მონაცემთა დამუშავების დანართი

ბოლოს განახლდა: 2026 წლის 15 მაისი

წინამდებარე DPA გათვალისწინებულია მიმართვის გზით ბიზნეს მომსახურების პირობებში და ძალაში შედის მაშინ, როდესაც მომხმარებელი იღებს ბიზნეს მომსახურების პირობებს ან პირველად სარგებლობს სერვისით ზემოთ მითითებული თარიღის შემდეგ, იმის მიხედვით, რაც ადრე მოხდება. მომხმარებელი, რომელსაც სჭირდება წინამდებარე DPA-ს კომპანიის ბლანკზე კონტრასიგნატორის ხელმოწერილი ასლი, შეუძლია მოითხოვოს იგი privacy@easyweek.io-ზე მიმართვის გზით. EasyWeek ხელს მოაწერს ამ შაბლონის შინაარსში ცვლილებების გარეშე.

1. განმარტებები

ამ DPA-ში მითითებული, მაგრამ განუმარტავი დიდი ასოებით დაწყებული ტერმინები ატარებს იმ მნიშვნელობას, რომელიც მინიჭებული აქვს მათ ბიზნეს მომსახურების პირობებში ან საქართველოს კანონში „პერსონალურ მონაცემთა დაცვის შესახებ". კერძოდ:

• „PDPL" — საქართველოს კანონი „პერსონალურ მონაცემთა დაცვის შესახებ", რომელიც წარმოადგენს ამ DPA-ს მიზნებისათვის გამოსაყენებელ მონაცემთა დაცვის ძირითად რეჟიმს. სადაც ამ DPA-ში გამოყენებულია ტერმინი „GDPR", ის ნიშნავს PDPL-ს; სადაც EasyWeek ამუშავებს EEA-ს/EU-ს მონაცემთა სუბიექტების პერსონალურ მონაცემებს, ასეთ საზღვარგარეთულ დამუშავებასთან მიმართებაში ასევე შეიძლება გამოყენებულ იქნეს რეგლამენტი (EU) 2016/679.
• „კონტროლერი", „პროცესორი", „მონაცემთა სუბიექტი", „პერსონალური მონაცემები", „პერსონალური მონაცემების დარღვევა", „დამუშავება", „ქვეპროცესორი", „საზედამხედველო ორგანო" — საქართველოს კანონის „პერსონალურ მონაცემთა დაცვის შესახებ" შესაბამის მუხლებში განმარტებული.
• „კლიენტის პერსონალური მონაცემები" — პერსონალური მონაცემები, რომლებსაც კლიენტი ან მისი უფლებამოსილი მომხმარებლები წარუდგენს სერვისს ან გენერირებს სერვისის მეშვეობით და რომლებსაც EasyWeek ამუშავებს კლიენტის სახელით.
• „სტანდარტული სახელშეკრულებო პირობები" — პერსონალური მონაცემების მესამე ქვეყნებში გადაცემის სტანდარტული სახელშეკრულებო პირობები, მიღებული კომისიის 2021 წლის 4 ივნისის განმახორციელებელი გადაწყვეტილებით (EU) 2021/914, გამოსაყენებელი იმ შემთხვევებში, სადაც EasyWeek ახორციელებს EEA-ს მონაცემთა სუბიექტების პერსონალური მონაცემების საზღვარგარეთ გადაცემას.

2. როლები

მომხმარებელი არის მომხმარებლის პერსონალური მონაცემების კონტროლერი. EasyWeek არის პროცესორი და ამუშავებს მომხმარებლის პერსონალურ მონაცემებს მხოლოდ მომხმარებლის დოკუმენტირებული ინსტრუქციების საფუძველზე და ამ DPA-ის, მომსახურების ბიზნეს პირობების და მოქმედი კანონმდებლობის შესაბამისად.

