Phụ lục về Bảo vệ Dữ liệu dành cho Đối tác RTB và Programmatic
Last Update: May 29, 2024
Phụ lục về Bảo vệ Dữ liệu dành cho Đối tác RTB và Programmatic
Ngày có hiệu lực: Ngày 29 tháng 5 năm 2024
Để đảm bảo Taboola có các điều khoản bảo vệ dữ liệu phù hợp với các Đối tác Lập trình và RTB của chúng tôi (mỗi đối tác được gọi là “Đối tác”), Taboola cung cấp DPA này (gọi là “DPA”).
Thỏa thuận DPA này tự động bổ sung và trở thành một phần của thỏa thuận kinh doanh theo hợp đồng hiện có giữa Đối tác và Taboola liên quan đến việc cung cấp dịch vụ RTB và lập trình (“Thỏa thuận cơ bản”).
Tất cả các thuật ngữ viết hoa được sử dụng trong DPA này, nhưng không được định nghĩa trong DPA này, sẽ có ý nghĩa được quy định trong Thỏa thuận cơ sở. Trong trường hợp có bất kỳ sự mâu thuẫn nào giữa DPA này và Thỏa thuận cơ bản, DPA này sẽ được ưu tiên áp dụng trong phạm vi mâu thuẫn đó.
1. Định nghĩa
“Luật Bảo vệ Dữ liệu Áp dụng” có nghĩa là tất cả các luật liên bang, quốc gia, tiểu bang hoặc các luật khác về quyền riêng tư và bảo vệ dữ liệu có hiệu lực, có thể được sửa đổi hoặc thay thế theo thời gian, bao gồm, nếu có và không giới hạn, CCPA (như được định nghĩa bên dưới) và Luật Bảo vệ Dữ liệu Châu Âu.
“CCPA” có nghĩa là Đạo luật Bảo vệ Quyền riêng tư Người tiêu dùng California (Cal. Civ. Bộ luật §§ 1798.100 – 1798.199), được sửa đổi bởi Đạo luật Quyền riêng tư California (Cal. Civ. (Điều khoản §§ 1798.100 – 1798.199).
“Bên kiểm soát” có nghĩa là một thực thể xác định mục đích và phương tiện xử lý Thông tin Cá nhân, và bao gồm bất kỳ thực thể nào xử lý Thông tin Cá nhân với tư cách là “doanh nghiệp” hoặc “bên thứ ba” theo CCPA và CPRA.
“Khung pháp lý về bảo mật dữ liệu” hay “DPF” có nghĩa là thỏa thuận EU và Hoa Kỳ. Khung pháp lý về bảo vệ dữ liệu và việc UK mở rộng thỏa thuận với EU-U.S. DPF theo quy định của Hoa Kỳ Bộ Thương mại.
“Luật bảo vệ dữ liệu châu Âu” bao gồm Luật bảo vệ dữ liệu EU và Luật bảo vệ dữ liệu UK .
“Luật Bảo vệ Dữ liệu EU” có nghĩa là: (i) Quy định EU 2016/679 (“EU GDPR”); (ii) Chỉ thị EU 2002/58/EC; và (iii) luật quốc gia của mỗi quốc gia thành viên EEA được ban hành theo, căn cứ vào, hoặc thực thi (i) hoặc (ii), hoặc có liên quan đến việc xử lý dữ liệu cá nhân; trong mỗi trường hợp, được sửa đổi hoặc thay thế theo thời gian.
“Thông tin cá nhân” có nghĩa là bất kỳ thông tin nào liên quan đến một cá nhân đã được xác định hoặc có thể xác định được, và bao gồm bất kỳ thông tin nào được định nghĩa là “dữ liệu cá nhân” hoặc “thông tin cá nhân” theo định nghĩa của Luật Bảo vệ Dữ liệu hiện hành.
