Data Protection Addendum para sa RTB at Programmatic Partners
Last Update: May 29, 2024
Data Protection Addendum para sa RTB at Programmatic Partners
Petsa ng Pagkakabisa: Mayo 29, 2024
Upang matiyak na ang Taboola ay may angkop na mga termino sa proteksyon ng data kasama ang aming mga Programmatic at RTB Partners (bawat isa ay isang “Partner”) nagbibigay ang Taboola ng Data Protection Addendum na ito (ang “DPA”).
Ang DPA na ito ay awtomatikong nagdadagdag at bumubuo ng bahagi ng umiiral na kontraktwal na kasunduan sa negosyo sa pagitan ng Partner at Taboola na may kaugnayan sa pagbibigay ng mga serbisyo ng RTB at programmatic (“Underlying Agreement”).
Lahat ng mga terminong may malaking titik na ginamit sa DPA na ito, ngunit hindi tinukoy sa DPA na ito ay magkakaroon ng mga kahulugan na ibinigay sa kanila sa Underlying Agreement. Sa kaganapan ng anumang salungatan sa pagitan ng DPA na ito at ng Underlying Agreement, ang DPA na ito ang mananaig sa lawak ng salungatan na iyon.
1. Mga Kahulugan
“Mga Nalalapat na Batas sa Proteksyon ng Datos” ay nangangahulugang anumang at lahat ng mga nalalapat na pederal, pambansa, estado, o iba pang mga batas sa privacy at proteksyon ng datos na maaaring amyendahan o palitan mula sa oras-oras, kabilang, kung naaangkop at walang limitasyon, ang CCPA (tulad ng tinukoy sa ibaba), at mga Batas sa Proteksyon ng Datos ng Europa.
“CCPA” ay nangangahulugang ang California Consumer Privacy Act (Cal. Civ. Code §§ 1798.100 – 1798.199), na inamyendahan ng California Privacy Rights Act (Cal. Civ. Code §§ 1798.100 – 1798.199).
“Tagapamahala” ay nangangahulugang isang entidad na nagtatakda ng mga layunin at paraan ng pagproseso ng Personal na Impormasyon, at kasama ang anumang entidad na nagpoproseso ng Personal na Impormasyon bilang isang “negosyo” o “ikatlong partido” sa ilalim ng CCPA at CPRA.
“Balangkas ng Privacy ng Datos” o “DPF” ay nangangahulugang ang EU-U.S. Balangkas ng Privacy ng Datos at ang UK Extension sa EU-U.S. DPF ayon sa itinakda ng U.S. Kagawaran ng Kalakalan.
“Mga Batas sa Proteksyon ng Datos ng Europa” ay nangangahulugang mga Batas sa Proteksyon ng Datos ng EU at mga Batas sa Proteksyon ng Datos ng UK.
“Mga Batas sa Proteksyon ng Datos ng EU” ay nangangahulugang: (i) EU Regulation 2016/679 (ang “EU GDPR“); (ii) EU Directive 2002/58/EC; at (iii) ang mga pambansang batas ng bawat estado ng EEA na ginawa sa ilalim, ayon sa, o na nagpatupad ng (i) o (ii), o na kung hindi man ay may kaugnayan sa pagproseso ng personal na datos; sa bawat kaso, ayon sa mga pagbabago o pagpapalit mula sa oras-oras.
“Personal na Impormasyon” ay nangangahulugang anumang impormasyon na may kaugnayan sa isang natukoy o natutukoy na likas na tao, at kasama ang anumang impormasyon na tinukoy bilang “personal na datos” o “personal na impormasyon” ayon sa tinukoy sa Mga Nalalapat na Batas sa Proteksyon ng Datos.
“Pinahintulutang Layunin” ay nangangahulugang ang mga layunin ng real-time bidding, na may kaugnayan sa pagbili at pagbebenta ng mga online na patalastas alinsunod sa Underlying Agreement, kung saan ang Taboola ay nagbubunyag o kung hindi man ay ginagawang magagamit ang Shared Data sa Partner para sa pagproseso, ayon sa nakalakip na Annex I.
