PhotoRobot 技术与组织措施(TOM)
本文件定义了PhotoRobot根据《通用数据保护条例》第32条:1.0版——PhotoRobot版,捷克共和国uni-Robot Ltd.的技术与组织措施(TOM)。该文件最后更新时间为2025年12月31日,支持遵守PhotoRobot根据DPA和SLA下的合同义务。
1. 介绍 - PhotoRobot TOMs
本文件描述了uni-Robot有限公司(PhotoRobot)实施的技术与组织措施(TOM),以确保根据《通用数据保护条例》(GDPR)第32条处理个人数据时达到适当安全水平。
这些措施适用于PhotoRobot服务的运营,包括但不限于:
- PhotoRobot 控制云
- PhotoRobot 云 2.0
- PhotoRobot 控制本地(连接云服务时)
- API及相关在线服务
- 支持基础设施和内部系统
本文档作为PhotoRobot TOM的权威描述,并可在数据处理协议(DPA)、审计和企业安全审查中引用。
2. 范围与适用性
本文所述的TOM适用于:
- 作为PhotoRobot服务的一部分,代表客户处理个人数据
- 提供、维护和保障服务所需的内部运营数据
这些措施的设计考虑了:
- 技术现状
- 实施成本
- 处理的性质、范围、背景和目的
- 自然人权利和自由面临的风险
3. 组织安全措施
3.1. 信息安全治理
PhotoRobot维护有关信息安全、数据保护及系统可接受使用的内部政策和程序。
组织内部明确了安全和数据保护的职责,包括指定的隐私和法律事务联系人。
3.2. 员工保密与意识
- 员工和承包商都负有保密义务
- 系统访问基于 知情需求
- 安全与数据保护意识作为入职和持续运营的一部分被推广
4. 访问控制与授权
4.1. 基于角色的访问控制(RBAC)
系统和客户数据的访问通过 基于角色的访问控制(RBAC) 原则进行控制。
- 用户被赋予执行任务所需的最低权限
- 行政访问仅限授权人员
4.2. 认证
- 强认证机制用于内部和外部系统
- 密码策略和访问凭证都被安全管理
- 访问凭证不得被共享
5. 基础设施与网络安全
5.1. 托管与云基础设施
PhotoRobot 服务托管在专业云基础设施提供商(如谷歌云平台)上,这些提供商实施了行业标准的物理和环境安全控制。
5.2. 网络保护
- 网络流量通过防火墙和访问控制进行保护
- 面向公众的服务与内部系统隔离
- 基础设施组件会被监控可用性和安全事件
6. 加密与数据保护
6.1. 数据传输中
- 客户端与 PhotoRobot 服务之间传输的数据采用 TLS/HTTPS 加密
- API和云接口都强制执行安全通信通道
6.2. 静止数据
- 存储在云基础设施中的数据通过托管服务提供商提供的加密机制进行保护
- 对存储数据的访问仅限于授权系统和人员
7. 日志记录、监控与事件检测
7.1. 伐木
- 系统日志用于运行和安全相关事件
- 日志用于故障排除、监控和事故分析
7.2. 监控
- 服务会被监控可用性、性能和异常情况
- 警报会在异常行为或服务中断时触发
8. 事件响应与泄露管理
PhotoRobot维护处理安全事件的程序,包括个人数据泄露。
这些程序包括:
- 事件识别与评估
- 减缓与遏制措施
- 内部升级
- 如有需要与客户沟通
- 遵守GDPR违规通知义务(GDPR第33条和第34条)
9. 备份、可用性与业务连续性
9.1. 备份
- 数据备份是标准云作的一部分
- 备份用于灾难恢复和服务连续性
9.2. 可用性
- 我们会做出合理努力以保持服务的高可用性
- 计划性维护活动可能导致暂时的服务中断
关于可用性目标和响应时间的详细信息,在适用的 服务水平协议(SLA)中另有说明。
10. 安全开发与变革管理
10.1. 安全开发实践
PhotoRobot遵循结构化的开发和部署流程,包括:
- 在适当情况下分离开发、测试和生产环境
- 受控部署程序
- 版本控制与变更跟踪
10.2. 更新与补丁
- 软件组件会更新以应对安全漏洞
- 关键更新会根据风险评估进行优先级排序
11. 子处理商及第三方
PhotoRobot 可能会启用子处理器来支持服务交付(例如托管、电子邮件服务)。
- 子处理商的选拔基于其安全和数据保护实践
- 当前的 子处理器列表 单独维护并公开发布
12. 物理安全
对服务器和数据中心的物理访问由云基础设施提供商管理,包括:
- 访问控制
- 监控与监测
- 环境保护
PhotoRobot 不运营自己的数据中心。
13. 数据最小化与保留
- 仅处理服务提供所需的数据
- 个人数据仅在合同、法律或运营目的所需期间被保留
- 数据删除和保留期限在相关政策和协议中有明确规定
14. 评测与更新
这些技术和组织措施会定期审查并根据需要更新,以反映:
- 技术变革
- 服务变更
- 不断演变的安全与监管要求
重大变更可根据需要通知客户。
15. 联系方式
关于这些技术和组织措施的问题:
uni-Robot有限公司
沃迪奇科娃710/31
110 00 布拉格 1
捷克共和国
电子邮件:legal@photorobot.com
最后说明
这些TOM描述了PhotoRobot当前的技术和组织措施,旨在为客户提供透明度和保障。它们并不保证服务不中断或绝对安全,但反映了基于风险且相称的数据保护和信息安全方法。