მხარეები აღიარებენ, რომ EasyWeek არის კონტროლერი პერსონალური მონაცემთა შეზღუდული კატეგორიებისთვის, რომლებსაც EasyWeek ამუშავებს საკუთარი მიზნებისთვის — მაგალითად, ავტორიზებული მომხმარებლების ანგარიშის სერთიფიკატები, ანგარიშსწორების მონაცემები და მომსახურების გამოყენების ტელემეტრია. ამ დამუშავებას არეგულირებს ბიზნეს კონფიდენციალობის პოლიტიკა, და არა ეს DPA.

3. საგანი, ხანგრძლივობა, მიზანი

საგანი, ხასიათი, მიზანი, ხანგრძლივობა, პერსონალური მონაცემთა კატეგორიები და მონაცემთა სუბიექტთა კატეგორიები აღწერილია დანართ I-ში.

მონაცემთა დამუშავების შეთანხმება ძალაშია მანამ, სანამ EasyWeek ამუშავებს მომხმარებლის პერსონალურ მონაცემებს მომხმარებლის სახელით, და ინარჩუნებს ძალას მომსახურების სამეწარმეო პირობების შეწყვეტის შემდეგაც, მე-13 მუხლის შესაბამისად შესრულებისთვის საჭირო ვადით.

4. კლიენტის მითითებები

სერვისი, კლიენტის მიერ სერვისის მომხმარებლის ინტერფეისისა და API-ის მეშვეობით გამოყენებული კონფიგურაცია, მომსახურების კომერციული პირობები და წინამდებარე DPA წარმოადგენს კლიენტის სრულ და საბოლოო დოკუმენტირებულ მითითებებს EasyWeek-ისთვის კლიენტის პერსონალური მონაცემების დამუშავებასთან დაკავშირებით. ნებისმიერი დამატებითი ან განსხვავებული მითითება საჭიროებს წერილობით შეთანხმებას და შესაძლებელია გამოიწვიოს დამატებითი გადასახადები.

EasyWeek დაუყოვნებლივ აცნობებს კლიენტს, თუ მისი აზრით, რომელიმე მითითება ეწინააღმდეგება საქართველოს კანონს „პერსონალურ მონაცემთა დაცვის შესახებ" ან საქართველოს პერსონალურ მონაცემთა დაცვის კანონმდებლობის სხვა დებულებას, და შესაძლებელია შეაჩეროს სადავო მითითების შესრულება კლიენტის წერილობითი დადასტურების მიღებამდე.

5. კონფიდენციალურობა

EasyWeek უზრუნველყოფს, რომ მომხმარებლის პერსონალური მონაცემების დამუშავებაზე უფლებამოსილ პერსონალს აღებული ჰქონდეს კონფიდენციალურობის ვალდებულება (ან ეკისრებოდეს შესაბამისი საკანონმდებლო კონფიდენციალურობის ვალდებულება) და ექვემდებარებოდეს წვდომის კონტროლს და მინიმალური უფლებამოსილების პრინციპებს. მომხმარებლის პერსონალურ მონაცემებზე წვდომა შეზღუდულია იმ პერსონალით, რომელსაც ეს სჭირდება სერვისის ოპერირებისა ან გაუმჯობესებისათვის.

6. უსაფრთხოება (ტექნიკური და ორგანიზაციული ზომები)

EasyWeek ახორციელებს შესაბამის ტექნიკურ და ორგანიზაციულ ზომებს, რათა უზრუნველყოს რისკის შესაბამისი დონის დაცვა, როგორც ეს განსაზღვრულია დანართ II-ში. EasyWeek უფლებამოსილია დროდადრო განაახლოს თავისი ტექნიკური და ორგანიზაციული ზომები, იმ პირობით, რომ დაცვის დონე არ შემცირდება.