“Mục đích được phép” có nghĩa là các mục đích đấu thầu thời gian thực, liên quan đến việc mua bán quảng cáo trực tuyến theo Thỏa thuận cơ bản, mà Taboola tiết lộ hoặc cung cấp Dữ liệu được chia sẻ cho Đối tác để xử lý, như được nêu trong Phụ lục I.
“Chuyển giao bị hạn chế” có nghĩa là: (i) trong trường hợp Quy định EU GDPR được áp dụng, việc chuyển giao dữ liệu cá nhân từ Khu vực Kinh tế Châu Âu (EEA) sang một quốc gia bên ngoài EEA mà không thuộc diện xác định mức độ bảo vệ dữ liệu đầy đủ của Ủy ban Châu Âu (một “Chuyển giao bị hạn chế EU”); và (ii) trong trường hợp Quy UK GDPR được áp dụng, việc chuyển giao dữ liệu cá nhân từ Vương quốc Anh sang bất kỳ quốc gia nào khác mà không thuộc diện hoặc không dựa trên các quy định về mức độ bảo vệ dữ liệu đầy đủ theo Mục 17A của Đạo luật Bảo vệ Dữ liệu năm 2018 của Vương quốc Anh (một “Chuyển giao bị hạn chế UK”).
“Sự cố bảo mật” có nghĩa là hành vi vi phạm an ninh dẫn đến việc phá hủy, mất mát, thay đổi, tiết lộ trái phép hoặc truy cập trái phép Dữ liệu được chia sẻ một cách vô tình hoặc bất hợp pháp.
“Bán” và “chia sẻ” sẽ có nghĩa như được quy định trong CCPA và CPRA cùng các quy định thực thi của chúng.
“Dữ liệu được chia sẻ” có nghĩa là các loại Thông tin Cá nhân được liệt kê trong Phụ lục I của Thỏa thuận Bảo vệ Dữ liệu này.
“Standard Contractual Clauses” có nghĩa là: (i) trong trường hợp EU GDPR được áp dụng, các điều khoản hợp đồng được đính kèm theo Quyết định Thực thi 2021/914 ngày 4 tháng 6 năm 2021 của Ủy ban Châu Âu về standard contractual clauses việc chuyển giao dữ liệu cá nhân sang các nước thứ ba theo Quy định (EU) 2016/679 của Nghị viện Châu Âu và Hội đồng (“EU SCCs”); và (ii) trong trường hợp UK GDPR được áp dụng, “Phụ lục Chuyển giao Dữ liệu Quốc tế cho Standard Contractual Clauses của Ủy ban EU ” do Ủy viên Thông tin ban hành theo điều 119A(1) của Đạo luật Bảo vệ Dữ liệu năm 2018 (“UK Addendum”).
“Luật Bảo vệ Dữ liệu UK” có nghĩa là: (i) EU GDPR như một phần của luật pháp UK theo Điều 3 của Đạo luật Liên minh Châu Âu (Rút khỏi) năm 2018 (“UK GDPR”); (ii) Quy định về Quyền riêng tư và Truyền thông Điện tử (Chỉ thị EC) năm 2003; (iii) Đạo luật Bảo vệ Dữ liệu năm 2018; và (iv) bất kỳ luật nào khác ở UK được ban hành theo, căn cứ vào, hoặc thực thi (i) hoặc (ii), hoặc có liên quan đến việc xử lý dữ liệu cá nhân; trong mỗi trường hợp, được sửa đổi hoặc thay thế theo thời gian.
2. Tiết lộ dữ liệu
Với điều kiện Đối tác tuân thủ Thỏa thuận cơ bản và DPA này, Taboola sẽ tiết lộ hoặc cung cấp Dữ liệu được chia sẻ cho Đối tác để Đối tác xử lý theo đúng Mục đích được cho phép.
3. Mối quan hệ giữa các bên
Các bên thừa nhận rằng Taboola là bên kiểm soát Dữ liệu được chia sẻ mà họ tiết lộ cho Đối tác, và Đối tác sẽ xử lý Dữ liệu được chia sẻ với tư cách là bên kiểm soát chỉ nhằm mục đích được cho phép.
