联系我们

关于 IQAX

数据保护附录

发行日期:2022年10月24日
修订日期:截至2026年4月14日
版本号:2

数据保护附录
IQAX应用程序

本数据保护附录及其附件(本“DPA”)构成贵方与IQAX之间达成的关于贵方使用和接收服务的协议的一部分。下单或使用本服务,即表示您同意本DPA。IQAX可根据使用条款不时修订本DPA。如有任何不一致之处,任何特别条款应优先于本DPA。

  1. 应用
    1. 本DPA适用于贵方(包括贵方的用户)在IQAX平台或向IQAX发布的,或代贵方发布的所有与协议(包括贵方使用和接收服务)相关的所有个人数据(“发布的个人数据”)。
    2. 贵方同意,贵方是发布的个人数据的独立控制者,或贵方已获得相关控制者的授权,同意处理与协议有关的发布的个人数据。如果在与协议有关的发布的个人数据的处理方面,贵方不是独立控制者,则贵方同意:
      1. 告知IQAX相关控制者的身份和联系方式;和
      2. 就相关控制者在适用的数据保护法项下的权利和义务,代表相关控制者行事,作为本DPA下的单一联络点。
    3. 贵方指定IQAX作为处理与协议有关的发布的个人数据的处理机构。
       
  2. 处理
    1. 发布的个人数据的详情、数据主体的类别以及与协议有关的发布的个人数据的处理性质、目的、主题和持续时间见本DPA附件A。
    2. 根据第2.3条的规定,IQAX应仅根据贵方的书面指示处理发布的个人数据。书面指示即本DPA附件A中所载指示,或贵方与IQAX另外以书面形式约定的指示。
    3. 如适用法律要求,IQAX可为其他目的处理发布的个人数据,前提是应在适用法律允许的范围内,并且IQAX在处理之前通知贵方该等法律要求及拟议处理。
       
  3. 技术和组织安全措施
    1. IQAX应确保根据其授权有权获得发布的个人数据的任何人,均受适当的合同或法定保密义务的约束。
    2. IQAX应采取适用的数据保护法要求的措施,包括实施适当的技术和组织措施,以确保达到与发布的个人数据处理相关风险相适应的安全水平。
    3. 贵方同意,本DPA附件A中所载技术和组织措施是根据协议处理贵方发布的个人数据的适当措施。
       
  4. 贵方的责任
    1. 贵方同意:
      1. 贵方应遵守适用的数据保护法以及贵方在本DPA项下与协议以及贵方使用和接收服务有关的义务;
      2. 贵方应自行负责判断服务是否足以确保贵方(以及相关控制者(如适用))符合适用的数据保护法的要求,且贵方已评估了该等服务和协议(包括本DPA附件A中所述事项),确定服务足以满足前述合规要求;
      3. 贵方应(并应确保贵方的用户)仅向根据适用的数据保护法,以合法方式根据协议(包括本DPA)处理个人数据的IQAX或IQAX平台发布个人数据;
      4. 贵方不得(并且应确保贵方的用户不会)在IQAX或IQAX平台发布除本DPA附件A所列类型或以书面形式另行约定的个人数据之外的任何个人数据(尤其是,不得在IQAX或IQAX平台发布特殊类别个人数据);
      5. 贵方应确保,已向发布的个人数据相关的所有数据主体提供了适用的数据保护法要求的充分公平和透明的处理信息,并涵盖将进行的与协议相关的处理;
      6. 贵方应确保贵方向IQAX发出的与发布的个人数据处理相关的所有指示均符合适用的数据保护法;
      7. 如贵方在任何时候怀疑协议项下发布的个人数据的处理违反适用的数据保护法,贵方应立即通知IQAX;
      8. 贵方(及相关控制者)全权负责回应并遵守与根据适用的数据保护法行使主体权利有关的请求(但IQAX应根据下文第5条提供协助);
      9. 贵方应在获知与协议有关的任何数据泄露后24小时内立即通知IQAX;和
      10. 协议中的任何规定均不得免除贵方(或相关控制者)根据适用的数据保护法应承担的任何责任。
         
