SnapLogic-Startseite
Demo buchen
Überblick über die Plattform
Sicherheit und Einhaltung von Vorschriften
Snaps(Vorgefertigte Verbinder)
SLIM(Werkzeug für die Legacy-Migration)
Interaktive Produkttouren
Preisgestaltung
SnapLogic AI
AgentCreator
Enterprise MCPNEU
SnapGPT(Integration Copilot)
AI Agent Showcase
Integration von Daten
AutoSync(Easy ELT)
Was ist Datenintegration?
Application Integration
API-Verwaltung
Was ist iPaaS?
Lösungen im Überblick

Nach Industrie

Finanzdienstleistungen
Herstellung
Pharma und Biowissenschaften
Einzelhandel
Höhere Bildung

Nach Rolle

Personalwesen
IT
Vertrieb
Marketing
Finanzen

Nach gängigen Anwendungsfällen

Mitarbeiter-Onboarding
Quote-to-Cash
Bearbeitung von Rechnungen
OEM/Eingebettet

Auf eigene Initiative

Legacy-Modernisierung
Agentische Integration
Enterprise Automation
Cloud Data Warehouse
Partner Überblick
Anmelden bei Partner Connect
Partner werden
Beratung Partner
OEM/Eingebettet
Kunden Übersicht
Integration Nation
Programm für Innovatoren
SnapLogic Academy
Sigma-Rahmenwerk
Ressourcenbibliothek
Blog
Podcast
E-Books
Veranstaltungen & Webinare
Support
Support Desk
Documentation
Ausbildung Workshops
SnapLogic Academy
Über uns
Karriere
Unsere Gemeinschaft
Newsroom
Mitteilungen an die Presse
Kontakt
Demo buchen
Einloggen
Demo buchen
Überblick über die Plattform

All-in-One-Plattform zur Daten- und Anwendungsintegration.

Sicherheit und Einhaltung von Vorschriften
Druckknöpfe (Vorgefertigte Verbinder)
SLIM (Werkzeug für die Legacy-Migration)
Preisgestaltung
SnapLogic AI

Erstellen Sie unternehmenstaugliche Agenten, Assistenten und Automatisierungen.

Integration von Daten

Mobilisieren Sie Daten in die Cloud mit visuellem ETL/ELT und Reverse ETL.

Application Integration

Verbinden Sie jede Anwendung mit unserer no-code/low-code iPaaS-Lösung.

AgentCreator
Enterprise MCPNEU
SnapGPT (Integrationskopilot)
AI Agent Showcase
AutoSync (EasyELT)
Produkttour zur Datenintegration
API-Verwaltung
iPaaS Produkt-Tour
Demo anfordern

Erleben Sie die führende Self-Service-Integrationsplattform selbst.

AI bei der Arbeit
AI at Work 2025 Umfragebericht

Entdecken Sie, wie 3.000 Mitarbeiter und Führungskräfte tagtäglich KI-Tools und -Agenten nutzen.

Alle Lösungen entdecken

Bringen Sie Automatisierung in jeden Bereich Ihres Unternehmens.

Nach Industrie

Finanzdienstleistungen
Herstellung
Pharma und Biowissenschaften
Einzelhandel
Höhere Bildung

Nach Rolle

Personalwesen
IT
Vertrieb
Marketing
Finanzen

Nach gängigen Anwendungsfällen

Mitarbeiter-Onboarding
Quote-to-Cash
Bearbeitung von Rechnungen
Embedded-Integration

Auf eigene Initiative

Legacy-Modernisierung
Agentische Integration
Enterprise Automation
Cloud Data Warehouse
Partner Überblick

Förderung von Rentabilität und Wachstum durch gemeinsame Vertriebs- und Marketingstrategien.

Anmelden bei Partner Connect

Greifen Sie auf das SnapLogic Partner Connect Portal zu oder fordern Sie ein Konto an.

Partner werden

Erhalten Sie Zugang zu einem erstklassigen Partner-Ökosystem.

Beratung Partner

Entdecken Sie die Partnermöglichkeiten und -ebenen für Systemintegratoren.

OEM/Eingebettet

Partnerschaften für ISV-, MSP-, OEM- und Embedded-Anbieter.

Entdecken Sie unsere Partner

Suchen Sie nach Partnern in unserem robusten globalen Netzwerk.

Kunden Übersicht

Die Leistungen unserer Kunden prägen weiterhin den Erfolg von SnapLogic.

Integration Nation

Unsere Gemeinschaft für Vordenker, Unterstützung durch Kollegen, Kundenschulung und Anerkennung.

Programm für Innovatoren

Anerkennung von Personen für ihre Beiträge zur SnapLogic-Community.

SnapLogic Academy

Erweitern Sie Ihr Fachwissen über intelligente Integration und Enterprise Automation.

Sigma-Rahmenwerk

Nutzen Sie den maximalen Wert Ihrer SnapLogic-Investition mit einem standardisierten Satz von Best Practices.

Fallstudien

Erfahren Sie mehr darüber, wie unsere Kunden vom Einsatz von SnapLogic profitieren.

SnapLogic Kundenlogos
Ressourcenbibliothek

Unser Zuhause für E-Books, Weißbücher, Videos und mehr.

Blog
E-Books
Podcast
Veranstaltungen & Webinare
Support

SnapLogic unterstützt Sie während der gesamten Dauer Ihres Aufenthalts.

Support Desk
Documentation
Ausbildung Workshops
SnapLogic Academy
Unternehmen

SnapLogic hat es sich zur Aufgabe gemacht, Enterprise Automation in die Welt zu bringen.

Karriere
Newsroom
SnapLogic vs. Konkurrenz
Kontakt

Wir sind für Sie da.
Wir würden uns freuen, von Ihnen zu hören.

Demo anfordern
Partner werden
Werden Sie Mitglied unserer Gemeinschaft
Siehe Standorte
Enterprise Data Orchestration für Dummies eBook-Rendering
Orchestrierung von Unternehmensdaten für Dummies

Holen Sie sich den Leitfaden für moderne Datenorchestrierung.

AgentFest
AgentFest Virtual Summit 2026

Nehmen Sie am 16. April an unserer zweistündigen Veranstaltung teil, bei der wir uns eingehend mit der Integration von Agenten in Kerngeschäftssysteme befassen.

Anhang zur Datenverarbeitung

Dieser Zusatz zur Datenverarbeitung (der„DPA“) ist Bestandteil des Rahmenabonnementvertrags oder einer anderen Vereinbarung (die„Vereinbarung“) zwischen SnapLogic und der in der Vereinbarung als„Kunde“bezeichneten Partei (zusammen die„Parteien“). Großgeschriebene Begriffe, die in diesem DPA verwendet, aber nicht definiert werden, haben die in der Vereinbarung festgelegte Bedeutung.