4. Nghĩa vụ của đối tác
Đối tác đảm bảo, cam kết và tuyên bố rằng:
(a) Bên đó sẽ luôn chỉ xử lý Dữ liệu được chia sẻ cho Mục đích được cho phép và tuân theo Luật bảo vệ dữ liệu hiện hành;
(b) không có lý do để tin rằng Luật Bảo vệ Dữ liệu Hiện hành ngăn cản việc thực hiện các nghĩa vụ của mình liên quan đến việc Xử lý Dữ liệu Chia sẻ cho Mục đích Được Cho phép;
(c) nếu Đối tác xác định rằng họ không thể Xử lý Dữ liệu được Chia sẻ cho Mục đích Được phép theo Luật Bảo vệ Dữ liệu Hiện hành, họ sẽ thông báo ngay cho Taboola;
(d) phải luôn hiển thị và duy trì thông báo về quyền riêng tư công khai trên trang web của mình, tuân thủ các yêu cầu của Luật Bảo vệ Dữ liệu Hiện hành và cung cấp thông tin liên hệ để chủ thể dữ liệu có thể đặt câu hỏi liên quan đến bảo vệ dữ liệu;
(e) nó phải cho phép chủ thể dữ liệu thực hiện các quyền bảo vệ dữ liệu của họ theo Luật Bảo vệ Dữ liệu Hiện hành, bao gồm (không giới hạn) quyền phản đối việc xử lý Dữ liệu Được Chia sẻ của họ;
(f) đối với bất kỳ hoạt động xử lý Dữ liệu được chia sẻ nào được bảo vệ theo Luật Bảo vệ Dữ liệu Châu Âu, thì phải:
(g) chỉ xử lý Dữ liệu được chia sẻ khi có sự đồng ý để làm như vậy, phù hợp với các yêu cầu của Luật Bảo vệ Dữ liệu Châu Âu; và
(h) Bên đó phải thực hiện các biện pháp kỹ thuật và tổ chức thích hợp, tối thiểu bao gồm các biện pháp được nêu trong Phụ lục II để bảo vệ Dữ liệu được chia sẻ khỏi và chống lại Sự cố An ninh.
5. Các bước hợp lý và thích đáng
Taboola có thể thực hiện các bước hợp lý và thích đáng để đảm bảo rằng Đối tác xử lý Dữ liệu được chia sẻ theo Thỏa thuận cơ bản và Thỏa thuận bảo vệ dữ liệu này theo cách phù hợp với Luật bảo vệ dữ liệu hiện hành.
Nếu Đối tác không tuân thủ Thỏa thuận cơ bản, Thỏa thuận bảo vệ dữ liệu này hoặc Luật bảo vệ dữ liệu hiện hành, Taboola sẽ thực hiện các bước hợp lý và thích hợp để ngăn chặn và khắc phục việc sử dụng trái phép Dữ liệu được chia sẻ (bao gồm cả việc tạm ngừng hoặc chấm dứt việc tiết lộ Dữ liệu được chia sẻ cho Đối tác).
6. Tuân thủ pháp luật hiện hành
Đối tác phải tuân thủ các Luật Bảo vệ Dữ liệu hiện hành và phải cung cấp mức độ bảo vệ quyền riêng tư tương đương cho Dữ liệu được chia sẻ theo yêu cầu của các Luật Bảo vệ Dữ liệu hiện hành.
7. Nghĩa vụ hợp tác
Trong trường hợp một trong hai bên nhận được bất kỳ thư từ, yêu cầu hoặc khiếu nại nào từ chủ thể dữ liệu, cơ quan quản lý hoặc bên thứ ba khác (“Thư từ“) liên quan đến (a) việc tiết lộ Dữ liệu được chia sẻ cho Mục đích được phép; hoặc (b) việc xử lý Dữ liệu được chia sẻ bởi bên kia, bên đó phải thông báo ngay cho bên kia, cung cấp đầy đủ chi tiết về vấn đề đó, và các bên phải hợp tác một cách hợp lý và thiện chí để phản hồi Thư từ theo đúng các yêu cầu của Luật Bảo vệ Dữ liệu hiện hành.
