, auprès des compagnies d'assurance responsables dûment qualifiées dans ces états (endroits). où les Services doivent être fournis, couvrant les opérations d’OpenMethods, en vertu du présent Accord : responsabilité commerciale générale (2 000 000 $ par événement, 5 000 000 $ agrégé) ; responsabilité professionnelle (1 000 000 $ par événement, 2 000 000 $ au total) ; l'indemnisation des employés (limites statutaires) et la responsabilité des employés (500 000 $ par accident) ; responsabilité en cas d’erreurs et d’émissions (et une couverture de responsabilité cyber, de 2 000 000 $).  Ces politiques exigent que le Client reçoive un préavis écrit d’au moins trente (30) jours calendaires de toute résiliation ou modification matérielle.  OpenMethods fournira au Client, sur demande, des certificats d’assurance prouvant toute la couverture ci-dessus.

 

DÉFINITIONS.

 

16.         Glossaire.

Le terme « Données client » désigne les noms d’utilisateur et les postes des agents stockés dans la base de données des services.

Le terme « documentation » fait référence à la documentation utilisateur fournie par OpenMethods pour l’utilisation avec les services, telle que mise à jour périodiquement.

Le terme « Services » fait référence au logiciel hébergé dont les fonctionnalités sont décrites dans le CDC Zendesk et dans la Documentation, toutes les modifications du logiciel hébergé effectuées par OpenMethods et tous les commentaires, améliorations ou améliorations apportés ou suggérés pour le logiciel hébergé, mais n’incluent pas les Services professionnels.

Le terme « Services professionnels » désigne les services de formation, de conseil, de développement et autres services professionnels identifiés dans un CDC, mais n’incluant pas les Services.

Le terme « Zendesk » désigne Zendesk, Inc., une société du Delaware et toutes ses filiales concernées, qui joueront le rôle d’agent de facturation pour l’abonnement de l’Abonné au Service OpenMethods commandé par l’Abonné à OpenMethods en vertu du présent Accord, conformément à un CDC Zendesk. entre le client et Zendesk.

« Zendesk CDC » fait référence à la déclaration de travail ou document de commande similaire émis par Zendesk à l’Abonné qui définit, sans s’y limiter, l’édition d’abonnement du client, les frais d’abonnement, la facturation et la période d’abonnement en vertu de cet Accord.

 

 

 

Figure A

Mesures de sécurité des informations OpenMethods

 

1. Mesures de sécurité des informations

OpenMethods garantit et déclare qu’il fera des efforts commercialement raisonnables pour mettre en œuvre et maintenir les mesures de sécurité détaillées ci-dessous afin de conserver tout le contenu, les documents, les données (y compris les données personnelles) et les informations non publiques fournis ou mis à la disposition de l’Abonné (collectivement, les « Données ») ) sécuriser et protéger les Données de traitement non autorisé ou illégal, de perte, de destruction ou d’endommagement accidentel, comme expliqué ci-dessous. Ce faisant, OpenMethods agira de bonne foi, en faisant preuve d’une attention et de compétences raisonnables.

 

2. Définitions

Le terme « processus » désigne toute opération ayant trait aux Données, quels que soient les buts et les moyens appliqués, y compris mais sans s’y limiter, l’accès, la collecte, la rétention, le stockage, le transfert, la divulgation, l’utilisation, l’effacement, la destruction et toute autre opération.

« Violation » tout (a) Traitement des Données non autorisé ou (b) toute action ou émission qui compromet ou sapera les mesures de protection physiques, techniques ou organisationnelles mises en place par OpenMethods en ce qui concerne le Traitement des Données ou mises en place pour se conformer à ces exigences. Afin d’éviter le moindre doute, le terme «  Traitement non autorisé » inclut notamment : mauvaise utilisation, perte, destruction, compromis ou accès non autorisé, recueil, rétention, stockage ou transfert.

Le terme « incident » fait référence à toute perturbation de la sécurité des données, y compris tout (i) action qui viole toute loi ou politique de sécurité d’OpenMethods, (ii) toute perturbation de service imprévue qui empêche le fonctionnement normal des Services, ou (III) la violation.

 

3. Mesures : Mesures techniques et organisationnelles pour le stockage, la gestion et la suppression des Données et des Données.
   • OpenMethods utilise des algorithmes de chiffrement standards de l’industrie et des points forts pour chiffrer les éléments suivants :
   • Crypter toutes les Données qui sont sous forme électronique alors qu'elles sont en transit sur tous les réseaux câblés publics (comme Internet) et tous les réseaux sans fil.
   • Crypter toutes les données lorsqu’elles sont stockées. Le terme « en stockage » fait référence aux informations stockées dans des bases de données, des systèmes de fichiers et divers supports en ligne et hors ligne (appareils mobiles, ordinateurs portables, DASD, bande, etc.) et est souvent simplement appelé « au repos ».
   • Sauf quand la loi l’interdit, OpenMethods supprimera rapidement les Données une fois (a) l’achèvement des Services ; ou (b) une demande de l’Abonné (ou de Zendesk, le cas échéant) à être supprimé de l’environnement de OpenMethods et à le détruire dans un délai raisonnable, mais en aucun cas supérieur à vingt et un (21) jours après la date de la demande ou de la fin de la services de messagerie. OpenMethods fournira à l’Abonné (et à Zendesk, le cas échéant) une certification écrite concernant un tel retrait, une telle destruction ou un tel nettoyage dans les trente (30) jours suivant un tel retrait.

4. Mesures : Protection contre les codes malveillants.
   • Tous les postes de travail et serveurs (consultables ou physiques) exécuteront la version actuelle du logiciel antivirus et/ou anti-programme malveillant standard, avec les mises à jour les plus récentes disponibles sur tous les postes de travail ou serveurs. Les définitions de virus doivent être mises à jour rapidement dès leur sortie par le fournisseur du logiciel antivirus. OpenMethods configure le matériel et a des politiques connexes pour interdire aux utilisateurs de désactiver les logiciels antivirus, de modifier les configurations de sécurité ou de désactiver d’autres mesures de protection mises en place pour garantir la sécurité des données ou de l’environnement informatique de OpenMethods.
   • OpenMethods analyse le contenu entrant et sortant pour détecter le code malveillant sur toutes les passerelles vers des réseaux publics, notamment les serveurs de messagerie et proxy.
   • OpenMethods met en quarantaine ou supprime les fichiers qui ont été identifiés comme atteints et enregistre l'événement.

5. Mesures : Mesures techniques et organisationnelles pour contrôler l’accès, en particulier pour contrôler la légitimité des utilisateurs autorisés à accéder aux ressources et systèmes où il est possible d’accéder aux Données :
   • OpenMethods s’assure que des mesures sont prises pour sécuriser les locaux (par exemple, sécuriser les entrées et sorties) ainsi que des mesures au sein de son bâtiment en utilisant les procédures suivantes :
   • la sécurité et le chiffrement de tous les ordinateurs personnels et autres appareils mobiles ayant accès aux Données ;
   • un accès limité aux employés et sous-traitants, à l’exception des visiteurs autorisés ;
   • identification des personnes ayant le pouvoir d’accès ;
   • restriction sur les clés ;
   • registres des visiteurs (notamment pour la gestion du temps) ; et
   • système d’alarme ou autres mesures de sécurité appropriées.
   • OpenMethods révoquera l’accès aux emplacements physiques, systèmes et applications qui contiennent ou traitent des Données dans un délai de vingt-quatre (24) heures suivant la fin de la nécessité pour un tel agent autorisé d’accéder aux systèmes ou applications.

 

6. Mesures : Mesures techniques (par mot de passe / protection par mot de passe) et organisationnelles (enregistrement principal de l’utilisateur) portant sur l’identification et l’authentification des utilisateurs :

OpenMethods informera l’Abonné, sur sa demande raisonnable, des personnes autorisées à accéder aux Données.

Le contrôle par l’utilisateur inclura les mesures suivantes :

• profil VPN restreint ;
• Implémentation de l’authentification à deux facteurs

Le contrôle de l’accès aux données inclura les mesures suivantes :

• des mesures omnicanal efficaces et mesurées à l’encontre des personnes qui accèdent aux données sans autorisation.

7. Mesures : Mesures techniques et organisationnelles portant sur la sécurité des réseaux (y compris les réseaux sans fil) utilisés par OpenMethods.

Tous les contrôles réseau doivent inclure les mesures suivantes :

• OpenMethods effectue régulièrement des analyses de la vulnérabilité du réseau interne et externe. Les vulnérabilités identifiées seront corrigées d'une façon commerciale raisonnable et dans un délai fondé sur leur gravité.
• OpenMethods déploiera une technologie de pare-feu raisonnablement appropriée pour ses réseaux.
• Au minimum, OpenMethods passera en revue les règles de pare-feu tous les trimestres pour s’assurer que les anciennes règles sont supprimées et que les règles actives sont configurées correctement.
• OpenMethods déploiera des systèmes de détection ou de prévention des intrusions afin de surveiller les réseaux et de repérer toute activité inappropriée.
• OpenMethods déploiera une solution de gestion des journaux et conservera les journaux produits par les pare-feux et les systèmes de détection des intrusions pendant une période minimale d’un (1) an.

Les contrôles réseau sans fil doivent inclure les mesures supplémentaires suivantes :

• L’accès aux réseaux sans fil doit être limité aux personnes autorisées uniquement.
• Les points d’accès doivent être segmentés à partir d’un réseau local (LAN) interne câblé à l’aide d’un appareil de passerelle.
• L’identifiant de service (SSID), l’ID utilisateur de l’administrateur, le mot de passe et les clés de chiffrement doivent être modifiés par rapport à leur valeur par défaut.
• Le cryptage de toutes les connexions sans fil sera activé en utilisant des algorithmes de cryptage standards du secteur. Les protocoles de chiffrement seront basés sur « Wireless Protected Access » (WPA2) ou des protocoles plus solides.

 

8. Mesures : OpenMethods maintiendra une fonction de réponse aux incidents, capable d’identifier, de minimiser les effets et d’empêcher la récurrence des incidents. Si un Incident survient, OpenMethods (i) prendra immédiatement toutes les mesures nécessaires pour éviter toute violation des Données ou tout autre Incident futur ; (ii) informera l’Abonné dans les vingt-quatre (24) heures suivant l’identification de l’Incident et fournira un rapport écrit dans les trois (3) jours qui suivent ; et (III) répondre rapidement à toute demande raisonnable de l’Abonné provenant d’informations détaillées au sujet de l’Incident. L’avis et le rapport OpenMethods contiendront une description de la nature de l’incident, de son impact et de toute enquête, correction ou action réparatrice entreprise ou prévue.

 

9. Mesures : Continuité des opérations et reprise d’activité. OpenMethods a fourni à l’Abonné un plan de continuité des opérations commercialement raisonnable et standard pour maintenir la disponibilité du Service (le « plan de continuité »). Le plan de continuité inclut et inclura, mais ne s’y limitera pas, des éléments comme (a) la gestion des crises, l’activation des plans et des équipes, la documentation des processus de communication et des événements ; (b) gestion des événements, reprise d’activité, emplacements de sites alternatifs et tests de l’arborescence des appels ; et (c) les détails de l'infrastructure, de la technologie et du ou des systèmes, les activités de reprise et récupération et l'identification des personnes / équipes nécessaires à cette reprise. OpenMethods maintiendra ce Plan de continuité pendant toute la durée de tous les abonnements. étant entendu que OpenMethods aura le droit de modifier ou d’apporter des modifications au Plan de continuité, à condition que cette modification ou modification n’ait pas d’incidence négative sur la capacité de OpenMethods à maintenir la disponibilité du Service.

 

À la demande de l’Abonné, OpenMethods apportera des modifications commercialement raisonnables à son programme de sécurité des informations ou à ses procédures et pratiques pour se conformer aux exigences de sécurité de référence de l’Abonné telles que décrites dans toutes les pièces appropriées de l’Accord et telles qu’elles existent de temps à autre. L’Abonné fournira à OpenMethods la documentation de ces références, qui feront partie des informations confidentielles de l’Abonné dans le cadre de cet Accord. OpenMethods développera un plan de sécurité des informations écrit pour l’Abonné contenant, au minimum, les sujets appelés dans cet accord.

 

Pièce jointe B

Module supplémentaire pour le traitement des données OpenMethods

 

Le présent module complémentaire de traitement de données (« ATD ») est conclu entre OpenMethods, Inc. (« OpenMethods » ou « importateur de données») et l’entité identifiée comme l’abonné dans le CDC Zendesk (« Client » ou « exportateur de données ») et est ajoutée aux conditions de service de OpenMethods (l’« Accord »). Les parties conviennent que le présent ATD sera incorporé et fera partie de l’Accord et sera soumis aux dispositions de cet Accord, notamment les limitations de responsabilité.

Cet ATD définit les conditions générales selon lesquelles OpenMethods peut recevoir et traiter les Données à caractère personnel des clients et incorpore les clauses contractuelles types. Si le Client supprime ou révise cet ATD, ces suppressions ou révisions sont par la présente rejetées et non valides, sauf accord de OpenMethods. Le fondé de pouvoir du Client déclare et garantit qu’il a le pouvoir de lier le Client à cet ATD. Le présent ATD prendra fin automatiquement à la résiliation de l’Accord ou en cas de résiliation antérieure conformément aux conditions de cet ATD.

Conditions relatives au traitement des données

1. Définitions

« Loi(s) applicable(s) sur la confidentialité »  : toutes les lois et réglementations mondiales sur la protection des données et la confidentialité applicables aux Données à caractère personnel en question, y compris, le cas échéant, la Loi sur la protection des données de l’UE/du Royaume-Uni.

Le terme « Données à caractère personnel des clients » désigne tout Contenu client qui constitue des Données à caractère personnel et sont protégés par les Lois de confidentialité applicables.

Le terme « Loi américaine sur la protection des données du Royaume-Uni » désigne : (i) le Règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du Traitement des Données à caractère personnel et à la libre circulation de ces données (Direction générale des données Règlement sur la protection des données personnelles (le « RGPD de l’UE ») ; (ii) le RGPD tel que enregistré dans la législation britannique en vertu de la section 3 de la loi de 2018 de l’Union européenne (avec retrait) du Royaume-Uni et de la loi sur la protection des données du Royaume-Uni de 2018 (collectivement le « RGPD du Royaume-Uni ») ; (III) la directive de l’UE sur la confidentialité électronique (directive 2002/58/CE) ; (iv) la loi fédérale suisse sur la protection des données (« Swiss DPA »), et (v) toutes les lois nationaux applicables en matière de protection des données, en vertu de ou qui s'appliquent en conjonction avec l’un des (i), (ii) (III) ) ou (iv); dans chaque cas, telle que modifiée ou remplacée de temps à autre ;

«  Filiale de OpenMethods » «  Filiale de OpenMethods » fait référence à toute entité directement ou indirectement contrôlée par OpenMethods, ou sous son contrôle commun.

Le terme « Transfert restreint » signifie : (i) lorsque le RGPD de l’UE s’applique, un transfert de Données à caractère personnel depuis l’EEE vers un pays hors de l’EEE qui n’est pas soumis à une détermination d’adéquation par la Commission européenne ; (ii) lorsque le RGPD du Royaume-Uni s’applique, un transfert de Données à caractère personnel du Royaume-Uni vers tout autre pays qui n’est pas soumis aux réglementations d’adéquation en vertu de la section 17A de la loi sur la protection des données du Royaume-Uni de 2018 ; et (III) lorsque s’applique l’ATD, le transfert des Données à caractère personnel en provenance de la Suisse vers tout autre pays qui n’est pas déterminé à fournir une protection adéquate pour les Données à caractère personnel par la Commission fédérale de protection des données et l’information ou le Conseil fédéré (le cas échéant).

« Clauses contractuelles standards » signifie : (i) là où s’appliquent le RGPD de l’UE ou l’ATD de la Suisse, les clauses contractuelles annexées à la décision d’application (UE) 2021/914 de la Commission européenne du 4 juin 2021 (« CCT UE ») ; et (ii) lorsque le RGPD du Royaume-Uni s’applique, des clauses de protection des données standards pour les sous-traitants adoptés en vertu de l’article 46(2)(c) ou (d) du RGPD du Royaume-Uni (en particulier, l’avenant sur le transfert de données international aux clauses contractuelles standards de la Commission de l’UE) ) (« SCC britanniques »), tel qu’applicable conformément à la section 8 (Transferts de données).

« Incident de sécurité » toute violation de la sécurité non autorisée ou illégale entraînant la destruction, la perte, l’modification, la divulgation ou l’accès non autorisé des Données à caractère personnel des Clients. Un « Incident de sécurité » n’inclut pas les tentatives ratées ou les activités qui ne compromettent pas la sécurité des Données à caractère personnel des clients, notamment les tentatives de connexion ratées, les pings, les analyses de ports, les attaques par déni de service et autres attaques contre les pare-feux ou les systèmes réseau.

Le terme « sous-traitant » fait référence à toute tierce partie (y compris toute filiale OpenMethods) engagé par OpenMethods pour le traitement des Données à caractère personnel des clients (à l’exception des employés ou sous-traitants de OpenMethods).

Les termes « contrôleur », « personne concernée », « données personnelles », « traitant » et « traitant » ont la signification qui leur est donnée dans la ou les Lois applicables en matière de confidentialité. Si et dans la mesure où la ou les lois sur la confidentialité applicables ne définissent pas de tels termes, les définitions données dans la loi sur la protection des données de l’UE/du Royaume-Uni s’appliqueront.

2. Rôle et portée du traitement

2.1 Les parties conviennent que, pour le traitement des Données à caractère personnel des clients, le Client sera le Responsable du traitement et que OpenMethods traitera les Données à caractère personnel des clients en tant que Sous-traitant pour le compte du client.

2.2 OpenMethods traitera les Données à caractère personnel des clients uniquement conformément aux instructions documentées du Client et ne traitera pas les Données à caractère personnel des clients pour ses propres besoins, sauf stipulé dans cet ATD ou dans la mesure requise par la ou les lois en vigueur. Le présent Accord, incluant le présent ATD, ainsi que la configuration par le Client de tous les paramètres ou options des Services (que le Client peut modifier de temps à autre), constituent les instructions complètes et définitives du Client à OpenMethods au sujet du Traitement des Données à caractère personnel des clients, notamment : dans le cadre des clauses contractuelles standards. Les instructions supplémentaires hors de la portée de ces instructions de traitement (le cas échéant) nécessitent un accord écrit préalable entre les parties.

2.3 Chaque partie respectera ses obligations en vertu de la ou des lois sur la confidentialité applicables en ce qui concerne toutes les données personnelles des clients qu’elle traite dans le cadre ou en rapport avec les services ou cet ATD. Sans violation de ce qui précède, le Client est responsable de déterminer si les Services sont appropriés pour le stockage et le traitement des Données à caractère personnel du Client dans le cadre de la ou des Lois de confidentialité applicables, ainsi que de l’exactitude, de la qualité et de la légalité des Données à caractère personnel du Client et des moyens par lesquels il a acheté les données à caractère personnel des clients. Le client déclare en outre qu’il a notifié et obtenu tous les consentements, permissions et droits nécessaires à OpenMethods et à ses sous-traitants pour traiter légalement les Données à caractère personnel des clients aux fins envisagées par l’Accord (y compris le présent ATD).

2.4 OpenMethods informera sans délai le Client s’il est déterminé que ses instructions enfreignent la ou les lois sur la confidentialité applicables (mais sans obligation de surveiller activement la conformité du client avec les lois applicables sur la confidentialité) et que dans ce cas, OpenMethods n’a pas l’obligation de procéder à des vérifications de ce Traitement jusqu’à ce que le Client ait mis à jour ses instructions de traitement et que OpenMethods ait déterminé que l’incidence de la non-conformité a été résolue.

2.5 Détails du traitement des données :

(a) Sujet : Le sujet du traitement des données dans le cadre de cet ATD est les Données à caractère personnel des clients.

(b) Durée : Comme convenu avec Client et OpenMethods, la durée du traitement est le terme de l’Accord plus toute période après la résiliation ou l’expiration de l’Accord pendant laquelle OpenMethods traitera les Données à caractère personnel des clients conformément à l’Accord.

(c) Objectif : OpenMethods traitera les données à caractère personnel des clients dans la mesure nécessaire pour fournir les Services conformément à l’Accord, comme indiqué plus avant par le Client dans son utilisation des Services.

(d) Nature du traitement : La prestation des Services tels que décrit dans l’Accord et initiée de temps à autre par le Client.

(e) Types de Données à caractère personnel des clients. Les données à caractère personnel du client chargées dans les Services sous le compte OpenMethods du client.

(f) Catégories de personnes concernées : Les personnes concernées peuvent inclure les employés, les consultants, les agents et les tiers du Client autorisés à utiliser les Services en tant qu’Utilisateurs dans le compte OpenMethods du Client et toute autre personne concernée dont les données personnelles sont envoyées à OpenMethods par le Client par le biais des Services.

 

3. Sous-traitant

3.1 Le client accorde à OpenMethods une autorisation générale de sous-traiter le traitement des Données à caractère personnel des clients à un sous-traitant, y compris les sous-traitants répertoriés à https://OpenMethods.com/statique/legal/OpenMethods-Current-Subprocessors-List.pdf (ou tel autre successeur) URL) (« Liste des sous-traitants »).

3.2 Si OpenMethods engage un nouveau sous-traitant ou un remplaçant, OpenMethods :

(a) mettre à jour la liste des sous-traitants ;

(b) appliquer essentiellement les mêmes conditions de protection des données à tout Sous-traitant avec lequel il travaille que celles contenues dans le présent ATD (y compris les clauses de transfert de données, le cas échéant) ; et

(c) resteront responsables vis-à-vis du Client de toute violation du présent ATD résultant d’un fait, d’une erreur ou d’une émission du Sous-traitant.

3.3 Si le Client choisit d’être notifié par écrit 10 jours avant qu’OpenMethods n’engage un sous-traitant nouveau ou de remplacement, il doit s’abonner à de telles notifications via le portail de notification des clients.

3.4 Le client peut s’opposer à la recrutement par OpenMethods de tout nouveau sous-traitant ou de son remplacement, rapidement par écrit dans un délai de trente (30) jours après réception de l’avis conformément à (3.2 (a)) et sur des motifs raisonnables liés à la capacité du sous-traitant de se conformer à la loi applicable sur la confidentialité ( s). Dans ce cas, les parties discuteront des problèmes du Client de bonne foi afin de parvenir à une résolution commercialement raisonnable. Si les parties ne parviennent pas à parvenir à une telle résolution, OpenMethods aura le droit, à sa seule discrétion, de ne pas nommer le sous-traitant ou de permettre au client de suspendre ou de résilier la Commande applicable et/ou l’Accord. Ces procédures sont le recours exclusif du client et la responsabilité intégrale d’OpenMethods pour résoudre les refus du client à l’embauche de sous-traitants par OpenMethods dans le cadre de cet ATD.

