数据处理协议 - Metal
本数据处理协议(“DPA”)补充并构成客户与Equinix之间服务协议的一部分,该协议管辖客户对Equinix Metal的使用(“协议”),在数据保护法适用于 Equinix 对客户个人数据处理的范围内。
客户有责任在协议期限结束前或之前从Equinix Metal服务器中删除所有客户数据。如果客户未从Equinix Metal服务器中删除客户数据, Equinix将在其取消配置活动中删除客户数据。如果 Equinix 取消配置Equinix Metal服务器导致客户个人数据被删除,则此类操作可能被视为“处理”行为。
因此,双方同意并签订本 DPA,以管理此类处理活动。
1.定义
下文未定义的任何大写术语应具有协议中赋予它们的含义。
1.1 “控制者”是指决定处理个人数据的目的和方式的实体。
1.2 “客户数据”是指客户在使用Equinix Metal过程中加载、存储、接收、检索、传输或以其他方式处理的所有数据。
1.3 “客户个人数据”是指构成客户数据一部分的所有个人数据。
1.4 “数据保护法”是指适当司法管辖区内的所有法律,包括加利福尼亚州、欧盟、欧洲经济区和/或其成员国、瑞士和/或英国,这些法律规范个人数据的处理,适用于Equinix在数字服务方面对客户个人数据的处理。
1.5 “Equinix Metal ”是指Equinix根据本协议按需提供或作为订阅的一部分提供的数字服务,包括提供裸机服务器(称为Equinix Metal )。
1.6 “个人数据”是指与已识别或可识别的自然人有关的任何信息,其收集、使用、披露、存储或以其他方式处理受数据保护法的管制。
1.7 “个人数据泄露”是指导致传输、存储或以其他方式处理的客户个人数据被意外或非法破坏、丢失、更改、未经授权披露或访问的安全漏洞。
1.8 “处理”、“已处理”、“处理”是指对个人数据执行的任何操作或一组操作,例如访问、收集、记录、组织、存储、检索、查阅、使用,以及该术语在数据保护法下的进一步定义。
1.9 “处理者”是指代表控制者处理个人数据的实体。
1.10 “责任共担模型”是指客户与 Equinix 之间就各种 Equinix 服务的责任划分,详情请参阅:责任共担模型
2.数据处理
2.1 如果Equinix因Equinix Metal取消配置而处理个人数据,则客户将作为控制者, Equinix将作为处理者,且本数据保护协议 (DPA) 应适用。双方将遵守其在数据保护法下的各自义务。Equinix 处理客户个人数据的范围和性质载于本数据保护协议 (DPA) 的附表 1。
2.2 如果客户未自行使用其可用的控制措施在相关订单到期或终止前从Equinix Metal服务器中删除客户数据,则客户作为控制方特此指示Equinix作为处理方,在相关订单到期或终止后,根据本数据处理协议 (DPA) 第 5.1 条的规定,从Equinix Metal中删除所有客户数据(包括客户个人数据)。客户应采取一切必要措施,确保客户个人数据能够合法地提供给 Equinix,并由Equinix处理,以用于客户在本数据处理协议 (DPA) 下指示的目的。
2.3 Equinix将仅处理本 DPA 第 2.2 节中规定的客户个人数据,这些数据构成客户向Equinix发出的关于处理客户个人数据的完整书面指示。
2.4 作为控制方,客户有责任告知数据主体有关客户个人数据处理的情况,并负责响应根据数据保护法行使数据主体权利的请求。客户进一步确认, Equinix已配置Equinix Metal并实施了适当的技术和组织措施,旨在使客户能够在无需Equinix进一步协助的情况下访问、修改和删除客户数据,并防止Equinix在订单期限内访问、修改或删除客户数据。鉴于上述情况以及处理的性质和 Equinix 对客户个人数据处理范围的有限性, Equinix无法向客户提供任何合理需要的进一步协助,以使客户能够遵守数据主体权利。
2.5 Equinix不使用分包商进行本文所述的处理。如此情况发生变化, Equinix将通知客户。
3.安全
3.1 考虑到现有技术水平、实施成本、处理的性质、范围、背景和目的,以及对自然人权利和自由造成不同程度的风险, Equinix将采取适当的技术和组织安全措施。Equinix决定认为这些措施合理必要,以保护Equinix Metal基础设施及其所在的物理环境。截至数据处理协议 (DPA) 签署之日,Equinix 的安全控制措施详见附表 2。
