Data Protection Addendum para sa RTB at Programmatic Partners
Last Update: May 29, 2024
Data Protection Addendum para sa RTB at Programmatic Partners
Petsa ng Bisa: Mayo 29, 2024
Upang matiyak na ang Taboola ay may naaangkop na mga tuntunin sa proteksyon ng data sa aming Programmatic at RTB Partners (bawat isa ay isang “Partner”) Ibinigay ng Taboola itong Data Protection Addendum (ang “DPA”).
Ang DPA na ito ay awtomatikong nagdaragdag at bumubuo ng bahagi ng umiiral na kontraktwal na kaayusan sa negosyo sa pagitan ng Partner at Taboola na may kaugnayan sa probisyon ng RTB at mga programang serbisyo (“Pinagbabatayan na Kasunduan“).
Ang lahat ng naka-capitalize na termino na ginamit sa DPA na ito, ngunit hindi tinukoy sa DPA na ito ay magkakaroon ng mga kahulugang ibinigay sa kanila sa Pinagbabatayan na Kasunduan. Kung sakaling magkaroon ng anumang salungatan sa pagitan ng DPA na ito at ng Pinagbabatayan na Kasunduan, ang DPA na ito ay mananaig sa lawak ng salungatan na iyon.
1. Mga Kahulugan
Ang ibig sabihin ng “Mga Naaangkop na Batas sa Proteksyon ng Data” ay anuman at lahat ng naaangkop na pederal, pambansa, estado, o iba pang mga batas sa privacy at proteksyon ng data na maaaring susugan o palitan paminsan-minsan, kasama, kung naaangkop at walang limitasyon, ang CCPA (gaya ng tinukoy sa ibaba), at European Data Protection Laws.
Ang ibig sabihin ng “CCPA” ay ang California Consumer Privacy Act (Cal. Civ. Kodigo §§ 1798.100 – 1798.199), na sinususugan ng California Privacy Rights Act (Cal. Civ. Code §§ 1798.100 – 1798.199).
Ang ibig sabihin ng “Controller” ay isang entity na tumutukoy sa mga layunin at paraan ng pagproseso ng Personal na Impormasyon, at kabilang ang anumang entity na nagpoproseso ng Personal na Impormasyon bilang isang “negosyo” o “third party” sa ilalim ng CCPA at CPRA.
Ang ibig sabihin ng “Data Privacy Framework” o “DPF” ay ang EU-US Data Privacy Framework at ang UK Extension sa EU-US DPF gaya ng itinakda ng US Kagawaran ng Komersiyo.
Ang ibig sabihin ng “European Data Protection Laws” ay ang EU Data Protection Laws at UK Data Protection Laws.
Ang ibig sabihin ng “EU Data Protection Laws” ay: (i) EU Regulation 2016/679 (ang “EU GDPR“); (ii) EU Directive 2002/58/EC; at (iii) ang mga pambansang batas ng bawat estadong miyembro ng EEA na ginawa sa ilalim, alinsunod sa, o nagpapatupad ng (i) o (ii), o kung hindi man ay nauugnay sa pagproseso ng personal na data; sa bawat kaso, bilang susugan o pinapalitan paminsan-minsan.
Ang ibig sabihin ng “Personal na Impormasyon” ay anumang impormasyong nauugnay sa isang kinilala o makikilalang natural na tao, at kabilang ang anumang impormasyong tinukoy bilang “personal na data” o “personal na impormasyon” gaya ng tinukoy sa ilalim ng Mga Naaangkop na Batas sa Proteksyon ng Data.
Ang ibig sabihin ng “Pinahihintulutang Layunin” ay ang real-time na mga layunin sa pag-bid, na nauugnay sa pagbili at pagbebenta ng mga online na advertisement alinsunod sa Pinagbabatayan na Kasunduan, kung saan ibinunyag o kung hindi man ay ginagawang available ng Taboola ang Nakabahaging Data sa Kasosyo para sa pagproseso, tulad ng itinakda sa Annex I.