 

4. Coopération

4.1 OpenMethods coopérera raisonnablement avec le Client pour permettre au Client de répondre à toutes demandes, réclamations ou autres communications des personnes concernées et des organismes réglementaires ou judiciaires ayant trait au traitement des Données à caractère personnel des Clients, y compris les demandes provenant des personnes concernées voulant exercer leurs droits dans le cadre de la Loi applicable sur la confidentialité (s). Dans le cas où une telle demande, réclamation ou communication est faite directement à OpenMethods, OpenMethods doit, une fois qu’il a identifié que la demande provient d’une personne concernée ou a un rapport avec une personne concernée dont le Client est responsable, la transférer au Client et ne répondra pas au de telles communications sans l’autorisation expresse du Client (sauf si elle est obligée de le faire pour se conformer à la ou aux lois applicables).

4.2 Dans la mesure où OpenMethods est requis par les lois applicables sur la confidentialité, OpenMethods aidera le client à effectuer une évaluation de l'impact sur la protection des données et, lorsque la loi l'exige, consultera les autorités en charge de la protection des données au sujet de toute activité de traitement proposée qui présente un risque élevé. aux personnes concernées.

4.3 Compte tenu de la nature du traitement, le Client convient qu’il est peu probable que OpenMethods se rende compte que les Données à caractère personnel du Client transférées en vertu des clauses contractuelles standards sont inexactes ou obsolètes. Néanmoins, si OpenMethods se rend compte que les Données à caractère personnel du client transférées dans le cadre des clauses contractuelles standards sont inexactes ou obsolètes, elle en informera le Client dans les plus brefs délais. OpenMethods collaborera raisonnablement avec le Client pour effacer ou rectifier les Données à caractère personnel du Client inexactes ou obsolètes transférées dans le cadre des clauses contractuelles types.

 

5. Mesures d’accès aux données et de sécurité

5.1 OpenMethods s’assurera que tout personnel chargé du traitement des Données à caractère personnel des Clients est soumis à une obligation de confidentialité appropriée (qu’il s’agisse d’une obligation contractuelle ou statutaire) et qu’il ne traite les Données à caractère personnel des Clients qu’à des fins de prestation des Services.

5.2 OpenMethods mettra en œuvre et maintiendra la sécurité raisonnable et appropriée, dans le but de protéger les Données à caractère personnel des Clients des Incidents de sécurité, conformément aux mesures répertoriées à l’annexe 2 (« Mesures de sécurité »).). Le client convient que les Mesures de sécurité dépendent du progrès et du développement techniques et que OpenMethods peut mettre à jour ou modifier les Mesures de sécurité de temps à autre, à condition que ces mises à jour et modifications ne dégradent pas ou ne diminuent pas la sécurité globale des Services.

 

6. Incidents de sécurité

Dans l’événement d’un Incident de sécurité, OpenMethods informera le Client dans les plus brefs délais et lui fournira les détails de l’incident de sécurité, notamment le type de données affectées et l’identité de la ou des personnes concernées, une fois ces informations connues ou disponibles. à OpenMethods. OpenMethods fournira, dans la mesure du possible, des informations et la coopération du Client afin de lui permettre de remplir ses obligations en matière de rapports sur les violations de données applicables et prendra des mesures raisonnables pour ou atténuer les effets de l’Incident de sécurité. Les obligations du présent Accord ne s’appliquent pas aux Incidents de sécurité causés par le Client ou ses utilisateurs.

 

7. Rapports de sécurité et vérifications

7.1 Sur demande, OpenMethods fournira des copies de toutes certifications, résumés de rapports d’audit et/ou autres documents pertinents qu’elle détient, dans la mesure raisonnable requise par le Client pour vérifier la conformité de OpenMethods avec cet ATD.

7.2 Bien que les parties aient l’intention de s’appuyer sur les obligations d’OpenMethods définies dans la section 7.1 pour vérifier la conformité d’OpenMethods avec le présent ATD, à la suite d’un Incident de sécurité confirmé ou lorsqu’une autorité en charge de la protection des données l’exige, le Client peut fournir à OpenMethods trente ( préavis écrit de 30 jours demandant à un tiers d'effectuer un audit des opérations et des installations de OpenMethods (« audit ») ; étant entendu que (i) tout Audit sera effectué aux frais du Client ; (ii) les parties conviennent mutuellement de la portée, de la date et de la durée de l’audit ; (III) l’audit n’aura pas d’impact déraisonnable pour les opérations régulières de OpenMethods.

7,3 Les réponses écrites ou les audits décrits dans la présente section 7 sont soumis aux dispositions de confidentialité de l’accord. Les parties conviennent que les audits décrits à la clause 8.9 des CCT UE seront effectuées conformément à la section 7 (Rapports de sécurité et instructions).

 

8. Transferts de données

8.1 Les Données à caractère personnel des clients qu’OpenMethods traitent en vertu de l’Accord peuvent être traitées dans tout pays dans lequel OpenMethods, ses filiales et sous-traitants OpenMethods ont des installations pour la prestation des Services, comme détaillé dans la liste des sous-traitants. OpenMethods ne traitera ni ne transférera les données à caractère personnel des clients (ni n’autorisera le traitement ou le transfert de ces données) en dehors de l’EEE, de la Suisse ou du Royaume-Uni, sauf s’il a pris les mesures nécessaires pour s’assurer que le transfert est conforme aux données de l’UE/du Royaume-Uni. Loi de protection.

8.2 Les parties conviennent que, lorsque le transfert des Données à caractère personnel des clients de Client à OpenMethods est un Transfert restreint, il sera régi par

(a) pour les transferts de Données à caractère personnel des clients concernées par le RGPD ou l’ATD suisse, les CCT de l’UE, que les parties acceptent par la présente et incorporent à cet ATD, ou

(b) pour les transferts des Données à caractère personnel des clients concernées par le RGPD au Royaume-Uni, les CCT du Royaume-Uni, que les parties acceptent par la présente et incorporent au présent ATD.

8.3 Dans le cadre des clauses contractuelles standards, les annexes, approbations ou tableaux pertinents sont considérés comme remplis avec les informations pertinentes définies dans l’Appendice I. Au cas où une disposition de cet ATD contredit, directement ou indirectement, les clauses contractuelles standards , les clauses contractuelles types prévaudront.

8.4 Si OpenMethods adopte un autre mécanisme légal d’exportation de données pour le transfert de données à caractère personnel non décrit dans cet ATD (« Mécanisme de transfert alternatif »), le mécanisme de transfert alternatif s’appliquera au lieu de tout mécanisme de transfert applicable décrit dans cet ATD (mais uniquement à dans la mesure où un tel mécanisme de transfert alternatif est conforme à la législation européenne/britannique sur la protection des données et s'étend aux territoires auxquels sont transférées les données à caractère personnel des clients.

 

9. Suppression et retour

9.1 À la demande du client, ou à la résiliation ou l’expiration de cet ATD, OpenMethods détruira ou renverra au client toutes les données à caractère personnel du client en sa possession, conformément aux calendriers et politiques de suppression des données en vigueur d’OpenMethods, qui peuvent être demandés par le client à tout moment. . Cette exigence ne s’applique pas dans la mesure où OpenMethods est tenu par une loi applicable de conserver une partie ou la totalité des données personnelles des clients ou des données à caractère personnel des clients archivées dans des systèmes de sauvegarde, que OpenMethods va isoler et protéger de tout traitement ultérieur. sauf dans la mesure requise par cette loi. Les parties conviennent que la certification de suppression des Données à caractère personnel décrite dans la clause 8.5 et 16.(d) des CCT de l’UE sera fournie par OpenMethods au Client uniquement, sur la demande écrite du Client.

 

10. California Consumer Privacy Act (CCPA)

10.1 Dans la mesure où le Client a des utilisateurs des Services qui résident en Californie aux États-Unis et dans la mesure où le CCPA s’applique, les conditions définies dans cette section 10 s’appliquent au présent ATD.

10.2 Les modifications suivantes seront apportées aux définitions de la section 1 du présent ATD :

(a) « CCPA » signifie California Consumer Privacy Act, Cal. Civ. Code § 1798.100 et seq..

(b) Le terme « entreprise » a le sens qui lui est donné dans le CCPA.

(c) Le terme « fournisseur de services » a la signification spécifiée dans le CCPA.

10.3 Dans le cadre des données à caractère personnel des clients qui constituent des « informations personnelles » en vertu du CCPA, le Client est une entreprise et OpenMethods un fournisseur de services. Le transfert des Données à caractère personnel du Client à OpenMethods ne constitue pas une vente et OpenMethods ne fournit aucune considération financière ou autre au Client en échange de Données à caractère personnel.

10.4 OpenMethods s’engage à se conformer à toutes les exigences applicables du CCPA, et si et dans la mesure convenue entre le Client et OpenMethods par écrit, comme stipulé dans cet ATD.

10.5 Dans le cas des Services, OpenMethods aidera raisonnablement le Client à répondre (aux frais du Client) à toute demande d’une personne concernée (y compris les « demandes des consommateurs vérifiables », comme défini dans le CCPA), portant sur le traitement des demandes du Client. Données à caractère personnel dans le cadre de cet Accord.

 

11. Général

11.1 À l’exception des modifications effectuées par le présent ATD, l’Accord reste inchangé. En cas de conflit entre une disposition de cet ATD et une disposition de l’Accord, le présent ATD prévaut. Depuis la date d’entrée en vigueur, le présent ATD fait partie de l’Accord et est incorporé à l’Accord.

11.2 Le présent ATD ne restreint ni ne limite les droits d’une personne concernée ou d’une autorité de contrôle compétente.

11.3 Toute réclamation ou recours que le Client peut avoir contre OpenMethods, ses employés, ses agents et ses Sous-traitants, survenant de ou en rapport avec le présent ATD (y compris les clauses contractuelles standards), que ce soit en contrat, en tort (y compris la négliger) ou en vertu de toute autre théorie de la responsabilité, doivent, dans la mesure maximale autorisée par la loi, être soumis aux limitations et exclusions de responsabilité du présent Accord. Par conséquent, toute référence dans l’Accord à la responsabilité d’une partie signifie la responsabilité globale de cette partie dans le cadre de l’Accord et du présent ATD ensemble.

11.4 Le présent ATD ne peut être modifié que par un traité écrit subséquent, signé par les deux parties.

11.5 Le présent ATD sera régi et interprété conformément à la loi applicable et aux dispositions de juridiction de l'Accord, sauf requis par la ou les lois applicables en matière de confidentialité ou par les clauses contractuelles types.

11.6 Si une partie de cet ATD est déclarée inexécutable, la validité de toutes les parties restantes n’est pas affectée.

 

ANNEXE I

A. LISTE DES PARTIES

MODULE DEUX : Transférer le contrôleur au sous-traitant

Outil(s) d’exportation de données :

Name : L’entité identifiée comme « Client » dans cet ATD.

Adresse : L’adresse du Client associée à son compte OpenMethods ou spécifiée dans l’ATD ou l’Accord.

Nom, poste et coordonnées du contact : Les coordonnées associées au compte du client ou autrement spécifiées dans cet ATD ou l’Accord.

Activités pertinentes pour les données transférées dans le cadre de ces clauses : Les activités spécifiées à l’annexe 1(B) ci-dessous.

Rôle (contrôleur/traitant) : Contrôleur

Importateur(s) de données :

Name : OpenMethods, Inc. (« OpenMethods »)

Adresse : 1100 Main St., Suite 400, Transforms Network, MO 64105, États-Unis

Nom, poste et coordonnées du contact : Shannon Lekas, privacy@OpenMethods.com (données et conformité)

Activités pertinentes pour les données transférées dans le cadre de ces clauses : Les activités spécifiées à l’annexe 1(B) ci-dessous.

Rôle (contrôleur/traitant) : Sous-traitant

 

B. DESCRIPTION DU TRANSFERT

MODULE DEUX : Transférer le contrôleur au sous-traitant

Catégories de personnes concernées dont les données personnelles sont transférées : Les employés, les conseillers, les agents et les tiers autorisés du Client à utiliser les Services en tant qu’« utilisateurs » dans le compte OpenMethods du Client et toute autre personne concernée par les données dont les données personnelles sont envoyées à OpenMethods par le Client par le biais des Services.

Catégories de personnes concernées dont les données personnelles sont transférées : nom, adresse e-mail et autres données personnelles envoyées par le Client par le biais des Services, y compris sous la forme du Contenu client

Le transfert des données sensibles (le cas échéant) et l’application de restrictions ou de mesures de protection prenant en compte la nature des données et les risques encourus, comme par exemple la limitation à des fins strictes, les restrictions d’accès (notamment l’accès pour les membres du personnel ayant suivi une formation spécialisée), la un enregistrement de l’accès aux données, des restrictions pour les transferts ou des mesures de sécurité supplémentaires : Aucun ; non autorisé dans le cadre de la politique d’utilisation interdite de OpenMethods.

La fréquence du transfert (par ex. si les données sont transférées de façon ponctuelle ou continue) : Les Données à caractère personnel des clients peuvent être transférées de façon continue ou ponctuelle en fonction de l’utilisation des Services par le Client et de ses instructions de traitement.

objectif(s) du transfert de données et du traitement ultérieur : Pour que OpenMethods fournisse, maintienne et améliore les Services fournis à l’exportateur de données, conformément à l’Accord.

La période pendant laquelle les données à caractère personnel seront conservées ou, si cela n’est pas possible, les critères utilisés pour déterminer cette période : OpenMethods conservera les données à caractère personnel des clients pendant 180 jours maximum après la résiliation ou l’expiration de l’Accord. Pour les transferts à des sous-traitants, spécifiez aussi le sujet, la nature et la durée du traitement.

Durée : La durée de l’Accord plus toute période après la résiliation ou l’expiration de l’Accord pendant laquelle OpenMethods traitera les Données à caractère personnel des clients conformément à l’Accord.

Sujet : Le sujet du traitement des données dans le cadre de cet ATD est les Données à caractère personnel des clients.

Nature du traitement : La prestation des Services tels que décrit dans l’Accord et initiée de temps à autre par le Client.

 

C. AUTORITÉ DE SURVEILLANCE COMPÉTENTE

MODULE DEUX : Transférer le contrôleur au sous-traitant

Identifier la ou les autorités de contrôle compétentes conformément à l’article 13 : L’autorité de contrôle compétente de l’exportateur de données sera déterminée en fonction du RGPD.

 

ANNEXE II

MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS LES MESURES TECHNIQUES ET ORGANISATIONNELLES PERMETTANT D’ASSURER LA SÉCURITÉ DES DONNÉES

MODULE DEUX : Transférer le contrôleur au sous-traitant

OpenMethods utilise les mesures techniques et organisationnelles suivantes pour protéger les informations personnelles :

• Mesures de pseudonymisation et de chiffrement des données personnelles
• Mesures visant à garantir la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes de traitement et des services
• Mesures permettant de rétablir la disponibilité et l’accès aux données à caractère personnel en temps opportun en cas d’incident physique ou technique.
• Processus permettant de tester et d’évaluer régulièrement l’efficacité des mesures techniques et organisationnelles afin de garantir la sécurité du traitement.
• Mesures d’identification et d’autorisation des utilisateurs Mesures de protection des données pendant la transmission
• Mesures de protection des données pendant le stockage
• Mesures pour garantir la sécurité physique des emplacements où sont traitées les données à caractère personnel.
• Mesures pour garantir la consignation des événements
• Mesures pour garantir que la configuration du système, y compris la configuration par défaut
• Mesures pour la gouvernance et la gestion internes de l’informatique et de la sécurité informatique
• Mesures pour la certification/l’assurance des processus et des produits
• Mesures pour garantir la minimisation des données
• Mesures pour garantir la qualité des données
• Mesures pour garantir une rétention des données limitée
• Mesures pour garantir la responsabilité
• Mesures pour permettre la portabilité des données et garantir leur effacement

Les mesures techniques et organisationnelles que l’ importateur de données imposera aux sous-traitants sont décrites dans l’ATD.

 

ANNEXE III

Clauses contractuelles standards

A) Sous réserve de la section 8.2 de cet ATD, lorsque le transfert des Données à caractère personnel des clients à OpenMethods est un transfert restreint et le RGPD ou l’ATD suisse nécessite la mise en place de mesures de protection appropriées, le transfert sera régi par les CCT de l’UE comme suit :

i. (i) Le module Deux (Transfert du contrôleur au processeur) s’appliquera ;

ii. (ii) dans la clause 7 (clause d'ancrage), la clause d'ancrage facultative s'appliquera ;

3. (III) de la clause 9 (Utilisation de sous-traitants), l'option 2 s'appliquera et la période de préavis pour les modifications de sous-traitants sera celle définie dans la clause 3.2 de cet ATD ;

iv. (iv) dans la clause 11 (Recommandation), la langue facultative pour permettre aux personnes concernées de déposer des réclamations auprès d’un organisme de résolution des différend indépendant ne s’appliquera pas ;

v. (v) dans l’article 17 (loi applicable), l’option 1 s’appliquera et les CCT de l’UE seront régies par le droit néerlandais ;

vi. (vi) dans la clause 18 (b) (Choix du forum et de la juridiction), les conflits seront résolus devant les cours d’ Amsterdam, aux Pays-Bas ; et

B) lorsque le transfert des données à caractère personnel des clients à OpenMethods est un transfert restreint et que le RGPD du Royaume-Uni nécessite la mise en place de mesures de protection appropriées, les CCT du Royaume-Uni s’appliqueront conformément au paragraphe (a) ci-dessus.

pièce 2 - OpenMethods Deliverables

EXEMPLE C 

NOM DU PROJET CLIENT

CONTENT DE TRAVAIL

NUMÉRO D’ASSISTANCE : 08102024-000

VERSION : 1.0

INTRODUCTION

OpenMethods a le plaisir de fournir ce Cahier de charge à l’Abonné identifié sur le Cahier de charge de Zendesk, ou accord similaire, auquel cet Cahier de charge est joint (le « Client ») en tant que description et accord pour les services fournis seront fournis pour activer la solution Experience Cloud pour l’utiliser dans l’environnement du Client comme défini dans le présent Cahier de charge et/ou dans le bon de commande OpenMethods associé, le cas échéant. 

Le présent Cahier de charge est inclus dans, et incorporé par cette référence, les Conditions de service de OpenMethods, et toutes les annexes, emplois du temps, Addenda, pièces jointes, Cahier de charge (y compris, mais sans s’y limiter, le présent Cahier de charge) et ses modifications (« Accord).  Tous les termes commençant par une majuscule utilisés dans le présent Cahier de charge qui ne sont pas définis ici sont définis dans l’Accord.

SOMMAIRE

Cet enregistrement de travail décrit la configuration requise, la portée et les activités nécessaires pour configurer Experience Cloud dans l’environnement du client. Dans le cadre de ce projet, OpenMethods :

• Fournir une solution sous licence.
• Créez, testez et déployez des popFlows de concepteur d’expérience.
• Support le client dans les tests d'acceptation des utilisateurs et les activités de mise en route.
• Offrez une formation portant sur les solutions.

Aperçu de l’environnement

Définitions

Les termes suivants sont utilisés pour décrire les solutions de OpenMethods ou leurs composants principaux :

1. Experience Cloud – le portail principal basé sur le Web, utilisé pour administrer la solution OpenMethods et ses divers composants.
2. Créateur d’expérience  : interface utilisateur au sein d’Expérience Cloud qui permet aux administrateurs de créer, tester et publier des popFlows qui orchestrent les activités des agents, associées à une interaction, dans le CRM.

Activités

Le déploiement de la solution OpenMethods sera limité aux objectifs répertoriés ci-dessous. Il est de la responsabilité du propriétaire identifié de chaque objectif d’effectuer chaque étape (expliqué plus en détail à l’annexe A). 

• Disposition (OpenMethods) : OpenMethods fournira Experience Cloud pour assistance l’environnement et les besoins professionnels du Client, comme définis dans le présent Cahier de charge.
• Affectation des ressources et des rôles (OpenMethods) : OpenMethods collaborera avec le client pour définir les exigences de configuration et d’intégration élémentaires de la solution OpenMethods et fournira les informations pertinentes.
• Préparation (client) : Le client configurera son environnement et fournira son accès (compte utilisateur) à son environnement afin de satisfaire aux exigences du présent cahier de charge. Cela inclut l’installation de l’application Experience Cloud, qui est disponible immédiatement dans Zendesk App Marketplace.
• Créer des popFlows (OpenMethods) : OpenMethods sera responsable de la création des popFlows comme documenté dans la section « PopFlow Design and Creation » de cet Cahier de charge.
• Test de validation (OpenMethods) : Une fois la solution activée et les popFlows créés, OpenMethods garantit que la solution fonctionne selon les spécifications.
• Test d’acceptation des utilisateurs (client) : Le client effectuera UAT et signalera tous les problèmes découverts. Les problèmes signalés seront classés en ordre de priorité et résolus avant ou après le lancement, en fonction de l’importance du problème. Le client est responsable de la création de tous les scripts ou procédures de test requis pour son processus UAT.
• Formation (OpenMethods) : OpenMethods sera responsable de la formation du client pour l’utilisation, la configuration et l’administration de la solution OpenMethods. Cette formation consistera en ce qui suit : 
  • Formation utilisateur PopFlow : axée sur l’apprentissage aux agents de la façon d’interagir avec les médias et de les utiliser correctement et de les utiliser. La session est donc fournie sous forme de « former le formateur » afin que l’organisation de formation du client puisse former ses agents en fonction du calendrier des projets. Cette session de formation prend généralement 2 heures.
  • Formation à l’administration du cloud : cette formation est axée sur l’administration, la maintenance et l’intégration de la solution OpenMethods d’un point de vue technique. Cette session de formation prend généralement 2 heures.
  • Formation Concepteur d’expérience : cette formation est axée sur l’utilisation du concepteur d’expérience. Il est destiné à tous les utilisateurs qui seront responsables de la création, de la maintenance, des tests et du déploiement de PushFlows. Cette formation est généralement segmentée en plusieurs sessions pour une durée totale de <16 heures>.
• Go-Live (Client/OpenMethods) : OpenMethods aidera le client à activer la solution. OpenMethods Project Management Office (PMO) restera engagé pendant 10 jours après le lancement en vue de la transition vers le service client et la réussite.
• Attention et réussite (OpenMethods) : OpenMethods organisera une réunion formelle pour présenter les membres du personnel clients appropriés aux équipes de service client et de réussite de OpenMethods et pour s’assurer qu’ils connaissent bien le processus et les exigences liés à l’obtention d’une assistance future.