7. ქვე-დამამუშავებლები

მომხმარებელი ამით ანიჭებს EasyWeek-ს ზოგად წერილობით უფლებამოსილებას ქვე-დამამუშავებლების მოსაზიდად. ამ DPA-ს თარიღის მდგომარეობით დამტკიცებული ქვე-დამამუშავებლების ნუსხა მოცემულია დანართ III-ში და ხელმისაწვდომია /business/subprocessors მისამართზე.

EasyWeek წინასწარ, ნებისმიერი ქვე-დამამუშავებლის დამატების ან შეცვლის განზრახვიდან არანაკლებ ოცდაათი (30) კალენდარული დღით ადრე, შეატყობინებს მომხმარებელს აპლიკაციაში არსებული შეტყობინებების ცენტრის მეშვეობით, ხოლო იმ შემთხვევაში, სადაც მომხმარებელი გამოწერილია — ელექტრონული ფოსტითაც. მომხმარებელს შეუძლია შეიტანოს გონივრული, დოკუმენტირებული პერსონალური მონაცემების დაცვის საფუძვლიანი წინააღმდეგობა შეტყობინებიდან ოცდაათი (30) კალენდარული დღის განმავლობაში. თუ მხარეები ვერ შეთანხმდებიან გადაწყვეტაზე, მომხმარებელს უფლება აქვს შეწყვიტოს სამეწარმეო გამოყენების პირობები სერვისის იმ ნაწილთან მიმართებით, რომელიც საჭიროებს სადავო ქვე-დამამუშავებელს, წინასწარ გადახდილი საფასურის პროპორციული დაბრუნებით დარჩენილ ვადაზე.

EasyWeek ავალდებულებს თითოეულ ქვე-დამამუშავებელს პერსონალური მონაცემების დაცვის ვალდებულებებს წერილობითი ხელშეკრულებით, რომლებიც არ არის ამ DPA-ში განსაზღვრულ ვალდებულებებზე ნაკლებად დამცავი. EasyWeek სრულად პასუხისმგებელია მომხმარებლის წინაშე თავისი ქვე-დამამუშავებლების ვალდებულებების შესრულებაზე.

8. საერთაშორისო გადაცემები

კლიენტის პერსონალური მონაცემები ძირითადად მუშავდება ევროპის ეკონომიკური სივრცის (ეეს) ფარგლებში. იმ შემთხვევაში, თუ კლიენტის პერსონალური მონაცემები გადაეცემა ეეს-ის გარეთ მდებარე ქვეყანაში, რომელზეც ევროპის კომისიის ადეკვატურობის გადაწყვეტილება არ არსებობს, გამოიყენება სტანდარტული სახელშეკრულებო პირობები (სსსპ) შემდეგი შერჩევებით:

• მეორე მოდული (კონტროლერიდან დამმუშავებლამდე) ჩართულია მითითებით კლიენტიდან (ან მისი ეეს-ის კონტროლერიდან) EasyWeek-ამდე განხორციელებული გადაცემებისთვის, სადაც EasyWeek ამუშავებს კლიენტის პერსონალურ მონაცემებს მესამე ქვეყანაში.
• მესამე მოდული (დამმუშავებლიდან დამმუშავებლამდე) ჩართულია მითითებით EasyWeek-დან ქვე-დამმუშავებლებამდე მესამე ქვეყანაში განხორციელებული შემდგომი გადაცემებისთვის.
• მუხლი 7 (შეერთების პირობა) შეტანილია.
• მუხლი 9(a) — პარამეტრი 2 (ზოგადი წერილობითი ავტორიზაცია, 30-დღიანი შეტყობინება) გამოიყენება.
• მუხლი 11(a) — დავის დამოუკიდებელი გადაწყვეტის ორგანო არ არის შერჩეული.
• მუხლი 17 — მარეგულირებელი კანონმდებლობა გერმანიის კანონმდებლობაა.
• მუხლი 18 — კომპეტენტური სასამართლოებია გერმანიის, დიუსელდორფის სასამართლოები.
• სსსპ-ის I დანართი შევსებულია წინამდებარე მდდ-ის I დანართის მითითებით.
• სსსპ-ის II დანართი შევსებულია წინამდებარე მდდ-ის II დანართის მითითებით.
• სსსპ-ის III დანართი შევსებულია წინამდებარე მდდ-ის III დანართის მითითებით.