Ang ibig sabihin ng “Restricted Transfer” ay: (i) kung saan nalalapat ang EU GDPR, isang paglilipat ng personal na data mula sa EEA patungo sa isang bansa sa labas ng EEA na hindi napapailalim sa isang sapat na pagpapasiya ng European Commission (isang “EU Restricted Transfer“); at (ii) kung saan nalalapat ang UK GDPR, isang paglilipat ng personal na data mula sa United Kingdom patungo sa anumang ibang bansa na hindi napapailalim o nakabatay sa kasapatan na mga regulasyon alinsunod sa Seksyon 17A ng United Kingdom Data Protection Act 2018 (isang “UK Restricted Transfer“).
Ang “Insidente sa Seguridad” ay nangangahulugang isang paglabag sa seguridad na humahantong sa hindi sinasadya o labag sa batas na pagkasira, pagkawala, pagbabago, hindi awtorisadong pagbubunyag ng, o pag-access sa, Nakabahaging Data.
Ang “Sell” at “share” ay magkakaroon ng mga kahulugang itinakda sa CCPA at CPRA at ang kanilang mga regulasyon sa pagpapatupad.
Ang ibig sabihin ng “Nakabahaging Data” ay ang mga kategorya ng Personal na Impormasyon na nakalista sa Annex I sa DPA na ito.
Ang ibig sabihin ng “Standard Contractual Clauses” ay: (i) kung saan nalalapat ang EU GDPR, ang mga contractual clause na idinagdag sa European Commission’s Implementing Decision 2021/914 ng 4 June 2021 sa mga standard contractual clause para sa paglilipat ng personal na data sa mga ikatlong bansa alinsunod sa Regulation (EU) 2016/679 of the European Council; at (ii) kung saan nalalapat ang UK GDPR, ang “International Data Transfer Addendum sa EU Commission Standard Contractual Clauses” na ibinigay ng Information Commissioner sa ilalim ng s.119A(1) ng DPA 2018 (“UK Addendum”).
Ang ibig sabihin ng “UK Data Protection Laws” ay: (i) ang EU GDPR dahil ito ay bahagi ng batas ng UK sa bisa ng seksyon 3 ng European Union (Withdrawal) Act 2018 (ang “UK GDPR“); (ii) ang Privacy at Electronic Communications (EC Directive) Regulations 2003; (iii) ang Data Protection Act 2018; at (iv) anumang iba pang batas sa UK na ginawa sa ilalim, alinsunod sa, o nagpapatupad ng (i) o (ii), o kung hindi man ay nauugnay sa pagproseso ng personal na data; sa bawat kaso, bilang susugan o pinapalitan paminsan-minsan.
2. Pagbubunyag ng data
Alinsunod sa pagsunod ng Kasosyo sa Pinagbabatayan na Kasunduan at sa DPA na ito, ibubunyag o kung hindi man ay gagawing available ng Taboola ang Nakabahaging Data sa Kasosyo para sa Kasosyo upang maiproseso nang mahigpit para sa Pinahihintulutang Layunin.
3. Relasyon ng mga partido
Kinikilala ng mga partido na ang Taboola ay isang controller ng Nakabahaging Data na inihahayag nito sa Kasosyo, at ang Kasosyo ay magpoproseso ng Nakabahaging Data bilang isang controller na mahigpit para sa Pinahihintulutang Layunin.