Conception et création de popFlow

Les automatismes basés sur la solution OpenMethods nécessitent un événement déclencheur spécifique à l’agent pour commencer l’automatisme (par exemple, l’agent clique sur un bouton, réponde à un téléphone/e-mail/chat, saisit ou modifie les données de champ dans CRM , etc.). Le client fournira et configurera tous les mécanismes de déclenchement requis pour déclencher les automatismes, conformément à la documentation de l’API OpenConnect d’OpenMethods ou tel que défini au moment du lancement du projet. Le Client fournira la documentation sur l’interface de programmation d’application, la connectivité et l’accès nécessaires pour tous les services ou applications concernés par la description du présent Énoncé des tâches. Les capacités de la solution OpenMethods peuvent être limitées par les fonctionnalités présentées par les API tierces fournies.

Les pop-flows suivants seront créés et déployés dans le cadre de ce projet. Les utilisations supplémentaires et/ou le travail de conception, de création ou d’implémentation de MultiFlow seront considérés comme n’entrant pas dans le cadre de ce projet et seront couverts dans un cahier de charge séparé.

<INSÉRER CHAMP D’APPLICATION ICI>

Conflits et assemblances du projet 

1. Le client est responsable de toutes les exigences de préparation du site et de s’assurer qu’elles sont satisfaites selon le package « OpenMethods Client Préparation ».
2. Le client est chargé de fournir une ressource disponible avec un accès de niveau administrateur aux instances CRM nécessaires.
3. Le client est responsable de fournir les comptes « Test » qui seront utilisés pour effectuer les tests de validation. Les identifiants doivent être fournis par le biais de méthodes sécurisées (par ex. Zoom Chat, Slack avec suppression, E-mail non autorisé).
4. Le client est responsable de fournir une connectivité sécurisée aux services de OpenMethods. 
5. Le Client accepte de remplir les rôles de partie prenante, tels que définis dans l’annexe A, et comprend qu’ils sont nécessaires à la réussite de l’implémentation. 
6. Le client convient qu’une partie ou la totalité de la solution requise peut être livrée sous forme de configuration personnalisée (notée ici par « Services personnalisés ») pour répondre à des exigences spécifiques décrites dans le présent Cahier de charge et que :  

a. les services personnalisés créés dans le cadre de ce projet sont fournis « tels quels ». OpenMethods garantira que la mise en œuvre sera exempte de défauts matériels pendant une période de 60 jours, après laquelle ne donne aucune garantie quant à la fonctionnalité, la compatibilité ou la performance à long terme de cet actif de services. 

b. Bien que conçus en utilisant des API et Interfaces publiées au sein de services intégrés, les Services personnalisés peuvent nécessiter des modifications ou mises à jour pour rester compatibles avec les mises à jour ou changements futurs des logiciels fournis par OpenMethods ou d’API ou services tiers intégrés. OpenMethods n’est pas responsable de la prise en charge ou de la maintenance d’une configuration personnalisée qui devient obsolète ou incompatible à cause de telles mises à jour. OpenMethods fournira une assistance continue au Client pour les livrables uniquement et ne sera pas tenu de remédier aux défauts qui lui sont signalés après l'expiration de la Période de garantie. Toute demande de modification, de mise à jour ou assistance pour une configuration personnalisée obsolète sera soumise à un Cahier de charge distinct et pourra entraîner des frais supplémentaires.     

7. de sera soumis à un cahier de charge distinct et pourra entraîner des frais supplémentaires.

Honoraires de services professionnels

Les frais de Services professionnels indiqués dans le présent Cahier de charge sont valables pendant 90 jours à compter de la livraison initiale du CDC au Client et doivent être réglés dans les 30 jours suivant l’exécution du Cahier de charge. Ce pack de service d’intégration arrive à expiration 6 mois après la date de début de l’abonnement.

Le Client autorise OpenMethods à fournir des Services professionnels et à facturer au Client par le biais de Zendesk pour ces Services professionnels, comme établi dans le présent Cahier de charge. Le présent Cahier de charge OpenMethods entrera en vigueur à la date à laquelle le Client et Zendesk exécuteront le CDC Zendesk (ou document de commande similaire) auquel le Cahier de charge OpenMethods est joint.

 

APPENDICE A – EXIGENCES POUR LES PARTIES PRENANTES 

 

Illustration 1 

ACCORD-CADRE DE SERVICES 

Dans le cadre des promesses mutuelles, des accords et du contrat que contient le présent document, les parties conviennent que la relation commerciale sera régie par les points suivants :

1.                L’objet de ce contrat est la prestation de services par la société BCR TÉLECOMUNICAC contacts LTDA (« Contracteur ») dans le LOGICIEL EN TANT QUE PLATEFORME DE SERVICE POUR CX, dans les paramètres et la modalité choisis et présents dans la Durée de la spécification du contrat.
2.                 L’entreprise propose les produits et services suivants, conjointement ou séparément, selon le contrat : 

1. Conciex Talk : Solution de CCaaS, avec rapports, panneau d’administration et interface d’agent conviviale, conçue pour améliorer les expériences et réduire les coûts et s’intègre à différents CRM sur le marché. 

2. Concieex Messaging : application qui fonctionne comme une plateforme de communication qui aide les utilisateurs à envoyer des messages individuels ou en masse à partir de différents canaux (WhatsApp, SMS et e-mail) par le biais d’intégrations avec des CRM de marché

3. Les services de sous-traitant applicables que le Client commande à Sous-traitant en vertu du présent Accord seront définis sur l’Accord de revente Zendesk (tel que défini ci-dessous). 
4. Zendesk, Inc., société du Delaware, et toutes ses filiales concernées (« Zendesk ») joueront le rôle d’agent de facturation pour l’abonnement du client aux services de l’entreprise commandés par le client à l’entreprise dans le cadre de cet accord, conformément à l’accord de revente Zendesk. . Le terme « Accord de revente Zendesk » désigne la commande, l’accord ou document de commande similaire émis par Zendesk au Client, auquel le présent Accord est joint ou incorporé, qui définit, sans s’y limiter, l’édition d’abonnement du Client, la durée de l’abonnement, les frais et la facturation les Services de l’entreprise dans le cadre de cet Accord. Les parties conviennent que Zendesk est autorisé à recevoir les tarifs et les informations contractuelles ayant trait aux services de sous-traitant que le Client commande en vertu du présent Accord, en vertu d’un accord de revente Zendesk, dans la mesure nécessaire pour que Zendesk agisse en tant qu’agent de facturation.

1.                 Les Conditions générales spécifiques, signées par les parties à la conclusion, sont incorporées au présent Accord par référence et sont considérées comme incorporées à tous les Cahier de charge. 
2.                 Les deux doivent être lus, appliqués et compris ensemble, mais en cas de divergence entre le présent document (« CAP ») et ce qui est mentionné ci-dessus (les « Conditions générales »), la deuxième prévaut. 
3.                 Cette condition s’applique également aux modifications potentielles qui peuvent être signées entre les parties.

3.1 La durée de l’abonnement du Client aux services du Sous-traitant sera définie dans l’Accord de revente Zendesk auquel est joint le présent Accord.

3.2 Le présent Accord peut être résilié immédiatement dans les cas suivants :

3.3.1 Non-conformité ou conformité régulière aux clauses contractuelles, par l’une ou l’autre des parties, à condition qu’elle ne soit pas corrigée dans les 10 (dix) jours suivant la notification écrite ; 

3.3.2 En cas d’insolvabilité, de catastrophe, de résolution ou de demande de réorganisation judiciaire ou extrajudiciaire, de l’une des parties ;

3.3.3 La survenance d'un cas fortuit ou de force majeure, qui rend le service impossible ou difficile.

3.3.4 En cas de commercialisation ou d’affectation des services sous-traités à des tiers par la Partie contractante sans le consentement préalable de l’entreprise, en cas de non-conformité aux dispositions légales ou en cas d’utilisation des services de manière frauduleuse ou illégale.

4.1 Le client règlera tous les frais relatifs aux services fournis par Zendesk spécifiés dans l’accord de revente de Zendesk. Toute modification des services de Sous-traitant que le Client achète auprès de Sous-traitant par le biais de Zendesk sera soumise à un ordre de modification ou un ajustement.

4.2 Une fois la Partie contractante notifiée, si le défaut reste plus de 15 jours, les services seront immédiatement suspendus, sans préter les paiements dus, et le contrat peut être résilié, à la discrétion du Sous-traitant, après une 30 (trente) jours d’interruption totale sans paiement dû, et aucun type d’indemnisation ou d’indemnisation n’est dû, dans toutes les circonstances.

4.3 Pour l’initialisation de l’un ou plusieurs services ou configurations, un montant peut être facturé si la CONFIGURATION est stipulée dans le contrat et si le début est soumis à une condition de paiement, qui doit avoir lieu, même si l’annulation a lieu au cours de la procédure, car cela correspond au temps consacré au service.

5.1 Le Prestataire a conscience que la prestation des Services peut nécessiter une infrastructure de base, comme un accès Internet ou un espace interne, auquel cas il ne sera pas responsable des conséquences des services fournis par des tiers.

5.2 Le contrat peut être considéré comme résilié de droit si la difficulté technique ou opérationnelle est trouvée au moment de l’installation / du début des services, sans que les parties n’aient droit à aucune indemnisation.

6.1 L’entrepreneur respectera les responsabilités et les procédures Support jointes en pièce jointe dans la pièce A.

6.2 Le Sous-traitant déclare et garantit que ses Services atteindront un pourcentage de disponibilité mensuelle d’au moins 99,9 % au cours de n’importe quel mois calendaire (c.-à-d. un maximum de quarante-trois (43) minutes d’indisponibilité par mois) pendant la Durée. Les temps de maintenance/indisponibilité planifiés seront limités à moins de quatre (4) heures par mois donné et l’entreprise fournira au client au moins sept (7) jours à l’avance, par écrit (e-mail acceptable), au client d’une telle indisponibilité («  »)Indisponibilités programmées »).

6,3 Le Prestataire informera le Client au moins six (6) mois à l’avance de la fin de vie ou de l’abandon d’une fonctionnalité ou d’une fonctionnalité.

7.1 Les parties conviennent que, aux fins de la prestation de services, les dispositions du présent document doivent être lues et interprétées conformément à la loi générale sur la protection des données (loi 13.709/2018).

7.2 Les parties s’engagent, pour elles-mêmes et leurs employés, par le biais de ce contrat, à se conformer, pendant la durée de la prestation du Service, aux lois et aux réglementations en vigueur en ce qui concerne la protection des Données à caractère personnel, en particulier la loi 13.709/2018.

7,3 Le Sous-traitant s’engage à respecter les meilleures normes de sécurité utilisées pour garantir la sécurité de ses clients, de sorte que toutes les informations fournies par le Sous-traitant seront protégées par des entreprises spécialisées et que toutes les informations recueillies par le biais de la Plateforme seront stockées dans des environnements sécurisés avec un accès restreint.

7.4 Vous certifiez que vous nous fournirez uniquement des informations vraies, complètes et à jour. Le Sous-traitant ne sera pas responsable des informations fournies par le Sous-traitant, notamment ne sera pas tenu d’inspecter ou de contrôler la vératé des informations fournies à toute étape de l’utilisation de la Plateforme. La Partie contractante est responsable, socialement et responsable, de la vérification des informations fournies.

7,5 L’entreprise se réserve le droit de suspendre ou d’interrompre la prestation de services dans les cas où les informations fournies par l’entreprise sont fausses ou considérées comme illégales par toute autorité judiciaire ou administrative.

7,6 L’entreprise peut, à tout moment, s’il en a été préalablement informé, immédiatement suspendre les services fournis, en cas d’ordonnance du tribunal ou en cas de législation interdisant ou empêchant la prestation de services.

7,7 Nous ne divulguerons les informations que vous avez fournies à des tiers que si une autorité judiciaire l'exige. Le Sous-traitant fournira, sur autorisation judiciaire, toutes les informations demandées par le gouvernement, les organismes publics ou l’administration directe ou indirecte, si elles sont dûment fondées et compatibles avec la loi en vigueur, et informera immédiatement le Sous-traitant, qui adoptera la les mesures qu’il juge pertinentes et appropriées.

7,8 La Partie contractante a le droit d’obtenir, à tout moment, sur demande formelle 15 (cinq) jours à l’avance, des informations au sujet de ses données traitées par BCR.CX, ou de suspendre l’autorisation de traitement des données, comme le garantit la politique générale de protection des données. Loi (Loi 13.709/2018).

7,9 Les parties s’engagent à signaler, dans un délai de 24 heures, toute violation de la sécurité dans le cadre de leurs activités et de leurs responsabilités.

7.10 Le prestataire se conformera aux mesures de sécurité des informations jointes en pièce jointe B.

8.1 Le Sous-traitant déclare que le présent contrat, ainsi que tous les services fournis, sont conformes aux critères ESG, en respectant et en mettant en œuvre les meilleures pratiques en matière d’environnement, de société sociale et de gouvernance.

8.2 Dans le cadre de ses activités, le Sous-traitant respecte et met en œuvre des mesures pour lutter contre les pratiques de filtrage d’argent et de corrompus sous toutes leurs formes, notamment l’extortion et les subversations, dans le respect de toutes les lois applicables, en particulier la loi sur le « lantage » ou la dissimulation de biens, de droits et de valeurs ( loi 9 613/98) et la loi anti-corruption (loi 12 846/2013).

8.3 Le Prestataire adopte et soutient les engagements sociaux pour lutter contre les pratiques illégales, les conduites discriminatoires et inhumanes dans les relations de travail.

8.4 Le Prestataire s’efforce de fournir ses services d’une façon responsable et responsable de l’environnement, en minimisant les risques pour l’environnement et en appliquant des politiques de conservation de l’environnement dans ses activités, en évitant les pratiques malveillantes et en se conformer à la législation sur l’environnement en vigueur, y compris mais sans s’y limiter, la Loi sur la protection de l’environnement (Loi 6.938/1981) et Loi sur les infractions à l’environnement (Loi 9.605/1998)

8,5 Respecter et s’assurer que ses agents et employés se conforment aux politiques, normes et standards établis par l’autre Partie quand ils restent dans ses locaux, obligeant les employés et les sous-traitants à se conformer aux normes en matière de sécurité, l’environnement, l’hygiène et la médecine professionnelle, ainsi que le travail des mineurs.

9.1 Les parties déclarent, dans l’acte de conclusion de leur contrat, une démonstration d’acceptation valide et efficace du présent terme.

9.2 Les parties choisissent la juridiction de São Paulo - SP, domicile de l’entreprise, pour résoudre tous les problèmes liés à cet accord.

 

Affiche A — Responsabilités et procédures Support

1. Définitions

Dans cette pièce jointe A :

(a) « Support niveau 1 » désigne le premier niveau d’ assistance fournie au client par le prestataire afin de recueillir les commentaires du client, de vérifier les symptômes et de faire remonter les Support au niveau 2, si nécessaire.

(b) Le terme « Support niveau 2 » fait référence au deuxième niveau d’ assistance fourni par l’entreprise au client pour traiter les problèmes et les résolutions des services de l’entreprise et de l’infrastructure.

(c) « Support niveau 3 » fait référence au troisième niveau d’ assistance fourni par le prestataire, portant sur la résolution des bugs du code d’application ou du code d’infrastructure.

(d) « Heures Support des sous-traitants » pour les problèmes non critiques ou ayant un impact sur l’activité non majeur signifie entre 9h00 et 24h00 un jour ouvré (du lundi au vendredi, toutes les semaines de l’année). Les heures Support et les obligations de réponse pour les problèmes critiques ou ayant un impact majeur sur l’activité sont décrites ci-dessous.

2. obligations Support des prestataires

Le Sous-traitant fournira au Client toute assistance portant sur les problèmes identifiés par le Client et signalés au Sous-traitant. Ces services assistance seront fournis par le biais du système de tickets du service d’assistance Zendesk.

Le prestataire doit répondre aux demandes d’ assistance:

(a) pour les problèmes ayant un impact critique sur l’activité, dans un délai de trente (30) minutes 24 (24) heures par jour, trois cent six cinq (365) jours par an. Le Sous-traitant fournira au Client (et à Zendesk, si ces problèmes critiques liés à des demandes assistance du client lui sont transmises par Zendesk) des mises à jour sur ces problèmes toutes les 30 minutes jusqu’à résolution du problème. Nous définissons un impact critique sur l’activité comme un problème qui perturbe la fonctionnalité matérielle dans l'environnement de production des services du prestataire ou compromet la sécurité/l’intégration des données dans les services du prestataire. Les problèmes critiques ayant un impact sur l’activité resteront tant que la perturbation est en cours, que leur résolution est urgente et qu’aucune solution raisonnable n’est disponible ;

(b) pour les problèmes ayant un impact majeur sur l’activité dans un (1) heure, 24 h/24, 30 65 jours par an. L’entreprise fournit au Client (et à Zendesk si ces problèmes critiques liés à des demandes assistance du client lui sont envoyées par Zendesk) des mises à jour sur les problèmes ayant un impact grave sur l’activité toutes les heures (1) jusqu’à résolution du problème. Un impact majeur sur l’activité se définit comme un problème qui dégrade une fonctionnalité matérielle ou perturbe ou dégrade considérablement les opérations normales du client, se trouve dans l’environnement de production d’un client et est très urgent, et/ou représente un effort imprévu et/ou des efforts non planifiés importants pour problème pour maintenir des opérations normales dans l’entreprise ; 

(c) pour les autres problèmes et demandes, dans un délai de six (6) heures Support par l’entreprise ;

(d) de résoudre les problèmes qui lui sont signalés dans un délai commercialement raisonnable ; et

(e) en fournissant des mises à jour continues sur les problèmes non résolus au moins une fois par semaine jusqu’à ce que le problème soit résolu.

 

pièce jointe B – mesures de sécurité des informations.

Le prestataire garantit et déclare qu’il fera des efforts commercialement raisonnables pour mettre en œuvre et maintenir les mesures de sécurité détaillées ci-dessous afin de conserver tout le contenu, les documents, les données (y compris les données personnelles) et les informations non publiques fournis ou mis à la disposition du client (collectivement, lesdonnées ») sécuriser et protéger les Données de traitement non autorisé ou illégal, de perte, de destruction ou d’endommagement accidentel, comme expliqué ci-dessous. Ce faisant, l’entrepreneur agira de bonne foi et en faisant preuve d’une attention et de compétences raisonnables. 

A. Définitions :

• Le terme « processus » désigne toute opération ayant trait aux Données, quels que soient les buts et les moyens appliqués, y compris mais sans s’y limiter, l’accès, la collecte, la rétention, le stockage, le transfert, la divulgation, l’utilisation, l’effacement, la destruction et toute autre opération.
• « Violation » fait référence à tout (a) Traitement non autorisé des Données ou (b) toute action ou émission qui compromet ou sapera les mesures de protection physiques, techniques ou organisationnelles mises en place par le Sous-traitant en ce qui concerne le Traitement des Données ou tout autre moyen mis en place pour respecter ces exigences. . Afin d’éviter le moindre doute, le terme «  Traitement non autorisé » inclut notamment : mauvaise utilisation, perte, destruction, compromis ou accès non autorisé, recueil, rétention, stockage ou transfert.
• Le terme « incident » désigne toute perturbation de la sécurité des données, y compris tout (i) action qui viole toute loi ou politique de sécurité de l’entreprise, (ii) la perturbation du service imprévue qui empêche le fonctionnement normal des services de l’entreprise, ou (III) la violation.

2. Mesures : Mesures techniques et organisationnelles pour le stockage, la gestion et la suppression des Données et des Données.

• Le prestataire utilise des algorithmes de chiffrement standards de l’industrie et des points forts pour chiffrer les éléments suivants :
• Crypter toutes les Données qui sont sous forme électronique alors qu'elles sont en transit sur tous les réseaux câblés publics (comme Internet) et tous les réseaux sans fil. 
• Crypter toutes les données lorsqu’elles sont stockées. Le terme « en stockage » fait référence aux informations stockées dans des bases de données, des systèmes de fichiers et divers supports en ligne et hors ligne (appareils mobiles, ordinateurs portables, DASD, bande, etc.) et est souvent simplement appelé « au repos ».
• Sauf quand la loi l’interdit, le Prestataire supprimera rapidement les Données une fois (a) l’achèvement des services du Prestataire ; ou (b) demander au Client d'être retiré de l'environnement du Sous-traitant et de le détruire dans un délai raisonnable, mais dans ce cas, pas plus de vingt-et-un (21) jours après la date de la demande ou de l'arrêt des services. L’entreprise fournira au Client une certification écrite au sujet de ce retrait, de la destruction et/ou du nettoyage dans les trente (30) jours suivant.

3. Mesures : Protection contre les codes malveillants. 

• Tous les postes de travail et serveurs (consultables ou physiques) exécuteront la version actuelle du logiciel antivirus et/ou anti-programme malveillant standard, avec les mises à jour les plus récentes disponibles sur tous les postes de travail ou serveurs. Les définitions de virus doivent être mises à jour rapidement dès leur sortie par le fournisseur du logiciel antivirus. Le prestataire configurera le matériel et appliquera des politiques connexes pour interdire aux utilisateurs de désactiver les logiciels antivirus, de modifier les configurations de sécurité ou de désactiver d’autres mesures de protection mises en place pour garantir la sécurité des données ou de l’environnement informatique du prestataire.
• Le prestataire analysera le contenu entrant et sortant pour détecter le code malveillant sur toutes les passerelles vers des réseaux publics, notamment les serveurs de messagerie et proxy.
• Le prestataire met en quarantaine ou supprime les fichiers identifiés comme atteints et consigne l’événement.

4. Mesures : Mesures techniques et organisationnelles pour contrôler l’accès, en particulier pour contrôler la légitimité des utilisateurs autorisés à accéder aux ressources et systèmes où il est possible d’accéder aux Données :

• Le prestataire s’assure que des mesures sont prises pour sécuriser ses locaux (par exemple, sécuriser les entrées et sorties) ainsi que des mesures dans son bâtiment en utilisant les procédures suivantes :
• la sécurité et le chiffrement de tous les ordinateurs personnels et autres appareils mobiles ayant accès aux Données ;
• un accès limité aux employés et sous-traitants, à l’exception des visiteurs autorisés ; 
• identification des personnes ayant le pouvoir d’accès ;
• restriction sur les clés ;
• registres des visiteurs (notamment pour la gestion du temps) ; et
• système d’alarme ou autres mesures de sécurité appropriées.