“Limitadong Paglipat” ay nangangahulugang: (i) kung saan ang EU GDPR ay nalalapat, isang paglipat ng personal na datos mula sa EEA patungo sa isang bansa sa labas ng EEA na hindi napapailalim sa isang pagtukoy ng sapat na antas ng proteksyon ng European Commission (isang “Limitadong Paglipat ng EU“); at (ii) kung saan ang UK GDPR ay nalalapat, isang paglipat ng personal na datos mula sa United Kingdom patungo sa anumang ibang bansa na hindi napapailalim o batay sa mga regulasyon ng sapat na antas alinsunod sa Seksyon 17A ng United Kingdom Data Protection Act 2018 (isang “Limitadong Paglipat ng UK“).
“Insidente ng Seguridad” ay nangangahulugang isang paglabag sa seguridad na nagreresulta sa aksidenteng o labag sa batas na pagkawasak, pagkawala, pagbabago, hindi awtorisadong pagbubunyag ng, o pag-access sa, Shared Data.
“Magbenta” at “ibahagi” ay magkakaroon ng mga kahulugan na itinakda sa CCPA at CPRA at kanilang mga regulasyon sa pagpapatupad.
“Shared Data” ay nangangahulugang ang mga kategorya ng Personal na Impormasyon na nakalista sa Annex I ng DPA na ito.
“Standard Contractual Clauses” ay nangangahulugang: (i) kung saan ang EU GDPR ay nalalapat, ang mga kontraktwal na mga probisyon na nakalakip sa Implementing Decision 2021/914 ng European Commission noong 4 Hunyo 2021 sa mga standard contractual clauses para sa paglipat ng personal na datos sa mga ikatlong bansa alinsunod sa Regulation (EU) 2016/679 ng European Parliament at ng Konseho (“EU SCCs”); at (ii) kung saan ang UK GDPR ay nalalapat, ang “International Data Transfer Addendum to the EU Commission Standard Contractual Clauses” na inilabas ng Information Commissioner sa ilalim ng s.119A(1) ng DPA 2018 (“UK Addendum”).
“Mga Batas sa Proteksyon ng Datos ng UK” ay nangangahulugang: (i) ang EU GDPR habang ito ay bahagi ng batas ng UK sa pamamagitan ng seksyon 3 ng European Union (Withdrawal) Act 2018 (ang “UK GDPR“); (ii) ang Privacy and Electronic Communications (EC Directive) Regulations 2003; (iii) ang Data Protection Act 2018; at (iv) anumang iba pang mga batas sa UK na ginawa sa ilalim, ayon sa, o na nagpatupad ng (i) o (ii), o na kung hindi man ay may kaugnayan sa pagproseso ng personal na datos; sa bawat kaso, ayon sa mga pagbabago o pagpapalit mula sa oras-oras.
2. Pagbubunyag ng datos
Bilang pagsunod sa pagsunod ng Partner sa Underlying Agreement at sa DPA na ito, ang Taboola ay magbubunyag o kung hindi man ay gagawing magagamit ang Shared Data sa Partner para sa Partner na iproseso nang mahigpit para sa Pinahintulutang Layunin.
3. Relasyon ng mga partido
Kinilala ng mga partido na ang Taboola ay isang tagapamahala ng Shared Data na isiniwalat nito sa Partner, at ang Partner ay magpoproseso ng Shared Data bilang isang tagapamahala para sa Pinahihintulutang Layunin.