    2. 贵方应赔偿并使IQAX免受因贵方违反本DPA项下义务,或贵方未尽到责任而产生的或与之相关的所有损失、索赔、损害赔偿、责任、罚款、制裁、利息、处罚、费用(包括在完全弥偿基础上的法律和专业顾问费用)、收费、向数据主体支付的款项和任何其他费用(无论是直接或间接费用)。
       
  5. 数据主体的协助和请求
    1. 贵方(及相关控制者)应全权负责回应和遵守与根据适用的数据保护法行使主体权利有关的请求,IQAX应将其收到的任何该等请求发送给贵方。
    2. IQAX应考虑处理的性质,通过履行其义务的适当的技术和组织措施,协助贵方回应与根据适用的数据保护法行使数据主体权利有关的请求。
    3. IQAX应及时向贵方提供贵方不时合理要求的,使贵方能够遵守根据适用的数据保护法而应承担的任何安全、违约通知、违约沟通、文件、数据保护影响评估、事先协商、记录和审查责任的协助。在发生数据泄露的情况下,如果适用的数据保护法要求发送通知,IQAX应在得知该等数据泄露后立即通知贵方。
    4. 对于IQAX根据第5.1至5.3条为贵方提供协助时可能产生的任何和所有合理的额外费用,贵方应按要求及时偿还IQAX。
       
  6. 次级处理者
    1. 根据第6.2条,IQAX应具备:
      1. 聘请本DPA附件A所列其他处理者处理发布的个人数据的特定授权;和
      2. 根据第6.3条,通过修改相关列表(及协议)聘请额外或替代处理者处理发布的个人数据的一般授权,以及为贵方提供反对该等修改的机会。

      每个额外处理者均为“次级处理者”。

    2. IQAX应确保每个次级处理者均受其处理发布的个人数据的合同义务的约束,且该等合同义务不低于本DPA(包括实施适当的技术和组织安全措施的保障)的规定。如果次级处理者未能履行其处理发布的个人数据的义务,IQAX应对贵方完全负责(在协议中规定的范围内)。
    3. IQAX将在收到贵方的书面请求后,向贵方提供其已聘用的次级处理者的最新名单;并在任何新的次级处理者开始处理个人数据之前7天内(或双方另行约定的其他时限内)通知您。如果您有合理依据反对IQAX使用新的次级处理者,您应在收到新的次级处理者名单后14天内,立即以书面形式通知IQAX。双方将本着诚意寻求商业上合理的解决方案;若双方无法达成解决方案,贵方可终止任何协议中与服务相关且在不使用您反对的该等新次级处理者的情况下无法合理提供的部分。
       
  7. 跨境个人数据传输
    1. 下单或使用服务,即您与IQAX均同意,标准合同条款应被视为已纳入本DPA及主协议,并按如下方式适用,但须受第7.2条规定的约束,前提是发布的个人数据符合以下情形:
      1. 从欧洲经济区输出到欧洲经济区以外的司法管辖区,而该司法管辖区并非GDPR第五章有效充分性决定的主体(以及向该等司法管辖区的任何后续传输);或
      2. 从英国输出到英国以外的司法管辖区,而该司法管辖区并非英国GDPR第五章有效充分性决定的主体(以及向该等司法管辖区的任何后续传输)。
         
    2. 对于第7.1(A)条所述的发布的个人数据,在该等发布的个人数据的任何传输受《通用数据保护条例》(GDPR)保护且按照第2条进行处理的情况下,应适用欧盟标准合同条款(EU SCCs),并按以下方式完成:
      1. 适用第二模块或第三模块(视具体情况而定)。
      2. 关于该协议第7条,将适用可选的对接条款;
      3. 关于该协议第9(a)条,将适用方案2,且关于变更次级处理者的提前通知期限在本协议第6条中规定;
      4. 关于该协议第11条,可选条款不适用;
      5. 关于该协议第17条,适用选项1,且欧盟标准合同条款受爱尔兰法律管辖;
      6. 关于该协议第18(b)条,管辖法院为爱尔兰法院;
      7. 该协议的附件一应视为已根据本DPA附件A所载信息予以填妥;以及
      8. 该协议的附件二应视为已根据本DPA附件A第5部分所载信息予以填妥。
         