4. Mga Obligasyon sa Kasosyo
Ginagarantiyahan, kinakatawan at ginagawa ng kasosyo na:
(a) Ipoproseso nito sa lahat ng oras ang Nakabahaging Data para lamang sa Pinahihintulutang Layunin at alinsunod sa Mga Naaangkop na Batas sa Proteksyon ng Data;
(b) wala itong dahilan upang maniwala na ang Mga Naaangkop na Batas sa Proteksyon ng Data ay pumipigil dito sa pagtupad sa mga obligasyon nito patungkol sa Pagproseso ng Nakabahaging Data para sa Pinahihintulutang Layunin;
(c) kung matukoy ng Kasosyo na hindi nito magawang Iproseso ang Nakabahaging Data para sa Pinahihintulutang Layunin alinsunod sa Mga Naaangkop na Batas sa Proteksyon ng Data, agad nitong aabisuhan ang Taboola;
(d) dapat itong magpakita at magpanatili sa lahat ng oras ng abiso sa pagkapribado na naa-access ng publiko sa website nito na sumusunod sa mga kinakailangan ng Mga Naaangkop na Batas sa Proteksyon ng Data, at nagbibigay ng mga detalye sa pakikipag-ugnayan kung saan maaaring magtanong ang mga paksa ng data na may kaugnayan sa proteksyon ng data;
(e) ito ay magbibigay-daan sa mga paksa ng data na gamitin ang kanilang mga karapatan sa proteksyon ng data alinsunod sa Mga Naaangkop na Batas sa Proteksyon ng Data, kabilang ang (nang walang limitasyon) ang kanilang karapatang tumutol sa pagproseso ng kanilang Nakabahaging Data;
(f) kaugnay ng anumang pagproseso ng Nakabahaging Data na protektado sa ilalim ng European Data Protection Laws, dapat itong:
(g) iproseso ang Nakabahaging Data lamang kung saan ito ay may pahintulot na gawin ito, na naaayon sa mga kinakailangan ng European Data Protection Laws; at
(h) dapat itong magpatupad ng naaangkop na teknikal at organisasyonal na mga hakbang kabilang ang, sa pinakamababa, ang mga hakbang na itinakda sa Annex II upang protektahan ang Nakabahaging Data mula sa at laban sa isang Insidente sa Seguridad.
5. Makatwiran at Angkop na mga Hakbang
Maaaring magsagawa ng makatwiran at naaangkop na mga hakbang ang Taboola upang matiyak na ipoproseso ng Partner ang Nakabahaging Data alinsunod sa Pinagbabatayan na Kasunduan at ang DPA na ito sa paraang naaayon sa Mga Naaangkop na Batas sa Proteksyon ng Data.
Kung ang Kasosyo ay hindi sumusunod sa Pinagbabatayan na Kasunduan, ang DPA na ito o Mga Naaangkop na Batas sa Proteksyon ng Data, ang Taboola ay nagsasagawa ng mga makatwiran at naaangkop na mga hakbang upang ihinto at ayusin ang hindi awtorisadong paggamit ng Nakabahaging Data (kabilang ang pagsususpinde o pagwawakas sa pagbubunyag ng Nakabahaging Data sa Kasosyo).
6. Pagsunod sa Naaangkop na Batas
Dapat sumunod ang Kasosyo sa Mga Naaangkop na Batas sa Proteksyon ng Data, at dapat magbigay ng parehong antas ng proteksyon sa privacy sa Nakabahaging Data gaya ng hinihiling ng Mga Naaangkop na Batas sa Proteksyon ng Data.
7. Tungkulin ng pagtutulungan
Kung sakaling makatanggap ang alinmang partido ng anumang sulat, pagtatanong o reklamo mula sa isang paksa ng data, regulator o iba pang ikatlong partido (“Korespondensya“) na nauugnay sa (a) pagsisiwalat ng Nakabahaging Data para sa Pinahihintulutang Layunin; o (b) pagpoproseso ng Nakabahaging Data ng kabilang partido, dapat nitong ipaalam kaagad sa kabilang partido na nagbibigay ng buong detalye ng pareho, at ang mga partido ay dapat makipagtulungan nang makatwiran at may mabuting loob upang tumugon sa Korespondensiya alinsunod sa anumang mga kinakailangan sa ilalim ng Naaangkop na Batas sa Proteksyon ng Data.