8. Các giao dịch chuyển tiền bị hạn chế từ EU và UK.
Trong phạm vi mà bất kỳ việc chuyển giao Dữ liệu được chia sẻ nào từ Taboola cho Đối tác là một Chuyển giao bị hạn chế, Standard Contractual Clauses sẽ được tích hợp vào Thỏa thuận Bảo vệ Dữ liệu này và áp dụng như sau:
(a) Trường hợp Chuyển giao bị hạn chế là Chuyển giao bị hạn chế EU , EU SCCs sẽ được áp dụng giữa Taboola (với tư cách là bên xuất khẩu dữ liệu) và Đối tác (với tư cách là bên nhập khẩu dữ liệu) như sau:
(i) Mô-đun Một sẽ được áp dụng;
(ii) trong Điều 7, Điều khoản cập bến tùy chọn sẽ được áp dụng;
(iii) trong Điều 11, ngôn ngữ tùy chọn sẽ không được áp dụng;
(iv) trong Điều 17, Phương án 1 sẽ được áp dụng và EU SCCs sẽ được điều chỉnh bởi luật pháp Ireland;
(v) trong Điều 18(b), các tranh chấp sẽ được giải quyết trước các tòa án của Ireland;
(vi) trong Phụ lục I:
(A) Phần A và B được coi là đã hoàn thành với thông tin được nêu trong Phụ lục A của Thỏa thuận bảo vệ dữ liệu này;
(B) Phần C sẽ được coi là hoàn thành theo các tiêu chí được nêu trong Điều 13(a) của EU SCCs; và
(vii) Phụ lục II sẽ được coi là hoàn thành với các biện pháp an ninh được nêu trong Phụ lục B của DPA này.
(b) Trường hợp Chuyển nhượng Hạn chế là Chuyển nhượng Hạn chế UK , UK Addendum sẽ được áp dụng giữa các bên như sau:
(i) EU SCCs, được hoàn thành như đã nêu ở trên, sẽ được áp dụng giữa các bên và sẽ được sửa đổi bởi UK Addendum (được hoàn thành như đã nêu trong tiểu khoản (ii) bên dưới); và
(ii) các bảng 1 đến 3 của UK Addendum sẽ được coi là đã hoàn thành với thông tin liên quan từ EU SCCs, được hoàn thành như đã nêu ở trên, và các tùy chọn “Nhà xuất khẩu” và “Nhà nhập khẩu” sẽ được coi là đã được chọn trong bảng 4. Ngày bắt đầu của UK Addendum (như được nêu trong bảng 1) sẽ là ngày có hiệu lực của Thỏa thuận bảo vệ dữ liệu này.
Đối tác sẽ không thực hiện việc chuyển giao dữ liệu được chia sẻ có hạn chế cho bên thứ ba trừ khi đã thực hiện tất cả các hành động và việc làm cần thiết để đảm bảo việc chuyển giao có hạn chế đó tuân thủ Luật Bảo vệ Dữ liệu hiện hành và bất kỳ Standard Contractual Clauses mà đối tác đã ký kết với Taboola.
Mặc dù vậy, nếu Đối tác đã được chứng nhận và tuân thủ DPF, thì việc chuyển giao Dữ liệu được chia sẻ cho Đối tác theo DPF sẽ không bị coi là Chuyển giao bị hạn chế. Trong trường hợp đó, Đối tác sẽ thông báo ngay cho Taboola nếu không tuân thủ chứng nhận DPF hoặc chứng nhận DPF hết hạn hoặc bị vô hiệu hóa vì lý do khác, cụ thể như sau:
(a) bất kỳ việc chuyển giao Dữ liệu được chia sẻ nào từ Taboola cho Đối tác sẽ ngay lập tức được coi là Chuyển giao bị hạn chế và các điều khoản về Chuyển giao bị hạn chế nêu trên sẽ được áp dụng; và
(b) Taboola có toàn quyền quyết định đình chỉ hoặc chấm dứt việc chuyển giao Dữ liệu được chia sẻ cho Đối tác mà không phải chịu bất kỳ khoản phạt nào.