გადაცემის ზეგავლენის შეფასება, რომელიც აჯამებს EasyWeek-ის მიერ სამიზნე ქვეყნის კანონმდებლობის შეფასებას და ნებისმიერ დამატებით ტექნიკურ, სახელშეკრულებო ან ორგანიზაციულ ზომებს, ხელმისაწვდომია მოთხოვნის საფუძველზე privacy@easyweek.io მისამართზე.

გაერთიანებული სამეფოს გადაცემებისთვის გამოიყენება სსსპ-ის გაერთიანებული სამეფოს მონაცემთა საერთაშორისო გადაცემის დანართი (გაცემული ICO-ს მიერ და ძალაში შესული 2022 წლის 21 მარტიდან). შვეიცარიის გადაცემებისთვის სსსპ გამოიყენება FDPIC-ის მოთხოვნილი ჩანაცვლებებით.

9. მონაცემთა სუბიექტის მოთხოვნები

სერვისი უზრუნველყოფს თვითმომსახურების ფუნქციებს, რომლებიც საშუალებას აძლევს კლიენტს შეასრულოს მონაცემთა სუბიექტის მოთხოვნები წვდომის, გასწორების, წაშლის, შეზღუდვის, პორტაბელობისა და წინააღმდეგობის გაწევის შესახებ. თუ მონაცემთა სუბიექტი EasyWeek-ს პირდაპირ მიმართავს, EasyWeek გადაუგზავნის მოთხოვნას კლიენტს გაუმართლებელი დაყოვნების გარეშე და არ გასცემს პასუხს მონაცემთა სუბიექტს, გარდა მიღების დადასტურებისა და მოთხოვნის კლიენტისთვის გადაგზავნისა.

EasyWeek დაეხმარება კლიენტს, დამუშავების ბუნების გათვალისწინებით, შესაბამისი ტექნიკური და ორგანიზაციული ზომებით, საქართველოს კანონის „პერსონალურ მონაცემთა დაცვის შესახებ" შესაბამისი მუხლებით გათვალისწინებული მონაცემთა სუბიექტის მოთხოვნებზე პასუხის გაცემის კლიენტის ვალდებულების შესრულებაში.

10. პერსონალური მონაცემების დარღვევა

EasyWeek შეატყობინებს „მომხმარებელს" გაუმართლებელი დაყოვნების გარეშე და ნებისმიერ შემთხვევაში პერსონალური მონაცემების დარღვევის შესახებ, რომელიც ეხება „მომხმარებლის პერსონალურ მონაცემებს", გაცნობიერებიდან სამოცდათორმეტი (72) საათის განმავლობაში. შეტყობინება მოიცავს, სულ მცირე, იმ ინფორმაციას, რომელიც მოეთხოვება საქართველოს კანონის „პერსონალურ მონაცემთა დაცვის შესახებ" შესაბამისი დებულებების თანახმად, იმ მოცულობით, რაც ცნობილია: დარღვევის ხასიათი, მონაცემთა სუბიექტთა კატეგორიები და სავარაუდო რაოდენობა და ჩანაწერები, სავარაუდო შედეგები, მიღებული ან დაგეგმილი ზომები.

EasyWeek გადადგამს გონივრულ ნაბიჯებს დარღვევის შეზღუდვისა და გამოსწორებისათვის და „მომხმარებელს" მიაწვდის ინფორმაციას, რომელიც „მომხმარებელს" სჭირდება საკუთარი შეტყობინების ვალდებულებების შესასრულებლად შესაბამისი საზედამხედველო ორგანოს — პერსონალურ მონაცემთა დაცვის სამსახური (https://personaldata.ge/) — და მონაცემთა დაზარალებული სუბიექტების წინაშე.