4. Mga Obligasyon ng Partner
Tinitiyak, kinakatawan at pinapangako ng Partner na:
(a) ito ay magpoproseso ng Shared Data para sa Pinahihintulutang Layunin at alinsunod sa Mga Nalalapat na Batas sa Proteksyon ng Data;
(b) wala itong dahilan upang maniwala na ang Mga Nalalapat na Batas sa Proteksyon ng Data ay pumipigil dito sa pagtupad ng mga obligasyon nito kaugnay ng Pagpoproseso ng Shared Data para sa Pinahihintulutang Layunin;
(c) kung matutukoy ng Partner na hindi ito makakapagproseso ng Shared Data para sa Pinahihintulutang Layunin alinsunod sa Mga Nalalapat na Batas sa Proteksyon ng Data, agad nitong ipapaalam sa Taboola;
(d) ito ay dapat palaging magpakita at magpanatili ng isang pampublikong-accessible na privacy notice sa kanyang website na sumusunod sa mga kinakailangan ng Mga Nalalapat na Batas sa Proteksyon ng Data, at nagbibigay ng mga detalye ng contact kung saan maaaring magtanong ang mga data subjects kaugnay ng proteksyon ng data;
(e) ito ay dapat payagan ang mga data subjects na gamitin ang kanilang mga karapatan sa proteksyon ng data alinsunod sa Mga Nalalapat na Batas sa Proteksyon ng Data, kabilang ang (nang walang limitasyon) ang kanilang karapatan na tumutol sa pagpoproseso ng kanilang Shared Data;
(f) kaugnay ng anumang pagpoproseso ng Shared Data na protektado sa ilalim ng Mga Batas sa Proteksyon ng Data ng Europa, ito ay dapat:
(g) magproseso ng Shared Data lamang kung mayroon itong pahintulot na gawin ito, alinsunod sa mga kinakailangan ng Mga Batas sa Proteksyon ng Data ng Europa; at
(h) ito ay dapat magpatupad ng angkop na teknikal at organisasyonal na mga hakbang kabilang, sa pinakamababa, ang mga hakbang na nakasaad sa Annex II upang protektahan ang Shared Data mula at laban sa isang Security Incident.
5. Makatuwiran at Angkop na Hakbang
Maaaring gumawa ang Taboola ng makatuwiran at angkop na mga hakbang upang matiyak na ang Partner ay nagpoproseso ng Shared Data alinsunod sa Underlying Agreement at sa DPA na ito sa paraang naaayon sa Mga Nalalapat na Batas sa Proteksyon ng Data.
Kung ang Partner ay hindi sumusunod sa Underlying Agreement, sa DPA na ito o sa Mga Nalalapat na Batas sa Proteksyon ng Data, ang Taboola ay maaaring gumawa ng makatuwiran at angkop na mga hakbang upang itigil at ayusin ang hindi awtorisadong paggamit ng Shared Data (kabilang ang suspensyon o pagtigil ng pagsisiwalat ng Shared Data sa Partner).
6. Pagsunod sa Mga Nalalapat na Batas
Dapat sumunod ang Partner sa Mga Nalalapat na Batas sa Proteksyon ng Data, at dapat magbigay ng parehong antas ng proteksyon sa privacy sa Shared Data gaya ng kinakailangan ng Mga Nalalapat na Batas sa Proteksyon ng Data.
7. Tungkulin ng pakikipagtulungan
Sa kaganapan na ang alinmang partido ay makatanggap ng anumang sulat, pagtatanong o reklamo mula sa isang data subject, regulator o ibang ikatlong partido (“Correspondence“) na may kaugnayan sa (a) ang pagsisiwalat ng Shared Data para sa Pinahihintulutang Layunin; o (b) pagpoproseso ng Shared Data ng ibang partido, agad nitong ipapaalam sa ibang partido na nagbibigay ng buong detalye ng parehong, at ang mga partido ay dapat makipagtulungan nang makatuwiran at sa mabuting pananampalataya upang tumugon sa Correspondence alinsunod sa anumang mga kinakailangan sa ilalim ng Mga Nalalapat na Batas sa Proteksyon ng Data.