3.2 客户负责开发、实施、维护和使用适当的管理和技术保障措施,这些保障措施由客户自行决定合理且适当地设计用于保护客户数据的安全,包括但不限于:(i) 对在Equinix Metal上存储和处理的客户数据进行加密;(ii) 使用入侵检测和监控、防火墙和防病毒保护软件;以及符合当时行业标准的其他相关安全措施;(iii) 定期备份和存储客户数据的备份;(iv) 实施适当的补救措施订购减轻客户数据的丢失、中断、删除、损坏或修改;以及 (v) 在订单到期或终止之前从Equinix Metal中删除客户数据。
3.3 Equinix应在知悉任何个人数据泄露后立即通知客户。在Equinix掌握相关信息的范围内,向客户提供有关个人数据泄露的性质和可能造成的后果、已采取或将采取的解决个人数据泄露的措施,以及客户根据数据保护法要求的任何其他信息。
3.4 Equinix将确保其授权作为Equinix Metal一部分处理客户个人数据的人员已承诺保密或承担适当的法定保密义务。
3.5 双方同意,其对客户个人数据的处理,包括其各自实施适当的技术和组织措施以确保客户个人数据安全的义务,应始终与适用于Equinix Metal的 Equinix 共享责任模型保持一致。
4. 审计
4.1 Equinix的审计计划。Equinix 聘请外部审计师来验证其在处理客户个人数据方面所采取的安全措施的充分性。此类审计每年至少进行一次,费用由 Equinix 承担,由其选择的独立第三方安全专业人员进行,并生成一份保密的审计摘要(“审计报告”)。Equinix 将向客户提供审计报告以及所有合理必要的附加信息,以证明Equinix已履行本数据处理协议 (DPA) 中规定的义务。如果客户能够证明审计报告未提供足够的信息来验证 Equinix 是否遵守本附录,或者客户需要安排任何监管机构进行进一步审计,则双方应共同商定审计计划和范围。
5. 退还或删除客户内容
5.1 Equinix将为客户提供适当的技术工具,使客户能够删除或检索存储在Equinix Metal中的任何客户个人数据。客户将根据第 3.2 条删除所有客户数据。在将Equinix Metal服务器重新用于其他客户之前, Equinix将采取措施取消配置Equinix Metal服务器,清理硬件并将其恢复到已知状态,并清理存储介质,从而擦除之前保留在Equinix Metal服务器上的所有数据。但为避免疑义, Equinix对客户未能从Equinix Metal中擦除或移除客户数据不承担任何责任。
6. 国际转移
6.1 在因取消配置Equinix Metal服务器而进行的处理过程中,双方确认并同意不得以任何形式对任何客户个人数据进行国际传输。如果双方同意此立场发生变化,则双方将同意根据适用法律的规定,为此类传输采取额外的保障措施,例如《欧盟标准合同条款》中的相应模块。
7. 信息请求
7.1 Equinix应根据要求并考虑到处理的性质和Equinix可获得的信息,协助客户确保遵守数据保护法规定的数据保护或隐私影响评估方面的义务。
8. 其他
8.1 根据第 8.2 条的规定,对本 DPA 的任何修改均须经双方书面同意。
8.2 Equinix可在发出通知后对本 DPA 进行任何修改,只要其合理认为该修改对于确保双方继续遵守数据保护法是必要的。
8.3 本数据处理协议 (DPA):(a) 构成本协议条款的一部分并作为其补充;(b) 优先于本协议中任何与之冲突的条款。本数据处理协议 (DPA) 取代Equinix作为客户个人数据处理者所签订的任何其他协议。
数据处理协议附表 1
| Tier | Tier Name | Product examples | Processing activity | Equinix Role | Customer Role | Categories of Personal Data | Frequency of Transfer |
|---|---|---|---|---|---|---|---|