Le prestataire révoquera l’accès aux emplacements physiques, systèmes et applications qui contiennent ou traitent des Données dans un délai de vingt-quatre (24) heures suivant la fin de la nécessité pour cet agent autorisé d’accéder aux systèmes ou applications.

5. Mesures : Mesures techniques (par mot de passe / protection par mot de passe) et organisationnelles (enregistrement principal de l’utilisateur) portant sur l’identification et l’authentification des utilisateurs :
   
   

Le Prestataire informera le Client, sur sa demande raisonnable, quelles personnes autorisées ont accès aux Données.

Le contrôle par l’utilisateur inclura les mesures suivantes :

• profil VPN restreint ;
• Implémentation de l’authentification à deux facteurs

Le contrôle de l’accès aux données inclura les mesures suivantes :

• des mesures omnicanal efficaces et mesurées à l’encontre des personnes qui accèdent aux données sans autorisation.

6. Mesures : Mesures techniques et organisationnelles relatives à la sécurité des réseaux (y compris les réseaux sans fil) utilisés par le Prestataire.

Tous les contrôles réseau doivent inclure les mesures suivantes :

• Le Sous-traitant effectuera régulièrement des analyses de la vulnérabilité des réseaux internes et externes. Les vulnérabilités identifiées seront corrigées d'une façon commerciale raisonnable et dans un délai fondé sur leur gravité.
• Le prestataire déploiera une technologie de pare-feu raisonnablement appropriée pour ses réseaux. 
• Au minimum, le fournisseur passera en revue les règles de pare-feu tous les trimestres pour s’assurer que les anciennes règles sont supprimées et que les règles actives sont configurées correctement.
• Le prestataire déploiera des systèmes de détection et de prévention des intrusions afin de surveiller les réseaux afin de repérer toute activité inappropriée.
• Le prestataire déploiera une solution de gestion des journaux et conservera les journaux produits par les pare-feux et les systèmes de détection des intrusions pendant au moins un (1) an.

Les contrôles réseau sans fil doivent inclure les mesures supplémentaires suivantes :

• L’accès aux réseaux sans fil doit être limité aux personnes autorisées uniquement. 
• Les points d’accès doivent être segmentés à partir d’un réseau local (LAN) interne câblé à l’aide d’un appareil de passerelle.
• L’identifiant de service (SSID), l’ID utilisateur de l’administrateur, le mot de passe et les clés de chiffrement doivent être modifiés par rapport à leur valeur par défaut.
• Le cryptage de toutes les connexions sans fil sera activé en utilisant des algorithmes de cryptage standards du secteur. Les protocoles de chiffrement seront basés sur « Wireless Protected Access » (WPA2) ou des protocoles plus solides. 

7. Mesures : Le prestataire maintiendra une fonction de réponse aux incidents, capable d’identifier, de minimiser les effets des incidents et d’en empêcher la récurrence. Si un Incident survient, le Prestataire (i) prendra immédiatement toutes les mesures nécessaires pour éviter toute violation des Données ou tout Incident futur ; (ii) informera le Client dans les vingt-quatre (24) heures suivant l’identification de l’Incident et fournira un rapport écrit dans les trois (3) jours qui suivent ; et (III) répondre rapidement à toute demande raisonnable du Client souhaitant obtenir des informations détaillées au sujet de l’Incident. L’avis et le rapport du prestataire contiendront une description de la nature de l’incident, de son impact et de toute mesure d’enquête, correction ou correction effectuée ou prévue.

8. Mesures : Continuité des opérations et reprise d’activité. Le prestataire mettra en œuvre un plan de continuité des opérations commercialement raisonnable et standard du secteur pour maintenir la disponibilité de ses services (le « plan de continuité »). Le plan de continuité inclut et inclura, mais ne s’y limitera pas, des éléments comme (a) la gestion des crises, l’activation des plans et des équipes, la documentation des processus de communication et des événements ; (b) gestion des événements, reprise d’activité, emplacements de sites alternatifs et tests de l’arborescence des appels ; et (c) les détails de l'infrastructure, de la technologie et du ou des systèmes, les activités de reprise et récupération et l'identification des personnes / équipes nécessaires à cette reprise. Le prestataire maintiendra ce Plan de continuité pendant toute la durée de tous les abonnements. étant entendu que l’entreprise aura le droit de modifier ou d’apporter les modifications au plan de continuité, à condition que cette modification ou amélioration n’ait pas d’incidence négative sur la capacité de l’entreprise à maintenir la disponibilité de ses services.

1. À la demande du Client, le Prestataire apportera des modifications commercialement raisonnables à son programme de sécurité des informations ou aux procédures et pratiques sous-jacentes pour se conformer aux exigences de sécurité de référence du Client telles que décrites dans toutes les pièces appropriées de l’Accord et telles qu’elles existent de temps à autre. Le Client fournira au Sous-traitant la documentation de ces références, qui feront partie des informations confidentielles du Client dans le cadre de l’Accord. Le prestataire développera un plan de sécurité des informations écrit pour le Client, contenant au minimum les sujets du présent Accord.

 

 

Illustration 1 

Aircall End Customer Agreement

Le présent accord du client final d’Aircall (« SCA ») régit la relation entre le client (« vous » ou « Client ») et Aircall (« nous » ou « Aircall ») dans le contexte des services fournis dans le cadre de l’accord contractuel plus large entre Zendesk. et le Client (l’« Accord Zendesk »). 

Le présent SCA entre en vigueur à la date à laquelle le Client accepte ou accepte les dispositions du présent Accord, ou utilise ou accède aux Services (la « Date d’entrée en vigueur »). Le présent SCA est un accord ayant force obligatoire entre Customer et Aircall, et non Zendesk. En cas de conflit entre l’Accord Zendesk et le présent Accord, en ce qui concerne les services Aircall qui sont des services non proposés par Zendesk dans le cadre de l’Accord Zendesk, le présent Accord entre en vigueur. 

Le présent SCA incorpore par référence les conditions générales d’Aircall (« T&C »), disponibles sur https://legal.aircall.io/, telles que modifiées de temps à autre, sauf si expressément modifiées ou complétées dans le présent document. En cas de conflit ou d’incompatibilité entre les conditions de l’SCA et les Conditions d’utilisation, les Conditions d’utilisation seront prioritaires. La pièce jointe A définit le jeu de conditions générales applicables en fonction de l’emplacement géographique du client.

En utilisant les Services d’Aircall, vous acceptez les conditions définies dans cet SCA et les T&C applicables. L’SCA et les T&C sont conjointement appelés « Accord ». 

1. Définitions

Les termes en majuscules utilisés mais non définis dans le présent Accord ont la signification qui leur est affectée dans les Conditions générales.

2. Documents contractuels - Ordre de priorité

L’accord entre le client et Aircall au sujet des services d’Aircall comprend les Conditions générales d’Aircall pertinentes (comme détaillés dans la pièce jointe A ci-dessous), y compris tout avenant applicable aux Conditions générales, cette SCA, y compris les annexes SCA et l’Accord sur le traitement des données d’Aircall ( comme défini ci-dessous) et, le cas échéant, tout Bon de commande ou Achat (tels que définis dans la section 1 des Conditions générales). 

En cas de conflit ou d'incompatibilité entre les documents comprenant le présent Accord, l'ordre de priorité suivant s'appliquera (du plus élevé au plus bas) : (i) l'Accord de traitement de données d'Aircall ; (ii) cet Accord avec le client final, uniquement en ce qui concerne : (a) les conditions liées aux frais, à la facturation et au paiement par Zendesk comme décrit dans la section 5.1 ci-dessous, (b) engagements spécifiques expressément définis dans le présent document, à l’annexe B et Section 11.5 ; (III) les Conditions d’utilisation d’Aircall ; (iv) Le cas échéant, les Bons de commande et/ou les Documents d’achat.

Sauf description ci-dessus explicitement, les Conditions générales d’Aircall telles que modifiées de temps à autre, prévaudront dans le présent Accord avec le client final.

3. Portée des services

Les Services Aircall peuvent inclure la mise à disposition de numéros de téléphone, de la téléphonie entrante et sortante, la gestion des appels, les fonctionnalités IA et autres fonctionnalités connexes, mises à jour de temps à autre (ensemble, les « Services »). Le client reconnaît et convient que la prestation de services téléphoniques et de numéros de téléphone est une activité réglementée fournie directement et uniquement par l’entité contractante Aircall pertinente comme décrit dans l’illustration A.

Ces Services sont soumis aux conditions décrites dans les Conditions d’utilisation d’Aircall, disponibles sur https://legal.aircall.io/. Les conditions et règles régissant l’accès et l’utilisation des Services sont régies par les sections 3 à 4 des T&C. 

4. niveaux de service

Les engagements en matière de niveaux de service et de disponibilité sont présentés dans l’illustration C.

5. Frais et facturation

   1. Frais, facturation et paiement

1. Frais fixes (facturés par Zendesk).

Le Client règlera à Zendesk tous les frais d’abonnement récurrents pour les Services tels que stipulés sur la facture ou le CDC Zendesk applicable. Les conditions de facturation et de paiement des frais d’abonnement sont régies par l’Accord Zendesk.

2. Frais d’utilisation et frais supplémentaires (facturés par Aircall).

Dans le cadre de cette section : 

1. Le terme « Frais supplémentaires » fait référence aux frais, frais ou coûts encourus par le Client de temps à autre en rapport avec les Services, autres que les Frais d’utilisation, y compris les frais pour les Achats effectués par le biais du tableau de bord Aircall (y compris mais sans s’y limiter, les utilisateurs supplémentaires et les numéros supplémentaires définies dans les conditions d’utilisation).

2. Le terme « Frais d’utilisation » fait référence aux frais d’appels par minute ou autres frais basés sur la consommation associés à l’utilisation réelle des Services par le Client, comme expliqué plus en détail dans la section 7 des Conditions générales. 

Sauf stipulation contraire d’un CDC, Aircall facturera directement le Client pour les Frais d’utilisation et/ou Frais supplémentaires encourus dans le cadre de cet Accord, en rapport avec l’utilisation des Services et/ou tout Achat effectué par le Client, comme indiqué par Aircall du temps au moment, y compris par le biais des tableaux de bord Aircall ou par le biais d’un avis distinct. La facturation peut avoir lieu tous les mois, en retard ou à une autre fréquence spécifiée par Aircall de temps à autre.

2. Taxes.

Les Frais applicables ne comprennent pas les taxes et coûts supplémentaires requis par la Loi applicable, notamment la TVA, les frais/dépenses, les frais, les évaluations réglementaires ou tous autres droits, frais, frais d’enregistrement ou taxes qui seront facturés en plus. Le cas échéant, le montant facturé ou les montants facturés au Client peuvent donc fluctuer d’un mois à l’autre et le Client accepte de payer tous les frais et/ou taxes dus.

6. Propriété intellectuelle et licence

Comme décrit plus en détail dans la section 5 des Conditions générales, le Client reconnaît et convient qu’Aircall ou, le cas échéant, ses Filiales détiennent tous les droits, titres et intérêts dans et à tous les droits de propriété intellectuelle dans la Solution Aircall et le Site, ainsi que tout contenu de celui-ci ou celui-ci. Tous les droits qui ne sont pas expressément accordés au Client sont réservés par Aircall et ses concédants. Les Services peuvent contenir des logiciels ou du code open source et le Client reconnaît qu’une mauvaise utilisation des Services peut violer les droits de propriété intellectuelle d’une Tierce partie.

Sous réserve du respect continu et intégral par le Client de toutes les conditions générales du présent Accord (y compris les Conditions générales d’Aircall pertinentes), Aircall accorde au Client et à ses Utilisateurs, le cas échéant, pendant la Période, un statut révocable et non transférable (sauf stipulation contraire pour dans la section 3.2 des Conditions générales, licence et droit d’accès et d’utilisation limités du Site, de la licence du numéro, de la licence d’utilisateur, du tableau de bord Aircall et de certains Services dûment achetés ou commandés par le Client dans le cadre de son Plan (y compris les ou numéros Aircall commandés) uniquement à des fins professionnelles internes et seulement comme autorisé par le présent Accord.

7. obligations client et restrictions d’utilisation

   1. Conformité aux lois. Le Client s’engage à utiliser les Services conformément à toutes les lois et réglementations applicables, notamment celles qui régissent les télécommunications, la confidentialité et la protection des données.

   2. Politique d’utilisation autorisée. Le Client est responsable de la conformité de ses et de ses Utilisateurs à la Politique d’utilisation autorisée (« PUP ») détaillée dans la section 6 des Conditions générales (accessible ici : https://legal.aircall.io/). 

   3. Activités interdites. Le Client ne doit pas (i) utiliser les Services à des fins illégales ou frauduleuses et/ou en violation du PUP, (ii) revendre les Services sauf autorisation d’Aircall ou (III) contourner ou violer tout dispositif de sécurité ou protection utilisé dans le avec les Services.

   4. Configuration du compte. Le client est responsable de maintenir la confidentialité de son Compte client (tel que défini dans la section 1 des Conditions générales), notamment ses identifiants et tous ceux de l’Utilisateur, ainsi que toutes les activités effectuées dans le cadre des Comptes.

   5. Coopération réglementaire. Dans la mesure où cela est nécessaire pour se conformer à la réglementation applicable, le Client fournira tous les documents ou informations demandés à Aircall en temps voulu (par ex. justificatif d’identité, de localisation) et collaborera avec toute demande gouvernementale ou réglementaire légale ayant trait à son utilisation des Services.

8. Confidentialité

   1. Comme détaillé à la section 6 des présentes conditions générales, les deux parties s’engagent à maintenir la confidentialité de toute information non publique contenue dans le cadre de cet Accord.

   2. Le client ne doit pas divulguer les informations confidentielles d’Aircall à un tiers sans son consentement écrit préalable, sauf si la loi l’exige.

9. Protection et confidentialité des données

   1. Confidentialité. Aircall prend la confidentialité de ses clients au sérieux et utilisera les informations à caractère personnel fournies par les Clients conformément à :

1. les conditions générales contenues dans l’Accord de traitement de données https://aircall.io/pa/ , où de telles informations constituent des Données à caractère personnel (comme défini dans l’Accord de traitement de données) et où Aircall traite de telles informations pour le compte du Client ; et

2. les conditions décrites dans la politique de confidentialité d’Aircall disponible à : https://aircall.io/privacy/ , où Aircall traite de telles informations aux fins et par les moyens déterminés conjointement ou indépendamment par Aircall (en tant que responsable du traitement de données).

2. Accord de traitement de données. En concluant cet Accord, les Parties concluent aussi l’Accord de traitement de données, qui en fait partie inséparable.

3. Sécurité des informations. Aircall s’efforce d’utiliser des mesures de protection techniques et opérationnelles commercialement raisonnables, conçues pour protéger les Données des clients et les Informations confidentielles des clients de toute utilisation ou divulgation non autorisée, conformément aux conditions de l’illustration B. Lorsque les Données des clients constituent des Données à caractère personnel et que leur Traitement par Aircall est soumis au Traitement des données , Aircall protégera ces Données à caractère personnel en mettant en œuvre les mesures techniques et opérationnelles décrites dans l’Accord de traitement de données.

10. Garanties, exonérations de responsabilité, indemnisation et responsabilité

    1. Garanties : Conformément à la section 10 des conditions générales, Aircall fournira les services d’une manière professionnelle. Cependant, Aircall ne garantit pas un fonctionnement ininterrompu ou exempt d’erreurs des Services.

    2. Exonérations : Conformément à la section 10.3 des Conditions générales, dans la limite maximale autorisée par la loi, Aircall décline toute garantie implicite, notamment la valeur commerciale et l’adéquation à une fin spécifique.

    3. INDEMNISATION : Conformément à la section 11 des T&C, le Client accepte d’indemniser et de tenir Aircall indemne de toute réclamation, tout dommage ou toute responsabilité résultant de votre utilisation des services ou de la violation du présent contrat.

    4. Responsabilités : DANS LA MESURE MAXIMALE AUTORISÉE DANS LE CADRE DE LA LOI APPLICABLE, EN AUCUN CAS, LA RESPONSABILITÉ CUMULÉE D’AIRALL OU DE SES FILIALES DÉPASSE LA TOTALE DES MONTANTS PAYÉS PAR LE CLIENT POUR LES DEUX (12) MOIS AVANT LA RÉCLUSION DE TOUS LES DEUX DEUX (12) MOIS AVANT LA RÉCLUSION DE TOUS LES DOMMAGES OU CENTRE D’EUROS (100 €) POUR UNE ÉVALUATION GRATUITE. DANS LA MESURE MAXIMALE AUTORISÉE DANS LE CADRE DE LA LOI APPLICABLE, EN AUCUN CAS, AURL OU SES AFFILIÉS N’EST RESPONSABLE DE TOUTE CONSÉQUENCTÉ, DAVANTAGE, INCIDENT, EXEMPLAIRE, RÉPUTATIONNEL, SPÉCIAL OU PUNITIVE DE QUELQUE FAÇON QUE CE SOIT SUR LA PERTE DE DONNÉES OU DE BÉNÉFICES, OU L’ INTERRUPTION DE L’ACTIVITÉ , PERTE D’OPPORTUNITÉ D’OPPORTUNITÉ, PROSPECT DE L’IMAGE OU DE LA RÉPONSE, QUE CE SOIT DANS LE CADRE DU CONTRAT, DE LA GARANTIE, DU TORS (AVANT LA NÉGLIGENCE OU LA RESPONSABILITÉ STRICTÉE) OU TOUTE AUTRE CAUSE DE LA RESPONSABILITÉ MAIS SI A PERSONNES ONT ÉTÉ NOTIFIÉES OU PAS, OU PAR ÉCRITURE DE LA CAS DE CES DAVANTAGES. TOUTE RÉCLUSION OU CAUSE D’ACTION RÉSULTANT DE L’ACCÈS PAR LE CLIENT OU DE L’UTILISATION DU SITE ET DES SERVICES DOIVENT ÊTRE FOURN ACTUELS PAR E-MAIL ENREGISTRÉ AVEC ACCORDÉ D’ASSISTANCE À SON FONCTIONNEMENT DANS UN (1) AN APRÈS LA RÉCLUSION OU LA CAUSE D’ACTION ????????????????

11. Condition, suspension et résiliation

    1. Terme . Le présent Accord commencera à la Date d’entrée en vigueur et restera en vigueur tant que le Client a une période d’abonnement active dans le cadre de l’Accord Zendesk ou utilise toute partie des Services, sauf résiliation antérieure conformément à cette section.

    2. Suspension. Aircall peut suspendre ou limiter l’accès du Client ou de l’Utilisateur aux Services immédiatement si (i) le Client ne respecte pas ses obligations de paiement des Frais d’utilisation ou Frais supplémentaires, (ii) Le Client et/ou un Utilisateur utilisent les Services en violation de la loi ou des présentes conditions, ou (troisièmement) la suspension est nécessaire pour éviter un dommage matériel aux Services ou aux autres clients. En plus de tous autres droits et recours contenus dans le présent document, Aircall peut suspendre la prestation, l’accès et/ou l’utilisation des Services, en totalité ou en partie, dans les cas suivants, comme déterminé par Aircall à sa seule mais raisonnable discrétion :

1. Le Client ou un Utilisateur enfreint (i) les conditions de l’Accord (notamment en cas de non-paiement à la date d’échéance), (ii) les Lois applicables, ou (III) toute politique fournie ou mise à la disposition du Client par écrit. , notamment la Politique d’utilisation autorisée ;

2. dans le cas où l’accès/l’utilisation des Services par le Client ou l’un de ces Utilisateurs déboucherait sur une dégradation des Services ou endommagerait ou risque de l’endommager les droits d’Aircall ou de tierces parties ;

Sans limiter ce qui précède, Aircall peut suspendre l’accès aux Services si le Client ne s’est pas conformé au délai fourni par Aircall dans l’avis envoyé par Aircall au Client. Aircall peut suspendre l’accès aux Services et la prestation des Services jusqu’à ce que la violation, la dégradation ou la Le client a remédié aux dommages. La suspension du Client ne libère pas le Client de son obligation de payer les Frais et les coûts associés à la réactivation des Services. Aircall ne sera pas responsable des dommages résultant de la suspension des Services.

3. Résiliation. Sous réserve des Conditions de la section 12 des T et C, l’une ou l’autre des parties peut résilier le présent Accord (a) si l’autre partie enfreint la règle dans un délai de trente (30) jours après réception de l’avis écrit, ou (b) si l’autre partie l’insolvabilité ou la catastrophe de l’autre partie. La résiliation de l’Accord Zendesk peut également entraîner la résiliation de cet Accord, sauf si Aircall et le Client décident séparément de continuer les Services.

4. Effets de la résiliation. Au moment de la résiliation, le Client doit immédiatement cesser d’utiliser les Services et toutes les obligations de paiement non dues (notamment les Frais d’utilisation et les Frais supplémentaires) deviendront dues. Aircall fournira des instructions raisonnables pour la récupération des données stockées par le Client, le cas échéant.

5. Avis de fin de vie. Aircall informera le Client au moins six (6) mois à l’avance de la fin de vie ou de l’abandon de la Solution Aircall, étant entendu que cette période de préavis ne s’appliquera pas dans les cas où l’abandon de la Solution Aircall est nécessaire pour des raisons légales, réglementaires ou juridiques. Les avis seront envoyés conformément aux conditions de cet accord. 

12. Loi applicable et résolution des conflits

    1. Loi applicable. Le présent Accord sera régi et interprété conformément aux lois spécifiées dans les Conditions générales d’Aircall applicables. 

    2. Lieu et juridiction. Les cours ou organismes de résolution des différend indiqués dans l’illustration A (Conditions générales applicables) ont la juridiction exclusive, sauf disposition contraire de la loi locale.

    3. Résolution des conflits. En cas de différend, de réclamation, de question ou de désaccord (« différent ») résultant de ou se rapportant à l’Accord, les Parties feront tout leur possible pour résoudre le Différend par des discussions commerciales normales. Si le Différend n’est pas résolu trente (30) jours après l’envoi de l’avis de différent envoyé d’une Partie à l’autre, chaque Partie peut poursuivre la procédure pour résoudre le différent.