8. Mga Restriksyong Paglipat mula sa EU at UK
Sa lawak na ang anumang paglilipat ng Shared Data mula sa Taboola patungo sa Partner ay isang Restricted Transfer, ang Standard Contractual Clauses ay isasama sa DPA na ito at ilalapat bilang mga sumusunod:
(a) kung ang Restricted Transfer ay isang EU Restricted Transfer, ang EU SCCs ay ilalapat sa pagitan ng Taboola (bilang ang data exporter) at Partner (bilang ang data importer) bilang mga sumusunod:
(i) Ang Module One ay ilalapat;
(ii) sa Clause 7, ang opsyonal na docking Clause ay ilalapat;
(iii) sa Clause 11, ang opsyonal na wika ay hindi ilalapat;
(iv) sa Clause 17, ang Option 1 ay ilalapat, at ang EU SCCs ay pamamahalaan ng batas ng Ireland;
(v) sa Clause 18(b), ang mga hindi pagkakaunawaan ay dapat lutasin sa harap ng mga hukuman ng Ireland;
(vi) sa Annex I:
(A) Ang Mga Bahagi A at B ay ituturing na nakumpleto gamit ang impormasyong nakasaad sa Annex A ng DPA na ito;
(B) Ang Bahagi C ay ituturing na nakumpleto alinsunod sa mga pamantayan na nakasaad sa Clause 13(a) ng EU SCCs; at
(vii) Ang Annex II ay ituturing na nakumpleto gamit ang mga hakbang sa seguridad na nakasaad sa Annex B ng DPA na ito.
(b) kung ang Restricted Transfer ay isang UK Restricted Transfer, ang UK Addendum ay ilalapat sa pagitan ng mga partido bilang mga sumusunod:
(i) ang EU SCCs, na nakumpleto gaya ng nakasaad sa itaas ay ilalapat sa pagitan ng mga partido, at dapat baguhin ng UK Addendum (na nakumpleto gaya ng nakasaad sa sub-clause (ii) sa ibaba); at
(ii) ang mga talahanayan 1 hanggang 3 ng UK Addendum ay ituturing na nakumpleto gamit ang kaugnay na impormasyon mula sa EU SCCs, na nakumpleto gaya ng nakasaad sa itaas, at ang mga opsyon na “Exporter” at “Importer” ay ituturing na naka-check sa talahanayan 4. Ang petsa ng pagsisimula ng UK Addendum (gaya ng nakasaad sa talahanayan 1) ay magiging epektibong petsa ng DPA na ito.
Ang Partner ay hindi gagawa ng karagdagang Restricted Transfer ng Shared Data sa isang ikatlong partido maliban kung nagawa nito ang lahat ng mga hakbang at bagay na kinakailangan upang matiyak na ang Restricted Transfer ay sumusunod sa Nalalapat na Batas sa Proteksyon ng Data at anumang Standard Contractual Clauses na nilagdaan nito sa Taboola.
Sa kabila ng nabanggit, kung ang Partner ay sertipikado sa ilalim ng DPF at sumusunod dito, ang mga paglilipat ng Shared Data sa Partner na ginawa sa ilalim ng DPF ay hindi magiging isang Restricted Transfer. Sa ganitong pagkakataon, agad na ipapaalam ng Partner sa Taboola kung hindi ito sumusunod sa sertipikasyon ng DPF nito o kung ang sertipikasyon ng DPF nito ay nag-expire o kung ito ay iba pang hindi wasto, sa kung aling pagkakataon:
(a) anumang paglilipat ng Shared Data mula sa Taboola patungo sa Partner ay agad na ituturing na isang Restricted Transfer at ang mga probisyon ng Restricted Transfer sa itaas ay ilalapat; at
(b) ang Taboola ay maaaring, sa ganap na pagpapasya nito, pumili na suspindihin o wakasan ang mga paglilipat ng Shared Data sa Partner nang walang parusa.
9. Indemnification
Ang Partner ay dapat ipagtanggol ang Taboola at ang mga direktor, opisyal, empleyado, ahente, at kliyente nito (ang “Taboola Indemnitees”) mula at laban sa anumang at lahat ng mga paghahabol, kahilingan, demanda, proseso, at aksyon na isinampa ng isang ikatlong partido na may kaugnayan sa isang alegasyon na nilabag ng Partner ang DPA na ito o ang Mga Nalalapat na Batas sa Proteksyon ng Datos at dapat bayaran ang Taboola Indemnities para sa lahat ng pinsala, pagkalugi, gastos, at mga bayarin (kabilang ang makatwirang bayarin ng mga abogado) na natamo ng Taboola Indemnitees na nagmumula sa o resulta ng ganitong paghahabol.