| Tier 1 | Co-location Bare Metal as a Service [BMaaS] | IBX Equinix Metal | Standard hard disk erasure on the Server | Data Processor | Data Controller | As determined by customer | As determined by customer |
附表2:技术和组织措施
描述 Equinix Metal 为确保适当的安全级别而实施的技术和组织措施(包括任何相关认证),同时考虑到处理的性质、范围、背景和目的,以及对自然人的权利和自由造成的风险。
- 个人数据化名和加密措施
就 Equinix 所进行的处理活动而言,这并不相关,因为处理活动涉及从 Equinix Metal 服务器删除任何数据,包括个人数据。
在 Equinix Metal 的背景下,个人数据的化名和加密措施仍由客户负责,因为 Equinix 无法在 Equinix Metal 的范围内执行这些措施。
- 确保处理系统和服务持续保密性、完整性、可用性和弹性的措施
对于 Equinix 所进行的处理,Equinix Metal 会启动一个基于软件的操作来擦除 Equinix Metal 服务器,该操作不会释放 Equinix Metal 服务器上剩余的任何数据,但会删除数据,详见下文第 7 段。
- 确保在发生物理或技术事故时能够及时恢复个人数据的可用性和访问权的措施
Equinix进行的数据处理旨在从Equinix Metal服务器中删除任何残留的客户数据,包括任何客户个人数据。因此,一旦 Equinix 开始处理活动,客户数据将无法恢复和访问。设计具有弹性和适当复制功能的 IT 架构仍由客户负责。Equinix Equinix Metal服务器不提供冗余架构。
Equinix 维护着一个关于 Equinix Metal 的公开状态页面,位于:https://status.equinixmetal.com/为了快速有效地向客户通报系统中断或服务降级事件,Equinix 会通知所有受安全漏洞影响的客户。
- 定期测试、评估和评估技术和组织措施的有效性,订购确保处理的安全
Equinix 通过合规性审核(如 SOC-2 或 ISO 27001)定期对 Equinix Metal 平台进行评估。这些审核包括评估用于保持安全态势的流程和代码,以及每次审核中指定的控制措施。
Equinix Metal针对Equinix产品的各个层级进行漏洞扫描。为了降低Equinix基础设施的风险并补充现有的安全实践,我们会对所有关键基础设施系统进行例行漏洞扫描。所有发现的安全问题均会根据 Equinix 的补救政策进行缓解。风险级别基于 OWASP 风险评级方法。
Equinix 的内部产品安全团队每年都会对其每款产品进行渗透测试。此外, Equinix Metal还与外部供应商签订合同,通过对其面向 Web 的应用程序、API 以及用于运行Equinix Metal产品的网络主干服务进行渗透测试,以识别可利用的漏洞。第三方外部渗透测试每年进行一次。
- 用户识别和授权措施
对 Equinix Metal 服务的访问通过一个身份及访问管理组件进行管理,该组件支持 MFA 用户身份验证,以及允许客户使用自己的 IDP(身份提供商)的联合。所有访问日志都会被安全记录和保留,以满足故障排除和取证的需要。密码绝不会以纯文本形式存储,而是使用符合行业标准的散列机制进行保护。
- 数据传输过程中的保护措施
对于 Equinix 所进行的处理,Equinix Metal 不会在 Equinix Metal 上发起任何客户数据传输。客户仍有责任确保在传输过程中采取措施保护任何客户数据。
- 存储期间的数据保护措施
Equinix Metal使用软件为客户提供以安全方式配置和取消配置硬件的能力。当需要对包含客户数据的服务器进行物理维修和维护时,我们会采取多个步骤来跟踪相关活动并安全地处理数据。
在任何客户活动或客户数据存储在 Equinix Metal 服务器上之前,服务器会被处理成一种状态,在这种状态下,驱动器和内存中过去存储的数据或格式会被清除。客户选择安装何种操作系统,并提供 Equinix 将应用的配置详情,然后客户将获得访问其服务器的方法。客户对其存储在服务器上的数据安全负全部责任。