9. Bồi thường
Bên Đối tác sẽ bảo vệ Taboola và các giám đốc, viên chức, nhân viên, đại lý và khách hàng của Taboola (gọi chung là “Bên được Taboola bồi thường”) khỏi và chống lại bất kỳ và tất cả các khiếu nại, yêu cầu, vụ kiện, thủ tục tố tụng và hành động do bên thứ ba đưa ra liên quan đến cáo buộc rằng Bên Đối tác đã vi phạm Thỏa thuận Bảo vệ Dữ liệu này hoặc Luật Bảo vệ Dữ liệu hiện hành và sẽ bồi thường cho Bên được Taboola mọi thiệt hại, tổn thất, chi phí và phí tổn (bao gồm cả phí luật sư hợp lý) mà Bên được Taboola phải gánh chịu phát sinh từ hoặc do khiếu nại đó gây ra.
10. Khác
Đối tác chịu trách nhiệm hoàn toàn về việc tuân thủ các Luật Bảo vệ Dữ liệu hiện hành trong quá trình xử lý Dữ liệu được chia sẻ.
Trong trường hợp có bất kỳ thay đổi nào đối với Luật Bảo vệ Dữ liệu hiện hành, Taboola có thể sửa đổi và cập nhật Thỏa thuận Bảo vệ Dữ liệu này khi cần thiết để tuân thủ các thay đổi đó trong Luật Bảo vệ Dữ liệu hiện hành.
Kể từ ngày có hiệu lực của Thỏa thuận dàn xếp này, các tham chiếu đến “Thỏa thuận” trong Thỏa thuận dàn xếp này hoặc Thỏa thuận cơ sở sẽ có nghĩa là Thỏa thuận cơ sở được bổ sung bởi Thỏa thuận dàn xếp này.
PHỤ LỤC I
Mô tả chia sẻ dữ liệu
A. DANH SÁCH CÁC BÊN THAM GIA
| Taboola - Data exporter(s) | |
|---|---|
| Name: | See Taboola’s details set out in the Underlying Agreement. |
| Address: | See Taboola’s details set out in the Underlying Agreement. |
| Contact person’s name, position and contact details: | privacy@taboola.com |
| Activities relevant to the data transferred under these Clauses: | Disclosure of Shared Data for the Permitted Purpose. |
| Signature and date: | This DPA shall automatically be deemed executed upon execution of the Underlying Agreement. |
| Role (controller/processor): | Controller. |
| Partner - Data importer: | |
|---|---|
| Name: | See Partner’s details set out in the Underlying Agreement. |
| Address: | See Partner’s details set out in the Underlying Agreement. |
| Contact person’s name, position and contact details: | See Partner’s details set out in the Underlying Agreement. |
| Activities relevant to the data transferred under these Clauses: | Receipt and processing of Shared Data for the Permitted Purpose. |
| Signature and date: | This DPA shall automatically be deemed executed upon execution of the Underlying Agreement. |
| Role (controller/processor): | Controller. |
B. MÔ TẢ CHUYỂN NHƯỢNG
| Description of Transfer | |
|---|---|
| Categories of data subjects whose personal data is transferred | Visitors to digital properties (such as websites and mobile applications) owned by customers of Taboola and who have integrated Taboola’s advertising technologies on those properties. |
| Categories of personal data transferred | Pre-partnership Integration: Unique User IDs from RTB partners Cookie match / sync / table (either Taboola or Partner can host and the non-hosting party must share data points) Bid request includes: Unique ID of the bid request (provided by the exchange) IMP object representing the impression offered Publisher site or app represented App Device Auction Type Maximum Time Currency Blocked Categories Device ID Taboola User ID Calling Tag Partners: URL |
| Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialised training), keeping a record of access to the data, restrictions for onward transfers or additional security measures | Not applicable. |
| The frequency of the transfer (e.g. whether the data is transferred on a one-off or continuous basis) | Continuous for the duration of the Underlying Agreement. |
| Nature of the processing | Processing of Shared Data by Partner for the purposes of real-time bidding in order to buy and sell advertising inventory on digital properties of Taboola’s customers. |
| Purpose(s) of the data transfer and further processing | Partner processes Shared Data, for the following purposes: Serve personalized and behavioral recommendations. Determine whether to bid on a placement and serve personalized recommendations. |
| The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period | For the duration of the Underlying Agreement and as otherwise required by applicable law. |
| For transfers to (sub-) processors, also specify subject matter, nature and duration of the processing | Not applicable. |
C. CƠ QUAN GIÁM SÁT CÓ THẨM QUYỀN
| Competent Supervisory Authority | |
|---|---|
| Competent supervisory authority where the EU GDPR applies | The competent supervisory authority shall be determined in accordance with Clause 13 of Module 1 of the EU Standard Contractual Clauses. |
| Competent supervisory authority where the UK GDPR applies | The Information Commissioner’s Office |
PHỤ LỤC II
Các biện pháp an ninh
Mô tả các biện pháp kỹ thuật và tổ chức được mỗi bên thực hiện (bao gồm bất kỳ chứng nhận liên quan nào) để đảm bảo mức độ an ninh phù hợp, có tính đến bản chất, phạm vi, bối cảnh và mục đích của việc xử lý, cũng như các rủi ro đối với quyền và tự do của cá nhân. Đối tác cam kết và bảo đảm rằng họ có các biện pháp kỹ thuật và tổ chức phù hợp, về cơ bản tương tự như các biện pháp bảo mật của Taboola được nêu dưới đây.
Các biện pháp mã hóa và ẩn danh dữ liệu cá nhân: Taboola chỉ thu thập dữ liệu được mã hóa, có nghĩa là chúng tôi không biết bạn là ai vì chúng tôi không biết hoặc xử lý tên, địa chỉ email hoặc dữ liệu nhận dạng khác của người dùng. Thông tin người dùng mà chúng tôi thu thập bao gồm, nhưng không giới hạn ở, thông tin về thiết bị và hệ điều hành của người dùng, địa chỉ IP, các trang web mà người dùng truy cập trong các trang web của khách hàng, liên kết dẫn người dùng đến trang web của khách hàng, ngày giờ người dùng truy cập trang web của khách hàng và các dữ liệu duyệt web khác. CookieID được ẩn danh bằng Bcrypt và địa chỉ IP được rút gọn.
Các biện pháp đảm bảo tính bảo mật, toàn vẹn, khả dụng và khả năng phục hồi liên tục của các hệ thống và dịch vụ xử lý: Taboola sử dụng nhiều lớp bảo mật điện tử (ví dụ: bảo mật điểm cuối, bảo mật phía máy chủ, theo dõi phát hiện, kiểm thử xâm nhập định kỳ và thu thập thông tin tình báo chuyên sâu để xem xét các sự kiện sau khi xảy ra).
Các biện pháp đảm bảo khả năng khôi phục tính khả dụng và quyền truy cập vào dữ liệu cá nhân một cách kịp thời trong trường hợp xảy ra sự cố vật lý hoặc kỹ thuật: Taboola hiện đang vận hành 9 trung tâm dữ liệu trên toàn thế giới. Mỗi trung tâm dữ liệu được sử dụng như một bản sao của nhau, vì vậy nếu một trung tâm gặp sự cố, dữ liệu có thể được khôi phục từ trung tâm dữ liệu khác.