13. Modifications

Aircall peut mettre les Conditions générales à jour, y compris les modifications des tarifs, des caractéristiques des Services Aircall ou du contenu des offres sélectionnées par le Client, ou de toute politique, sur base d’un préavis de trente (30) jours adressé au Client à l’adresse e-mail associée Compte. De telles mises à jour entreront en vigueur trente (30) jours après avoir été notifiées au Client. Si une telle mise à jour affectait une partie matérielle de l’Accord, le Client peut, dans les trente (30) jours suivant la réception de la mise à jour, notifier la résiliation de l’Accord ou des Services concernés, sans frais ni pénalités et sans avoir droit à aucune une indemnisation. Toute utilisation des Services après la date d’entrée en vigueur sera considérée comme l’acceptation de la modification par le Client. La version mise à jour des conditions générales sera considérée comme incorporée par référence au présent contrat à compter de leur date d’entrée en vigueur et régira l’utilisation continue des Services. La version actuelle des conditions générales en vigueur est disponible à : https://legal.aircall.io/ .

Afin d’éviter le moindre doute, il est spécifié qu’aucune résiliation ne peut avoir lieu si les modifications effectuées sont imposées par la loi ou la réglementation et/ou si elles n’ont pas d’incidence négative sur les éléments substantiels des Services. 

14. Divers

    1. Avis. Les avis requis dans le cadre de cet Accord doivent être donnés par écrit et livrés :

1. au Client : aux adresses spécifiées dans le Bon de commande correspondant ou par e-mail électronique au contact de compte désigné.

2. à Aircall : à l’adresse indiquée dans la pièce jointe A ci-dessous. 

2. Intégralité de l’accord. Le présent SCA (y compris les T&C d’Aircall et les pièces jointes) constitue la totalité de l’accord entre les parties portant sur l’objet du présent Accord et remplace tous les accords ou compréhensions antérieures ou simultanées portant sur un tel sujet.

En s’abonnant aux Services d’Aircall et en les utilisant, le Client reconnaît et accepte d’être lié par les termes de cet Accord, y compris les Conditions générales d’Aircall applicables incorporées ici par référence.

Annexe A – Conditions applicables

 

Annexe B : Mesures de sécurité des informations

En prenant en compte l'état de la technique, les coûts de mise en œuvre et la nature, la portée, le contexte et les objectifs du traitement, ainsi que le risque de variations de la probabilité et de la gravité pour les Clients, Aircall fera des efforts commercialement raisonnables pour mettre en œuvre et maintenir les mesures appropriées. essentiellement semblables à ceux détaillés ci-dessous en fonction du niveau de risque pour assurer la sécurité du contenu, des documents, des données (y compris les données à caractère personnel) et des informations non publiques fournis ou mis à la disposition par le Client (collectivement les « Données ») et protéger les données contre les données non autorisées ; ou traitement illégal, perte accidentelle, destruction ou dommage, comme expliqué ci-dessous. Ce faisant, Aircall agira de bonne foi, en faisant preuve d’une attention et de compétences raisonnables conformément aux normes du secteur. 

A. Définitions :

• Le terme « processus » désigne toute opération ayant trait aux Données, quels que soient les buts et les moyens appliqués, y compris mais sans s’y limiter, l’accès, la collecte, la rétention, le stockage, le transfert, la divulgation, l’utilisation, l’effacement, la destruction et toute autre opération.

• Le terme « violation » fait référence à tout (a) Traitement de Données non autorisé ou (b) toute action ou émission qui compromet ou sapera les mesures de protection physiques, techniques ou organisationnelles mises en place par Aircall en ce qui concerne le Traitement des Données ou tout autre fait mis en place pour se conformer à ces autorisations. exigences de base. Afin d’éviter le moindre doute, le terme «  Traitement non autorisé » inclut notamment : mauvaise utilisation, perte, destruction, compromis ou accès non autorisé, recueil, rétention, stockage ou transfert.

• Le terme « incident » désigne toute violation de la sécurité des Données, y compris tout (i) action qui viole toute loi ou toute politique de sécurité d’Aircall, (ii) toute perturbation de service imprévue qui empêche le fonctionnement normal des Services, ou (III) toute violation.

B. Mesures : Mesures techniques et organisationnelles pour le stockage, la gestion et la suppression des Données et des Données.

• Aircall utilise des algorithmes de chiffrement standards du secteur et des compétences clés pour chiffrer les éléments suivants :

• Crypter toutes les Données qui sont sous forme électronique alors qu'elles sont en transit sur tous les réseaux câblés publics (Internet) et tous les réseaux sans fil. 

• Crypter toutes les données lorsqu’elles sont stockées. Le terme « en stockage » fait référence aux informations stockées dans des bases de données, des systèmes de fichiers et divers supports en ligne et hors ligne (appareils mobiles, ordinateurs portables, DASD, bande, etc.) et est souvent simplement appelé « au repos ».

Sauf quand la loi l’interdit, Aircall supprimera rapidement les Données à la demande du Client de l’environnement d’Aircall et les détruira dans un délai raisonnable, mais en aucun cas plus de vingt et un (21) jours après la date de la demande. . À la demande du Client, Aircall lui fournira une confirmation écrite au sujet de ce retrait, de la destruction et/ou du nettoyage dans les trente (30) jours suivant.

C. Mesures : Protection contre les codes malveillants. 

• Tous les postes de travail et serveurs (consultables ou physiques) exécuteront la version actuelle des logiciels antivirus et/ou anti-programme malveillants standards du secteur, avec les dernières mises à jour disponibles sur tous les postes de travail ou serveurs. Les définitions de virus doivent être mises à jour rapidement dès leur sortie par le fournisseur du logiciel antivirus. Aircall configure son équipement et a mis en place des politiques connexes pour interdire aux utilisateurs de désactiver les logiciels antivirus, de modifier les configurations de sécurité ou de désactiver d’autres mesures de protection mises en place pour garantir la sécurité de l’environnement informatique de Data ou d’Aircall.

• Aircall analyse le contenu entrant et sortant pour détecter le code malveillant sur toutes les passerelles vers des réseaux publics, notamment les serveurs de messagerie et proxy.

• Aircall met en quarantaine ou supprime les fichiers identifiés comme atteints et enregistre l'événement.

D. Mesures : Mesures techniques et organisationnelles pour contrôler l’accès, en particulier pour contrôler la légitimité des utilisateurs autorisés à accéder aux ressources et systèmes où il est possible d’accéder aux Données :

• Aircall s’assure que des mesures sont prises pour sécuriser ses locaux (par exemple, sécuriser les entrées et sorties) ainsi que des mesures au sein de son bâtiment en utilisant les procédures suivantes :

• et le chiffrement de tous les ordinateurs personnels et autres appareils mobiles ayant accès aux Données ;

• un accès limité aux employés et sous-traitants, à l'exception des visiteurs autorisés ; 

• l'identification des personnes ayant le pouvoir d'accès ;

• Restriction sur les clés. et un système d’alarme ou autres mesures de sécurité appropriées.

Aircall révoquera l’accès aux emplacements physiques, systèmes et applications qui contiennent ou traitent des Données sans délai injustifié une fois qu’un tel agent autorisé n’a plus besoin d’accéder aux systèmes ou applications.

E. Mesures : Mesures techniques (par mot de passe / protection par mot de passe) et organisationnelles (enregistrement principal de l’utilisateur) portant sur l’identification et l’authentification des utilisateurs :

Aircall informera le Client, sur sa demande raisonnable, quels Utilisateurs autorisés ont accès aux Données.

Le contrôle par l’utilisateur inclura les mesures suivantes :

• profil VPN restreint ;

• Implémentation de l'authentification à deux facteurs

Le contrôle de l’accès aux données inclura les mesures suivantes :

• des mesures omnicanal efficaces et mesurées à l'encontre des personnes qui accèdent aux données sans autorisation.

F. Mesures : Mesures techniques et organisationnelles portant sur la sécurité des réseaux (y compris les réseaux sans fil) utilisés par Aircall.

Tous les contrôles réseau doivent inclure les mesures suivantes :

• Aircall effectue régulièrement des analyses de la vulnérabilité du réseau interne et externe. Les vulnérabilités identifiées seront corrigées d'une façon commerciale raisonnable et dans un délai fondé sur leur gravité.

• Aircall déploiera une technologie de pare-feu raisonnablement appropriée pour ses réseaux. 

• Au minimum, Aircall vérifiera régulièrement les règles de pare-feu pour s’assurer que les anciennes règles sont supprimées et que les règles actives sont configurées correctement.

• Aircall déploiera des systèmes de détection et de prévention des intrusions afin de surveiller les réseaux et de repérer toute activité inappropriée.

• Aircall déploiera une solution de gestion des journaux et conservera les journaux produits par les pare-feux et les systèmes de détection des intrusions pendant une période minimale d'un (1) an.

Les contrôles réseau sans fil doivent inclure les mesures supplémentaires suivantes :

• L'accès aux réseaux sans fil doit être limité aux personnes autorisées uniquement. 

• Les points d'accès doivent être segmentés à partir d'un réseau local (LAN) interne câblé à l'aide d'un dispositif de passerelle.

• Vous devez modifier les valeurs par défaut de l'identifiant de service (SSID), de l'ID utilisateur de l'administrateur, du mot de passe et des clés de chiffrement.

• Le chiffrement de toutes les connexions sans fil sera activé en utilisant des algorithmes de chiffrement aux normes du secteur. Les protocoles de chiffrement seront basés sur « Wireless Protected Access » (WPA2) ou des protocoles plus solides. 

G. Mesures : Aircall maintiendra une fonction de réponse aux incidents, capable d’identifier, de minimiser les effets et d’empêcher la récurrence des incidents. Si un Incident survient, Aircall (i) prendra immédiatement toutes les mesures nécessaires pour éviter toute violation des Données ou tout Incident futur ; (ii) lorsque les Lois applicables en matière de protection des données l’exigent, informer le Client affecté sans délai injustifié suivant l’identification de l’Incident et fournir un rapport écrit ultérieurement ; et (III) répondre rapidement à toute demande raisonnable du Client obtenant des informations détaillées au sujet de l’Incident. L’avis et le rapport d’Aircall contiendront une description de la nature de l’Incident, de son impact et de toute enquête, correction ou action prise ou prévue.

H. Mesures : Continuité des opérations et reprise d’activité. Aircall mettra en œuvre un plan de continuité des opérations commercialement raisonnable et standard pour maintenir la disponibilité des Services (le « plan de continuité »). Aircall maintiendra ce Plan de continuité pendant toute la durée de tous les abonnements. mais Aircall aura le droit de modifier ou d’adapter le Plan de continuité, à condition que cette modification ou modification n’ait pas d’incidence négative matérielle sur la capacité d’Aircall à maintenir la disponibilité des Services.

 

Pièce jointe C

Aircall Service Level Agreement (Accord sur les niveaux de service) Aircall

1. Définitions 

Dans le cadre du présent document, les termes suivants ont la signification indiquée ci-dessous. Tous les termes commençant par une lettre majuscule dans le présent Emploi du temps qui ne sont pas définis dans cette section ou dans le présent Emploi du temps ont la signification qui leur est donnée dans l’Accord avec le client final (tel que défini ci-dessous). 

• Le terme « cause provenant du client » désigne les causes d’incident suivantes : (a) toute utilisation négligente ou inappropriée, toute mauvaise application, toute mauvaise utilisation, tout abus ou tout dommage subi, des Services par le Client ou ses Utilisateurs ; (b) toute amélioration ou autre modification des Services par le Client ou ses Utilisateurs ; (c) toute utilisation des Services par le Client ou ses Utilisateurs d’une manière non conforme aux Conditions en vigueur à ce moment-là ; (d) toute utilisation par des Clients ou des Utilisateurs de produits ou services tiers qu'Aircall n'a pas fournis ou dont ils ont provoqué la mise à disposition au Client ; ou (e) toute utilisation par des Clients ou des Utilisateurs d'une version ou d’une édition n'étant pas à jour des Services. 
• Le terme « Temps d’indisponibilité » signifie que la fonctionnalité clé des Services ( recevoir et passer des appels téléphoniques) n’était pas disponible, telle que mesurée en incréments continus de cinq (5) minutes. Le terme « Temps d’indisponibilité » n’inclut pas les indisponibilités des Services liées à une Exclusion (comme défini ci-dessous). 
• « Erreur » signifie une panne des Services telle que définie dans le tableau « Niveaux de service » de la section 3.c ci-dessous. 
• Le terme « Demande de fonctionnalité » fait référence à une Demande d’incorporation d’une nouvelle fonctionnalité ou d’amélioration d’une fonctionnalité existante des Services qui n’est actuellement pas disponible. 
•  Le terme « Accord avec le client final » désigne l’accord entre Aircall et le Client. 
• Le terme « demande » fait référence à une demande d’ assistance technique envoyée par un client au personnel Support d’Aircall et portant sur une question ou un problème au sujet des Services ou de l’utilisation d’Aircall. 
• « Support». Aircall fournira une assistance technique au Client, à l’exception de toute Demande assistance liée à une Exclusion comme défini dans la Section 4 ci-dessous. Dans un souci d’éviter toute ambiguïté, les questions et questions sur la facturation et les demandes de portage ne sont pas considérées comme faisant partie de Support dans le cadre de cet emploi du temps. 
• Le « pourcentage de disponibilité » désigne la disponibilité générale d’un service calculé comme la différence entre 100 % (100 %) et le pourcentage d’indisponibilité calculé sur une base mensuelle pour le mois applicable. Le terme « Temps de disponibilité » n’inclut pas les indisponibilités des Services liées à une Exclusion (comme défini ci-dessous).

2. Niveaux de service d’Aircall 

a) Disponibilité du service Aircall 

Le pourcentage de disponibilité des Services Aircall Services sera de 99,95 %. Les temps de maintenance/d’indisponibilité planifiés seront limités conformément aux conditions de l’Accord avec le client final.

3. Aircall Support 

a) Conditions d’ Support 

• Accès à Aircall Support. Les demandes Support doivent être envoyées par le biais du portail Support Aircall (assistance.aircall.io). 
• Conformité au contrat du client final. Aircall fera des efforts commercialement raisonnables pour fournir une assistance technique afin de s’assurer que les Services sont conformes au Contrat avec le client final. Dans un souci d’éviter toute ambiguïté, Aircall ne fournira aucune assistance technique en cas d’exclusion telle que définie ci-dessous. 
• Caractères des demandes. Le client détermine le niveau de gravité au moment de l’envoi de la demande. À la réception d’une Demande du Client, Aircall confirmera le niveau de gravité de la Demande, à sa seule discrétion et en se basant sur les définitions présentées dans la section 3.c ci-dessous. Aircall peut mettre à jour la description du niveau de gravité et de priorité de la demande selon les besoins. 
• Support des langues. Les Parties conviennent que toute Support fournie par Aircall en vertu de ces directives peut être fournie en français, espagnol ou allemand pendant les échanges
  • heures ouvrées, en faisant des efforts commerciaux raisonnables. Si les locuteurs de la langue régionale ne sont pas disponibles, Support reste disponible en anglais. 
• les procédures d’accusé de réception et de résolution de la demande. Lors de la création d’une demande, le client fournira les détails du problème signalé et les informations de diagnostic, y compris mais s’y limiter : 

 Nom du compte Aircall ou nom de l’instance. 

 Description du problème, y compris les messages d’erreur éventuels. 

o Description des efforts que le client a déployés pour résoudre son problème avant de contacter Aircall ; 

 * La version du logiciel de l’utilisateur. 

 Spécifications et configuration de la machine, du réseau et/ou du matériel du client, le cas échéant. 

Avant de créer une Demande, le Client doit lire et utiliser toute la base de connaissances et la documentation d’Aircall pour s’assurer qu’elle est en adéquation avec les exigences, l'adoption des meilleures pratiques et les directives concernant le produit demandées par Aircall afin d’assurer la prestation des Services. 

Le client s’engage à communiquer par e-mail ou téléphone pour répondre à ses questions et aider le personnel Support d’Aircall en fonction des besoins et le plus rapidement possible. Le Client s’engage à suivre les instructions et directives recommandées par le Personnel Support d’Aircall afin de corriger l’Erreur. En cas de manque de disponibilité du client, la demande sera considérée comme résolue par Aircall. 

b) Heures du Support’ Aircall 

c) Niveaux de gravité 

Le tableau ci-dessous décrit les niveaux de gravité des erreurs signalées par les clients. Au moment de l’envoi de la Demande, Aircall enquêtera sur l’Erreur et fera des efforts commercialement raisonnables pour répondre à cette Demande conformément au tableau ci-dessous :

4. Exclusions 

Nonobstant toute disposition contraire de cet Accord avec le Client final, aucune violation de SLA (Accord sur les niveaux de service) ne sera considérée comme ayant eu lieu si un tel événement : (a) est dû à des facteurs extérieurs à la direction raisonnable d’Aircall, y compris mais sans s’y limiter, des tiers, des fournisseurs d’hébergement ou des opérateurs les problèmes ou problèmes connexes, ou l’accès à Internet ou les problèmes connexes se produisant au-delà du point du réseau où Aircall maintient l’accès et le contrôle des Services Aircall ; (b) résultent de tout action ou oubli du Client ou d’un tiers ; (c) résultent de l'application du Client, de l'équipement, du logiciel ou d'une autre technologie du Client ou de l'équipement, du logiciel ou d'une autre technologie de tiers (à l'exception de l'équipement sous le contrôle direct d'Aircall) ; (d) ont lieu pendant une opération de maintenance programmée ou d’urgence d’Aircall, une catastrophe ou un événement de force majeure ; et/ou (e) de la cause client.

 

Illustration 1

Conditions principales de Zuper

Les présentes Conditions générales de Zuper (cet « Accord ») sont conclus et exécutés entre Zendesk, Inc. (« ZUPER »), dont l’adresse professionnelle est situé au 24754 Ne, 3d Place, Sammish, WA - 98074, et l’abonné dont le nom apparaît dans le CDC de Zendesk. auquel est joint le présent Accord (« Client »). Le client et ZUPER seront individuellement appelés une « Partie » et collectivement les « Parties ».

 

PRÉA ALLE

 

??????????????? assistance ????????????? Zuper? (comme défini ci-dessous).

 

Et ALORS que le Client souhaite mettre en œuvre le Service fourni par ZUPER.

 

ET CONSIDÉRÉS que le Client et ZUPER conviennent que Zendesk, Inc., une société du Delaware, et toutes ses filiales concernées (« Zendesk »), traiteront la facturation pour le ou les abonnements du Client au Service commandé par le Client auprès de ZUPER dans le cadre du présent contrat, conformément à la à un CDC Zendesk exécuté entre le client et Zendesk. « Zendesk CDC » désigne le plan de travail ou document de commande similaire émis par Zendesk au Client qui définit, sans s’y limiter, son plan de service, ses frais, sa facturation et sa période d’abonnement au Service en vertu du présent Accord.

 

MAINTENANT, compte tenu des représentations et engagements et accords mutuels définis dans le présent document, et à des fins de considération, dont les Parties reconnaissent la suffisance par la présente, les Parties conviennent de ce qui suit :

 

PRODUITS ET SERVICES

 

Dans le cadre de cet Accord, ZUPER fournit et vend des abonnements à la solution de Gestion des collaborateurs sur site (la « plateforme Zuper ») via zuper.co ou tout autre site Web spécifié par ZUPER (le « Service »).

 

Sous réserve du paiement rapide des frais applicables spécifiés dans le CDC de Zendesk et sous réserve des conditions générales du présent contrat, ZUPER accorde par les présentes au client et à toute personne ou entité juridique dépendant, directement ou indirectement, du contrôle du client le droit d’accéder au Service et de l’utiliser, sous-licenciable, non transférable et non exclusif. Dans le cadre de cette clause, le terme « contrôle » fait référence au pouvoir de diriger ou de provoquer la direction de la direction, des activités ou des politiques d’une entité, que ce soit par la propriété de titres avec votes, par contrat ou autres, ou le pouvoir de choisir ou de nommer au moins un tiers des administrateurs, responsables, partenaires ou autres personnes exerçant un pouvoir similaire à l’égard de cette entité. 

 

En dehors des droits expressément spécifiés ci-dessous, aucun autre droit ou intérêt, quel qu’il soit dans la Plateforme Zuper ou le Service et/ou toute composante de celle-ci, n’est transféré ni accordé au Client. Sans limiter ce qui précède, le Client ne peut pas : (i) utiliser la plateforme Zuper ou le Service à des fins autres que celles explicitement définies dans le présent document ; (ii) copier ou dupliquer la plateforme Zuper (3) faire de l’ingénierie inverse ou décompiler, modifier ou réviser, tenter d’accéder à la source de la plateforme Zendesk ou à une partie de celle-ci, ou créer des applications dérivées de celle-ci ; (iv) transférer en totalité ou en partie le droit d’utiliser le Service ou toute partie de celui-ci. 

 

Fonctionnalités incluses :

 

FORMATION

 

Une formation en ligne dirigée par un instructeur est incluse dans le forfait. 

 

1.          Sessions interactives personnalisées avec instructeur.

2.          Accès à la documentation des produits et aux sections pratiques

3.          Partagez les meilleures pratiques et les recommandations.

 

L’objectif de cette formation est de s’assurer que l’équipe maîtrise le produit et qu’elle comprend les meilleures pratiques pour exploiter toutes les capacités de la façon la plus optimisée possible. 

 

FRAIS

Zendesk traitera la facturation des frais pour l’abonnement du Client au Service commandé par le Client à ZUPER dans le cadre de cet Accord, comme défini dans le CDC de Zendesk. Les factures seront envoyées à et le paiement sera dû, conformément aux conditions du CDC Zendesk. Toute modification de la portée de l’abonnement du Client au Service en vertu du présent Accord sera émise par le biais d’un CDC Zendesk distinct.

 

MISES À JOUR DU ROUTAGE ET AMÉLIORATION DEMANDÉES

ZUPER organisera des réunions avec le Client deux fois par mois pour informer le Client de la feuille de route et des mises à jour du Service. Les prix définis dans le présent document comprennent toutes les mises à jour régulières publiées par ZUPER et le client n’a pas droit à des paiements supplémentaires pour de telles mises à jour. Les capacités Premium ne sont pas incluses dans les tarifs d’abonnement. ZUPER partagera les mises à jour sur les capacités premium pour le Client et les tarifs seront partagés et convenus indépendamment du présent Accord. 

Le client peut de temps à autre demander des modifications du Service en fonction de l’évolution des besoins. Indépendamment du présent Accord, les Parties s’entendront mutuellement sur les modalités, comme les coûts et les délais, si le Client exigeait des modifications majeures du Service. 

 

Toutes les intégrations de logiciels tiers futures avec Zuper sont incluses dans le tarif utilisateur mensuel.

 

AVIS DE FIN DE VIE ; TEMPS DE DISPONIBILITÉ

ZUPER préviendra le Client au moins six (6) mois à l’avance de la fin de vie ou de l’abandon d’une fonction ou fonctionnalité.