1. Gegenstand und Dauer.

  1. Gegenstand. Diese DPA spiegelt die Verpflichtung der Parteien wider, die geltenden Datenschutzgesetze in Bezug auf die Verarbeitung personenbezogener Daten bei der Erbringung der Dienstleistungen von SnapLogic gemäß der Vereinbarung einzuhalten. Soweit der Wortlaut dieser DPA oder einer ihrer Anlagen im Widerspruch zur Vereinbarung steht, hat diese DPA Vorrang.
  2. Laufzeit und Fortbestand. Diese DPA tritt an dem Tag in Kraft, an dem sie von beiden Parteien ordnungsgemäß unterzeichnet wurde, und ist Bestandteil der Vereinbarung zwischen den Parteien. SnapLogic verarbeitet personenbezogene Daten bis zum Ablauf der Vereinbarung. Die Verpflichtungen von SnapLogic und die Rechte des Kunden gemäß dieser DPA bleiben so lange in Kraft, wie SnapLogic personenbezogene Daten verarbeitet.

2. Definitionen.

Für die Zwecke dieser DPA gelten die folgenden Begriffe.

  1. "Anwendbare Datenschutzgesetze„bezeichnet alle weltweit geltenden Datenschutzgesetze und -vorschriften, die für die betreffenden personenbezogenen Daten gelten (in ihrer jeweils gültigen Fassung, einschließlich etwaiger Änderungen, Ergänzungen oder Ersetzungen), einschließlich, soweit zutreffend:
    • EU-Datenschutzgesetz“:Verordnung 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) („DSGVO“) und die EU-Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG), jeweils in der von den EU-Mitgliedstaaten umgesetzten und in nationales Recht überführten Fassung.
    • „Schweizer Datenschutzgesetz“: das Schweizer Bundesgesetz über den Datenschutz von 1992.
    • „Britisches Datenschutzgesetz“: das britische Datenschutzgesetz und die DSGVO, wie sie durch das Datenschutzgesetz von 2018 in britisches Recht übernommen und durch die Verordnung über Datenschutz, Privatsphäre und elektronische Kommunikation (Änderungen usw.) (EU-Austritt) von 2019 geändert wurden.
    • „US-Datenschutzgesetz“: alle geltenden umfassenden staatlichen Datenschutzgesetze und -vorschriften in jedem Einzelfall, die von Zeit zu Zeit geändert oder ersetzt werden können, einschließlich des California Privacy Rights Act („CPRA“); Colorado Privacy Act; Connecticut Personal Data Privacy and Online Monitoring Act; Delaware Personal Data Privacy Act; Indiana Consumer Data Protection Act; Iowa Consumer Data Protection Act; Montana Consumer Data Privacy Act; Oregon Consumer Privacy Act; Tennessee Information Protection Act; Texas Data Privacy and Security Act; Utah Consumer Privacy Act; Virginia Consumer Data Protection Act.“
  2. „Verantwortlicher“,„Auftragsverarbeiter“,„betroffene Person“und„Verarbeitung“(unabhängig davon, ob großgeschrieben oder nicht) haben die ihnen in der DSGVO zugewiesene Bedeutung und umfassen gleichwertige Begriffe in anderen geltenden Datenschutzgesetzen, jeweils in Bezug auf die Dienste.
  3. „Personenbezogene Daten“bezeichnet alle Kundendaten, die (a) sich auf eine identifizierte oder identifizierbare Person im Sinne der DSGVO beziehen (unabhängig davon, ob die DSGVO gilt), (b) „personenbezogene Informationen“ im Sinne des US-Datenschutzgesetzes darstellen und (c) gleichwertigen Begriffen in anderen geltenden Datenschutzgesetzen entsprechen.„SCCs“oder„Standardvertragsklauseln“bezeichnet die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gemäß der DSGVO, die durch den Durchführungsbeschluss 2021/914 der Europäischen Kommission genehmigt wurden. Anhang A dieser DPA enthält bestimmte Auslegungs- und Ergänzungsbestimmungen zur Anwendung der Standardvertragsklauseln.
  4. „Sicherheitsmaßnahmen“ bezeichnet die für die vom Kunden erworbenen spezifischen Dienste geltenden Sicherheitsmaßnahmen, die von Zeit zu Zeit aktualisiert werden und mindestens die in Anhang II aufgeführten Maßnahmen umfassen.
  5. „Sicherheitsvorfall(e)“ bezeichnet die Verletzung der Sicherheit, die zum versehentlichen oder unrechtmäßigen Verlust, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf von SnapLogic verarbeitete personenbezogene Daten des Kunden führt.
  6. „Dienstleistungen“bezeichnet alle Dienstleistungen, die SnapLogic im Rahmen der Vereinbarung erbringt.
  7. „Unterauftragsverarbeiter“bezeichnet die von SnapLogic autorisierten Auftragnehmer, Vertreter, Lieferanten und Drittanbieter (d. h. Unterauftragsverarbeiter), die personenbezogene Daten verarbeiten.