11. მონაცემთა დაცვის ზემოქმედების შეფასება და წინასწარი კონსულტაცია

EasyWeek გაუწევს მომხმარებელს გონივრულ დახმარებას მონაცემთა დაცვის ზემოქმედების ნებისმიერ შეფასებასთან ან წინასწარ კონსულტაციასთან დაკავშირებით, რომლის განხორციელებაც მომხმარებელს მოეთხოვება საქართველოს კანონის „პერსონალურ მონაცემთა დაცვის შესახებ" შესაბამისი დებულებების საფუძველზე, იმ ფარგლებში, რამდენადაც ასეთი დახმარება გონივრულად არის საჭირო და ინფორმაცია EasyWeek-ის განკარგულებაშია.

12. აუდიტი

EasyWeek-ი „კლიენტს" მიაწვდის ამ DPA-სთან შესაბამისობის დემონსტრირებისათვის საჭირო ყველა ინფორმაციას, მათ შორის:

• უახლეს სასერტიფიკატო და საუდიტო ანგარიშების ასლებს (მაგ., ISO 27001, სადაც ხელმისაწვდომია, და შესაბამისი „ქვედა-დამამუშავებლების" SOC 2 Type II ანგარიშებს).
• წერილობით პასუხებს გონივრულ უსაფრთხოების კითხვარზე — თორმეტთვიანი პერიოდის განმავლობაში ერთხელ, უსასყიდლოდ.

თუ ზემოხსენებული ინფორმაცია საკმარისი არ არის და „კლიენტს" მისი სამეთვალყურეო ორგანო ავალდებულებს ადგილზე აუდიტის ჩატარებას, „კლიენტს" უფლება აქვს თავად ჩაატაროს ან დამოუკიდებელ აუდიტორს დაავალოს აუდიტი „კლიენტის" ხარჯებით, სულ მცირე სამოცი (60) დღით ადრე წერილობითი შეტყობინების წარდგენის პირობით, სამუშაო საათებში, თორმეტთვიანი პერიოდის განმავლობაში არა უმეტეს ერთხელ (გარდა იმ შემთხვევისა, თუ მომხდარია პერსონალური მონაცემების დარღვევა), გონივრული კონფიდენციალობის ვალდებულებების ფარგლებში და EasyWeek-ის საქმიანი ოპერაციების ან სხვა „კლიენტების" უსაფრთხოების ხელყოფის გარეშე. აუდიტის ფარგლები შემოიფარგლება ამ DPA-ს მიმართ EasyWeek-ის შესაბამისობის გადამოწმებით.

13. დაბრუნება და წაშლა

„ბიზნეს მომსახურების პირობების" შეწყვეტიდან ოცდაათი (30) დღის განმავლობაში, „კლიენტს" შეუძლია ექსპორტირება გაუკეთოს „კლიენტის პერსონალურ მონაცემებს" სერვისის მიერ მოწოდებული self-service ექსპორტის ინსტრუმენტების საშუალებით. ამ ოცდაათდღიანი შეღავათიანი პერიოდის გასვლის შემდეგ, EasyWeek წაშლის ან გაანონიმებს „კლიენტის პერსონალურ მონაცემებს" გონივრულ ვადაში და ნებისმიერ შემთხვევაში — ოთხმოცდაათი (90) დღის ვადაში, გარდა იმ შემთხვევებისა, როდესაც EasyWeek საქართველოს, გერმანიის ან სხვა გამოყენებადი კანონმდებლობის შესაბამისად ვალდებულია შეინახოს მათი ნაწილი ან მთლიანობა (ასეთ შემთხვევაში შენახული მონაცემები რჩება ამ მონაცემთა დამუშავების შეთანხმების კონფიდენციალობისა და უსაფრთხოების ვალდებულებების გამოყენების სფეროში).