    3. 对于第7.1(B)条所述的发布的个人数据,只要个人数据的任何传输受英国数据保护法保护且按照第2条进行处理,则应适用英国标准合同条款(UK SCCs),并填写如下(就本条而言,除非另有规定,否则采用英国标准合同条款中的定义和引用):
      1. 就第一部分的表1而言,若本协议第2条适用,您应为“输出方”,而IQAX应为“输入方”;
      2. 对于第一部分的表2和表3,经上述第7.2条修改的欧盟标准合同条款应在作必要调整后适用;
      3. 对于第一部分的表4,进口商可按照该强制性条款第19条的规定终止本附录;以及
      4. 就第二部分(即批准附录的强制性条款)而言,应适用ICO发布并根据《2018年数据保护法》第119A条于2022年2月2日提交议会的模板附录B.1.0,以及其根据该等强制性条款第18条不时修订的版本。
         
    4. 在适用法律允许的范围内,标准合同条款的规定应予适用,但须受本协议中规定的免责条款及责任限制条款的约束。
       
    5. 如贵方并非第7.1(A)或7.1(B)条所述类型的任何发布的个人数据的唯一控制者,贵方同意:
      1. 贵方应代表相关控制者签署一份条款等同于欧盟标准合同条款或英国标准合同条款(视适用情况而定)的协议;或,
      2. 在发布已发布的个人数据之前,贵方应促使相关控制者作为输出方,与IQAX作为输入方,签署一份条款等同于欧盟标准合同条款或英国标准合同条款(视适用情况而定)的协议。
         
    6. 为了使IQAX能够就第7.1(A)或7.1(B)条所述类型的任何发布的个人数据委任次级处理者,贵方同意(或贵方应促使相关控制者同意),IQAX可作为代理人,代表贵方(或相关控制者)(作为输出方),与IQAX的次级处理者(作为输入方)签订条款等同于欧盟标准合同条款或英国标准合同条款(视情况而定)的协议。
       
    7. 关于从中华人民共和国输出到中华人民共和国境外司法管辖区的发布的个人数据,贵方承认并同意:
      1. 贵方及相关数据主体已被告知以下信息:相关数据主体已通过贵方向其提供的信息,以及本DPA及其附件A,知悉境外接收方的名称、所在地及联系方式、处理目的和处理方式、所涉发布的个人数据类别,以及其根据适用个人数据法行使权利的方式;
      2. IQAX已经并将继续按照适用的数据保护法的要求,就个人数据的跨境传输实施适当的保障措施,例如签订数据传输合同(以中华人民共和国国家互联网信息办公室发布的标准数据保护条款的形式)和进行个人信息保护影响评估;
      3. 您应确保已按照适用的数据保护法要求,向所有与发布的个人数据相关的数据主体提供充分、完整且透明的处理信息,并已正式获得此类数据主体的事先同意;和
      4. 您应遵守适用的数据保护法中关于个人数据跨境传输的任何法律要求。
         
  8. 信息和审查
    1. 根据第8.2和8.4条的规定,IQAX应(应要求)向贵方提供能够证明其遵守本DPA的所有合理的必要信息,并且应允许和促成贵方(或相关控制者)或贵方指定的另一名审查员进行的审查和检查。
       
    2. 贵方应确保,所有根据第8.1条提出的信息或行使审查或检查权利的要求均是合理的,并至少提前60天以书面通知形式提供给IQAX。任何该等审查或检查应仅限于审查IQAX是否遵守本DPA,并应在工作时间内进行,费用由贵方承担,并应遵守IQAX为防止扰乱IQAX的运营和业务而规定的任何合理条件。贵方应确保为任何审查或检查的结果制定一份书面报告,并立即将其副本提供给IQAX。获取或接收的任何信息只能用于对评估IQAX是否遵守本DPA必要的目的,而不能用于任何其他目的。
       