3. Datennutzung und -verarbeitung.

  1. Einhaltung von Gesetzen. Personenbezogene Daten werden in Übereinstimmung mit den Bestimmungen dieser DPA und allen geltenden Datenschutzgesetzen verarbeitet.
  2. Dokumentierte Anweisungen. SnapLogic und seine Unterauftragsverarbeiter verarbeiten personenbezogene Daten nur gemäß den dokumentierten Anweisungen des Kunden oder wie ausdrücklich in dieser DPA, der Vereinbarung oder einer geltenden Leistungsbeschreibung genehmigt. SnapLogic wird, sofern dies nicht gesetzlich verboten ist, den Kunden schriftlich informieren, wenn es Grund zu der Annahme hat, dass ein Konflikt zwischen den Anweisungen des Kunden und geltendem Recht besteht, oder wenn es anderweitig versucht, personenbezogene Daten in einer Weise zu verarbeiten, die nicht mit den Anweisungen des Kunden vereinbar ist.
  3. Genehmigung zur Beauftragung von Unterauftragsverarbeitern. Soweit dies zur Erfüllung der vertraglichen Verpflichtungen von SnapLogic gemäß der Vereinbarung oder einer Leistungsbeschreibung erforderlich ist, ermächtigt der Kunde SnapLogic hiermit, Unterauftragsverarbeiter zu beauftragen. Die Verarbeitung personenbezogener Daten durch Unterauftragsverarbeiter muss mit den dokumentierten Anweisungen des Kunden übereinstimmen und allen geltenden Datenschutzgesetzen entsprechen.
  4. SnapLogic und die Einhaltung der Vorschriften durch Unterauftragsverarbeiter. SnapLogic verpflichtet sich, (i) mit jedem Unterauftragsverarbeiter eine schriftliche Vereinbarung über die Verarbeitung personenbezogener Daten zu schließen, die diesem Unterauftragsverarbeiter Datenschutz- und Sicherheitsanforderungen für personenbezogene Daten auferlegt, die mit den geltenden Datenschutzgesetzen konform sind, und (ii) gegenüber dem Kunden weiterhin für die Nichterfüllung der Verpflichtungen der Unterauftragsverarbeiter von SnapLogic in Bezug auf die Verarbeitung personenbezogener Daten gemäß diesen Anweisungen, der Vereinbarung und dieser DPA verantwortlich zu bleiben.
  5. Widerspruchsrecht gegen Unterauftragsverarbeiter. SnapLogic stellt dem Kunden die aktuelle Liste der Unterauftragsverarbeiter für die Dienste zur Verfügung, die vom Kunden bereitgestellte personenbezogene Daten verarbeiten https://www.snaplogic.com/privacy-subprocessors („Liste der Unterauftragsverarbeiter“). SnapLogic stellt dem Kunden einen Abonnementmechanismus zur Verfügung, um Benachrichtigungen über neue Unterauftragsverarbeiter zu erhalten. SnapLogic benachrichtigt abonnierte Kunden mindestens dreißig (30) Tage im Voraus über neue Unterauftragsverarbeiter, bevor es den neuen Unterauftragsverarbeitern die Verarbeitung personenbezogener Daten über die Dienste genehmigt. Wenn der Kunde berechtigte Einwände gegen die Ernennung eines neuen Unterauftragsverarbeiters hat, arbeiten die Parteien bis zu dreißig (30) Tage lang in gutem Glauben zusammen, um die Gründe für den Einwand zu klären. Gelingt eine solche Klärung nicht, kann der Kunde den Teil des Dienstes, der im Rahmen der Vereinbarung erbracht wird und von SnapLogic nicht ohne den Einsatz des beanstandeten Unterauftragsverarbeiters erbracht werden kann, kündigen. SnapLogic erstattet dem Kunden alle im Voraus bezahlten Gebühren anteilig für den gekündigten Teil des Dienstes. 
  6. Vertraulichkeit. Jede Person oder jeder Unterauftragsverarbeiter, die bzw. der zur Verarbeitung personenbezogener Daten befugt ist, muss sich zur Wahrung der Vertraulichkeit dieser Informationen verpflichten oder einer entsprechenden ethischen, gesetzlichen oder vertraglichen Vertraulichkeitsverpflichtung unterliegen.
  7. Anfragen und Anträge zu personenbezogenen Daten. SnapLogic verpflichtet sich, alle angemessenen Anweisungen des Kunden im Zusammenhang mit Anträgen von Personen/betroffenen Personen zu befolgen, die ihre Rechte in Bezug auf personenbezogene Daten ausüben, die ihnen gemäß den geltenden Datenschutzgesetzen gewährt werden („Datenschutzantrag“). Auf Wunsch des Kunden und ohne unangemessene Verzögerung verpflichtet sich SnapLogic, den Kunden bei der Beantwortung oder Erfüllung von Datenschutzanträgen so weit wie möglich zu unterstützen.
  8. Datenschutz-Folgenabschätzung und vorherige Konsultation. SnapLogic verpflichtet sich, dem Kunden auf dessen Kosten angemessene Unterstützung zu leisten, wenn nach Einschätzung des Kunden die Art der von SnapLogic durchgeführten Verarbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellt (z. B. systematisches und umfangreiches Profiling, Verarbeitung sensibler personenbezogener Daten in großem Umfang oder systematische Überwachung in großem Umfang oder wenn bei der Verarbeitung neue Technologien zum Einsatz kommen) und daher eine Datenschutz-Folgenabschätzung und/oder vorherige Konsultation der zuständigen Datenschutzbehörden erforderlich ist.
  9. Nachweisbare Compliance. SnapLogic verpflichtet sich, Aufzeichnungen über seine Verarbeitung gemäß den geltenden Datenschutzgesetzen zu führen und dem Kunden auf angemessene Anfrage alle erforderlichen Aufzeichnungen zur Verfügung zu stellen, um die Einhaltung der Vorschriften nachzuweisen.
  10. CPRA-Anforderungen. In Bezug auf personenbezogene Daten, auf die die CPRA Anwendung findet (die in diesem Abschnitt verwendeten Begriffe mit Großbuchstaben haben die in der CPRA angegebene Bedeutung):
    1. SnapLogic fungiert als Dienstleister für den Kunden und erhebt, greift auf, pflegt, nutzt, verarbeitet und überträgt personenbezogene Daten ausschließlich zum Zweck der Erbringung der Dienstleistung und zu keinem anderen kommerziellen Zweck.
    2. SnapLogic darf ohne vorherige schriftliche Zustimmung des Kunden keine personenbezogenen Daten an andere Unternehmen oder Dritte verkaufen, weitergeben, offenlegen, veröffentlichen, übertragen, zur Verfügung stellen oder auf andere Weise übermitteln, es sei denn, diese Offenlegung erfolgt gegenüber einem Subunternehmer zu geschäftlichen Zwecken und unterliegt den oben genannten Verpflichtungen zum Abschluss schriftlicher Vereinbarungen mit Unterauftragsverarbeitern. Ungeachtet des Vorstehenden schränkt nichts in dieser DPA die Fähigkeit von SnapLogic ein, personenbezogene Daten offenzulegen, um geltende Gesetze einzuhalten; vorausgesetzt, dass SnapLogic den Kunden unverzüglich über die Aufforderung zur Offenlegung informiert, sofern eine solche Benachrichtigung nicht durch geltendes Recht oder eine rechtsverbindliche Anordnung untersagt ist.

4. Grenzüberschreitende Übermittlung personenbezogener Daten.

  1. Zustimmung. SnapLogic darf personenbezogene Daten ohne vorherige schriftliche Zustimmung des Kunden nicht an einen Ort außerhalb des Europäischen Wirtschaftsraums oder des Vereinigten Königreichs übertragen oder dort verarbeiten, außer in Übereinstimmung mit Abschnitt 6.2 unten (in jedem Fall eine„Übertragung“).
  2. Konforme Übertragungsmechanismen. Unbeschadet des Vorstehenden stimmt der Kunde Übertragungen zu, bei denen SnapLogic eine Übertragungslösung implementiert hat, die den geltenden Datenschutzgesetzen entspricht, darunter beispielsweise: (a) wenn eine solche Übertragung einer Angemessenheitsentscheidung der Europäischen Kommission unterliegt; (b) die Standardvertragsklauseln; (c) das vom US-Handelsministerium (und gegebenenfalls dessen Nachfolger) verwaltete Datenschutz-Rahmenwerk; (d) eine andere geeignete Schutzmaßnahme gemäß Artikel 46 der DSGVO oder eine gleichwertige Schutzmaßnahme gemäß der DSGVO, dem Schweizer Datenschutzgesetz oder dem britischen Datenschutzgesetz; oder (e) eine Ausnahmeregelung gemäß Artikel 49 der DSGVO oder einer gleichwertigen Regelung gemäß dem Schweizer Datenschutzgesetz oder dem britischen Datenschutzgesetz.

5. Sicherheit

  1. SnapLogic verpflichtet sich, geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten gemäß den geltenden Datenschutzgesetzen zu ergreifen, wie in den Sicherheitsmaßnahmen dargelegt. Zu diesen Maßnahmen gehören:
    1. Pseudonymisierung personenbezogener Daten, wo dies angemessen ist, und Verschlüsselung personenbezogener Daten während der Übertragung und im Ruhezustand;
    2. ii) Die Fähigkeit, die fortlaufende Vertraulichkeit, Integrität und Verfügbarkeit der Verarbeitung und der personenbezogenen Daten von SnapLogic sicherzustellen;
    3. Die Fähigkeit, die Verfügbarkeit und den Zugriff auf personenbezogene Daten im Falle eines physischen oder technischen Vorfalls wiederherzustellen;
    4. Ein Verfahren zur regelmäßigen Bewertung und Überprüfung der Wirksamkeit des Informationssicherheitsprogramms von SnapLogic, um die Sicherheit personenbezogener Daten vor begründeten Verdachtsfällen oder tatsächlichen versehentlichen oder unrechtmäßigen Zerstörungen, Verlusten, Veränderungen, unbefugten Offenlegungen oder Zugriffen zu gewährleisten.