8. Mga Restricted Transfers mula sa EU at UK
Sa lawak na ang anumang paglilipat ng Nakabahaging Data mula sa Taboola patungo sa Kasosyo ay isang Restricted Transfer, ang mga Standard Contractual Clause ay dapat isama sa DPA na ito at ilalapat bilang sumusunod:
(a) kung saan ang Restricted Transfer ay isang EU Restricted Transfer, ang EU SCCs ay ilalapat sa pagitan ng Taboola (bilang data exporter) at Partner (bilang data importer) tulad ng sumusunod:
(i) Malalapat ang Unang Modyul;
(ii) sa Clause 7, ang opsyonal na Docking Clause ay ilalapat;
(iii) sa Clause 11, hindi ilalapat ang opsyonal na wika;
(iv) sa Clause 17, malalapat ang Opsyon 1, at ang mga EU SCC ay pamamahalaan ng batas ng Ireland;
(v) sa Clause 18(b), ang mga hindi pagkakaunawaan ay dapat lutasin sa harap ng mga korte ng Ireland;
(vi) sa Annex I:
(A) Ang mga Bahagi A at B ay dapat ituring na kumpleto sa impormasyong itinakda sa Annex A sa DPA na ito;
(B) Ang Bahagi C ay dapat ituring na nakumpleto alinsunod sa mga pamantayang itinakda sa Clause 13(a) ng EU SCCs; at
(vii) Ang Annex II ay dapat ituring na kumpleto sa mga hakbang sa seguridad na itinakda sa Annex B sa DPA na ito.
(b) kung saan ang Restricted Transfer ay isang UK Restricted Transfer, ang UK Addendum ay ilalapat sa pagitan ng mga partido gaya ng sumusunod:
(i) ang mga EU SCC, na nakumpleto gaya ng itinakda sa itaas ay dapat ilapat sa pagitan ng mga partido, at dapat baguhin ng UK Addendum (nakumpleto gaya ng itinakda sa sub-clause (ii) sa ibaba); at
(ii) ang mga talahanayan 1 hanggang 3 ng UK Addendum ay dapat ituring na kumpleto na may kaugnay na impormasyon mula sa EU SCCs, na nakumpleto tulad ng itinakda sa itaas, at ang mga opsyon na “Exporter” at “Importer” ay dapat ituring na naka-check sa talahanayan 4. Ang petsa ng pagsisimula ng UK Addendum (gaya ng itinakda sa talahanayan 1) ay ang petsa ng bisa ng DPA na ito.
Hindi gagawa ang kasosyo ng isang pasulong na Restricted Transfer of Shared Data sa isang third party maliban kung nagawa na nito ang lahat ng ganoong pagkilos at mga bagay na kinakailangan upang matiyak na ang Restricted Transfer ay sumusunod sa Naaangkop na Batas sa Proteksyon ng Data at anumang Standard Contractual Clause na isinagawa nito sa Taboola.
Sa kabila ng nasa itaas, kung ang Kasosyo ay na-certify sa ilalim at sumusunod sa DPF, ang mga paglilipat ng Nakabahaging Data sa Kasosyo na ginawa sa ilalim ng DPF ay hindi isang Restricted Transfer. Sa ganoong kaganapan, aabisuhan kaagad ng Partner ang Taboola kung mabigo itong sumunod sa sertipikasyon ng DPF nito o mawawala ang sertipikasyon nito sa DPF o kung hindi man ay hindi wasto, kung saan:
(a) anumang paglilipat ng Nakabahaging Data mula sa Taboola patungo sa Kasosyo ay dapat ituring kaagad na isang Restricted Transfer at ang mga probisyon ng Restricted Transfer sa itaas ay dapat ilapat; at
(b) Maaaring piliin ng Taboola, sa ganap nitong pagpapasya, na suspindihin o wakasan ang mga paglilipat ng Nakabahaging Data sa Kasosyo nang walang parusa.