10. Miscellaneous
Ang Partner ay tanging responsable para sa sariling pagsunod nito sa Mga Nalalapat na Batas sa Proteksyon ng Datos sa pagproseso nito ng Shared Data.
Sa kaganapan ng anumang mga pagbabago sa Mga Nalalapat na Batas sa Proteksyon ng Datos, maaaring baguhin at i-update ng Taboola ang DPA na ito kung saan at sa lawak na kinakailangan upang sumunod sa mga ganitong pagbabago sa Mga Nalalapat na Batas sa Proteksyon ng Datos.
Mula sa petsa ng bisa ng DPA na ito, ang mga sanggunian sa “Kasunduan” sa DPA na ito o sa Underlying Agreement ay nangangahulugang ang Underlying Agreement na pinatibay ng DPA na ito.
ANNEX I
Paglalarawan ng Pagbabahagi ng Datos
A. LISTAHAN NG MGA PARTIDO
| Taboola - Data exporter(s) | |
|---|---|
| Name: | See Taboola’s details set out in the Underlying Agreement. |
| Address: | See Taboola’s details set out in the Underlying Agreement. |
| Contact person’s name, position and contact details: | privacy@taboola.com |
| Activities relevant to the data transferred under these Clauses: | Disclosure of Shared Data for the Permitted Purpose. |
| Signature and date: | This DPA shall automatically be deemed executed upon execution of the Underlying Agreement. |
| Role (controller/processor): | Controller. |
| Partner - Data importer: | |
|---|---|
| Name: | See Partner’s details set out in the Underlying Agreement. |
| Address: | See Partner’s details set out in the Underlying Agreement. |
| Contact person’s name, position and contact details: | See Partner’s details set out in the Underlying Agreement. |
| Activities relevant to the data transferred under these Clauses: | Receipt and processing of Shared Data for the Permitted Purpose. |
| Signature and date: | This DPA shall automatically be deemed executed upon execution of the Underlying Agreement. |
| Role (controller/processor): | Controller. |
B. DESCRIPTION OF TRANSFER
| Description of Transfer | |
|---|---|
| Categories of data subjects whose personal data is transferred | Visitors to digital properties (such as websites and mobile applications) owned by customers of Taboola and who have integrated Taboola’s advertising technologies on those properties. |
| Categories of personal data transferred | Pre-partnership Integration: Unique User IDs from RTB partners Cookie match / sync / table (either Taboola or Partner can host and the non-hosting party must share data points) Bid request includes: Unique ID of the bid request (provided by the exchange) IMP object representing the impression offered Publisher site or app represented App Device Auction Type Maximum Time Currency Blocked Categories Device ID Taboola User ID Calling Tag Partners: URL |
| Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialised training), keeping a record of access to the data, restrictions for onward transfers or additional security measures | Not applicable. |
| The frequency of the transfer (e.g. whether the data is transferred on a one-off or continuous basis) | Continuous for the duration of the Underlying Agreement. |
| Nature of the processing | Processing of Shared Data by Partner for the purposes of real-time bidding in order to buy and sell advertising inventory on digital properties of Taboola’s customers. |
| Purpose(s) of the data transfer and further processing | Partner processes Shared Data, for the following purposes: Serve personalized and behavioral recommendations. Determine whether to bid on a placement and serve personalized recommendations. |
| The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period | For the duration of the Underlying Agreement and as otherwise required by applicable law. |
| For transfers to (sub-) processors, also specify subject matter, nature and duration of the processing | Not applicable. |
C. KAPANI-PANIWALANG AWTORIDAD NA NAGMAMANDO
| Competent Supervisory Authority | |
|---|---|
| Competent supervisory authority where the EU GDPR applies | The competent supervisory authority shall be determined in accordance with Clause 13 of Module 1 of the EU Standard Contractual Clauses. |
| Competent supervisory authority where the UK GDPR applies | The Information Commissioner’s Office |
ANNEX II
Mga Hakbang sa Seguridad
Paglalarawan ng mga teknikal at organisasyonal na hakbang na ipinatupad ng bawat partido (kabilang ang anumang kaugnay na sertipikasyon) upang matiyak ang angkop na antas ng seguridad, isinasaalang-alang ang kalikasan, saklaw, konteksto at layunin ng pagproseso, at ang mga panganib para sa mga karapatan at kalayaan ng mga natural na tao. Ang Partner ay kumakatawan at naggarantiya na mayroon itong angkop na teknikal at organisasyonal na hakbang na katulad ng mga hakbang sa seguridad ng Taboola na nakasaad sa ibaba.