服务器配置完成后, Equinix Metal将无法访问或参与访问客户数据的活动。如果在发生故障或升级时需要物理访问数据存储设备,则在处置或重新使用之前会擦除已移除的驱动器。当Equinix Metal服务器取消配置时,自动化流程会在存储设备上运行数据销毁例程以删除所有客户数据,并尝试验证销毁后是否仍存在任何客户数据。如果任何这些自动销毁流程失败,则会通知客户,并重新运行该流程,直到完成或进行物理维护以更换和销毁故障设备。
- 确保个人数据处理地点的实体安全的措施
Equinix使用安全边界来保护包含关键客户信息、信息处理设施或其系统其他关键数据入口点的区域。安全区域采用适当的入口控制措施,例如人行通道门、带锁的机笼边界和门禁Equinix,以确保只有授权人员才能进入。Equinix 仅向有合法业务需求的员工或承包商提供访问权限和信息。任何获准进入Equinix设施的非员工访客均需获得Equinix员工的授权和陪同。访客使用访客证与员工进行明确区分,并在离开设施时必须交出访客身份证明。我们会维护访客日志,以记录对设施以及存储或传输客户数据的机房和数据中心的物理访问。日志至少保留三个月。对网络接口、无线接入点、网关和手持设备的物理访问受到限制。出入口(例如交付和装卸区)以及其他未经授权人员可能进入的地点均受到控制和隔离,以避免未经授权的人员进入数据中心设施。门禁子系统允许授权用户进入建筑物内部并通过设施内的各个门。生物识别手掌几何形状或指纹读取器、感应卡和其他技术允许用户向系统进行身份验证,并在身份验证后获得特定区域的访问权限。
- 确保事件记录的措施
所有退订事件均在我们的数据库中进行跟踪,记录按照我们的 Equinix Metal 政策进行管理和保留。
一般来说,Equinix 使用一个全球系统来监控公司服务器及基础设施的健康状况。警报自动生成并输入日志和警报系统。这包括访问日志、处理日志以及显示产品运行所需的关键服务操作的日志。日志以安全的方式存储,仅限授权人员访问。
- 确保系统配置的措施,包括默认配置
Equinix不负责监控客户在Equinix IBX数据中心部署或使用的硬件的健康状况或可用性。相反, Equinix建议客户建立适当的监控机制,并通过支持电子邮件或电话向Equinix员工报告任何与硬件或共享网络服务相关的问题。Equinix 将与Equinix合作解决问题。
- 内部信息技术和信息技术安全治理管理措施
Equinix 为客户提供服务的生产环境与Equinix员工日常运营所使用的环境相互独立。企业日常运营环境采用以下机制进行保护。
加固:Equinix 加固指引和标准已记录在案,并在系统构建过程中执行。
远程访问 VPN:当 Equinix Metal 员工远程访问 Equinix Metal 公司网络或系统时,他们必须使用公司提供的远程访问和 VPN 解决方案,且必须进行双因素身份验证。
- 流程和产品的认证/保证措施
取消配置流程遵循 NIST 800-53 的指导原则,并定期对这些流程进行审计。
Equinix 持有多项安全认证和证明(SOC2、ISO 27001 和 CSA)。这些认证的状态会定期更新并列出。我们聘请外部第三方审计机构进行年度评估和审计,以验证安全状况。Equinix 的 CSA 星级 1 级评估报告可在云安全联盟 (CSA) 网站上公开查看。我们的 ISO 27001 证书和 SOC2 Type 2 评估报告摘要可在签署保密协议 (NDA) 后向 Equinix 索取。您可以在 IBX® 认证、标准和合规性 上查看我们每个数据中心获得的认证列表。
- 确保数据最小化的措施
对于 Equinix 所进行的处理,Equinix Metal 将无法确保数据最小化,因为只有客户才能决定放置在 Equinix Metal 服务器上的客户数据,而这些数据将作为 Equinix 所进行处理的一部分被移除。
- 确保有限数据保留的措施
对于 Equinix 所进行的处理,Equinix Metal 不会保留任何客户数据,而客户将负责确保其保留任何必要的客户数据。
- 确保问责的措施
对于 Equinix 所进行的处理,Equinix Metal 将不负责确定客户数据的访问权限,客户将负责采取措施确保 Equinix Metal 上任何客户数据的责任。
- 允许数据可携性和确保删除的措施
对于 Equinix 所进行的处理,Equinix Metal 将无法支持数据可移植性,客户仍有责任确保其能从 Equinix Metal 提取任何客户数据并将其传输至替代系统。