„კლიენტის პერსონალურ მონაცემებს" შემცველი სარეზერვო ასლები გადაიწერება მბრუნავი პრინციპით სტანდარტული სარეზერვო შენახვის ვადის ფარგლებში და ვადის გასვლამდე ექვემდებარება ამ მონაცემთა დამუშავების შეთანხმებას.

14. პასუხისმგებლობა და სხვადასხვა დებულება

თითოეული მხარის პასუხისმგებლობა წინამდებარე მონაცემთა დამუშავების შეთანხმებით ან მასთან დაკავშირებით ექვემდებარება კომერციული მომსახურების პირობებში მითითებულ პასუხისმგებლობის შეზღუდვებსა და გამონაკლისებს.

წინამდებარე მონაცემთა დამუშავების შეთანხმება წარმოადგენს კომერციული მომსახურების პირობების ნაწილს. მომხმარებლის პერსონალური მონაცემების დამუშავებასთან დაკავშირებით წინამდებარე მონაცემთა დამუშავების შეთანხმებასა და კომერციული მომსახურების პირობებს შორის ნებისმიერი წინააღმდეგობის შემთხვევაში, უპირატესი ძალა აქვს წინამდებარე მონაცემთა დამუშავების შეთანხმებას. წინამდებარე მონაცემთა დამუშავების შეთანხმებასა და სტანდარტულ სახელშეკრულებო პირობებს შორის ნებისმიერი წინააღმდეგობის შემთხვევაში, უპირატესი ძალა აქვს სტანდარტულ სახელშეკრულებო პირობებს.

წინამდებარე მონაცემთა დამუშავების შეთანხმება რეგულირდება გერმანიის ფედერაციული რესპუბლიკის კანონმდებლობით. გერმანიის, დიუსელდორფის სასამართლოებს გააჩნიათ ექსკლუზიური იურისდიქცია, მონაცემთა სუბიექტების ჩვეული საცხოვრებელი ადგილის მიხედვით მათთვის კუთვნილი სავალდებულო დაცვითი უფლებების შეუზღუდავად, საქართველოს კანონმდებლობით გათვალისწინებული მომხმარებელთა სავალდებულო უფლებების ჩათვლით.

დანართი I – დამუშავების აღწერა

საგანი დამუშავება, რომელიც საჭიროა EasyWeek ბიზნეს სერვისის კლიენტისთვის მიწოდებისათვის.

ხანგრძლივობა ბიზნეს მომსახურების პირობების მოქმედების ვადის განმავლობაში და ნებისმიერი ვადის გასვლის შემდგომი შენახვის პერიოდის განმავლობაში, რომელიც საჭიროა მე-13 მუხლის შესასრულებლად.

დამუშავების ბუნება და მიზანი ჰოსტინგი, შენახვა, მოძიება, ორგანიზება, შეცვლა, გადაცემა, წაშლა, ანონიმიზაცია, სტატისტიკური ანალიზი და სხვა სახის დამუშავების ოპერაციები, რომლებიც საჭიროა ონლაინ ჯავშნის, კლიენტებთან ურთიერთობის მართვის, ფინანსებისა და ინვოისების, მარკეტინგის ავტომატიზაციის, ვებსაიტის კონსტრუქტორის, შეხსენებებისა და შეტყობინებების, სარეკლამო კატალოგში განთავსების, ხელოვნური ინტელექტის დახმარებით შექმნილი ფუნქციების და დამხმარე ფუნქციების მიწოდებისათვის.