ZUPER déclare et garantit que le Service atteindra un pourcentage de disponibilité mensuelle d’au moins 99,9 % au cours de chaque mois calendaire (c.-à-d. un maximum de quarante-trois (43) minutes d’indisponibilité par mois) pendant la Durée. Les temps de maintenance/indisponibilité planifiés seront limités à moins de quatre (4) heures par mois donné et ZUPER fournira un préavis écrit d’au moins sept (7) jours au client de cette indisponibilité (« Temps d’indisponibilité planifié »).

 

SUPPORT

assistance par téléphone et par e-mail est incluse gratuitement dans l’offre groupée. En cas de problèmes ou de questions, les utilisateurs des clients peuvent contacter Support Zuper pour obtenir de l’aide. Ce assistance vous fournira une assistance technique immédiate en vous assistance à résoudre le problème et à le déboguer. assistance par e-mail disponible pour les problèmes techniques et non techniques. Zuper fournit au Client les engagements assistance définis dans l'annexe A ci-jointe.  

 

EXIGENCES DE SÉCURITÉ DES INFORMATIONS

ZUPER fournira et se conformera aux exigences en matière de sécurité des informations définies dans la pièce jointe B.

 

ACCORD DE TRAITEMENT DE DONNÉES

Les Parties conviennent de l’accord de traitement de données défini dans l’annexe C, jointe à la présente.

 

TERME

Le présent Accord entrera en vigueur à la date d’entrée en vigueur du CDC Zendesk applicable et restera en vigueur, sauf s’il est résilié plus tôt conformément à l’une des conditions du CDC Zendesk, jusqu’à l’expiration de tous les CDC Zendesk applicables (la « Condition »).

 

DROITS DE PROPRIÉTÉ

Certaines parties des logiciels disponibles avec la plateforme Zuper (à titre d’exemple uniquement : JQuery) peuvent être régis par des licences de type « open source » ou « logiciels gratuits » (« Logiciels tiers »). Un tel Logiciel tiers n’est pas soumis aux conditions générales de cet Accord, mais est mis à disposition dans le cadre des conditions générales qui accompagnent un tel Logiciel tiers.

À l’exception des logiciels tiers (tels que définis ci-dessus), ZUPER possède et conserve tous les droits, notamment les droits de propriété intellectuelle, dans la plateforme Zenper et le Service, ainsi que toutes les adaptations, modifications, améliorations ou améliorations de ces derniers. , et dans et aux informations confidentielles de ZUPER. Pour éviter toute ambiguïté, tout contenu développé par un Client utilisant le Service deviendra la propriété du Client.

 

MARKETING

 Le client accorde par la présente à ZUPER le droit de

1.          Utiliser le nom et les marques de service dans ses documents de marketing ou autres promotions oraux, électroniques ou écrits, y compris la mention du Client en tant que client de ZUPER et une brève description des services fournis. 

2.          Publier un communiqué de presse au sujet de cet Accord. 

3.          Publiez une étude de cas.

4.          Publiez des témoignages sur le site Web et/ou autres documents de marketing.

 

INDEMNISATION ET LIMITATION DE RESPONSABILITÉ

ZUPER défendre, indemniser et garantir le Client, de et contre tous les dommages, coûts et dépens (y compris les frais d’avocats raisonnables) finalement accordés par un tribunal compétent, qui ont été engagés à la suite d’une réclamation, d’une action ou d’une procédure initiée contre un fondés sur une réclamation que la Plateforme Zuper et/ou le Service ne respectent pas les droits de propriété intellectuelle ; à condition que le Client ait notifié ZUPER rapidement par écrit de cette réclamation et lui ait donné l'autorisation, les informations et l'assistance (aux frais de l'entreprise) pour contrôler et traiter la réclamation ou la défense dans le cadre d'une telle action, procédure ou règlement. L’indemnisation ci-dessus sera le seul recours auquel le Client aura droit en rapport avec ce qui précède. 

À l’exception des réclamations pour faute intentionnelle, faute de frappe ou violation de la confidentialité, en aucun cas l’une ou l’autre des parties ne sera responsable vis-à-vis de l’autre pour des dommages indirects, accidentels, spéciaux, consécutifs ou chômés de quelque nature que ce soit, y compris mais sans s’y limiter : la perte de profits, la perte de revenus ou la perte de bonne volonté en rapport avec ou résultant de cet accord, même si l’autre partie a été informée de la possibilité de tels dommages. En aucun cas la responsabilité globale de l’une ou l’autre des parties, en vertu du présent contrat, ne dépassera les frais agrégés réellement payés à ZUPER en vertu des présentes pendant la période précédant la réclamation applicable.

 

CONFIDENTIALITÉ

ZUPER et le Client conviennent qu’ils sont mutuellement liés par et respecteront toutes les lois et réglementations applicables en matière de confidentialité des informations échangées dans le cadre de cet accord.

 

Divulgation interne : Chaque Partie s’engage à maintenir la confidentialité et la nature sensible des Informations confidentielles de la Partie divulgante et ne divulguera aucune information confidentielle à un tiers. La Partie destinataire peut divulguer les Informations confidentielles de la Partie divulgatrice à son propre personnel et les agents ayant un besoin légitime de prendre connaissance de ces Informations confidentielles aux fins du présent Accord et qui sont tenus par des obligations de confidentialité au moins aussi restrictives que les Informations confidentielles. termes du présent Accord et la Partie destinataire utilisera les Informations confidentielles uniquement si et dans la mesure nécessaire aux fins du présent Accord.

Divulgation des tarifs : Les tarifs indiqués dans le CDC de Zendesk sont réservés exclusivement aux clients et ne peuvent pas être partagés par les clients avec d’autres clients Zendesk, des partenaires ou la presse. 

Protection : La Partie destinataire prendra toutes les précautions raisonnables nécessaires pour protéger la confidentialité des Informations confidentielles. 

Non-compétence : Zuper ne sollicitera pas l’aide des clients et ne contactera pas directement les clients des Clients sans approbations préalables.

 

VIOLATION MATÉRIELLE

En cas de violation du présent Accord, la partie affectée (la « Partie notifiante ») informera l’autre partie (« Partie notifiée ») d’une telle violation. Si la Partie notifiée ne rectifie pas la violation dans un (1) mois à compter de la réception de cet avis, elle peut résilier le présent Accord sans autre avis et peut poursuivre la procédure pour réclamer des dommages et intérêts résultant d’une telle violation.

 

FORCE MAJEURE

Si l’une ou l’autre des Parties ne remplit pas ses obligations en vertu du présent article, quand un tel manquement est dû à un consultez, ou d’autres circonstances indépendantes de sa volonté, y compris, mais sans s’y limiter, les incendies, les débordements, les Maintenant, les événements, les événements, la police, les événements, les événements, les événements, les événements, les campagnes, les événements, les événements, les événements, les campagnes, les événements, les événements, les événements, les désolations, les événements et les événements. révolution ou embargos, chacun dit défaut pour la durée de cet événement et pour une période subséquente, permettant aux parties de reprendre les performances dans le cadre de cet Accord, étant entendu que ce délai n’est pas élargi supérieure à cent quatre-vingt (180 jours).

 

RÉSOLUTION DES DIFFÉRENTS 

Le présent Accord et tous les litiges résultant de cet Accord ou s’y rapportant sont régis et interprétés conformément aux lois de l’État de Washington, sans référence à ses principes de conflits de lois. Les deux Parties acceptent de se soumettre à la juridiction personnelle pour toute procédure légale et le présent Accord, quel que soit l’envoyeur de la procédure. 

 

Affiche A — Responsabilités et procédures Support

1. Définitions

Dans cette pièce jointe A :

 

a) « Support niveau 1 » désigne le premier niveau d’ assistance fournie au client par ZUPER pour recueillir les commentaires du client, vérifier les symptômes et transférer, si nécessaire, au niveau Support de niveau 2.

(b) Le terme « Support niveau 2 » désigne le deuxième niveau d’ assistance fourni par ZUPER au Client pour traiter les problèmes et les résolutions des problèmes d’exploitation et d’infrastructure du Produit.

(c) « Support niveau 3 » fait référence au troisième niveau d’ assistance fournie par ZUPER qui couvre la résolution des bugs du code d’application ou du code d’infrastructure.

(d) « Heures de Support des fournisseurs » pour les problèmes non critiques ou ayant un impact sur l’activité non majeur signifie entre 9h00 et 24h00 un jour ouvré (du lundi au vendredi, toutes les semaines de l’année). Les heures Support et les obligations de réponse pour les problèmes critiques ou ayant un impact majeur sur l’activité sont décrites ci-dessous.    

 

2. obligations Support Zuper

ZUPER fournira au Client toute assistance relative aux problèmes identifiés par Zendesk ou le Client et signalés à ZUPER. Ces services assistance seront fournis par le biais du système de tickets du service d’assistance Zendesk.

 

ZUPER répondra aux demandes d’ assistance:

(a) pour les problèmes ayant un impact critique sur l’activité, dans un délai de trente (30) minutes 24 (24) heures par jour, trois cent six cinq (365) jours par an. ZUPER fournira au Client (et à Zendesk, si ces problèmes critiques portant sur l’impact sur l’activité concernent des demandes assistance client transférées à ZUPER par Zendesk) des mises à jour sur ces problèmes toutes les 30 minutes jusqu’à résolution du problème. Nous définissons un impact critique sur l’activité comme un problème qui perturbe la fonctionnalité matérielle dans l’environnement de production du Service ou compromet la sécurité/l’intégration des données dans le Service. Les problèmes critiques ayant un impact sur l’activité resteront tant que la perturbation est en cours, que leur résolution est urgente et qu’aucune solution raisonnable n’est disponible ;

(b) pour les problèmes ayant un impact majeur sur l’activité dans un (1) heure, 24 h/24, 30 65 jours par an. ZUPER fournira au Client (et à Zendesk, si ces problèmes critiques avec un impact sur l’activité concernent des demandes assistance client transférées à ZUPER par Zendesk) des mises à jour sur les problèmes ayant un impact majeur sur l’activité toutes les heures (1) jusqu’à résolution du problème. Le terme « impact majeur sur l’activité » se définit comme un problème qui dégrade une fonctionnalité matérielle ou perturbe ou dégrade considérablement les opérations normales du client, se trouve dans l’environnement de production du client et est urgent, et/ou que des efforts non planifiés importants sont nécessaires pour pallier le problème. pour maintenir des opérations normales dans l’entreprise,

(c) pour les autres problèmes et demandes, dans un délai de six (6) heures Support du fournisseur ;

(d) de résoudre les problèmes qui lui sont signalés dans un délai commercialement raisonnable ; et

(e) en fournissant des mises à jour continues sur les problèmes non résolus au moins une fois par semaine jusqu’à ce que le problème soit résolu.

 

 

pièce jointe B – Exigences de sécurité en matière d’information

ZUPER garantit et déclare qu’il fera des efforts commercialement raisonnables pour mettre en œuvre et maintenir les mesures de sécurité détaillées ci-dessous afin de conserver tout le contenu, les documents, les données (y compris les données personnelles) et les informations non publiques fournis ou mis à la disposition du Client (collectivement, les « Données ») sécuriser et protéger les Données de traitement non autorisé ou illégal, de perte, de destruction ou d’endommagement accidentel, comme expliqué ci-dessous. Ce faisant, Zuper agira de bonne foi, en faisant preuve d’une attention et de compétences raisonnables.

 

1.           Définitions :

• Le terme « processus » désigne toute opération ayant trait aux Données, quels que soient les buts et les moyens appliqués, y compris mais sans s’y limiter, l’accès, la collecte, la rétention, le stockage, le transfert, la divulgation, l’utilisation, l’effacement, la destruction et toute autre opération.

• Le terme « violation » fait référence à tout (a) Traitement de Données non autorisé ou (b) toute action ou émission qui compromet ou sapera les mesures de protection physiques, techniques ou organisationnelles mises en place par ZUPER en ce qui concerne le Traitement des Données ou tout autre fait mis en place pour respecter les présentes Conditions générales. exigences de base. Afin d’éviter le moindre doute, le terme «  Traitement non autorisé » inclut notamment : mauvaise utilisation, perte, destruction, compromis ou accès non autorisé, recueil, rétention, stockage ou transfert.

• Le terme « incident » désigne toute violation de la sécurité des Données, y compris tout (i) action qui viole toute loi ou politique de sécurité de ZUPER, (ii) toute perturbation de service imprévue qui empêche le fonctionnement normal du Service, ou (III) Violation.

 

2.          Mesures : Mesures techniques et organisationnelles pour le stockage, la gestion et la suppression des Données et des Données.

• ZUPER utilise des algorithmes de chiffrement standards de l’industrie et des points forts pour chiffrer les éléments suivants :

• Crypter toutes les Données qui sont sous forme électronique alors qu'elles sont en transit sur tous les réseaux câblés publics (Internet) et tous les réseaux sans fil. 

• Crypter toutes les données lorsqu’elles sont stockées. Le terme « en stockage » fait référence aux informations stockées dans des bases de données, des systèmes de fichiers et divers supports en ligne et hors ligne (appareils mobiles, ordinateurs portables, DASD, bande, etc.) et est souvent simplement appelé « au repos ».

• Sauf quand la loi l’interdit, ZUPER supprimera rapidement les Données une fois (a) l’achèvement du Service ; ou (b) demande du Client (ou de Zendesk, le cas échéant) d’être retiré de l’environnement ZUPER et de le détruire dans un délai raisonnable, mais dans ce cas, pas plus de vingt et un (21) jours après la date de la demande ou de la fin de la services de messagerie. Zuper fournira au Client (et à Zendesk, le cas échéant) une certification écrite au sujet de cet effacement, de la destruction et/ou du nettoyage dans les trente (30) jours suivant.

 

3.          Mesures : Protection contre les codes malveillants.

• Tous les postes de travail et serveurs (consultables ou physiques) exécuteront la version actuelle des logiciels antivirus et/ou anti-programme malveillants standards du secteur, avec les dernières mises à jour disponibles sur tous les postes de travail ou serveurs.   Les définitions de virus doivent être mises à jour rapidement dès leur sortie par le fournisseur du logiciel antivirus.  ZUPER configurera son équipement et aura des politiques connexes pour interdire aux utilisateurs de désactiver les logiciels antivirus, de modifier les configurations de sécurité ou de désactiver d’autres mesures de protection mises en place pour garantir la sécurité des données ou de l’environnement informatique de ZUPER.

• ZUPER analyse le contenu entrant et sortant pour détecter le code malveillant sur toutes les passerelles vers des réseaux publics, notamment les serveurs de messagerie et proxy.

• ZUPER met en quarantaine ou supprime les fichiers qui ont été identifiés comme atteints et enregistre l'événement.

 

4.          Mesures : Mesures techniques et organisationnelles pour contrôler l’accès, en particulier pour contrôler la légitimité des utilisateurs autorisés à accéder aux ressources et systèmes où il est possible d’accéder aux Données :

• ZUPER s’assure que des mesures sont prises pour sécuriser les locaux (par exemple, sécuriser les entrées et sorties) ainsi que des mesures au sein de son bâtiment en utilisant les procédures suivantes :

• et le chiffrement de tous les ordinateurs personnels et autres appareils mobiles ayant accès aux Données ;

• un accès limité aux employés et sous-traitants, à l'exception des visiteurs autorisés ; 

• l'identification des personnes ayant le pouvoir d'accès ;

• Restriction sur les clés.

• les registres des visiteurs (notamment pour la gestion du temps) ; et

• un système d’alarme ou autres mesures de sécurité appropriées.

 

ZUPER révoquera l’accès aux emplacements physiques, systèmes et applications qui contiennent ou traitent des Données dans un délai de vingt-quatre (24) heures suivant la fin de la nécessité pour un tel agent autorisé d’accéder aux systèmes ou applications.

 

5.          Mesures : Mesures techniques (par mot de passe / protection par mot de passe) et organisationnelles (enregistrement principal de l’utilisateur) portant sur l’identification et l’authentification des utilisateurs :

ZUPER informera le Client, sur sa demande raisonnable, quelles personnes autorisées ont accès aux Données.

 

Le contrôle par l’utilisateur inclura les mesures suivantes :

• profil VPN restreint ;

• Implémentation de l'authentification à deux facteurs

 

Le contrôle de l’accès aux données inclura les mesures suivantes :

• des mesures omnicanal efficaces et mesurées à l'encontre des personnes qui accèdent aux données sans autorisation.

 

6.          Mesures : Mesures techniques et organisationnelles relatives à la sécurité des réseaux (y compris les réseaux sans fil) utilisés par ZUPER.

 

Tous les contrôles réseau doivent inclure les mesures suivantes :

• ZUPER effectue régulièrement des analyses de la vulnérabilité du réseau interne et externe.  Les vulnérabilités identifiées seront corrigées d'une façon commerciale raisonnable et dans un délai fondé sur leur gravité.

• ZUPER déploiera une technologie de pare-feu raisonnablement appropriée pour ses réseaux.

• Au minimum, ZUPER passera en revue les règles de pare-feu tous les trimestres pour s’assurer que les anciennes règles sont supprimées et que les règles actives sont configurées correctement.

• ZUPER déploiera des systèmes de détection ou de prévention des intrusions afin de surveiller les réseaux pour repérer toute activité inappropriée.

• ZUPER déploiera une solution de gestion des journaux et conservera les journaux produits par les pare-feux et les systèmes de détection des intrusions pendant une période minimale d'un (1) an.

 

Les contrôles réseau sans fil doivent inclure les mesures supplémentaires suivantes :

• L'accès aux réseaux sans fil doit être limité aux personnes autorisées uniquement.

• Les points d'accès doivent être segmentés à partir d'un réseau local (LAN) interne câblé à l'aide d'un dispositif de passerelle.

• Vous devez modifier les valeurs par défaut de l'identifiant de service (SSID), de l'ID utilisateur de l'administrateur, du mot de passe et des clés de chiffrement.

• Le chiffrement de toutes les connexions sans fil sera activé en utilisant des algorithmes de chiffrement aux normes du secteur. Les protocoles de chiffrement seront basés sur « Wireless Protected Access » (WPA2) ou des protocoles plus solides.

 

7.          Mesures : ZUPER maintiendra une fonction de réponse aux incidents, capable d’identifier, de minimiser les effets et d’empêcher la récurrence des incidents. Si un Incident survient, ZUPER (i) prendra toutes les mesures nécessaires pour éviter toute compromission des Données ou tout Incident futur ; (ii) informera le Client dans les vingt-quatre (24) heures suivant l’identification de l’Incident et fournira un rapport écrit dans les trois (3) jours qui suivent ; et (III) répondre rapidement à toute demande raisonnable de la part du Client souhaitant obtenir des informations détaillées au sujet de l’Incident. L’avis et le rapport de ZUPER contiendront une description de la nature de l’incident, son impact et toutes les mesures d’enquête, correctrices ou répétitives prises ou prévues.

 

8.          Mesures : Continuité des opérations et reprise d’activité. ZUPER a fourni au Client un plan de continuité des opérations commercialement raisonnable et standard pour maintenir la disponibilité du Service (le « plan de continuité »).  Le plan de continuité inclut et inclura, mais ne s’y limitera pas, des éléments comme (a) la gestion des crises, l’activation des plans et des équipes, la documentation des processus de communication et des événements ; (b) gestion des événements, reprise d’activité, emplacements de sites alternatifs et tests de l’arborescence des appels ; et (c) les détails de l'infrastructure, de la technologie et du ou des systèmes, les activités de reprise et récupération et l'identification des personnes / équipes nécessaires à cette reprise.  ZUPER maintiendra ce Plan de continuité pendant toute la durée de tous les abonnements. étant entendu que ZUPER aura le droit de modifier ou d’adapter le Plan de continuité, à condition que cette modification ou modification n’ait pas d’incidence négative sur la capacité de ZUPER à maintenir la disponibilité du Service.

 

9.          À la demande du client, Zendesk apportera des modifications commercialement raisonnables à son programme de sécurité des informations ou aux procédures et pratiques sous-jacentes, afin de se conformer aux exigences de sécurité de référence du Client telles que décrites dans toutes les pièces appropriées de l’Accord et telles qu’elles existent de temps à autre.  Le Client fournira à ZUPER la documentation de ces références, qui feront partie des informations confidentielles du Client dans le cadre de l’Accord.  ZUPER développera un plan de sécurité des informations écrit pour le Client contenant, au minimum, les sujets du présent accord.

 

 

 

pièce C – Accord de traitement de données Zuper

Veuillez lire attentivement l’accord de traitement de données (« ATD ») qui constitue un contrat entre le client (« client » ou « contrôleur » dont l’expression désignera et inclura ses successeurs et ayants droit) et Zuper (« Zuper » ou « traitant » qui signifiera et inclura ses successeurs et ses assignés). Cet ATD s'appliquera lorsque Zuper est un sous-traitant de données personnelles. Le sous-traitant et le responsable du traitement sont appelés individuellement « Partie » et collectivement « Parties ».

 

 

1.     Portée du contrat et répartition des responsabilités

 

1.1 Les Parties conviennent que, pour le traitement des données à caractère personnel, les parties sont responsables du traitement et sous-traitants.

1.2 Le Sous-traitant traitera les Données à caractère personnel uniquement pour le compte du Responsable du traitement et à tout moment uniquement conformément au présent Accord de traitement de données, en particulier les démonstrations respectives.

1.3 Dans le cadre des Conditions générales de Zuper (l’« Accord »), chaque Partie sera responsable de se conformer à ses obligations respectives en tant que responsable du traitement et sous-traitant en vertu des lois sur la protection des données.

2.     Instructions de traitement

 

2.1 Le Sous-traitant traitera les Données à caractère personnel conformément aux instructions du Responsable du traitement. Le présent Accord de traitement de données contient les instructions initiales du Responsable du traitement au Sous-traitant. Les Parties conviennent que le responsable du traitement peut communiquer toute modification de ses instructions initiales au sous-traitant par le biais d’une notification écrite à ce dernier et que le sous-traitant respectera ces instructions. Le sous-traitant doit conserver un enregistrement sécurisé, complet, exact et à jour de toutes ces instructions individuelles.

2.2 Afin d'éviter le moindre doute, toute instruction qui conduirait à un traitement hors du champ d'application de cet Accord de traitement de données (par ex. parce qu'une nouvelle fin de Traitement est introduite) nécessitera un accord préalable entre les Parties et, le cas échéant, sera soumise au procédure de modification de contrat dans le cadre de l’Accord respectif.

2.3 Selon les instructions du responsable du traitement, le sous-traitant corrigera, supprimera ou bloquera les données à caractère personnel.