6. Sicherheitsvorfälle.

  1. Verfahren bei Sicherheitsvorfällen. SnapLogic befolgt Richtlinien und Verfahren zur Erkennung, Reaktion und sonstigen Behandlung von Sicherheitsvorfällen, einschließlich Verfahren zur (i) Identifizierung und Reaktion auf begründete Verdachtsfälle oder bekannte Sicherheitsvorfälle, zur Minderung der schädlichen Auswirkungen von Sicherheitsvorfällen, zur Dokumentation von Sicherheitsvorfällen und deren Folgen sowie zur (ii) zeitnahen Wiederherstellung der Verfügbarkeit von oder des Zugriffs auf personenbezogene Daten.
  2. Mitteilung. SnapLogic verpflichtet sich, den vom Kunden benannten Ansprechpartner (wie in Abschnitt 9 definiert) unverzüglich und ohne unangemessene Verzögerung innerhalb der nach den geltenden Datenschutzgesetzen vorgeschriebenen Frist (in keinem Fall jedoch länger als zweiundsiebzig (72) Stunden) schriftlich zu benachrichtigen, wenn es Kenntnis von einem Sicherheitsvorfall erhält. Diese Benachrichtigung enthält alle verfügbaren Details, die gemäß den geltenden Datenschutzgesetzen erforderlich sind, damit der Kunde seinen eigenen Meldepflichten gegenüber den Aufsichtsbehörden oder den von dem Sicherheitsvorfall betroffenen Personen nachkommen kann.

7. Audits

  1. Recht auf Prüfung; zulässige Prüfungen. Zusätzlich zu den anderen in der Vereinbarung beschriebenen Prüfungsrechten haben der Kunde und seine Aufsichtsbehörden das Recht auf eine Vor-Ort-Prüfung der Architektur, Systeme, Richtlinien und Verfahren von SnapLogic, die für die Sicherheit und Integrität personenbezogener Daten relevant sind, oder wie anderweitig von einer staatlichen Aufsichtsbehörde vorgeschrieben:
    1. Nach jeder Benachrichtigung des Kunden durch SnapLogic über einen Sicherheitsvorfall im Zusammenhang mit personenbezogenen Daten, für den SnapLogic verantwortlich ist; gemäß den Anforderungen staatlicher Aufsichtsbehörden; und aus beliebigem Grund oder ohne Grund einmal pro Kalenderjahr. Prüfungsbedingungen. Alle in diesem Abschnitt beschriebenen Prüfungen müssen:
    2. Gemäß den Anforderungen der staatlichen Aufsichtsbehörden; und
    3. Aus irgendeinem Grund oder ohne Grund, einmal pro Kalenderjahr.
  1. Prüfungsbedingungen. Alle in diesem Abschnitt beschriebenen Prüfungen müssen:
    1. Durchgeführt vom Kunden oder seiner Aufsichtsbehörde oder durch einen von einer dieser Parteien ausgewählten unabhängigen Drittanbieter;
    2. Durchgeführt während der üblichen Geschäftszeiten von SnapLogic;
    3. Nach angemessener Vorankündigung gegenüber SnapLogic durchgeführt; und
    4. Von angemessener Dauer und darf den täglichen Betrieb von SnapLogic nicht unangemessen beeinträchtigen.
  1. Dritte. Falls der Kunde eine Prüfung durch einen unabhängigen externen Prüfer durchführen lässt oder ein Dritter den Kunden begleitet oder an einer solchen Prüfung teilnimmt, muss dieser Dritte eine Geheimhaltungsvereinbarung unterzeichnen, die im Wesentlichen ähnliche Vertraulichkeitsklauseln wie die in der Vereinbarung enthaltenen Klauseln umfasst, um die vertraulichen und geschützten Informationen von SnapLogic und den Kunden von SnapLogic zu schützen. In jedem Fall hat SnapLogic Anspruch auf eine Kopie des Prüfungsberichts. Aufsichtsbehörden sind nicht verpflichtet, eine Geheimhaltungsvereinbarung abzuschließen.

8. Datenspeicherung und -löschung.

  1. Datenspeicherung. SnapLogic speichert oder bewahrt keine personenbezogenen Daten auf, es sei denn, dies ist für die Erbringung der vertraglich vereinbarten Dienstleistungen erforderlich.
  2. Zugriff auf Daten und Löschung nach Vertragsende. Nach Ablauf oder Beendigung des Vertrags ermöglicht SnapLogic dem Kunden auf dessen schriftlichen Antrag, der innerhalb von 30 Tagen nach der Beendigung oder dem Ablauf zu stellen ist, alle im System von SnapLogic verbliebenen Kundendaten oder Transaktionsprotokolldaten abzurufen.

9. Kontaktinformationen.

  1. SnapLogic und der Kunde vereinbaren, einen Ansprechpartner für dringende Datenschutz- und Sicherheitsfragen zu benennen (ein„benannter Ansprechpartner“). SnapLogic hat einen Datenschutzbeauftragten ernannt. Die benannte Person ist unter[email protected] erreichbar. Der benannte Ansprechpartner des Kunden ist im Bestellformular angegeben.

10. Allgemeine Bedingungen.

  1. Diese DPA ist Teil der Vereinbarung und unterliegt deren Bedingungen, einschließlich der Haftungsbeschränkungen.
  2. Diese DPA unterliegt den Bestimmungen des geltenden Rechts und der Gerichtsbarkeit gemäß der Vereinbarung und wird entsprechend ausgelegt, sofern in Anhang B nichts anderes angegeben ist.

ZU URKUND DESSEN haben die Zeichnungsberechtigten beider Parteien die in dieser Vereinbarung festgelegten Bedingungen gelesen, verstanden und stimmen ihnen zu.

Beilage A

Gegenstand der VerarbeitungGegenstand der Verarbeitung sind die Dienstleistungen gemäß dem Rahmenabonnementvertrag.
Dauer der VerarbeitungDie Verarbeitung wird bis zum Ablauf oder zur Kündigung des Rahmenabonnementvertrags fortgesetzt.
Kategorien von betroffenen PersonenUmfasst Folgendes: Interessenten, Kunden, Geschäftspartner und Lieferanten des Kunden (die natürliche Personen sind)Mitarbeiter oder Ansprechpartner der Interessenten, Kunden, Geschäftspartner und Lieferanten des KundenMitarbeiter, Vertreter, Berater, Freiberufler des Kunden (die natürliche Personen sind)Vom Kunden zur Nutzung der Dienste autorisierte Nutzer des Kunden
Art und Zweck der VerarbeitungBeinhaltet Folgendes: Der Zweck der Verarbeitung personenbezogener Daten durch SnapLogic ist die Erbringung der Dienstleistungen gemäß dem Rahmenabonnementvertrag.
Arten von personenbezogenen DatenUmfasst Folgendes: Vor- und Nachname; Wohnadresse; E-Mail-Adresse wie beispielsweise[email protected]; Ausweisnummer; Standortdaten (z. B. die Standortdatenfunktion eines Mobiltelefons); Internetprotokolladresse (IP-Adresse); Cookie-ID; Werbe-ID Ihres Telefons
Übermittelte sensible Daten (falls zutreffend) und angewandte Einschränkungen oder SchutzmaßnahmenDie Arten der verarbeiteten personenbezogenen Daten werden vom Kunden festgelegt und können personenbezogene Gesundheitsdaten umfassen. Andere begrenzte sensible Datenarten können mit vorheriger schriftlicher Genehmigung von SnapLogic über die Dienste verarbeitet werden, sofern dies angemessen ist.