მონაცემთა სუბიექტების კატეგორიები

• კლიენტის საბოლოო მომხმარებლები და პოტენციური მომხმარებლები
• კლიენტის დასაქმებულები, ფრილანსერები, კონტრაქტორები და სხვა უფლებამოსილი მომხმარებლები
• კლიენტის ონლაინ ჯავშნის გვერდებისა და ჩაშენებული ვიჯეტების ვიზიტორები
• სერვისის მეშვეობით გადაცემული კომუნიკაციების გამომგზავნები და მიმღებები

პერსონალური მონაცემების კატეგორიები

• საიდენტიფიკაციო მონაცემები (სახელი, ფოტო, სქესი)
• საკონტაქტო მონაცემები (ელ. ფოსტა, ტელეფონი, მისამართი)
• კლიენტის უფლებამოსილი მომხმარებლების ანგარიშის სარეგისტრაციო მონაცემები
• ჯავშნებისა და ვიზიტების ისტორია
• კლიენტის მიერ ატვირთული შენიშვნები, ფაილები, ფოტოები, დოკუმენტები
• ლოიალობის პროგრამის მონაცემები, სასაჩუქრე ბარათების ბალანსები, კლიენტთა სეგმენტები
• კომუნიკაციის შინაარსი (SMS, WhatsApp, ელ. ფოსტის ტექსტი, push-შეტყობინების ტექსტი, აპლიკაციაში ჩატი)
• ფინანსური მონაცემები (ინვოისების ჩანაწერები, გადახდის სტატუსი, გადახდის ბარათების ბოლო 4 ციფრი — სრული ბარათის მონაცემები პირდაპირ Stripe-ის მიერ მუშავდება და EasyWeek არ ინახავს მათ)
• ტექნიკური მონაცემები (IP-მისამართი, მოწყობილობის იდენტიფიკატორი, ბრაუზერი, ენა, დროის ნიშნები)
• სადაც კლიენტი ირჩევს მათ ჩაწერას: ჯანმრთელობასთან დაკავშირებული შენიშვნები (სილამაზის, ველნესის, სამედიცინო ან სტომატოლოგიური კონტექსტებში). კლიენტი პასუხისმგებელია, რომ ასეთი მონაცემების ჩაწერამდე ჰქონდეს სათანადო სამართლებრივი საფუძველი საქართველოს კანონის „პერსონალურ მონაცემთა დაცვის შესახებ" მე-9 მუხლის შესაბამისად.

გადაცემის სიხშირე უწყვეტი.

შენახვა კლიენტის პერსონალური მონაცემები ინახება იმდენ ხანს, რამდენ ხანსაც კლიენტი ითხოვს, და ისე, როგორც ეს დამატებით აღწერილია მე-13 მუხლში.

დანართი II – ტექნიკური და ორგანიზაციული ღონისძიებები

EasyWeek ახორციელებს სულ მცირე შემდეგ ღონისძიებებს, რომლებიც შესაძლებელია განახლდეს დროდადრო, იმ პირობით, რომ დაცვის დონე არ შემცირდება:

• ფსევდონიმიზაცია და დაშიფვრა — TLS 1.3 საჯარო ქსელებში გადაცემული მონაცემებისთვის; AES-256 შენახული მონაცემებისთვის (მონაცემთა ბაზის საცავი, ობიექტების საცავი, სარეზერვო ასლები); მოიჯარეთა ცალ-ცალკე დაშიფვრის გასაღებები მგრძნობიარე ველებისთვის, სადაც გამოყენებადია.
• კონფიდენციალურობა — როლებზე დაფუძნებული წვდომის კონტროლი მინიმალური პრივილეგიების პრინციპით, მრავალფაქტორიანი ავთენტიფიკაცია სავალდებულო ყველა ადმინისტრაციული წვდომისთვის, სესიის ავტომატური დასრულება, IP-ზე დაფუძნებული წვდომის კონტროლი საწარმოო სისტემებისთვის, კონფიდენციალობის წერილობითი ვალდებულებები ყველა თანამშრომლისთვის.
• მთლიანობა — ცვლილებების მართვა, კოდის მიმოხილვა, ავტომატური დამოკიდებულებების სკანირება, ხელმოწერილი განლაგების არტეფაქტები, სარეზერვო ასლების მთლიანობის შემოწმება.
• ხელმისაწვდომობა და გამძლეობა — საწარმოო ჰოსტინგი გერმანიაში Hetzner-ის მონაცემთა ცენტრებში ელექტრომომარაგებისა და ქსელის სიჭარბით, Kubernetes ორქესტრირება ავტომატური აღდგენით, ყოველდღიური სარეზერვო ასლები ზონათაშორისი რეპლიკაციით, კატასტროფებისგან აღდგენის დოკუმენტირებული გეგმა ყოველწლიური ვარჯიშებით, სტატუსის გვერდი status.easyweek.io-ზე.
• აღდგენა — სარეზერვო ასლების შენახვა, რომელიც საკმარისია სერვისის აღდგენისთვის ფიზიკური ან ტექნიკური ინციდენტის შემდეგ; კვარტალური აღდგენის ტესტები.
• ტესტირება და შეფასება — საწარმოო გარემოს ყოველწლიური მესამე მხარის შეღწევადობის ტესტი, CI/CD-ში მიმდინარე სტატიკური და დინამიური აპლიკაციის უსაფრთხოების ტესტირება, მოწყვლადობების მართვის პროცესი განსაზღვრული გამოსწორების SLA-ებით.
• ქსელის სეგრეგაცია — საწარმოო, სტეიჯინგისა და განვითარების გარემოები ლოგიკურად და ფიზიკურად გამოყოფილია; ადმინისტრაციული წვდომა მხოლოდ bastion ჰოსტების მეშვეობით.
• ლოგირება და მონიტორინგი — ცენტრალიზებული აუდიტის ჟურნალები ავთენტიფიკაციის, ავტორიზაციის, კონფიგურაციის ცვლილებებისა და მონაცემთა ექსპორტის მოვლენებისთვის, შენახული სულ მცირე ერთი წლის განმავლობაში; უსაფრთხოების ინფორმაციის და მოვლენების მონიტორინგი ანომალიებზე შეტყობინებებით.
• უსაფრთხო განვითარება — SDLC საფრთხეების მოდელირებით, თანატოლური მიმოხილვით, საიდუმლოებების სკანირებით, ლიცენზიების შესაბამისობით და OWASP-თან შეთანხმებული კოდირების სტანდარტებით.
• მომწოდებლების მართვა — წერილობითი ხელშეკრულებები ყველა ქვეამუშავებელთან (Sub-processor) ეკვივალენტური ვალდებულებებით; პერიოდული მიმოხილვა.
• პერსონალის უსაფრთხოება — წინამოვლელობის შემოწმება სადაც კანონიერია; უსაფრთხოების ცნობიერებისა და მონაცემთა დაცვის ტრენინგი დაქირავებისას და ყოველწლიურად შემდგომ.
• ინციდენტების მართვა — 24/7 მორიგეობის ცვლა; ინციდენტზე რეაგირების დოკუმენტირებული სახელმძღვანელო; დარღვევის შეტყობინება 72 საათის განმავლობაში მე-10 მუხლის შესაბამისად.
• ფიზიკური უსაფრთხოება — დამუშავების ობიექტებზე ფიზიკური წვდომა კონტროლდება ობიექტის მოქმედი ქვეამუშავებლის (Hetzner, Google Cloud) მიერ ISO 27001 / SOC 2 სერტიფიცირებული კონტროლების ფარგლებში.

დანართი III – დამტკიცებული ქვეგადამამუშავებლები

EasyWeek-ის ქვეგადამამუშავებლების მიმდინარე სია გამოქვეყნებულია და ინახება /business/subprocessors მისამართზე. ამ URL-ზე განთავსებული სია წინამდებარე DPA-სა და დანართ III-ში ჩართულია მითითებით.