9. Indemnification
Dapat ipagtanggol ng Kasosyo si Taboola at ang mga direktor, opisyal, empleyado, ahente, at kliyente nito (ang “Taboola Indemnitees“) mula sa at laban sa anuman at lahat ng mga paghahabol, kahilingan, demanda, paglilitis, at aksyon na dinala ng isang third party na may kaugnayan sa paratang na nilabag ng Kasosyo ang DPA na ito o Mga Naaangkop na Batas sa Proteksyon ng Data at dapat magbayad ng danyos sa lahat ng mga gastos, pinsala, at mga gastusin na dapat bayaran (mga pinsala, mga gastos, at mga gastusin) mga bayad sa abogado) na natamo ng Taboola Indemnitees na nagmumula sa o nagreresulta mula sa naturang paghahabol.
10. Miscellaneous
Ang kasosyo ay tanging mananagot para sa sarili nitong pagsunod sa Mga Naaangkop na Batas sa Proteksyon ng Data sa pagproseso nito ng Nakabahaging Data.
Kung sakaling magkaroon ng anumang mga pagbabago sa Mga Naaangkop na Batas sa Proteksyon ng Data, maaaring baguhin at i-update ng Taboola ang DPA na ito kung saan at sa lawak na kinakailangan upang sumunod sa mga naturang pagbabago sa Mga Naaangkop na Batas sa Proteksyon ng Data.
Sa bisa mula sa petsa ng bisa ng DPA na ito, ang mga pagtukoy sa “Kasunduan” sa DPA na ito o ang Pinagbabatayan na Kasunduan ay mangangahulugan ng Pinagbabatayan na Kasunduan bilang dinagdagan ng DPA na ito.
ANNEX I
Paglalarawan ng Pagbabahagi ng Data
A. LISTAHAN NG MGA PARTIDO
| Taboola - Data exporter(s) | |
|---|---|
| Name: | See Taboola’s details set out in the Underlying Agreement. |
| Address: | See Taboola’s details set out in the Underlying Agreement. |
| Contact person’s name, position and contact details: | privacy@taboola.com |
| Activities relevant to the data transferred under these Clauses: | Disclosure of Shared Data for the Permitted Purpose. |
| Signature and date: | This DPA shall automatically be deemed executed upon execution of the Underlying Agreement. |
| Role (controller/processor): | Controller. |
| Partner - Data importer: | |
|---|---|
| Name: | See Partner’s details set out in the Underlying Agreement. |
| Address: | See Partner’s details set out in the Underlying Agreement. |
| Contact person’s name, position and contact details: | See Partner’s details set out in the Underlying Agreement. |
| Activities relevant to the data transferred under these Clauses: | Receipt and processing of Shared Data for the Permitted Purpose. |
| Signature and date: | This DPA shall automatically be deemed executed upon execution of the Underlying Agreement. |
| Role (controller/processor): | Controller. |
B. PAGLALARAWAN NG PAGLIPAT
| Description of Transfer | |
|---|---|
| Categories of data subjects whose personal data is transferred | Visitors to digital properties (such as websites and mobile applications) owned by customers of Taboola and who have integrated Taboola’s advertising technologies on those properties. |
| Categories of personal data transferred | Pre-partnership Integration: Unique User IDs from RTB partners Cookie match / sync / table (either Taboola or Partner can host and the non-hosting party must share data points) Bid request includes: Unique ID of the bid request (provided by the exchange) IMP object representing the impression offered Publisher site or app represented App Device Auction Type Maximum Time Currency Blocked Categories Device ID Taboola User ID Calling Tag Partners: URL |
| Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialised training), keeping a record of access to the data, restrictions for onward transfers or additional security measures | Not applicable. |
| The frequency of the transfer (e.g. whether the data is transferred on a one-off or continuous basis) | Continuous for the duration of the Underlying Agreement. |
| Nature of the processing | Processing of Shared Data by Partner for the purposes of real-time bidding in order to buy and sell advertising inventory on digital properties of Taboola’s customers. |
| Purpose(s) of the data transfer and further processing | Partner processes Shared Data, for the following purposes: Serve personalized and behavioral recommendations. Determine whether to bid on a placement and serve personalized recommendations. |
| The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period | For the duration of the Underlying Agreement and as otherwise required by applicable law. |
| For transfers to (sub-) processors, also specify subject matter, nature and duration of the processing | Not applicable. |
C. KOMPETENTANG AWTORIDAD SA SUPERBISORY
| Competent Supervisory Authority | |
|---|---|
| Competent supervisory authority where the EU GDPR applies | The competent supervisory authority shall be determined in accordance with Clause 13 of Module 1 of the EU Standard Contractual Clauses. |
| Competent supervisory authority where the UK GDPR applies | The Information Commissioner’s Office |
ANNEX II
Mga Panukala sa Seguridad
Paglalarawan ng mga teknikal at organisasyonal na hakbang na ipinatupad ng bawat partido (kabilang ang anumang nauugnay na mga sertipikasyon) upang matiyak ang naaangkop na antas ng seguridad, na isinasaalang-alang ang kalikasan, saklaw, konteksto at layunin ng pagproseso, at ang mga panganib para sa mga karapatan at kalayaan ng mga natural na tao. Kinakatawan at ginagarantiyahan ng kasosyo na mayroon itong naaangkop na mga teknikal at pang-organisasyong hakbang na halos kapareho sa mga hakbang sa seguridad ng Taboola na nakasaad sa ibaba.