    3. 如果IQAX认为贵方作出的关于第8.1条的指示侵犯了适用的数据保护法,IQAX应立即通知贵方。
       
    4. 应要求,贵方应立即偿还IQAX因第8.1至8.3条项下的任何信息或任何审查或检查要求而产生的任何和所有合理费用。对于贵方(或贵方人员或审查员)违反第8.2条规定的情况,第4.2条规定的赔偿适用。
       
  9. 返还或删除发布的个人数据
    1. 协议终止后120天内,IQAX应(贵方可酌情决定)将发布的个人数据返还给贵方或删除发布的个人数据,除非适用的数据保护法要求保留该等发布的个人数据。其中一些发布的个人数据可保留在系统备份中,直至系统备份到期,不迟于协议终止后120天。
       
  10. 更新
    1. IQAX可根据使用条款不时修订本DPA。修订可能包括对数据保护细节的更改,包括附件A中所述详细的技术和组织安全措施。贵方可反对任何修订,如果反对被驳回,可根据使用条款中规定的程序终止协议。
       
  11. 不一致的数据保护法
    1. 与平台运作中的个人数据处理相关方面,不同司法管辖区的适用的数据保护法可能存在冲突或不一致或不兼容,或存在遵守一个司法管辖区的政府当局的合法请求可能违反另一个司法管辖区适用的数据保护法的情形(不一致的数据保护法)。
    2. 如果贵方察觉任何数据保护法不一致的问题,贵方应停止使用服务,并通知IQAX。IQAX应考虑在可行范围内遵守适用的数据保护法的必要性,并与相关监管当局和/或其他相关政府当局联系,以确定切实可行的、建设性的解决方案。尽管如此,在无法找到解决数据保护法不一致问题的切实可行的解决方案的情况下,IQAX可选择撤销产生数据保护法不一致问题的一个或多个司法管辖区的部分或所有服务。
       
  12. IQAX 数据保护联系方式
    1. 如对隐私及数据保护事宜有任何疑问,可通过以下方式联系 IQAX:
      • 客户服务部
      • 上海和易孚信息科技有限公司
      • 四川北路2000号宝华商业广场5楼
      • 热线:+86-756-363-3008
      • 电子邮箱:customerservices@iqax.com
         
  13. 定义
    1. 在本DPA中,适用下列定义:
    “适用的数据保护法” 指与处理个人数据和隐私相关的所有不时适用的法律,包括但不限于(在适用的范围内):
    • (A) GDPR(通用数据保护条例);
    • (B) 英国GDPR;
    • (C) 2018英国数据保护法;
    • (D) 《2025年英国数据(使用与访问)法》;
    • (E) 《电子隐私指令》及任何实施立法;
    • (F) 中华人民共和国网络安全法及任何实施法律;
    • (G) 中华人民共和国民法典;和
    • (H) 中华人民共和国个人信息保护法;
    “数据泄露” 系指任何意外、非法或未经授权地销毁、遗失、更改、披露或获取发布的个人数据或未经授权或非法传输、储存或以其他方式处理发布的个人数据;
    “GDPR” 欧洲议会通用数据保护条例(EU) 2016/679;
    “发布的个人数据” 具有第1.1条赋予的含义;
    “中华人民共和国” 系指中华人民共和国,就本DPA而言,不包括香港特别行政区、澳门特别行政区和台湾地区;
    “隐私政策” 系指IQAX不时更新的隐私政策,具体见 https://www.iqax.com/pss.htm
    “标准合同条款” (i) 欧盟委员会2021年6月4日第2021/914号实施决定所附的标准合同条款,该等条款系根据欧洲议会和理事会第2016/679号条例关于第三国传输个人数据的标准合同条款(以下简称“欧盟标准合同条款”);或 (ii) 英国信息专员根据《2018年数据保护法》第119A(1)条发布的、按照2022年3月21日《欧盟委员会标准合同条款国际数据传输附录》适用的标准数据保护条款(“英国标准合同条款”),视具体情况而定,并包括相关主管机关依据适用的数据保护法不时对其作出的修订或替代版本,但仅在其涉及个人数据的国际传输范围内适用。
    “特殊类别个人数据” 系指显示种族或民族起源、政治观点、宗教或哲学信仰或工会会员身份的个人数据,为唯一识别自然人而处理的遗传数据或生物特征数据,健康数据或有关自然人的性生活或性取向的数据(或适用的数据保护法规定的其他敏感个人数据);
    “次级处理者” 具有第6.1条赋予的含义;
    “监管机构” 根据《通用数据保护条例》(GDPR)第51条设立的监管机构,或根据适用数据保护法设立的任何其他同等监管机构;负责信息和通信技术政策及创新事务的部长;或任何其他被任命和/或授权负责监督或执行适用的数据保护法的监管机构或官员;
    “英国数据保护法” 英国不时生效的所有与数据保护、个人数据处理、隐私和/或电子通信相关的法律,包括经《英国2025年数据(使用与访问)法》修订和补充的《2018年数据保护法》以及英国《通用数据保护条例》;以及
    “英国GDPR” 系指GDPR,因为它是保留欧盟法律(如《2018年退出欧盟法案》所定义)的一部分。
    1. 除上述定义外,使用条款中所载定义适用于本DPA。
    2. 本DPA中未作其他定义的术语和表达应具有赋予其的含义或适用的数据保护法中其他术语和表达在相关时间被赋予的同等含义(包括“控制者”、“处理者”、“数据主体”、“个人数据”和“处理”)(及其变体)。