Beilage B

Standardvertragsklauseln

[Einbeziehung von MODUL ZWEI: Übertragung von Controller zu Prozessor und MODUL DREI: Übertragung von Prozessor zu Prozessor]

  1. Mit dem Abschluss dieser DPA gelten die Parteien als Unterzeichner der Standardvertragsklauseln und ihrer geltenden Anhänge.
  2. Für grenzüberschreitende Datenübermittlungen, die Standardvertragsklauseln unterliegen, gelten die Standardvertragsklauseln als vereinbart und durch diesen Verweis in diese DPA aufgenommen und wie folgt ergänzt:
    1. Der Kunde ist der „Exporteur“, dessen Kontaktdaten unten angegeben sind.
    2. SnapLogic ist der „Importeur“, dessen Kontaktdaten unten angegeben sind.
    3. Modul Zwei gilt, soweit der Kunde für die Verarbeitung der personenbezogenen Daten verantwortlich ist, und Modul Drei gilt, soweit der Kunde im Auftrag eines dritten Verantwortlichen als Auftragsverarbeiter für die personenbezogenen Daten tätig ist.
    4. In Klausel 7 findet die optionale Andockklausel keine Anwendung.
    5. In Klausel 9 gilt Option 2, und die Frist für die vorherige Ankündigung von Änderungen bei Unterauftragsverarbeitern entspricht der in Klausel 9 dieser DPA festgelegten Frist.
    6. In Klausel 11 findet die fakultative Formulierung keine Anwendung.
    7. Die Anhänge I bis III gelten mit den in den Anhängen I bis III dieser DPA enthaltenen Informationen als vervollständigt.
  3. EU-StandardvertragsklauselnPersonenbezogene Daten aus der Europäischen Union unterliegen den SCC gemäß den oben genannten Bestimmungen und werden wie folgt ergänzt:
    1. In Klausel 17 gilt Option 1, und die EU-SCCs unterliegen irischem Recht.
    2. In Klausel 18(b) wird festgelegt, dass Streitigkeiten vor den Gerichten der Republik Irland beigelegt werden.
  4. UK SCCsDie Übermittlung personenbezogener Daten aus dem Vereinigten Königreich unterliegt den SCC gemäß den oben genannten Bestimmungen und dem UK International Data Transfer Addendum (dem „IDTA”), wie folgt ergänzt.
    1. In Teil 1 der IDTA sind die in den Tabellen 1 bis 3 geforderten Informationen in der Vereinbarung und dieser DPA enthalten.
    2. Die obligatorischen Klauseln der IDTA werden gemäß Alternativteil 2 der IDTA-Vorlage durch Verweis in diese DPA aufgenommen.
    3. Verweise auf die EU, die Mitgliedstaaten und die DSGVO werden entsprechend geändert, um sich auf das Vereinigte Königreich und das britische Datenschutzgesetz zu beziehen.
    4. In Klausel 17 der Standardvertragsklauseln (geltendes Recht) gilt das Recht von England und Wales, und in Klausel 18 (Gerichtsstand und Gerichtsbarkeit) sind die Gerichte in London, England, zuständig. Eine betroffene Person kann auch vor den Gerichten im Vereinigten Königreich rechtliche Schritte gegen den Datenexporteur und/oder Datenimporteur einleiten.
  5. Schweizer SCCsDie Übermittlung personenbezogener Daten aus der Schweiz unterliegt den SCC gemäß den oben genannten Bestimmungen und erfolgt wie folgt:
    1. Verweise auf die „Verordnung (EU) 2016/679“ in den EU-SCC gelten als Verweise auf das Schweizer Datenschutzgesetz.
    2. Verweise auf bestimmte Artikel der „Verordnung (EU) 2016/679“ gelten als durch den entsprechenden Artikel oder Abschnitt des Schweizer Datenschutzgesetzes ersetzt.
    3. Verweise auf „EU“, „Union“ und „Mitgliedstaat“ gelten als durch „Schweiz“ ersetzt.
    4. Verweise auf die „zuständige Aufsichtsbehörde“ und „zuständige Gerichte“ werden durch „Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter“ und „zuständige Gerichte der Schweiz“ (sofern zutreffend) ersetzt.
    5. In Klausel 17 wird festgelegt, dass die EU-SCCs dem Recht der Schweiz unterliegen, und
    6. Gemäß Klausel 18(b) werden Streitigkeiten vor den zuständigen Gerichten der Schweiz beigelegt.
  6. Sollte eine Bestimmung der Vereinbarung (einschließlich dieser DPA) direkt oder indirekt im Widerspruch zu den Standardvertragsklauseln stehen, haben die Standardvertragsklauseln Vorrang.

ANHANG I

A. LISTE DER PARTEIEN

Verantwortlicher(e) / Datenexporteur(e): Identität und Kontaktdaten des/der Verantwortlichen/Datenexporteure(s) und gegebenenfalls seines/ihrer Datenschutzbeauftragten und/oder Vertreters in der Europäischen Union

Name:Wie in der Vereinbarung festgelegt
Adresse:Wie in der Vereinbarung festgelegt
Name, Position und Kontaktdaten der Kontaktperson:Wie in der Vereinbarung festgelegt oder dem Auftragsverarbeiter/Unterauftragsverarbeiter separat schriftlich mitgeteilt
Aktivitäten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind:Wie in der Vereinbarung beschrieben
Rolle (Verantwortlicher/Auftragsverarbeiter):Controller/Prozessor

Verarbeiter/Datenimporteur(e): Identität und Kontaktdaten des/der Auftragsverarbeiter(s) / Datenimporteur(s), einschließlich aller Ansprechpartner, die für den Datenschutz verantwortlich sind

Name:SnapLogic, Inc.
Adresse:1825 S. Grant Street,5. Stock, San Mateo, Kalifornien 94402, USA
Kontaktdaten der Kontaktperson:SnapLogic hat einen Datenschutzbeauftragten ernannt. Die ernannte Person ist unter[email protected] erreichbar.
Aktivitäten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind:Bereitstellung der in der Vereinbarung beschriebenen Dienstleistungen
Rolle (Verantwortlicher/Auftragsverarbeiter):Prozessor/Unterprozessor

В. BESCHREIBUNG DER ÜBERTRAGUNG 

Wie in Anlage A beschrieben

C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE

Wie in Anlage B beschrieben

ANHANG II

TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN, EINSCHLIESSLICH TECHNISCHER UND ORGANISATORISCHER MASSNAHMEN ZUR GEWÄHRLEISTUNG DER DATENSICHERHEIT