Các quy trình để thường xuyên kiểm tra, đánh giá và thẩm định hiệu quả của các biện pháp kỹ thuật và tổ chức nhằm đảm bảo an ninh của quá trình xử lý: Taboola duy trì các quy trình nghiêm ngặt để kiểm tra hiệu quả của các biện pháp kiểm soát (cả về kỹ thuật và tổ chức). Chúng tôi có hệ thống ghi nhật ký và giám sát, kiểm tra phục hồi thảm họa (DR) hàng tháng (ít nhất), kiểm tra thâm nhập hàng quý, tường lửa bảo vệ mạng và các bẫy mật (honeypot) được bố trí khắp mạng để phát hiện bất kỳ hoạt động độc hại nào. Hơn nữa, chúng tôi có chương trình thưởng giúp chúng tôi liên tục giám sát mạng lưới của mình.
Các biện pháp xác định và ủy quyền người dùng: Mỗi người dùng trên Taboola đều được liên kết với một tên người dùng và mật khẩu riêng. Mọi truy cập vào mạng nội bộ của Taboola đều được thực hiện bằng xác thực hai yếu tố (2FA) sử dụng Google. Người dùng chỉ được tạo bởi bộ phận CNTT, trong quá trình tiếp nhận nhân viên mới và chỉ sau khi nhận được đầy đủ thông tin và hợp đồng đã ký từ bộ phận Nhân sự.
Các biện pháp bảo vệ dữ liệu trong quá trình truyền tải: Taboola hỗ trợ mọi hình thức truyền dữ liệu thông qua các giao thức truyền tải an toàn (tối thiểu là HTTPS và TLS v1.2). Hơn nữa, các hệ thống có thể chứa thông tin nhận dạng cá nhân (PII) được bảo mật và dữ liệu được mã hóa và ẩn danh.
Các biện pháp bảo vệ dữ liệu trong quá trình lưu trữ: Dữ liệu được lưu trữ trong cơ sở dữ liệu của chúng tôi được ẩn danh và mã hóa bằng Bcrypt. Quyền truy cập vào cơ sở dữ liệu được giảm thiểu và dựa trên nguyên tắc “chỉ những doanh nghiệp cần biết thông tin đó mới được phép”.
Các biện pháp đảm bảo an ninh vật lý cho các địa điểm xử lý dữ liệu cá nhân: Mỗi trung tâm dữ liệu toàn cầu của Taboola (ở Mỹ, châu Âu và châu Á) đều có tất cả các máy chủ được đặt trong các tủ khóa kín, được bảo trì dành riêng cho việc sử dụng của Taboola. Các tủ rack này được bảo trì bởi các công ty SOC2-certified hoặc đã được Taboola xem xét các biện pháp bảo mật của họ. Hơn nữa, mọi quyền truy cập vào máy chủ đều yêu cầu sự cho phép bằng văn bản và có ghi lại. Tất cả các văn phòng Taboola đều được kiểm soát chặt chẽ và yêu cầu nhân viên sử dụng thẻ ra vào. Hơn nữa, chỉ một số lượng nhân viên hạn chế mới có quyền truy cập vào máy chủ của Taboola và bất kỳ quyền truy cập nào cũng đều yêu cầu sự cho phép bằng văn bản có ghi lại.
Các biện pháp đảm bảo việc ghi nhật ký sự kiện: Taboola triển khai các công cụ giám sát và nhật ký được thu thập vào hệ thống SIEM của chúng tôi, hệ thống này sẽ cảnh báo chúng tôi về bất kỳ sự kiện đáng ngờ nào và cũng được nhóm NOC giám sát.