Mga Hakbang ng pseudonymisation at encryption ng personal na data: Ang Taboola ay nangangalap lamang ng pseudonymized na data, na nangangahulugang hindi namin alam kung sino ka dahil hindi namin alam o pinoproseso ang pangalan ng gumagamit, email address, o iba pang makikilalang data. Ang impormasyon ng gumagamit na aming kinokolekta ay kinabibilangan, ngunit hindi limitado sa, impormasyon tungkol sa device at operating system ng isang gumagamit, IP address, ang mga web page na na-access ng mga gumagamit sa loob ng mga website ng aming mga customer, ang link na nagdala sa isang gumagamit sa website ng isang customer, ang mga petsa at oras na na-access ng isang gumagamit ang website ng mga customer at iba pang data sa pag-browse sa web. Ang CookieID ay anonymized gamit ang Bcrypt at ang IP address ay truncated.
Mga Hakbang para sa pagtitiyak ng patuloy na pagiging kompidensyal, integridad, availability at katatagan ng mga sistema at serbisyo ng pagproseso: Gumagamit ang Taboola ng maraming antas ng elektronikong seguridad (hal: seguridad sa endpoint, seguridad sa server-side, pagsubaybay sa detections, pana-panahong penetration tests, at malalim na pangangalap ng intelihensiya upang suriin ang mga kaganapan pagkatapos ng insidente).
Mga Hakbang para sa pagtitiyak ng kakayahang ibalik ang availability at access sa personal na data sa isang napapanahong paraan sa kaganapan ng isang pisikal o teknikal na insidente: Ang Taboola ay nagpapanatili ng 9 na data center na tumatakbo sa buong mundo. Ang bawat data center ay ginagamit bilang isang replika ng isa’t isa kaya kung ang isa ay bumagsak, ang data ay maaaring kunin mula sa ibang data center.
Mga proseso para sa regular na pagsubok, pagsusuri at pagtatasa ng bisa ng mga teknikal at organisasyonal na hakbang upang matiyak ang seguridad ng pagproseso: Ang Taboola ay nagpapanatili ng mahigpit na mga proseso para sa pagsubok ng bisa ng mga kontrol nito (parehong teknikal at organisasyonal). Mayroon kaming sistema ng pag-log at pagmamanman, buwanang (sa pinakababa) na pagsubok sa DR, quarterly na penetration tests, mga firewall na nagpoprotekta sa web at mga honeypot na nakakalat sa buong network upang makahanap ng anumang mapanlinlang na aktibidad. Bukod dito, mayroon kaming programa ng bounty na tumutulong sa amin na patuloy na subaybayan ang aming network.
Mga hakbang para sa pagkilala at awtorisasyon ng gumagamit: Bawat gumagamit sa Taboola ay nauugnay sa isang nakalaang username at password. Bawat pag-access sa panloob na network ng Taboola ay ginagawa gamit ang 2FA gamit ang Google authentication. Ang mga gumagamit ay nilikha lamang ng departamento ng IT, sa panahon ng onboarding process at tanging pagkatapos matanggap ang lahat ng detalye at nakapirma na kontrata mula sa departamento ng HR.