附件A
数据处理详情

  1. 缔约方名单
    • 数据输入方
      • 名称:上海和易孚信息科技有限公司
      • 地址:中国(上海)自由贸易试验区临港新片区业盛路188号A-522室
      • 联系人姓名、职位和联系方式:如服务合同/服务表格中所规定
      • 与根据本附录条款传输数据的相关活动:参见下文第三部分
      • 签名及日期:请参阅服务合同/服务表格
      • 身份(控制者/处理者):数据处理者
    • 数据输出方
      • 名称:服务合同/服务表格中注明的您的名称
      • 地址:按服务合同/服务表格规定
      • 联系人姓名、职位和联系方式:如服务合同/服务表格中所规定
      • 与根据本附录条款传输数据的相关活动:参见下文第三部分
      • 签名及日期:请参阅服务合同/服务表格
      • 身份(控制者/处理者):数据控制者
         
  2. 发布的个人数据的详情
    1. 将要处理的与协议相关的发布的个人数据包括:
      1. 姓名、职务、职能/职位名称及部门、地址、联络方式(包括邮寄地址、电邮地址、电话号码、传真号码;
      2. 数字标识符,如用户名、哈希密码、设备或应用程序标识符和IP地址;
      3. 数字使用信息,如访问时间和服务日志,访问、创建、修改或删除的文件。
         
    2. 协议不会处理任何特殊类别个人数据。
       
    3. 发布的个人数据所涉及的数据主体类别如下:
      1. 服务的用户(包括贵方的用户);
      2. 贵方认定为与服务有关的贵方董事、员工、代表、承包商、关联方和代理人员;
      3. 航运供应链中的组织的联系人;和
      4. 运载或托运货物的发货人或收货人。
         
    4. 数据传输的频率:持续进行,直至双方协议终止。
       
    5. 处理的与协议相关的个人数据的其他详细信息载于隐私政策。
       
    6. IQAX无法控制贵方发布到IQAX平台或以其他方式提供给IQAX的所有个人数据。贵方同意,除非事先得到IQAX的书面同意,贵方不得向IQAX或在IQAX平台发布除上述个人数据类型之外的个人数据。
       
  3. 处理详情
    1. IQAX将为以下目的处理与协议有关的发布的个人数据:
      1. 按照协议向贵方和贵方的用户提供服务;
      2. 创建和管理贵方的账户以及贵方与IQAX的协议(包括IQAX履行其在协议项下的任何义务或行使其在协议项下的任何权利);和
      3. IQAX在协议项下提供服务附带的合法经营活动(包括监控、测试、修改、改进IQAX所使用的系统和提供的服务)。
         