2.4 Le sous-traitant informera rapidement le responsable du traitement par écrit si, de son avis, une instruction ne respecte pas les lois sur la protection des données, et lui fournira par écrit une explication des motifs de son avis.

2.5 Le sous-traitant ne sera pas responsable des pertes de DP résultant de ou en rapport avec un traitement effectué conformément aux instructions du sous-traitant qui se sont avérées non conformes au RGPD après réception par le sous-traitant de toutes informations fournies par le sous-traitant dans cette section 2.

3.     Personnel de traitement

 

Le Sous-traitant empêchera son personnel de traiter les Données à caractère personnel sans autorisation. Le sous-traitant imposera des obligations contractuelles appropriées à son personnel, notamment les obligations pertinentes en matière de confidentialité, de protection et de sécurité des données.

4.     Divulgation à des tiers ; Droits des personnes concernées

 

4.1 Le Sous-traitant ne divulguera les Données à caractère personnel à aucun tiers (y compris un organisme gouvernemental, un tribunal ou un organisme d'application de la loi), sauf stipulé dans cet accord ou avec le consentement écrit du Responsable du traitement ou dans la mesure nécessaire pour se conformer aux lois obligatoires applicables. Si le Sous-traitant est dans l’obligation de divulguer des Données à caractère personnel à un organisme d’application de la loi ou un tiers, il s’engage à prévenir le Responsable dans un délai raisonnable de la demande d’accès avant d’accorder un tel accès, afin de permettre au Responsable du traitement de demander une ordonnance de protection ou autres recours appropriés. Si un tel avis est légalement interdit, le Sous-traitant prendra des mesures raisonnables pour protéger les Données à caractère personnel de toute divulgation indue, comme s’il s’agissait de ses propres informations confidentielles, et informera le Sous-traitant dans les plus brefs délais si et quand cette interdiction légale cesse de s’appliquer.

4.2 Au cas où le Responsable du traitement recevra une demande ou une communication des personnes concernées, ayant trait au Traitement des Données à caractère personnel (« Demande »), le Sous-traitant fournira au Responsable du traitement toute coopération, les informations et l’assistance (« Assistance ») pour une telle demande dirigé par le contrôleur.

4.3 Lorsque le sous-traitant reçoit une demande, il ne doit (i) répondre directement à cette demande, (ii) transférer la demande au responsable du traitement dans les 3 (trois) jours ouvrables suivant l’identification de la demande comme ayant un rapport avec le responsable du traitement et (III) fournir l’assistance en fonction des instructions supplémentaires du responsable du traitement.

5.     Mesures techniques et organisationnelles (« Tom »)

 

5.1 Le Sous-traitant doit mettre en œuvre et maintenir les mesures de sécurité techniques et organisationnelles appropriées pour s’assurer que les Données à caractère personnel sont Traitées conformément au présent Accord de traitement de données, fournir l’Assistance et protéger les Données à caractère personnel en cas de violation des Données à caractère personnel. De telles mesures sont définies dans l’illustration 2, annexe 2.

5.2 Le sous-traitant documentera les ainsi mis en œuvre et fournira au contrôleur sur demande cette documentation, y compris, si elle est disponible, toute certification telle qu’une certification ISO 27001.

6.     Assistance avec l’évaluation de l’impact sur la protection des données

 

6.1 Lorsqu’une évaluation de l’impact sur la protection des données (« EIVP ») est requise par les lois en vigueur sur la protection des données pour le traitement des Données à caractère personnel, le sous-traitant fournira, sur demande du responsable du traitement, la coopération raisonnable et l’assistance nécessaire pour remplir l’obligation du client d’effectuer une EIVP en rapport avec l’ l’utilisation des Services, dans la mesure où le Client n’a pas accès aux informations pertinentes et dans la mesure où ces informations sont à la disposition de Zuper.

6.2 Le Contrôleur payera au Sous-traitant des frais raisonnables mutuellement convenus entre les parties pour la prestation de l’assistance dans la section 7, dans la mesure où une telle assistance ne peut pas raisonnablement être fournie dans le cadre de la prestation normale des Services.

7.     Droits à l’information et audit

 

7.1 Le Sous-traitant doit, conformément aux Lois sur la protection des données, mettre à la disposition du Responsable du traitement, sur demande, en temps opportun, les informations nécessaires pour prouver le respect par le Sous-traitant de ses obligations dans le cadre des Lois sur la protection des données.

7.2 Zuper a obtenu des certifications et des audits tiers définis sur notre page de sécurité. Sur demande écrite du Responsable du traitement et sous réserve des obligations de confidentialité définies dans l’Accord, Zendesk mettra à la disposition du Responsable du traitement une copie de Zener ainsi que les audits ou certifications tiers les plus récents, le cas échéant.

 

8.     Gestion des incidents de données et notification

 

En ce qui concerne les incidents sur les Données de service, le Sous-traitant doit :

 

8.1 Informer le Responsable du traitement d’une violation de données à caractère personnel impliquant le Sous-traitant ou un sous-traitant sans retard injustifié (mais jamais dans un délai de 72 heures après avoir pris connaissance de l’incident).

8.2 faire des efforts raisonnables pour identifier la cause de cet incident et prendre les mesures que le sous-traitant considère comme nécessaires et raisonnables pour remédier à la cause de l’incident dans la mesure où cela est sous le contrôle raisonnable de Zener.

8.3 fournir des informations, une coopération et une assistance raisonnables au Contrôleur concernant toute mesure prise en réponse à une violation des Données à caractère personnel en vertu des Lois sur la protection des données, y compris en ce qui concerne toute communication de la violation des Données à caractère personnel aux personnes concernées et aux autorités compétentes en matière de protection des données.

Les obligations définies dans la section 8 ne devraient pas s’appliquer aux incidents de données causés par le client ou les utilisateurs du client.

 

 

9.     Sous-traitant

 

9.1 Le Responsable du traitement consent à ce que le Sous-traitant engage des sous-traitants tiers comme répertoriés ci-dessous pour traiter les Données personnelles afin de remplir ses obligations en vertu du présent Accord, étant entendu que le Sous-traitant fournira au moins quinze (15) jours soit un avis au sein du produit, soit un avis par e-mail. à l’administrateur du compte avant la description ou le remplacement d’un sous-traitant.

 

Liste des sous-traitants

 

 

Coordonnées des sous-traitants

 

 

Le responsable du traitement peut refuser que le sous-traitant nomme ou remplace un sous-traitant avant sa nommer ou son remplacement, à condition que cette contestation soit fondée sur des motifs raisonnables en matière de protection des données. Dans un tel cas, le sous-traitant ne nommera pas ou ne remplacera pas le sous-traitant ou, si cela n’est pas possible, le responsable du traitement peut suspendre ou résilier les services (sans prérequis pour les frais engagés par le responsable du traitement de données avant cette suspension ou cette résiliation) .

9.2 Lorsque le sous-traitant, avec le consentement du responsable du traitement, sous-traite ses obligations et ses droits en vertu du présent accord de traitement de données, il le fera uniquement par le biais d’un contrat écrit ayant trait au sous-traitant, qui impose essentiellement les mêmes obligations selon l’article 28 du RGPD , en particulier en ce qui concerne les instructions et les ToToM du sous-traitant qui sont imposées au Sous-traitant dans le cadre de cet Accord de traitement de données.

9.3 Le sous-traitant doit s'assurer qu'il a sélectionné avec soin le sous-traitant, en faisant particulièrement attention à la pertinence de ses utile. Le sous-traitant a passé un accord écrit avec chaque Sous-traitant contenant des obligations en matière de protection des données non moins protégées que celles de l’Accord en ce qui concerne la protection des Données de service dans la mesure applicable à la nature des Services fournis par ce Sous-traitant.

Sous-traitant.

9.4 Lorsque le sous-traitant ne remplit pas ses obligations en vertu de l’accord de sous-traitant, le sous-traitant reste entièrement responsable envers le responsable du traitement du traitement de données et de l’exécution des obligations du sous-traitant.

 

10.   Durée et résiliation

 

10.1 Le présent Accord de traitement de données entre en vigueur à compter de sa signature. Il continuera d’être en vigueur et de s’appliquer pleinement tant que le Sous-traitant traitera les Données à caractère personnel conformément à l’illustration 1 et cessera automatiquement par la suite.

10.2 Le Responsable du traitement peut résilier l’Accord de traitement de données ainsi que l’Accord pour motif, à tout moment sur préavis raisonnable ou sans préavis, comme choisi par le Responsable du traitement, si le Sous-traitant est en violation des termes de cet Accord de traitement de données.

10.3 Lorsque des modifications sont nécessaires pour assurer la conformité de ces Accords de traitement de données ou d’une annexe avec les Lois sur la protection des données, les Parties accepteront de telles modifications à la demande du Responsable du traitement et, pour éviter toute ambiguïté, sans frais supplémentaires pour le Responsable du traitement. Lorsque les parties ne peuvent pas s’accorder sur de telles modifications, l’une ou l’autre partie peut résilier l’accord et le présent accord de traitement de données en envoyant un préavis écrit de 90 jours à l’autre partie.

11.    Suppression ou retour des données à caractère personnel

 

Le responsable du traitement peut exporter toutes les données de service avant la résiliation du compte du client. Dans tous les cas, suite à la résiliation du compte du client (i) sous réserve de (ii) et (III) ci-dessous et de l’accord , les données de service seront conservées pendant une période de 14 jours à compter de cette résiliation, pendant laquelle le responsable du traitement peut contacter le sous-traitant pour exporter les Données de service ; (ii) lorsque le Responsable du traitement n’utilise pas de boîte de messagerie personnalisée mais utilise la fonctionnalité d’e-mail, si elle est disponible dans le ou les Services, les e-mails faisant partie des Données de service sont automatiquement archivés pendant une période de 3 mois ; et (III) les journaux sont archivés pendant trente (30) jours dans les systèmes de gestion des journaux, publier les journaux qui sont retirés du stockage au froid archivés pendant onze (11) mois (chacun une « période de conservation des données » ). Au-delà de chacune de ces Périodes de conservation des données, le Sous-traitant se réserve le droit de supprimer toutes les Données de service dans le cours normal des activités, dans la mesure nécessaire pour respecter ses obligations légales, maintenir avec exactitude les documents financiers et autres, résoudre les conflits et appliquer les accords. Vous ne pouvez plus récupérer les Données de service une fois supprimées.

12.    Divers

 

12.1 En cas de conflit, les dispositions du présent Accord de traitement de données prévalent sur les dispositions de tout autre accord avec le Sous-traitant.

12.2 La limitation de responsabilité définie dans le présent Accord s'applique à la violation de l'Accord de traitement de données.

12.3 Aucune Partie ne recevra de paiement pour l’exécution de ses obligations dans le cadre de cet Accord de traitement de données, sauf stipulé explicitement dans le présent Accord ou dans un autre accord.

12.4 Lorsque le présent Accord de traitement de données nécessite une « avis écrit », un tel avis peut aussi être communiqué par e-mail à l’autre Partie. Les avis doivent être envoyés aux personnes de contact définies dans l’illustration 1 VII.

12.5 Tout accord supplémentaire ou modification du présent Accord de traitement de données doit être établi par écrit et signé par les deux Parties.

12.6 Si des clauses individuelles de cet Accord de traitement de données devenaient nulles, non valides ou non, cela n’affectera pas la validité des autres conditions de cet accord.

13.    Définitions

« Administrateur du compte » désigne la personne autorisée par le responsable du traitement à recevoir des notifications du sous-traitant.

Le terme « Lois sur la protection des données » désigne les lois sur la protection des données du pays dans lequel est établi le Responsable du traitement, y compris le RGPD et toutes les lois sur la protection des données applicables au Responsable du traitement dans le cadre de l’Accord.

« Pertes DP » désigne tous les engagements, notamment :

a) les coûts (y compris les frais juridiques)

 

b) les réclamations, les demandes, les actions, les règlements, les frais, les procédures, les dépenses, les pertes et les dommages (matériels ou non, y compris la tourmente émotionnelle)

c) dans la mesure autorisée par la loi applicable :

i) les frais administratifs, les pénalités, les droits, les responsabilités ou autres recours imposés par un organisme de protection des données ou toute autre autorité réglementaire pertinente

ii) l’indemnisation d’une personne concernée par une autorité en charge de la protection des données, qui sera payée par le sous-traitant

3. les coûts liés aux enquêtes effectuées par un organisme chargé de la protection des données ou toute autre autorité réglementaire pertinente.

Le terme « RGPD » désigne le Règlement (UE) 2016/679 du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du Traitement des données à caractère personnel et à la libre circulation de ces données.

Le terme « Données à caractère personnel » fait référence à toute information se rapportant à une personne physique identifiée ou identifiable, telle que définie par le Règlement général sur la protection des données de l’Union européenne (« RGPD» EC-2016/679), qui est Traitée par le Sous-traitant dans le cadre des services fournis par le Sous-traitant. le Contrôleur comme décrit dans l’illustration 1.

Les clauses contractuelles standards/Clauses contractuelles standards de l’UEfont référence aux clauses contractuelles standards définies dans l’annexe 1 pour le transfert de Données à caractère personnel entre un responsable du traitement de données de l’Espace économique européen à des Sous-traitants établis dans des pays tiers sur le formulaire figurant en annexe du La décision de la Commission européenne 2010/87/UE, telle que modifiée par l’incorporation de la description des données à caractère personnel à transférer et des mesures techniques et organisationnelles à mettre en œuvre, comme indiqué dans l’annexe.

« contrôleur », « personne concernée », « violation des données personnelles », « traitant » et « traitant » ont la signification qui leur est donnée dans le RGPD.

 

 

Illustration 1

Détails du traitement

 

Personnes concernées

 

Les personnes concernées sont les personnes avec lesquelles se rapportent les données à caractère personnel et qui sont des utilisateurs ou des utilisateurs finaux qui interagissent en utilisant les services.

Catégories de données

Les catégories de données font référence aux données à caractère personnel des Utilisateurs et Utilisateurs finaux, contenues dans des données, textes, messages ou autres documents électroniques, envoyés au ou aux Services par le Client par le biais de son Compte, en rapport avec l’utilisation des Services par le Client. .

Sujet et nature du traitement

Les données personnelles traitées seront soumises aux activités de traitement de base requises pour la prestation des Services par Zener au Client, qui implique le traitement des données personnelles. Les données à caractère personnel seront soumises à ces activités de traitement comme cela peut être spécifié dans l’Accord et l’ATD.

Finalité du traitement

Les données à caractère personnel seront traitées afin de fournir le ou les Services définis dans un Formulaire, comme expliqué ultérieurement par le Client dans son utilisation des Services et autrement accepté dans l’Accord, cet ATD et tout Formulaire applicable.

Durée du traitement

Les Données à caractère personnel seront traitées pendant la durée de l’Accord.

 

 

Illustration 2

Clauses contractuelles standards de l’UE (traitants)

 

Dans le cadre de l’application de l’article 46.3 du Règlement (UE) 2016/679, relatifs au transfert de données à caractère personnel à des sous-traitants établis dans des pays tiers, qui n’assurent pas un niveau de protection des données adéquat

L’entité identifiée comme « contrôleur » dans l’accord de traitement de données (l’« exportateur de données »)

Et Zuper, Inc.

24754 NE, 3 rd Way, Sammamis, WA - 98074 (l’importateur de données)

chaque partie est une « partie » ; ensemble, « les parties »,

 

SONT CONVENUS sur les clauses contractuelles suivantes (les clauses) afin de fournir des garanties adéquates pour la protection de la confidentialité et des droits et libertés fondamentaux des personnes lors du transfert de données par l’exportateur de importateur de données de données comme spécifié dans l’Appendice 1 .

 

Clause 1

Définitions

Dans le cadre des clauses :

(a) « données personnelles », « catégories de données spéciales », « traiter », « contrôleur », « traitant », « personne concernée » et « autorité de contrôle » ont la même signification que dans le Règlement (UE) 2016. /679;

(b) « l’exportateur de données » fait référence au responsable du transfert des données à caractère personnel;

(c) « importateur de données » fait référence au sous-traitant qui accepte de recevoir de l’exportateur de données les données personnelles destinées à être traitées pour son compte après le transfert conformément à ses instructions et les modalités de la clause et qui n’est pas soumis à la système garantissant une protection adéquate au sens du règlement (UE) 2016/679 ;

d) « le sous-traitant » fait référence à tout sous-traitant engagé par l’ importateur de données ou tout autre sous-traitant de l’ importateur de données qui accepte de recevoir de l’ importateur de données ou de tout autre sous-traitant de l’ importateur de données des données à caractère personnel exclusivement destinées à des activités de traitement devant être effectuées pour le compte de l’exportateur de données après le transfert conformément à ses instructions, aux clauses et aux termes du sous-contrat écrit ;

(e) « loi sur la protection des données applicable » fait référence à la législation protégeant les droits et libertés fondamentaux des personnes et en particulier leur droit à la vie privée en ce qui concerne le traitement des données à caractère personnel, applicable à un responsable du traitement de données dans l’État membre dans lequel la L'exportateur de données est établi ;

(f) Le terme « mesures de sécurité techniques et organisationnelles » désigne les mesures visant à protéger les données personnelles contre les destructions accidentelles ou illégales, les pertes, les modifications, la divulgation ou l’accès non autorisé, en particulier lorsque le traitement implique la transmission des données sur un réseau, et contre toutes autres formes de traitement illégales.

 

Clause 2

Détails du transfert

Les détails du transfert, et en particulier les catégories spéciales de données à caractère personnel, le cas échéant, sont spécifiés à l’Appendice 1, qui fait partie intégrante des Conditions.

Clause 3

Clause de tiers

1.      La personne concernée peut appliquer cette clause, clause 4 (b) à (i), clause 5 (a) à (e), et (g) à (j), clause 6 (1) et (2) à l’exportateur de données. , clause 7, clause 8(2) et clauses 9 à 12 en tant que tiers.

2.     La personne concernée peut appliquer cette clause, clause 5 (a) à (e) et (g), clause 6, clause 7, clause 8(2) et clauses 9 à 12 à l’ importateur de données , dans les cas où l’exportateur de données a disparu de fait ou a cessé d’exister en droit, sauf si une entité capable de remplacer a assumé l’intégralité des obligations légales de l’exportateur de données par contrat ou par application de la loi, par conséquent, elle assume les droits et obligations de l’exportateur de données, en auquel cas la personne concernée peut les appliquer à une telle entité.

3.     La personne concernée peut appliquer cette clause, clause 5 (a) à (e) et (g), clause 6, clause 7, clause 8 (2) et clauses 9 à 12, dans les cas où l’exportateur de données et si l’ importateur de données a effectivement disparu ou a cessé d’exister aux termes de la loi, ou est devenu insolable, sauf si une entité successeure a assumé toutes les obligations légales de l’exportateur de données, en vertu d’un contrat ou d’une loi, en vertu de quoi l’entreprise assume les droits et obligations de l’exportateur de données, auquel cas la personne concernée peut les appliquer à l’entreprise. Cette responsabilité du sous-traitant en tant que tiers sera limitée à ses propres opérations de traitement dans le cadre des Clauses.

4.     Les parties ne s’engagent pas à ce qu’une personne concernée soit représentée par une association ou un autre organisme si la personne concernée le souhaite expressément et si la loi l’autorise.

 

Clause 4

obligations de l’exportateur de données

 

L’exportateur de données accepte et garantit :

 

(a) que le traitement des données à caractère personnel, y compris le transfert lui-même, a été et continuera d'être effectué conformément aux dispositions pertinentes de la loi applicable en matière de protection des données (et, le cas échéant, a été notifié aux autorités concernées ; de l’État membre dans lequel est établi l’exportateur de données) et ne constitue pas une violation des dispositions pertinentes de cet État ;

(b) qu’il a demandé et pendant toute la durée des services de traitement des données personnelles, demandera à l’ importateur de données de traiter les données personnelles transférées uniquement pour le compte de l’exportateur de données et conformément à la loi applicable sur la protection des données et aux clauses ;

(c) que l' importateur de données fournira des garanties suffisantes en ce qui concerne les mesures de sécurité techniques et organisationnelles spécifiées à l'Appendice 2 de ce contrat ;

d) qu’après évaluation des exigences de la loi applicable en matière de protection des données, les mesures de sécurité sont appropriées pour protéger les données personnelles contre la destruction accidentelle ou illégale, la perte accidentelle ou l’accès non autorisé, en particulier lorsque le traitement implique la transmission données sur un réseau et contre toutes autres formes de traitement illégales, et que ces mesures garantissent un niveau de sécurité approprié aux risques présentés par le traitement et à la nature des données à protéger au vu de l’état de la technique et des le coût de leur mise en œuvre ;

(e) qu'il garantira la conformité aux mesures de sécurité ;

(f) que, si le transfert implique des catégories de données spéciales, la personne concernée a été informée ou sera informée avant ou dès que possible après le transfert que ses données pourraient être transmises à un pays tiers ne lui offrant pas une protection adéquate dans un délai de la signification du Règlement (UE) 2016/679 ;

(g) pour transmettre toute notification reçue de l' importateur de données ou de tout sous-traitant en vertu de la clause 5 (b) et de la clause 8 (3) à l'autorité de contrôle de la protection des données si l'exportateur de données décide de poursuivre le transfert ou de lever la suspension.

(h) de mettre à la disposition des personnes concernées, sur demande, un exemplaire des clauses, à l’exception de l’annexe 2, et une description récapitulative des mesures de sécurité, ainsi qu’une copie de tout contrat de services de sous-traitant qui doit être passé conformément aux Clauses, sauf si les clauses ou le contrat contiennent des informations commerciales, auquel cas il peut supprimer ces informations commerciales ;

(i) qu’en cas de sous-traitant, l’activité de traitement est effectuée conformément à la clause 11 par un sous-traitant fournissant au moins le même niveau de protection des données à caractère personnel et des droits des personnes concernées que les données importées en vertu des clauses ; et

(j) qu’il garantira la conformité avec la clause 4 (a) à (i).