Mga hakbang para sa proteksyon ng data sa panahon ng transmisyon: Sinusuportahan ng Taboola ang anumang transmisyon ng data sa pamamagitan ng mga secure na protocol ng transmisyon (HTTPS at TLS v1.2 sa pinakamababa). Bukod dito, ang mga sistema na maaaring naglalaman ng PII ay secured at ang data ay pinanatiling hashed at anonymized.
Mga hakbang para sa proteksyon ng data sa panahon ng imbakan: Ang data na nakaimbak sa aming mga database ay anonymized at hashed gamit ang Bcrypt. Ang pag-access sa DB ay minimized at batay sa prinsipyo ng ‘business need to know’.
Mga hakbang para sa pagtitiyak ng pisikal na seguridad ng mga lokasyon kung saan pinoproseso ang personal na data: Bawat isa sa mga global data center ng Taboola (sa US, Europe, at Asia), ay may lahat ng mga server na matatagpuan sa mga nakalakip na cabinet na pinananatili eksklusibo para sa paggamit ng Taboola. Ang mga cabinet na ito ay pinananatili ng mga kumpanya na alinman ay SOC2-certified o ang Taboola ay nirepaso ang kanilang mga hakbang sa seguridad. Dagdag pa, ang anumang pag-access sa mga server ay nangangailangan ng nakasulat, nakalog na pahintulot. Ang lahat ng mga opisina ng Taboola ay kontrolado din, at nangangailangan ng mga empleyado na gumamit ng mga access card upang makapasok. Bilang karagdagan, tanging isang limitadong bilang ng mga empleyado ang may access sa mga server ng Taboola at ang anumang access ay nangangailangan din ng nakasulat, nakarehistrong pahintulot.
Mga hakbang para sa pagtiyak ng pag-log ng mga kaganapan: Nagpapatupad ang Taboola ng mga tool sa pagmamanman at ang mga log ay kinokolekta sa aming sistema ng SIEM na nag-aalerto sa amin sa anumang kahina-hinalang kaganapan at sinusubaybayan din ng koponan ng NOC.
Mga hakbang para sa pagtiyak ng configuration ng sistema, kabilang ang default na configuration: Ang mga server ay sinisiyasat para sa parehong paglihis ng configuration at antas ng patch. Ang pag-uulat at/o pag-aalerto ay nakatakda sa parehong at ang kaugnay na antas ng patch ay nakumpirma. Ang mga bagong patch ay ipinamamahagi gamit ang Puppet. Ang lahat ng teknikal na pagsusuri ay pinamamahalaan sa pamamagitan ng aplikasyon ng R&D at nakuha sa pamamagitan ng isang pormal na proseso ng pagsusuri (QA) pagkatapos ng coding at ang mga proseso ng CI/CD ay naipatupad din.
Mga hakbang para sa pamamahala at pamamahala ng internal na IT at IT security: Ang Taboola ay sertipikado ng ISO/IEC 27001:2013 at ISO/IEC 27701:2019. Mayroong patakaran sa Seguridad ng Impormasyon ang Taboola na nagsasaad na ang Lupon ng mga Direktor at pamunuan ng Taboola ay nakatuon sa pagpapanatili ng pagiging kompidensyal, integridad at pagkakaroon ng lahat ng pisikal at elektronikong impormasyon sa buong kanilang organisasyon. Nagsasagawa ang Taboola ng mga pagsasanay sa seguridad para sa lahat ng bagong empleyado, mga pagsasanay sa phishing para sa lahat ng empleyado sa buong mundo, at regular na mga pagsasanay sa seguridad para sa lahat ng empleyado at naglalaan din ng mga sesyon para sa mga grupo ng R&D.
Mga hakbang para sa sertipikasyon/pagtiyak ng mga proseso at produkto: Kwantitibong / Semi-taunang / taunang internal audit sa maraming proseso at sistema upang mapatunayan na ang Taboola ay sumusunod sa mga layunin at hakbang sa seguridad na itinakda.