Die Sicherheitsmaßnahmen, die SnapLogic zum Schutz der personenbezogenen Daten von Kunden ergreift, sind in der Sicherheitsrichtlinie von SnapLogic festgelegt. Diese Richtlinie kann sich ändern, wenn Branchenstandards und Best Practices aktualisiert werden. Die neueste Version dieser Richtlinie ist auf Anfrage erhältlich. Die aktuelle Version der Sicherheitsrichtlinie zum Zeitpunkt des Inkrafttretens dieser DPA ist nachstehend aufgeführt:

SNAPLOGIC-SICHERHEITSRICHTLINIE

Diese SnapLogic-Sicherheitsrichtlinie (die„Sicherheitsrichtlinie“) beschreibt die technischen und verfahrenstechnischen Maßnahmen, die SnapLogic zum Schutz von Kundendaten vor unbefugtem Zugriff oder unbefugter Offenlegung ergreift. SnapLogic hält diese Sicherheitsmaßnahmen in Übereinstimmung mit SOC 2 Typ 2 ein. SnapLogic befolgt die OWASP-Codierungspraktiken für die Produktentwicklung und hält sich an die Richtlinien von ISO 27001, NIST und anderen branchenüblichen Praktiken. Diese Sicherheitsrichtlinie wird in Ihrer Kundenvereinbarung mit SnapLogic (die„Vereinbarung“) erwähnt und ist Bestandteil dieser Vereinbarung. Im Falle eines Widerspruchs zwischen den Bestimmungen der Vereinbarung und dieser Sicherheitsrichtlinie hat diese Sicherheitsrichtlinie Vorrang. Großgeschriebene Begriffe, die in dieser Sicherheitsrichtlinie verwendet, aber nicht definiert werden, haben die in der Vereinbarung oder in der Dokumentation festgelegte Bedeutung.

1. ZUGANG ZU UND VERWALTUNG VON KUNDENDATEN

1.1. Der Kunde kontrolliert den Zugriff auf sein Konto im Dienst über Benutzerkennungen und Passwörter.

1.2. Der Zugriff auf SnapLogic-Produktionssysteme und Produktionsdaten, einschließlich personenbezogener Daten, unterliegt dem Prinzip der geringsten Privilegien, es sei denn, der Kunde gewährt den Mitarbeitern von SnapLogic Zugriff auf sein SnapLogic-Konto.„Mitarbeiter von SnapLogic”bezeichnet Mitarbeiter von SnapLogic und einzelne Subunternehmer, die mit der Verarbeitung personenbezogener Daten befasst sind. SnapLogic verwendet Kundendaten nur insoweit, wie dies für die Erbringung der Dienstleistung für den Kunden gemäß der Vereinbarung erforderlich ist.

1.3. Kundendaten werden ausschließlich in der Produktionsumgebung des Dienstes gespeichert.

1.4. Der Dienst speichert keine Daten, einschließlich personenbezogener Daten. Alle vom Dienst verwendeten temporären Speicher sind von Natur aus kurzlebige Speicher, die nur während der Ausführung des Dienstes verwendet werden und nach Beendigung des Dienstes nicht mehr vorhanden sind. Der temporäre Speicher wird als nicht abrechnungsfähige Ressource verwendet, die zum Betrieb eines Dienstes gehört. Der temporäre Speicher eignet sich für die vorübergehende Speicherung von Informationen, die sich häufig ändern, wie Puffer, Caches, Scratch-Daten und andere temporäre Inhalte während der Ausführung der Anwendung. Wenn der Kunde keine Speicheroptionen konfiguriert, verwenden die Dienste möglicherweise standardmäßig den in SnapLogic integrierten temporären Speicher.

1.4. SnapLogic erstellt und pflegt Flussdiagramme, aus denen hervorgeht, wie Kundendaten durch den Dienst fließen. SnapLogic stellt diese Flussdiagramme auf angemessene Anfrage des Kunden zur Verfügung.

1.5. Nach Beendigung aller mit einem Kunden verbundenen Abonnements werden die im Dienst enthaltenen Kundendaten 30 Tage lang in einem inaktiven Status aufbewahrt. Danach werden sie sicher aus allen Produktionsumgebungen entfernt und innerhalb von 180 Tagen vollständig aus unserem virtuellen Backup-System gelöscht. Dieser Vorgang unterliegt den geltenden gesetzlichen Bestimmungen.

2. VERSCHLÜSSELUNG UND LOGISCHE TRENNUNG VON KUNDENDATEN

2.1. Der Dienst in der Produktionsspeicherumgebung verschlüsselt Kundendaten im Ruhezustand mit einer AES-256-Bit-Verschlüsselung.

2.2. Der Dienst verschlüsselt Kundendaten während der Übertragung mit TLS 1.2 oder höher, wenn die Kommunikation über nicht vertrauenswürdige Netzwerke wie das öffentliche Internet erfolgt.

2.3. Der Dienst weist jedem Kundenmandanten im Dienst eine eindeutige Kunden-ID zu. Alle Endkundendaten werden mit dieser Kunden-ID als direkter oder verketteter Fremdschlüssel in unserer Datenbank gespeichert. Das Datenmodell dieser Dienstanwendung ist auf Multi-Tenancy ausgelegt.

2.4.      Der Dienst verwendet ein Schlüsselverwaltungssystem („KMS“), das FIPS 140-2-konform (oder besser) ist, für die Verwaltung und Speicherung von Verschlüsselungsschlüsseln. Verschlüsselungsschlüssel und Schlüsselverschlüsselungsschlüssel sind durch Datenbanktabellen oder Speicherorte im Dateisystem von den Kundendaten getrennt. Der Dienst schützt Verschlüsselungsschlüssel der obersten Ebene durch strenge Verwaltung des Schlüsselzugriffs und die Verwendung von geteiltem Wissen und doppelter Kontrolle sowie regelmäßiger Rotation, wie in unseren Sicherheitsrichtlinien und -verfahren beschrieben.

3. SNAPLOGIC-SERVICE-INFRASTRUKTUR-ZUGANGSMANAGEMENT

3.1. Der Zugriff auf die Systeme und die Infrastruktur, die den Dienst unterstützen, ist auf SnapLogic-Mitarbeiter beschränkt, die diesen Zugriff im Rahmen ihrer beruflichen Aufgaben benötigen.

3.2. Eindeutige Benutzer-IDs werden SnapLogic-Mitarbeitern zugewiesen, die Zugriff auf die SnapLogic-Server benötigen, die den Dienst unterstützen.

3.3. Die Server-Passwortrichtlinie für den Dienst in der Produktionsumgebung entspricht den Richtlinien gemäß den Passwortanforderungen von SOC 2 Typ 2.

3.4. Die Zugriffsrechte von ausgeschiedenen SnapLogic-Mitarbeitern werden sofort deaktiviert. Die Zugriffsrechte von Personen, die zu Stellen wechseln, die reduzierte Rechte erfordern, werden entsprechend angepasst.

3.5. Der Benutzerzugriff auf die Systeme und die Infrastruktur, die den Dienst unterstützen, wird vierteljährlich überprüft.

3.6. Zugriffsversuche auf die Systeme und die Infrastruktur, die den Dienst unterstützen, werden protokolliert und überwacht.

3.7. AWS-Sicherheitsgruppen haben standardmäßig eine „Deny-All“-Richtlinie und lassen nur geschäftlich erforderliche Netzwerkprotokolle für ausgehenden und eingehenden Netzwerkverkehr zu.