Mga sukat ng pseudonymisation at pag-encrypt ng personal na data: Kinokolekta lang ng Taboola ang pseudonymized na data, na nangangahulugang hindi namin alam kung sino ka dahil hindi namin alam o pinoproseso ang pangalan ng user, email address, o iba pang makikilalang data. Kasama sa impormasyon ng user na aming kinokolekta, ngunit hindi limitado sa, impormasyon tungkol sa device at operating system ng isang user, IP address, mga web page na na-access ng mga user sa loob ng mga website ng aming mga customer, ang link na humantong sa isang user sa website ng isang customer, ang mga petsa at oras na ina-access ng isang user ang website ng isang customer at iba pang data sa pagba-browse sa web. Ang CookieID ay hindi nagpapakilala gamit ang Bcrypt at ang IP address ay pinutol.
Mga hakbang para sa pagtiyak ng patuloy na pagiging kumpidensyal, integridad, kakayahang magamit at katatagan ng mga sistema at serbisyo sa pagpoproseso: Gumagamit ang Taboola ng maraming antas ng electronic security (hal: endpoint security, server-side security, detection tracking, periodic penetration test, at deep intelligence gathering para suriin ang mga post-mortem event).
Mga hakbang para sa pagtiyak ng kakayahang ibalik ang kakayahang magamit at pag-access sa personal na data sa isang napapanahong paraan sa kaganapan ng isang pisikal o teknikal na insidente: Ang Taboola ay nagpapanatili ng 9 na data center na tumatakbo sa buong mundo. Ang bawat data center ay ginagamit bilang isang pagtitiklop ng isa’t isa kaya kung ang isa ay bumagsak ang data ay maaaring makuha mula sa ibang data center.
Mga proseso para sa regular na pagsubok, pagtatasa at pagsusuri sa pagiging epektibo ng mga teknikal at pang-organisasyong hakbang upang matiyak ang seguridad ng pagproseso: Ang Taboola ay nagpapanatili ng mahigpit na proseso para sa pagsubok sa mga epektibo ng mga kontrol nito (parehong teknikal at organisasyon). Mayroon kaming system logging at pagsubaybay sa lugar, buwanan (hindi bababa sa) DR testing, quarterly penetration test, Mga Firewall na nagpoprotekta sa web at mga honeypot na kumalat sa network upang mahanap ang anumang nakakahamak na aktibidad. Bukod dito, mayroon kaming bounty program na nakalagay na tumutulong sa aming patuloy na subaybayan ang aming network.
Mga hakbang para sa pagkakakilanlan at awtorisasyon ng user: Ang bawat user sa Taboola ay nauugnay sa isang nakalaang username at password. Ang bawat pag-access sa panloob na network ng Taboola ay ginagawa gamit ang 2FA gamit ang Google authentication. Ang mga gumagamit ay nilikha lamang ng departamento ng IT, sa panahon ng proseso ng onboarding at pagkatapos lamang matanggap ang lahat ng mga detalye at pinirmahang kontrata mula sa departamento ng HR.
