数据安全

TELQ 技术和组织措施包括确保数据安全的技术和组织措施。

TelQ 目前应用本附件 II 中描述的安全实践。TelQ 可以自行决定修改或更新这些实践，前提是这种修改和更新不会导致这些实践提供的保护水平的实质性降低。此处未另行定义的所有大写术语应具有协议中规定的含义。

处理者实施了以下技术和组织安全措施，以最大限度地保护个人数据：

A. 对场所、计算机和技术设备的访问控制

• 存储技术设备的场所以最适当的方式受到保护，以防止未经授权访问计算机。
• 工作用的商务设备只能用于业务目的，在 TelQ 的场所或远程工作地点使用。
• 为了访问计算机和电子邮件，员工必须使用复杂的密码，这些密码能抵抗字典攻击。
• 在员工缺席时，受保护的场所必须上锁，且不得在无员工监督的情况下留下。
• 如果员工离开计算机未加看管，他/她必须禁用计算机的访问权限，即锁定计算机。下班后，员工必须锁定或关闭计算机，并清理桌面上包含个人信息的所有文档。
• 在没有获得授权处理个人数据的 TelQ 内部人员在场的情况下，员工不得访问个人数据。
• TelQ 与每一位可能访问个人数据的员工签订单独的保密协议。

B. 在处理个人数据期间对软件和计算机系统的访问控制

• TelQ 业务场所内的软件受到保护，以使只有根据相应服务协议授权的人员才有权访问它们。
• 员工有义务定期为他们使用的 TelQ 计算机上安装的软件安装安全补丁。
• TelQ 提供的在线服务运行在安全的 HTTPS 协议上。
• TelQ 执行应用程序和基础设施级别的漏洞扫描和评估，以评估信息泄露问题。
• TelQ 使用多层访问控制保护其计算机网络，防止未经授权的访问。
• TelQ 通过管理批准、强大的控制、记录和监控访问事件及随后的审计等机制限制访问。
• TelQ 确定需要进行安全事件监控和记录的计算机系统和应用程序，并合理地维护和分析日志文件。

C. 个人数据的接收和转移

• 个人数据只有在事先设定了防止未经授权的破坏、更改、丢失、访问、处理、使用和转移个人数据的适当措施和程序的情况下，才能通过信息、电信和其他手段进行转移。
• 个人数据只能转移给事先提供适当法律依据证据的用户，或基于数据主体的请求，即数据主体的同意。法律依据即数据主体的同意必须以书面形式提供给 TelQ。
• 每个个人数据的处理活动必须记录并保存在一个适当的数据库中，该数据库包含 TelQ 作为数据控制者或数据处理者的信息、数据主体、个人数据的类别、个人数据将被或已被共享的对象、如果进行了国际数据转移的情况、数据被删除后的时间期限，以及 TelQ 实施的组织和技术措施的一般描述。
• TelQ 使用适当的防火墙和加密技术来保护数据传输的网关和管道。
• TelQ 确保通过 SSL（端到端数据检查）进行数据传输。

D. 由子处理协议产生的个人数据处理

如果任何与个人数据处理相关的活动需要委托给子处理者，TelQ 将与子处理者签订书面协议，其中规定了 TelQ 和子处理者的相互权利和义务。协议规定了子处理者保护个人数据的要求和措施。

与 TelQ 签订协议的子处理者遵守个人数据保护的技术和组织措施的法律要求，符合本数据处理附件的规定。

与 TelQ 签订协议的子处理者有义务在处理此类数据后销毁或返还个人数据给 TelQ。

TelQ 使用由亚马逊 AWS 提供的虚拟服务器和云基础设施。

关于亚马逊网络服务安全的信息：

a) 亚马逊网络服务安全信息: aws.amazon.com/security

b) 亚马逊 AWS 数据中心的物理安全信息: aws.amazon.com/compliance/data-center/controls

c) 亚马逊网络服务的 GDPR 合规性信息: aws.amazon.com/compliance/gdpr-center