Mga hakbang para sa pagtiyak ng minimisasyon ng data: Sinasadya ng Taboola na limitahan ang data na kinokolekta namin bilang bahagi ng mga pandaigdigang prinsipyo ng minimisasyon ng data ng Taboola na nagpoproseso lamang ng limitadong data na kinakailangan para sa aming mga tiyak na layunin sa negosyo. Bilang karagdagan, wala ring kakayahan ang Taboola, ni anumang pangangailangan sa negosyo, na “i-reverse engineer” ang alinman sa mga data point na ginamit sa aming algorithm upang maibigay ang aming mga serbisyo. Mas partikular, ang mga data point na kinokolekta ng Taboola ay hindi kailanman nagpapakita ng pagkakakilanlan ng isang gumagamit — dahil hindi kinokolekta o pinoproseso ng Taboola ang impormasyon tulad ng pangalan ng gumagamit, numero ng telepono, email, o pisikal na mga address. Sa halip, ang Taboola ay kumokolekta lamang ng mga pseudonymous identifier, na simpleng nagpapakilala ng mga katangian tungkol sa device ng isang gumagamit. Kasama dito ang mga IP address (na pinutol sa pagkolekta at maaari lamang tukuyin ang pangkalahatang lokasyon ng zip code ng device, ngunit hindi kailanman isang tiyak na geolocation) at, sa ilang limitadong pagkakataon, mga hashed email address (na sa likas na katangian ay hindi maibabalik at hindi maaaring ma-decrypt upang ipakita ang orihinal na email address). Bukod dito, kahit na ginagamit nang sama-sama, ang mga datos na aming kinokolekta ay hindi kailanman makakapagbigay ng pangalan, numero ng telepono, email, o pisikal na address ng isang indibidwal, at ang aming mga inhinyero ay hindi nagtatrabaho sa anumang paraan upang makamit ang layuning ito. Bilang karagdagan, ang Taboola ay gumagawa at nagtatala ng mga pagsusuri sa epekto sa privacy upang mabawasan ang mga panganib sa privacy ng aming mga serbisyo, proseso, at patakaran.
Mga Hakbang para sa Pagtiyak ng Kalidad ng Datos: Ang datos ay kinokolekta nang direkta mula sa gumagamit at ang gumagamit ay binibigyan ng pagkakataon na ituwid ang anumang datos na nauugnay sa kanilang CookieID sa pamamagitan ng Taboola Subject Access Request Portal: https://accessrequest.taboola.com/access
Mga Hakbang para sa Pagtiyak ng Limitadong Pagpapanatili ng Datos: Pinapanatili namin ang impormasyon ng gumagamit, na direktang kinokolekta para sa mga layunin ng paghahatid ng mga ad, sa loob ng labing-tatlong (13) buwan mula sa huling pakikipag-ugnayan ng gumagamit sa aming mga serbisyo (madalas para sa mas maikling panahon), pagkatapos ng panahong ito ay inaalis namin ang pagkakakilanlan ng datos sa pamamagitan ng pagtanggal ng mga natatanging tagatukoy o pag-aaggregate ng datos. Ang prosesong ito ay awtomatikong isinasagawa.
Mga Hakbang para sa Pagtiyak ng Pananagutan: Ang Taboola ay nagsasagawa ng maraming seguridad na pagsusuri at penetration testing (ngunit hindi para sa lahat ng sistema). Gumagamit din ang Taboola ng mga cloud provider na ISO-certified at sumusunod sa iba pang mga sertipikasyon na may kaugnayan sa cloud para sa pagpapanatili ng mga pisikal na proteksyon ng server.
Mga Hakbang para sa Pagsusulong ng Portability ng Datos at Pagtiyak ng Pagtanggal: Ang Taboola ay may kaugnayan sa pagtatapon ng media na pareho para sa lahat ng uri ng media dahil maaari itong maglaman ng PII. Ang anumang media ay dapat ganap na burahin bago muling gamitin o itapon. Ang anumang pagtatapon ng media ay naidokumento. Ang mga empleyado ay inutusan na huwag mag-print ng anumang papel na maaaring maglaman ng personal na impormasyon.