Mga hakbang para sa proteksyon ng data sa panahon ng paghahatid: Sinusuportahan ng Taboola ang anumang paghahatid ng data sa pamamagitan ng mga secure na protocol ng paghahatid (HTTPS at TLS v1.2 sa pinakamababa). Higit pa rito, ang mga system na maaaring naglalaman ng PII ay sini-secure at ang data ay pinananatiling na-hash at hindi nagpapakilala.
Mga hakbang para sa proteksyon ng data sa panahon ng pag-iimbak: Ang data na naka-imbak sa loob ng aming mga database ay hindi nagpapakilala at na-hash gamit ang Bcrypt. Ang pag-access sa DB ay pinaliit at batay sa prinsipyo ng ‘negosyo na kailangang malaman’.
Mga hakbang para sa pagtiyak ng pisikal na seguridad ng mga lokasyon kung saan pinoproseso ang personal na data: Ang bawat isa sa mga pandaigdigang data center ng Taboola (sa US, Europe, at Asia), ay mayroong lahat ng mga server nito na matatagpuan sa mga naka-lock na cabinet na pinananatili ng eksklusibo para sa paggamit ni Taboola. Ang mga cabinet na ito ay pinananatili ng mga kumpanyang alinman sa SOC2-certified o nirepaso ni Taboola ang kanilang mga hakbang sa seguridad. Dagdag pa, ang anumang pag-access sa mga server ay nangangailangan ng nakasulat, naka-log na pahintulot. Ang lahat ng mga opisina ng Taboola ay kinokontrol din, at hinihiling sa mga empleyado na gumamit ng mga access card upang makapasok. Higit pa rito, limitadong bilang lamang ng mga empleyado ang may access sa mga server ng Taboola at ang anumang pag-access ay nangangailangan din ng nakasulat at naka-log na pahintulot.
Mga hakbang para matiyak ang pag-log ng mga kaganapan: Ang Taboola ay nagpapatupad ng mga tool sa pagsubaybay at ang mga log ay natipon sa aming SIEM system na nag-aalerto sa amin sa anumang kahina-hinalang kaganapan at sinusubaybayan din ng NOC team.
Mga hakbang para matiyak ang configuration ng system, kabilang ang default na configuration: Ang mga server ay ini-scan para sa parehong configuration drift at patch level. Ang pag-uulat at/o pag-alerto ay nakatakda sa pareho at nakumpirma ang nauugnay na antas ng patch. Ang mga bagong patch ay ipinamamahagi gamit ang Puppet. Ang lahat ng mga teknikal na pagsusuri ay pinamamahalaan sa pamamagitan ng R&D application at nakuha sa pamamagitan ng isang pormal na proseso ng pagsusuri (QA) pagkatapos na ipatupad din ang mga proseso ng coding at CI/CD.
Mga hakbang para sa panloob na pamamahala at pamamahala sa seguridad ng IT at IT: Ang Taboola ay ISO/IEC 27001:2013 at ISO/IEC 27701:2019 certified. Ang Taboola ay mayroong Patakaran sa Seguridad ng Impormasyon na nakalagay na nagsasaad na ang Lupon ng mga Direktor at pamamahala ng Taboola ay nakatuon sa pangangalaga sa pagiging kompidensiyal, integridad at pagkakaroon ng lahat ng pisikal at elektronikong impormasyon na mga asset sa kanilang organisasyon. Ang Taboola ay nagtataglay ng mga pagsasanay sa seguridad para sa lahat ng bagong empleyado, mga pagsasanay sa phishing para sa lahat ng empleyado sa buong mundo, at mga regular na pagsasanay sa seguridad para sa lahat ng empleyado at naglalaan din ng mga sesyon para sa mga pangkat ng R&D.
Mga hakbang para sa sertipikasyon/pagtitiyak ng mga proseso at produkto: Quarterly / Semi-taon / taunang panloob na pag-audit sa maraming proseso at sistema upang patunayan na ang Taboola ay sumusunod sa mga layunin at hakbang sa seguridad na tinukoy.