4. RISIKOMANAGEMENT

4.1. Der Risikomanagementprozess von SnapLogic System basiert auf den Risikomanagementrichtlinien von CIS und NIST.

4.2. SnapLogic führt im Laufe des jährlichen Zertifizierungszyklus verschiedene Arten von Risikobewertungen durch, darunter Selbst- und Fremdbewertungen und -tests, automatisierte Scans und manuelle Überprüfungen.

4.3. Die Ergebnisse der Bewertungen, einschließlich der entsprechenden formellen Berichte, werden dem Direktor für Sicherheit und Compliance vorgelegt. Ein Sicherheitsausschuss tritt mindestens vierteljährlich zusammen, um die Berichte zu prüfen, Kontrollmängel und wesentliche Veränderungen im Bedrohungsumfeld zu identifizieren und der Geschäftsleitung Empfehlungen für neue oder verbesserte Kontrollen und Strategien zur Risikominderung zu unterbreiten.

4.4. Änderungen an Kontrollen und Strategien zur Risikominderung werden bewertet und auf der Grundlage einer Risikobewertung nach Prioritäten für die Umsetzung geordnet.

4.5. Bedrohungen werden durch verschiedene Mittel überwacht, darunter Bedrohungsinformationsdienste, Benachrichtigungen von Anbietern und vertrauenswürdige öffentliche Quellen.

5. SCHWACHSTELLEN-SCANNING UND PENETRATIONSTESTS

5.1. Statische und dynamische Code-Scans werden durchgeführt, um nach den OWASP Top 10 und den SANS Top 25 Schwachstellen zu suchen, bevor neuer Code in unsere Produktionsumgebungen freigegeben wird.

5.2. Interne und externe Schwachstellenscans werden monatlich durchgeführt, und vierteljährlich werden unabhängige Penetrationstests durch Dritte an Systemen durchgeführt, die für den Betrieb und die Verwaltung des Dienstes erforderlich sind. Die Schwachstellendatenbank wird regelmäßig aktualisiert.

5.3. Die potenziellen Auswirkungen von Schwachstellen, die Warnmeldungen auslösen, werden von den Mitarbeitern bewertet.

5.4. Sicherheitslücken, die Warnmeldungen auslösen und für die Exploits veröffentlicht wurden, werden dem Sicherheitsausschuss gemeldet, der geeignete Abhilfemaßnahmen festlegt und überwacht.

5.5. Das Sicherheitsmanagement überwacht oder abonniert vertrauenswürdige Quellen für Schwachstellenberichte und Bedrohungsinformationen.

6. FERNZUGRIFF-NETZWERK

6.1. Für den Zugriff auf alle kundenorientierten Umgebungen von SnapLogic ist eine Authentifizierung über eine sichere Verbindung mittels zugelassener Methoden wie VPNs und MFA erforderlich.

6.2. Der VPN-Zugang wird durch gegenseitige Transport Layer Security (TLS)-Authentifizierung zusätzlich gesichert.

6.3. Die Netzwerke der SnapLogic-Unternehmenszentrale haben keinen Zugriff auf Kundendienstnetzwerke. Für den Zugriff auf Kundendienstnetzwerke ist eine VPN-Verbindung erforderlich.

6.4 Für den Betrieb und die Verwaltung des Dienstes werden keine drahtlosen Netzwerke verwendet. Auch drahtlose Unternehmensnetzwerke haben keinen Zugriff auf Kundendienstnetzwerke.

6.5 Kundendaten werden logisch von denen anderer Kunden getrennt.

6.6 Entwicklungs-/Test- und Produktionsumgebungen sind voneinander getrennt.

6.7. SnapLogic verfolgt die Politik, Kundendaten nicht auf lokalen Desktops, Laptops, Mobilgeräten, gemeinsam genutzten Laufwerken, Wechselmedien sowie auf öffentlich zugänglichen Systemen zu speichern, die nicht der administrativen Kontrolle oder den Compliance-Überwachungsprozessen von SnapLogic Operations unterliegen.

7. STANDORT DES SNAPLOGIC-DIENSTES

7.1. Kundendaten werden in der verfügbaren Serviceregion für das vom Kunden angeforderte Konto gespeichert.

8. SYSTEMEREIGNISPROTOKOLLIERUNG

8.1. Überwachungs-Tools und -Dienste werden zur Überwachung von Systemen eingesetzt, darunter Netzwerk-, Server- und AWS-Sicherheitsereignisse, Verfügbarkeitsereignisse und Ressourcennutzung.

8.2. Die Sicherheitsereignisprotokolle der SnapLogic-Infrastruktur werden in einem zentralen System gesammelt und vor Manipulationen geschützt. Die Protokolle werden 90 Tage lang gespeichert.

8.3. Alle Anwendungsprotokolle der letzten 30 Tage stehen unseren Kunden über unsere Benutzeroberfläche (Webportal) sofort online zur Verfügung.

8.4. Alle Sicherheitsprotokolle werden mit einer Write-Once-Technologie in einen zentralen Protokollierungsdienst geschrieben.

9. SYSTEMADMINISTRATION UND PATCH-MANAGEMENT

9.1. SnapLogic erstellt, implementiert und pflegt Systemverwaltungsverfahren für Systeme, die auf Kundendaten zugreifen, die den Branchenstandards entsprechen oder diese übertreffen, einschließlich, aber nicht beschränkt auf Systemhärtung, System- und Geräte-Patching (Betriebssystem und Anwendungen) und die ordnungsgemäße Installation von Software zur Erkennung von Bedrohungen sowie tägliche Signatur-Updates.

9.2. SnapLogic Security überprüft neue Sicherheitslückenmeldungen und bewertet deren Auswirkungen auf SnapLogic anhand von SnapLogic-definierten Risikokriterien, darunter Anwendbarkeit und Schweregrad.

9.3. Anwendbare Sicherheitsupdates, die als „hoch“ oder „kritisch“ eingestuft sind, werden in der Produktionsumgebung unter Einhaltung der Richtlinien gemäß den Patch-Management-Anforderungen von SOC 2 Typ 2 behandelt.

9.4. Das Patch-Management erfolgt über IaC und manuelles Patchen basierend auf dem Schweregrad, um sicherzustellen, dass alle Software-Schwachstellen gemäß den Anforderungen von SOC 2 Typ 2 gepatcht werden.

10. SNAPLOGIC-SICHERHEITSSCHULUNG UND SNAPLOGIC-PERSONAL

10.1. SnapLogic unterhält ein Sicherheitsbewusstseinsprogramm für SnapLogic-Mitarbeiter, das eine Erstschulung, fortlaufende Sensibilisierung und die individuelle Bestätigung der SnapLogic-Mitarbeiter zur Einhaltung der Unternehmenssicherheitsrichtlinien von SnapLogic System umfasst. Neue Mitarbeiter absolvieren eine Erstschulung zu Themen wie allgemeines Sicherheitsbewusstsein, Kommunikation, Smishing/Phishing, Cloud-Dienste, KI-Dienste, PCI-DSS, HIPAA und DSGVO. Außerdem unterzeichnen sie eine Vereinbarung zum Schutz vertraulicher Informationen und unterschreiben digital die Informationssicherheitsrichtlinien, die wichtige Aspekte der SnapLogic-Informationssicherheitsrichtlinie und der Personalrichtlinien abdecken.