    2. IQAX及其次级处理者将进行的处理操作包括(在协议允许的范围内):
      1. 收集贵方和贵方用户的发布的个人数据,包括记录数字标识符和数字使用信息;
      2. 组织、构造及储存发布的个人数据;
      3. 通过加密/解密、限制访问的方式保护发布的个人数据;保留其备份并进行与其相关的安全和业务连续性/重整测试;
      4. 使用发布的个人数据,包括检查、分析、汇总、合并及改编该等数据;
      5. 托管发布的个人数据,并将其提供给IQAX平台的用户,包括贵方和贵方的用户;
      6. 在贵方(及相关控制者)、IQAX和IQAX的次级处理者之间传输和传递(包括输入/输出)发布的个人数据,以及协议要求的其他事项(例如:为审核提供协助或协助贵方满足数据主体的要求);和
      7. 将发布的个人数据归还贵方或删除/禁止访问该等数据。
         
    3. 除协议另有规定外,发布的个人数据的处理期限与相关服务的期限相对应,并在此之后持续一定的期限。
       
    4. IQAX及其与服务提供有关的次级处理者可在多个司法管辖区储存、托管和处理发布的个人数据。上述司法管辖区包括新加坡、香港特别行政区、中华人民共和国和美利坚合众国。
       
    5. 处理发布的个人数据的其他细节载于私隐政策。
       
  4. 次级处理者

    IQAX目前在提供服务中使用的次级处理者如下:
    https://content.iqax.com/data-protection-addendum/sub-processor/data-processing-addendum.pdf
     

  5. 技术和组织安全措施
    1. 除下文适用于特定次级处理者的措施之外,以下措施适用于与协议有关的所有发布的个人数据的处理:
    网络安全和加密

    IQAX实施防火墙、内容过滤、网络分割、云安全态势管理、常规漏洞扫描和API管理等网络安全功能。

    IQAX希望通过采取加密、基于角色的访问控制、冗余副本和备份等措施维护和保护发布的个人数据的保密性、完整性和可用性。

    IQAX平台的数据传入和传出采用TLS 1.2等加密方式予以加密。IQAX支持对储存数据的各个系统组件或服务进行硬盘加密。如果服务包括密钥的管理,IQAX维护安全密钥的生成、发布、分发、储存、轮换、撤销、恢复、备份、销毁、访问和使用的程序。

    用于异地储存的物理介质(若有),例如包含备份文件的介质,将在传输之前予以加密。
    访问控制/安全策略

    IQAX实施旨在从逻辑上防止未经授权人员接触或获取服务的措施。

    IQAX对发布的个人数据进行分类,并根据IQAX的访问控制和处理程序管理发布的个人数据。

    如果IQAX需要访问数据以提供服务,并且IQAX管理该等访问,IQAX将把访问权限限制在所需的最低级别。该等访问,包括对基础组件的管理性访问(特许访问),应为个人的、基于角色的,并须经授权的IQAX人员按照职责划分原则批准和常规验证。

    IQAX采取措施,以通过特许访问权限识别并删除冗余和休眠账户,当账户所有者分离时或应授权IQAX人员(如账户所有者的经理)的要求,立即撤销该访问权限。

    IQAX在一段合理的时间内维护系统使用和活动的审核日志。

    IQAX维护并遵循其对所有新员工(包括IQAX全资子公司的员工)的标准就业核查要求。根据IQAX的内部流程和程序,将定期审查上述要求,包括教育和专业资格审查、先前职业、性格推荐、身份验证证明(香港居民身份证、护照号等),以及IQAX认为必要的其他核查。在适用且当地法律允许的情况下,IQAX负责在招聘过程中实施上述要求。

    IQAX维护并遵循IT安全策略和实践,以控制IQAX员工对IT系统的访问。在角色的基础上评估访问请求,并在需要的基础上予以批准。
    物理安全措施

    IQAX使用符合ISO27001标准的物理和环境安全控制的云提供商,定义物理安全边界,并实施物理安全控制,以确保办公室、房间和场所免受外部和环境威胁,并确保上述区域是安全的。