Mga hakbang para matiyak ang pagliit ng data: Sinadyang nililimitahan ng Taboola ang data na kinokolekta namin bilang bahagi ng mga prinsipyo ng pagliit ng data sa pandaigdigang data ng Taboola sa pagproseso lamang ng limitadong data na kailangan para sa aming mga partikular na layunin ng negosyo. Higit pa rito, ang Taboola ay walang kakayahan, o anumang pangangailangan sa negosyo, na “reverse engineer” ang alinman sa mga punto ng data na ginamit sa aming algorithm upang maibigay ang aming mga serbisyo. Higit na partikular, ang mga punto ng data na kinokolekta ni Taboola ay hindi kailanman nagpapahiwatig ng pagkakakilanlan ng isang user — dahil ang Taboola ay hindi nangongolekta o nagpoproseso ng impormasyon tulad ng pangalan ng user, numero ng telepono, email, o mga pisikal na address. Sa halip, kumukolekta lang si Taboola ng mga pseudonymous na identifier, na tumutukoy lang sa mga katangian tungkol sa device ng isang user. Kabilang dito ang mga IP address (na pinutol sa pagkolekta at maaari lamang tukuyin ang pangkalahatang lokasyon ng zip code ng device, ngunit hindi kailanman isang tumpak na geolocation) at, sa ilang limitadong pagkakataon, na-hash ang mga email address (na likas na hindi maibabalik at hindi ma-decrypt upang ipakita ang orihinal na email address). Higit pa rito, kahit na ginamit nang sama-sama, ang data na kinokolekta namin ay hindi kailanman makakapagbigay ng pangalan, numero ng telepono, email, o pisikal na address ng isang indibidwal, at ang aming mga inhinyero ay hindi gumagana sa anumang paraan upang maisakatuparan ang layuning ito. Bukod pa rito, gumagawa at nagtatala ang Taboola ng mga pagtatasa ng epekto sa privacy sa pagsisikap na mabawasan ang mga panganib sa privacy ng aming mga serbisyo, proseso, at patakaran.
Mga hakbang para matiyak ang kalidad ng data: Direktang kinokolekta ang data mula sa user at binibigyan ang user ng pagkakataong itama ang anumang data na nauugnay sa kanilang CookieID sa pamamagitan ng Taboola Subject Access Request Portal: https://accessrequest.taboola.com/access
Mga hakbang para sa pagtiyak ng limitadong pagpapanatili ng data: Pinapanatili namin ang impormasyon ng user, na direktang kinokolekta para sa mga layunin ng paghahatid ng mga ad, nang hindi hihigit sa labintatlo (13) buwan mula sa huling pakikipag-ugnayan ng user sa aming mga serbisyo (kadalasan para sa mas maikling panahon), pagkatapos nito ay inaalis namin ang pagkakakilanlan ng data sa pamamagitan ng pag-alis ng mga natatanging identifier o pagsasama-sama ng data. Awtomatikong ginagawa ang prosesong ito.
Mga hakbang para matiyak ang pananagutan: Gumagawa ang Taboola ng maraming pag-audit sa seguridad at pagsubok sa pagtagos (ngunit hindi para sa lahat ng system). Gumagamit din ang Taboola ng mga cloud provider na ISO-certified at sumusunod sa iba pang cloud-relevant certification para sa pagpapanatili ng mga pisikal na pananggalang ng server.
Mga hakbang para payagan ang data portability at pagtiyak na mabura: Ang bawal na nauugnay sa pagtatapon ng media ay pareho para sa lahat ng uri ng media dahil maaaring naglalaman ito ng PII. Ang anumang media ay dapat na ganap na punasan bago muling gamitin o itapon. Ang anumang pagtatapon ng media ay dokumentado. Ang mga empleyado ay inutusan na huwag mag-print ng anumang papel na maaaring naglalaman ng personal na impormasyon.