10.2. Die Mitarbeiter von SnapLogic erkennen an, dass sie für die Meldung tatsächlicher oder vermuteter Sicherheitsvorfälle oder -bedenken, Diebstähle, Verstöße, Verluste und unbefugte Offenlegungen von oder Zugriffe auf Kundendaten verantwortlich sind.

10.3. Die Mitarbeiter von SnapLogic sind verpflichtet, eine jährliche Sicherheitsschulung zufriedenstellend zu absolvieren.

10.4 SnapLogic-Entwickler müssen eine Erstschulung und jährliche Schulungen zu Themen der sicheren Programmierung absolvieren, darunter: OWASP Top 10 und Best Practices für Entwickler.

10.5. SnapLogic führt im Rahmen des Einstellungsprozesses von SnapLogic eine Überprüfung des Strafregisters durch, soweit dies gesetzlich zulässig ist.

10.6. SnapLogic stellt sicher, dass seine Subunternehmer, Lieferanten und andere Dritte, die im Zusammenhang mit den Diensten direkten Zugriff auf die Kundendaten haben, dieselben Sicherheitsstandards einhalten, die für die Mitarbeiter von SnapLogic gelten.

11. PHYSISCHE SICHERHEIT

11.1. Der Dienst wird in AWS gehostet und nutzt die Sicherheits- und Compliance-Funktionen von AWS. Alle physischen Sicherheitskontrollen werden von AWS verwaltet. SnapLogic überprüft jährlich den SOC 1 Typ 2- und SOC 2 Typ 2-Bericht, um angemessene physische Sicherheitskontrollen sicherzustellen:

11.1.1. AWS-Rechenzentren, die sensible Informationen speichern oder verarbeiten, sind Tier-3-Rechenzentren, die SSAE 18 einhalten.

11.1.2. Besuchermanagement einschließlich Verfolgung und Überwachung des physischen Zugangs.

11.1.3. Der physische Zugang zu den Servern wird durch elektronische Zugangskontrollvorrichtungen geregelt.

11.1.3. Überwachungs- und Alarmreaktionsverfahren.

11.1.4. Einsatz von CCTV-Kameras in Einrichtungen.

11.1.5. Videoaufzeichnungsgeräte in Rechenzentren mit einer Bildspeicherdauer von 90 Tagen.

12. BENACHRICHTIGUNG ÜBER VORFÄLLE IM ZUSAMMENHANG MIT PERSONENBEZOGENEN DATEN

12.1. SnapLogic benachrichtigt den Kunden innerhalb von zweiundsiebzig (72) Stunden nach Bestätigung eines Vorfalls im Zusammenhang mit personenbezogenen Daten schriftlich.

12.2. In dieser Benachrichtigung werden der Vorfall im Zusammenhang mit personenbezogenen Daten und der Stand der Untersuchung durch SnapLogic System beschrieben.

12.3. SnapLogic wird geeignete Maßnahmen ergreifen, um den Vorfall im Zusammenhang mit personenbezogenen Daten einzudämmen, zu untersuchen und zu mindern.

13. KATASTROPHENSICHERUNG UND GESCHÄFTSKONTINUITÄT

13.1. SnapLogic unterhält einen Notfallwiederherstellungsplan (Disaster Recovery Plan, DRP) für die Dienste. Der DRP wird mindestens einmal jährlich getestet.

13.2. Der Dienst wird in verschiedenen AWS-Verfügbarkeitszonen und AWS-Regionen bereitgestellt, um die Verfügbarkeit der Anwendung sicherzustellen.

13.3. SnapLogic hat RTO- und RPO-Ziele für Wiederherstellungszwecke definiert.

13.4. DR-Services sind Teil unseres Standardproduktangebots für Kunden, die unsere Multi-Tenant-Services nutzen.

14. SNAPLOGIC-SICHERHEIT, ZERTIFIZIERUNGEN UND BESCHEINIGUNGEN VON DRITTANBIETERN

14.1. SnapLogic beauftragt akkreditierte Dritte mit der Durchführung von Audits und der jährlichen Bestätigung verschiedener Compliance- und Zertifizierungsanforderungen, darunter:

14.1.1. SOC 1 Typ 2

14.1.2. SOC 2 Typ 2

14.1.3. SSAE 22 Typ 2

14.1.4. ISAE 3402 Typ 2

14.1.5. HIPAA (HITECH)

14.1.6. EU-US-Datenschutzrahmenwerk

14.1.7. Schweizerisch-amerikanisches Datenschutzrahmenwerk

14.1.8. Erweiterung des EU-US-Datenschutzrahmens auf das Vereinigte Königreich

15. VERANTWORTLICHKEITEN DES KUNDEN

15.1. Der Kunde ist für die Verwaltung seiner eigenen Benutzerkonten und Rollen innerhalb des Dienstes sowie für den Schutz seines eigenen Kontos und seiner Benutzeranmeldedaten verantwortlich. Der Kunde hält sich an die Bestimmungen seiner Vereinbarung mit SnapLogic sowie an alle geltenden Gesetze.

15.2. Der Kunde benachrichtigt SnapLogic unverzüglich, wenn die Anmeldedaten eines Benutzers kompromittiert wurden oder wenn der Kunde verdächtige Aktivitäten vermutet, die sich negativ auf die Sicherheit des Dienstes oder des Kontos des Kunden auswirken könnten. Der Kunde darf ohne die ausdrückliche vorherige schriftliche Zustimmung von SnapLogic keine Sicherheitspenetrationstests oder Sicherheitsbewertungen durchführen.

15.3. Der Kunde ist dafür verantwortlich, die Beziehung zu pflegen und sicherzustellen, dass alle erforderlichen Vereinbarungen (d. h. Datenverarbeitungsvereinbarungen) mit anderen Verarbeitern bestehen, mit denen der Kunde zusammenarbeitet und an die er personenbezogene Daten übermittelt, indem er den Dienst von SnapLogic nutzt.

15.4 Der Kunde ist allein verantwortlich für die Implementierung geeigneter Sicherheitskontrollen auf seinen Endpunktanwendungen und -geräten, einschließlich der Festlegung der Verschlüsselungseinstellungen. SnapLogic empfiehlt dem Kunden, die folgenden Best Practices nach Möglichkeit umzusetzen:

15.4.1 Der Kunde aktiviert die Verschlüsselung der Sitzungsverbindung unter Verwendung der jeweils aktuellsten Implementierung von SSL oder TLS für jede Verbindung zwischen den Anwendungen des Kunden und den Diensten.

14.5.2 Wenn für eine bestimmte Kundenanwendung keine Verschlüsselung der Sitzungsverbindung verfügbar ist, verschlüsselt der Kunde die Daten mit einer starken Verschlüsselung (128-Bit-Verschlüsselung oder besser).

14.5.3 Der Kunde nutzt branchenübliche Authentifizierungskontrollen für den Benutzerzugriff auf die Dienste.

ANHANG III

LISTE DER UNTERAUFTRAGNEHMER                                         

Der Kunde hat die Nutzung der folgenden Unterauftragsverarbeiter genehmigt: https://www.snaplogic.com/privacy-subprocessors