    除了需要通过互联网访问的客户连接和某些服务/网站外,限制接入IQAX云服务网络。

    在本地设备和操作系统功能支持的范围内,IQAX将维护计算机保护,包括端点防火墙、整盘加密、基于签名的恶意软件检测和删除、基于时间的屏幕锁定,以及执行安全配置和修补要求的端点管理解决方案。

    IQAX可使用无线联网技术,包括为服务和相关组件提供维护和支持。这种无线网络通信将被加密,并需要安全认证,并且不提供对IQAX云服务网络的直接访问。
    应用程序安全测试

    IQAX使用行业标准系统进行应用程序代码漏洞评估和测试。
    API安全

    IQAX使用行业标准系统管理、控制和保护其APIs免受网络安全威胁。

    IQAX将为整体服务维护一个文档化的安全架构。IQAX将单独审查安全架构,包括旨在防止未经授权连接到系统、应用程序和网络设备的措施,以便在实施前遵守其网络分割、隔离和纵深防御标准。
    威胁检测和响应

    IQAX使用行业标准系统针对其服务器进行安全漏洞扫描和恶意行为监控、检测、屏蔽和取证。

    IQAX为其在线系统维护适当水平的DDOS保护。

    IQAX维护一份它在提供服务时使用的信息技术系统的清单。IQAX持续监控和管理服务和基础组件的状况,包括容量和可用性。

    IQAX使用多个第三方公共云服务,每个云提供商提供特许访问监控、维护安全信息和事件管理,以:

    1. 识别未经授权的访问;和
    2. 记录访问尝试(包括密码错误的尝试)。

    IQAX监控异常使用情况,例如未经授权的访问,旨在及时并恰当地对此类活动作出回应。

    按照IQAX的政策和程序保留记录特许访问和活动的日志。IQAX采取措施防止未经授权访问、修改以及意外或故意破坏日志。
    修补和更新

    IQAX采取措施,通过针对已知安全漏洞的最新补丁,确保它使用的发布的个人数据处理系统是最新的。

    IQAX维护旨在管理与服务变更应用程序相关的风险策略和程序。在实施前,服务(包括其系统、网络和基础组件)的变更应在内部进行记录,包括记录变更说明和原因、实施细节和计划、说明对服务和IQAX客户的影响的风险声明、预期结果、重新运行计划和授权人员的书面批准。
    业务连续性管理

    IQAX定期进行备份,以确保在发生灾难、恶意软件或勒索软件攻击或网络安全事件时,其系统中最重要的数据可以恢复,系统也可以恢复。
    ISO 27001 合规性

    如果初始合规性认证将于2021年底进行,IQAX保持符合ISO 27001信息安全的最新合规性认证。
    1. 由上文第3.1条所述的次级处理者处理的发布的个人数据应遵守以下技术和组织安全措施: https://content.iqax.com/data-protection-addendum/sub-processor/data-processing-addendum.pdf
       
  6. 主管监管机构

    根据《欧盟标准合同条款》第13条,主管监管机构指:

    1. 数据输出方在其设立所在的欧洲经济区(EEA)成员国所适用的监管机构;
    2. 若数据输出方未在欧洲经济区设立机构,则为数据输出方根据《通用数据保护条例》第27(1)条指定其欧盟代表时,该代表所在地的欧洲经济区成员国适用的监管机构;
    3. 如果数据输出方无义务指定代表,则为与数据传输相关的数据主体所在的欧洲经济区成员国的监管机构;或
    4. 若涉及受英国数据保护法管辖的个人数据处理,则由信息专员办公室负责。
       
  7. 中华人民共和国特定跨境传输

    从中国输出的发布的个人数据可能会提供给以下境外接收方:

    • 名称:和易孚有限公司
      地点:中华人民共和国香港
      联系方式:customerservices@iqax.com
    • 名称:东方海外货柜航运有限公司
      地点:中华人民共和国香港
      联系方式:support@oocl.com