 

Article 5

obligations de l’ importateur de données

 

L’ importateur de données accepte et garantit :

 

(a) pour traiter les données à caractère personnel uniquement pour le compte de l’exportateur de données et en conformité avec ses instructions et les Clauses ; s’il ne peut pas fournir une telle conformité pour une raison quelconque, il s’engage à informer rapidement l’exportateur de données de son non-respect, auquel cas l’exportateur de données a le droit de suspendre le transfert de données et/ou de résilier le contrat ;

(b) qu’elle n’a aucune raison de croire que la législation qui lui est applicable l’empêche d’exécuter les instructions reçues de l’exportateur de données et ses obligations dans le cadre du contrat et qu’en cas de modification de cette législation, il est probable que ayant un impact négatif important sur les garanties et les obligations prévues par les clauses, il notifiera rapidement la modification à l’exportateur de données dès qu’il en a connaissance, auquel cas l’exportateur de données est en droit de suspendre le transfert de données et/ou de résilier le contrat ; ;

(c) qu'il a mis en œuvre les mesures de sécurité techniques et organisationnelles spécifiées à l'Appendice 2 avant de traiter les données à caractère personnel transférées ;

(d) qu’il informera rapidement l’exportateur de données de :

(i) toute demande légale de divulgation des données personnelles par un organisme chargé de l’application de la loi, sauf interdiction contraire, par exemple une interdiction de droit, afin de garantir la confidentialité des enquêtes de police,

(ii) tout accès accidentel ou non autorisé, et

(III) toute demande reçue directement des personnes concernées sans y avoir répondu, sauf si elle a été autrement autorisée à le faire ;

(e) traiter rapidement et correctement toutes les demandes de l’exportateur de données ayant trait au traitement des données personnelles faisant l’objet du transfert et respecter les conseils de l’autorité de contrôle en ce qui concerne le traitement des données transférées ;

(f) à la demande de l’exportateur de données d’envoyer ses installations de traitement de données pour un audit des activités de traitement couvertes par les clauses, qui sera effectué par l’exportateur de données ou un organisme d’inspection composé de membres indépendants et en possession du professionnel qualifié des qualifications liées par un devoir de confidentialité, sélectionnées par l’exportateur de données, le cas échéant, en accord avec l’autorité de contrôle ;

(g) de mettre à la disposition de la personne concernée, sur demande, une copie des clauses ou de tout contrat existant pour le sous-traitement, sauf si les clauses ou le contrat contiennent des informations commerciales, auquel cas il peut supprimer ces informations commerciales, à l’exception de l’annexe 2 qui sera remplacé par une description succincte des mesures de sécurité dans les cas où la personne concernée ne peut pas obtenir de copie de l’exportateur de données ;

(h) que, dans le cas d’un sous-traitement, il a préalablement informé l’exportateur de données et obtenu son consentement écrit préalable ;

(i) que les services de traitement par le sous-traitant seront fournis conformément à la clause 11 ;

(j) pour envoyer rapidement une copie de tout accord de sous-traitant conclu dans le cadre des Clauses à l’exportateur de données.

 

Article 6

Responsabilité

 

1.      Les parties conviennent que toute personne concernée, qui a subi un dommage du fait d’une violation des obligations définies dans la clause 3 ou dans la clause 11, par toute partie ou tout sous-traitant, a le droit de recevoir une indemnisation de l’exportateur de données pour le dommage subi.

2.     Si une personne concernée n’est pas en mesure de présenter une demande d’indemnisation conformément au paragraphe 1 contre l’exportateur de données, du fait d’une violation par l’ importateur de données ou son sous-traitant de l’une de ses obligations spécifiées dans la clause 3 ou la clause 11, parce que l’exportateur de données a disparu ou n’existe plus en droit ou est devenu insolable, l’ importateur de données convient que la personne concernée peut déposer une réclamation contre l’ importateur de données , comme si elle était l’exportateur de données, sauf si une entité remplaçante a assumé la totalité du service. obligations légales de l’exportateur de données par contrat ou par opération de la loi, auquel cas la personne concernée peut faire respecter ses droits contre cette entité. L’ importateur de données ne peut pas s’appuyer sur la violation par un sous-traitant de ses obligations pour éviter sa propre responsabilité.

3.     Si une personne concernée n’est pas en mesure de porter plainte contre l’exportateur ou l’ importateur de données mentionné aux paragraphes 1 et 2, du fait d’une violation par le sous-traitant de l’une de ses obligations spécifiées dans la clause 3 ou clause 11 parce que : l’exportateur de données et l’ importateur de données ont tous deux disparu ou ont cessé d’exister en droit ou sont devenus insolables, le sous-traitant convient que la personne concernée peut déposer une réclamation contre le sous-traitant de données au sujet de ses propres opérations de traitement dans le cadre des clauses, comme si elle était l’exportateur ou l’ importateur de données, sauf si une entité capable de remplacer a assumé l’intégralité des obligations légales de l’exportateur ou de importateur de données, par contrat ou par application de la loi, auquel cas la personne concernée peut faire respecter ses droits à l’encontre de cette entité. La responsabilité du sous-traitant sera limitée à ses propres opérations de traitement, dans le cadre de ces Conditions générales.

 

Article 7

Médiation et juridiction

 

1.      L’ importateur de données convient que si la personne concernée invoque des droits de bénéficier de tiers et/ou demande une indemnisation pour dommages en vertu des clauses, il acceptera la décision de la personne importateur de données :

(a) pour transférer le différend à la modération, par une personne indépendante ou, le cas échéant, par l’autorité de contrôle ;

(b) pour différend les juridictions de l’État membre dans lequel est établi l’exportateur de données.

2.     Les parties conviennent que le choix fait par la personne concernée ne compromettra pas ses droits substantiels ou procéduraux à rechercher des recours conformément à d’autres dispositions du droit national ou international.

 

Article 8

Coopération avec les autorités de contrôle

 

1.      L’exportateur de données accepte de déposer une copie de ce contrat auprès de l’autorité de contrôle s’il le demande ou si un tel dépôt est requis par la loi applicable sur la protection des données.

2.     Les parties conviennent que l’autorité de contrôle a le droit de procéder à un audit de l’ importateur de données et de tout sous-traitant ayant la même portée et soumis aux mêmes conditions que le contrôle de l’exportateur de données dans le cadre des données applicables. loi sur la protection des données.

3.     L’ importateur de données informe dans les plus brefs délais l’exportateur de données de l’existence de la législation qui lui est applicable ou de tout sous-traitant empêchant la vérification de l’ importateur de données ou de tout sous-traitant, conformément au paragraphe 2. Dans un tel cas, l'exportateur de données sera autorisé à prendre les mesures prévues à la clause 5 (b).

 

Clause 9

Loi applicable

Les Conditions générales sont régies par la loi de l’État membre dans lequel est établi l’exportateur de données.

 

Article 10

Modification du contrat

Les parties s’engagent à ne pas varier ou modifier les clauses. Cela n’empêche pas les parties d’ajouter des clauses sur des problèmes liés à l’entreprise si nécessaire, tant qu’elles ne sont pas en violation de la clause.

Article 11

Sous-traitant

 

1.      L’ importateur de données ne sous-traite pas les opérations de traitement effectuées pour le compte de l’exportateur de données dans le cadre des Clauses sans le consentement écrit préalable de l’exportateur de données. Lorsque l’ importateur de données sous-traite ses obligations dans le cadre de la clause, avec le consentement de l’exportateur de données, il doit le faire uniquement par le biais d’un accord écrit avec le sous-traitant qui impose les mêmes obligations au sous-traitant que celles qui sont imposées à l’ importateur de données en vertu de la Clauses. Lorsque le sous-traitant ne remplit pas ses obligations en vertu de cet accord écrit, l’ importateur de données reste entièrement responsable vis-à-vis de l’exportateur de données quant à l’exécution des obligations du sous-traitant en vertu de cet accord écrit.

2.     Le contrat écrit préalable entre l’ importateur de données et le sous-traitant fournira également une clause de tiers bénéficiaire comme stipulé dans la clause 3 pour les cas où la personne concernée n’est pas en mesure de faire la demande d’indemnisation mentionnée dans le paragraphe 1 de la clause 6. contre l’exportateur ou l’ importateur de données parce qu’ils ont disparu ou ont cessé d’exister au regard de la loi ou sont devenus insolables, et qu’aucune entité successeure n’a assumé la totalité des obligations légales de l’exportateur ou de importateur de données , que ce soit en vertu d’un contrat ou d’une application de la loi. Cette responsabilité du sous-traitant en tant que tiers sera limitée à ses propres opérations de traitement dans le cadre des Clauses.

3.     Les dispositions relatives aux aspects de protection des données pour le sous-traitement du contrat mentionné au paragraphe 1 sont régies par la loi de l'État membre dans lequel l'exportateur de données est établi.

4.     L’exportateur de données conserve une liste des accords de sous-domaine conclus dans le cadre des Clauses et notifiés par l’ importateur de données en vertu de la clause 5 (j), qui doit être mise à jour au moins une fois par an. Cette liste doit être mise à la disposition de l’autorité de contrôle de la protection des données de l’exportateur de données.

 

Article 12

obligation après la résiliation des services de traitement des données à caractère personnel

 

1.      Les parties conviennent qu’à la fin des services de traitement de données, l’ importateur de données et le sous-traitant devront, au choix de l’exportateur de données, lui retourner toutes les données personnelles transférées et leurs copies ou détruiront toutes les données des données à caractère personnel et certifier à l’exportateur de données qu’il l’a fait, sauf si une législation imposée par l’ importateur de données l’empêche de renvoyer ou de détruire la totalité ou une partie des données à caractère personnel transférées. Dans ce cas, l’ importateur de données garantit qu’il garantira la confidentialité des données personnelles transférées et ne les traitera plus activement.

 

2.     L’ importateur de données et le sous-traitant garantissent que, à la demande de l’exportateur de données et/ou de l’autorité de contrôle, ils soumettreont leurs installations de traitement des données à un audit des mesures mentionnées au paragraphe 1.

 

Annexe 1 aux clauses contractuelles types

 

Cet annexe fait partie des clauses et doit être rempli et signé par les parties. En signant la page de signature de l’Accord de traitement de données, les parties seront considérées avoir signé cette Annexe 1.

Exportateur de données - L’exportateur de données est l’entité identifiée comme « contrôleur » dans l’Accord de traitement de données.

Importateur de données - L’ importateur de données est l’entité identifiée comme Sous-traitant dans l’Accord de traitement de données.

Sujets des données - Les sujets des données sont définis dans l’annexe 1, n° 2 de l’accord de traitement de données.

Catégories de données - Les catégories de données sont identifiées à l’annexe 1 n° 3 de l’Accord de traitement de données.

Opérations de traitement - Les données personnelles transférées seront soumises aux activités de traitement élémentaires suivantes identifiées à l’Appendice 1 No. 1 de l’Accord de traitement des données.

 

Annexe 2 aux clauses contractuelles types

 

Cet annexe fait partie des clauses et doit être rempli et signé par les parties. En signant la page de signature de l’Accord de traitement de données, les parties seront considérées avoir signé cette Annexe 2.

Description des mesures de sécurité techniques et organisationnelles mises en œuvre par l’ importateur de données conformément aux clauses 4 (d) et 5 (c) (ou document/législation joint) :

Le sous-traitant maintient et applique diverses politiques, normes et processus conçus pour sécuriser les données personnelles et autres données auxquelles ses employés ont accès, et met de temps à autre ces politiques, normes et processus à jour pour les rendre cohérentes avec les normes du secteur. Vous trouverez ci-dessous une description de certaines des mesures techniques et organisationnelles mises en œuvre par le sous-traitant à la date de signature :

1.     Procédures de sécurité générales

 

1.1 Le Sous-traitant est responsable de mettre en place et de maintenir un programme de sécurité des informations conçu pour : (i) protéger la sécurité et la confidentialité des Données à caractère personnel ; (ii) se protéger contre les menaces ou les risques potentiels pour la sécurité ou l’intégrité des Données à caractère personnel ; (III) se protéger contre un accès ou une utilisation non autorisé(e) des Données à caractère personnel ; (iv) garantir que les Données à caractère personnel sont supprimées, comme défini ci-dessous dans le présent document ; et (v) s’assurer que tous les employés et sous-traitants du Sous-traitant, le cas échéant, respectent tout ce qui précède. Le sous-traitant désigne une personne responsable du programme de sécurité des informations. Ces personnes répondront aux demandes du Contrôleur au sujet de la sécurité informatique et seront chargées de notifier le ou les contacts désignés par le Contrôleur en cas de violation ou d’incident, comme décrit dans le présent document.

1.2 Le sous-traitant organisera une formation formel de sensibilisation à la confidentialité et à la sécurité pour tous ses employés dès que raisonnablement possible après l’embauche et/ou avant d’être nommé pour travailler sur les données à caractère personnel, et de nouveau certifié tous les ans. Le sous-traitant conservera la documentation relative à la formation relative à la sécurité, confirmant que cette formation et le processus de renouvellement de certification annuel subséquent ont été terminés.

1.3 Le Sous-traitant a le droit de consulter un aperçu du programme de sécurité des informations du Sous-traitant avant le début du Service et ensuite tous les ans, à la demande du Sous-traitant.

1.4 Le sous-traitant ne transmettra pas de Données à caractère personnel non chiffrées par Internet ou sur un réseau non sécurisé et ne stockera pas de Données à caractère personnel sur un appareil informatique mobile, comme un ordinateur portable, une clé USB ou un appareil de données portable, sauf dans le cas où

uniquement si l’appareil informatique mobile est protégé par un logiciel de chiffrement standard. Le Sous-traitant cryptera les Données à caractère personnel en transit vers les Services et en dehors de ceux-ci sur des réseaux publics en utilisant des protocoles de normes du secteur.

1.5 En cas de vol apparent ou réel, d’utilisation ou de divulgation non autorisée de Données à caractère personnel, le Sous-traitant lancera immédiatement tous les efforts raisonnables pour enquêter sur les causes et les conséquences, et sans retard injustifié et dans les 72 heures suivant la confirmation de l’ un tel événement, en informer le Contrôleur, ainsi que toute information ou assistance supplémentaire qui peut être raisonnablement demandée. À la demande du Contrôleur, des mesures correctives et une garantie raisonnable de résolution des problèmes découverts lui seront fournies.

2.     Sécurité du réseau et des communications

 

2.1 La connectivité du Sous-traitant aux systèmes informatiques et/ou réseaux du Contrôleur et toutes les tentatives similaires se feront uniquement par le biais des passerelles/pare-feux de sécurité du Contrôleur et uniquement par le biais des procédures de sécurité approuvées par le Contrôleur.

2.2 Le Sous-traitant n’accède pas et ne permet pas à des personnes ou entités non autorisées d’accéder aux systèmes informatiques et/ou réseaux du Contrôleur sans l’autorisation écrite expresse du Contrôleur et un tel accès, réel ou tenté, doit être compatible avec une telle autorisation.

2.3 Le Sous-traitant prendra les mesures appropriées pour s’assurer que les systèmes du Sous-traitant se connectant aux systèmes du Contrôleur et tout ce qui lui est fourni par le biais de ces systèmes ne contiennent pas de code informatique, de programmes, de mécanismes ou d’appareils de programmation conçus pour ou qui permettraient la perturbation, la modification ou la suppression. Mise à jour par : ,

endommager, désactiver, désactiver, endommager ou empêcher de quelque façon que ce soit le fonctionnement des systèmes du Contrôleur.

2.4 Le sous-traitant prendra des mesures techniques et organisationnelles pour la protection des données, notamment : (i) des pare-feux et des systèmes de détection des menaces pour identifier les tentatives de connexion malveillantes, bloquer le spam, les virus et les intrusions non autorisées ; (ii) la technologie de réseau physique conçue pour lutter contre les attaques lancées par des utilisateurs ou des codes malveillants ; et (III) les données chiffrées en transit sur les réseaux publics en utilisant des protocoles de normes du secteur.

3.     Procédures de traitement des données personnelles

 

3.1 Suppression d’informations et destruction de Supports de stockage électroniques. Tous les supports de stockage électroniques contenant des Données à caractère personnel doivent être effacés ou décompressés en vue de leur destruction ou de leur élimination, d’une manière conforme aux normes du secteur, telles que les directives NIST SP800-88 pour l’hygiène des médias, avant de quitter la ou les zones de travail du Contrôleur, à l’exception : de Données à caractère personnel chiffrées résidentes sur un support portable dans le but exprès de fournir le service au Responsable du traitement. Le sous-traitant doit conserver des preuves documentées commercialement raisonnables de l’effacement et de la destruction des données pour les ressources au niveau de l’infrastructure.

3.2 Le Sous-traitant doit maintenir les technologies et processus d’autorisation et d’authentification pour garantir que seules les personnes autorisées accèdent aux Données à caractère personnel, notamment : (i) l’octroi des droits d’accès sur la base du principe du besoin de savoir ; (ii) consulter et tenir à jour les dossiers des employés qui sont autorisés ou qui peuvent accorder, modifier ou annuler l’accès autorisé aux systèmes ; (III) exiger des comptes d’accès individuels personnalisés qu’ils utilisent des mots de passe qui satisfont aux exigences de complexité, de longueur et de durée ; (iv) stocker les mots de passe de façon à ce qu’ils soient illisibles s’ils sont mal utilisés ou récupérés isolément ; (v) crypter, consigner et auditer toutes les sessions d'accès aux systèmes contenant des Données à caractère personnel ; et (vi) en expliquant aux employés des méthodes administratives sûres lorsque les ordinateurs ne sont pas surveillés, par exemple l'utilisation d'écrans protégés par mot de passe et la durée des sessions.

3.3 Le sous-traitant utilisera des contrôles logiques pour séparer les Données à caractère personnel des autres données, notamment les données des autres clients.

3.4 Le Sous-traitant doit prendre des mesures pour assurer un traitement séparé des données à des fins différentes, notamment : (i) fournir le Responsable du traitement au sein de son propre domaine de sécurité au niveau de l'application, ce qui crée une séparation logique et un filtrage des principes de sécurité entre les clients ; et (ii) en isolant les environnements de test ou de développement des environnements en direct et de production.

4.     Sécurité physique

 

4.1 Le sous-traitant doit s’assurer qu’au moins les exigences de sécurité physique suivantes sont satisfaites :

i) Tous les médias de sauvegarde et d’archivage contenant les Données à caractère personnel doivent être contenus dans des zones de stockage sécurisées et contrôlées, qui appartiennent au Sous-traitant ou dont l’environnement est contrôlé. Tous les médias de sauvegarde et d’archivage contenant des Données à caractère personnel doivent être chiffrés.

ii) Des mesures techniques et organisationnelles pour contrôler l'accès aux locaux et aux installations des centres de données sont en place et incluent : (i) des bureaux de réception bien équipés ou des agents de sécurité pour restreindre l'accès aux personnes identifiées et autorisées ; (ii) un contrôle du visiteur à l’arrivée pour vérifier son identité ; (III) toutes les portes d’accès, y compris les clôtures de matériel, sécurisées par des systèmes de verrouillage de porte automatique, avec des systèmes de contrôle d’accès qui enregistrent et conservent les historiques d’accès ; (iv) la surveillance et l'enregistrement de toutes les zones utilisant des caméras numériques CCtV, des systèmes d'alarme détectant les mouvement et des journaux de surveillance et d'audit détaillés ; (v) des alertes anti-intrusion présentes sur toutes les portes d’urgence externes avec des portes de sortie internes unidirectionnelles ; et

(vi) séparation des zones d’expédition et de réception avec des vérifications du matériel à l’arrivée.

III) Le Sous-traitant prendra des mesures pour se protéger contre les risques de destruction ou de perte accidentelle de Données à caractère personnel, notamment : (i) la détection et la suppression des incendies, notamment un système de suppression d’incendies multizone, à canal canal, à doubles canaux, pré-action et un système de suppression d’incendies précoce Détection et alarme de détection de détection (vesda) ; (ii) des groupes générateurs d’électricité sur site redondants, avec un ravitaillement en carburant et des contrats avec plusieurs fournisseurs de carburant ; (III) des systèmes de chaleur, de chaleur et d’air frais (CVC) qui fournissent un flux d’air, une température et une jusqu’à une noter fluidité, avec un minimum de redondance N+1 pour tous les principaux équipements et une redondance N+2 pour les remplacers et le stockage d’énergie therifique ; et (iv) les systèmes physiques utilisés pour le stockage et le transport des données, utilisant des conceptions tolérantes aux pannes avec plusieurs niveaux de redondance.

5  tests de sécurité

 

5.1 Pendant la prestation des Services dans le cadre de l’Accord, le Sous-traitant fera appel, à ses frais et au moins une fois par an, à un fournisseur tiers (« Entreprise de test ») pour effectuer des tests de pénétration et de vulnérabilité (« Tests de sécurité ») en ce qui concerne aux systèmes du Sous-traitant contenant et/ou stockant les Données à caractère personnel.

5.2 L’objectif de ces Tests de sécurité est d’identifier les problèmes de conception et/ou de fonctionnalité dans les applications ou l’infrastructure des systèmes du Sous-traitant contenant et/ou stockant des Données à caractère personnel, qui pourraient exposer les actifs du Responsable du traitement à des risques provenant d’activités malveillantes. Les Tests de sécurité doivent rechercher les faiblesses des applications, des périmètres réseau ou autres éléments d’infrastructure, ainsi que les faiblesses des processus ou contre-mesures techniques liées aux systèmes du Traitement contenant et/ou stockant les Données à caractère personnel qui pourraient être exploitées par une partie malveillante.

5.3 Les Tests de sécurité identifieront, au minimum, les vulnérabilités de sécurité suivantes : entrées non valides ou non supprimées ; contrôles d’accès défectueux ou excessifs ; authentification et gestion des sessions défectueuses ; failles du script intersite (XSS) ; les débordements du bloqueur ; défauts d’insertion ; mauvaise gestion des erreurs ; stockage non sécurisé ; les vulnérabilités de service courantes ; une gestion de la configuration non sécurisée ou incohérente ; mauvaise utilisation de SSL/TLS ; bonne utilisation du chiffrement ; et la fiabilité et les tests antivirus.

5.4 Dans un délai raisonnable après la réalisation du Test de sécurité, le Sous-traitant remédiera aux problèmes (le cas échéant) identifiés et engagera ensuite, à ses frais, l’entreprise de test pour effectuer un nouveau test de sécurité afin de s’assurer que les problèmes de sécurité identifiés sont résolus. Leurs résultats seront mis à la disposition du Contrôleur sur demande.

6.     Audit de sécurité

 

6.1 Le Sous-traitant et toutes les entités sous-traitantes (le cas échéant) effectueront au moins un audit SSAE 18 (ou équivalent) couvrant tous les systèmes ou installations utilisés pour fournir le Service au Contrôleur et fourniront au Contrôleur les résultats de ces services dans les plus brefs délais après la demande écrite. Si, après avoir examiné les résultats de cet audit, le Contrôleur détermine raisonnablement que des problèmes de sécurité existent pour le Service, le Contrôleur notifiera le Sous-traitant par écrit et le Sous-traitant abordera rapidement les problèmes identifiés et, dans la mesure du possible, les résoudrea. Tous les problèmes restants seront documentés, suivis et résolus à un moment convenu par le Sous-traitant et le Contrôleur.