Các biện pháp đảm bảo cấu hình hệ thống, bao gồm cả cấu hình mặc định: Máy chủ được quét để phát hiện cả sự thay đổi cấu hình và mức độ cập nhật bản vá. Chức năng báo cáo và/hoặc cảnh báo được thiết lập trên cả hai hệ thống và mức độ vá lỗi liên quan đã được xác nhận. Các bản vá lỗi mới được phân phối bằng Puppet. Tất cả các đánh giá kỹ thuật đều được quản lý thông qua ứng dụng R&D và được thực hiện thông qua quy trình đánh giá chính thức (QA) sau khi CI/CD processes được triển khai.
Các biện pháp quản trị và quản lý CNTT nội bộ và an ninh CNTT: Taboola đạt chứng nhận ISO/IEC 27001:2013 và ISO/IEC 27701:2019. Taboola có Chính sách Bảo mật Thông tin, trong đó nêu rõ Hội đồng quản trị và ban quản lý của Taboola cam kết bảo vệ tính bí mật, toàn vẹn và khả dụng của tất cả các tài sản thông tin vật lý và điện tử trong toàn bộ tổ chức. Taboola tổ chức các khóa đào tạo an ninh mạng cho tất cả nhân viên mới, đào tạo phòng chống lừa đảo trực tuyến cho tất cả nhân viên trên toàn cầu, và các khóa đào tạo an ninh mạng định kỳ cho tất cả nhân viên, cũng như các buổi đào tạo chuyên biệt cho các nhóm nghiên cứu và phát triển.
Các biện pháp chứng nhận/đảm bảo chất lượng quy trình và sản phẩm: Kiểm toán nội bộ định kỳ hàng quý/nửa năm/hàng năm đối với nhiều quy trình và hệ thống để xác nhận rằng Taboola đang tuân thủ các mục tiêu và biện pháp bảo mật đã được đề ra.
Các biện pháp đảm bảo giảm thiểu dữ liệu: Taboola chủ động giới hạn lượng dữ liệu mà chúng tôi thu thập như một phần của nguyên tắc giảm thiểu dữ liệu toàn cầu của Taboola, chỉ xử lý lượng dữ liệu hạn chế cần thiết cho các mục đích kinh doanh cụ thể của chúng tôi. Hơn nữa, Taboola không có khả năng, cũng như không có nhu cầu kinh doanh nào, để “phân tích ngược” bất kỳ điểm dữ liệu nào được sử dụng trong thuật toán của chúng tôi nhằm cung cấp dịch vụ. Cụ thể hơn, các điểm dữ liệu mà Taboola thu thập không bao giờ cho thấy danh tính của người dùng — vì Taboola không thu thập hoặc xử lý thông tin như tên, số điện thoại, email hoặc địa chỉ nhà của người dùng. Thay vào đó, Taboola chỉ thu thập các định danh giả danh, chỉ đơn thuần xác định các đặc điểm về thiết bị của người dùng. Điều này bao gồm địa chỉ IP (được rút gọn khi thu thập và chỉ có thể xác định vị trí mã bưu chính chung của thiết bị, nhưng không bao giờ là vị trí địa lý chính xác) và, trong một số trường hợp hạn chế, địa chỉ email được mã hóa (vốn dĩ không thể đảo ngược và không thể giải mã để tiết lộ địa chỉ email gốc). Hơn nữa, ngay cả khi được sử dụng chung, dữ liệu mà chúng tôi thu thập cũng không bao giờ có thể xác định được tên, số điện thoại, email hoặc địa chỉ nhà của một cá nhân cụ thể, và các kỹ sư của chúng tôi không làm việc theo bất kỳ cách nào để đạt được mục tiêu này. Ngoài ra, Taboola thực hiện và ghi lại các đánh giá tác động đến quyền riêng tư nhằm mục đích giảm thiểu rủi ro về quyền riêng tư của các dịch vụ, quy trình và chính sách của chúng tôi.
Các biện pháp đảm bảo chất lượng dữ liệu: Dữ liệu được thu thập trực tiếp từ người dùng và người dùng có cơ hội chỉnh sửa bất taboola.com dữ liệu nào liên quan đến CookieID của họ thông qua Cổng yêu cầu truy cập dữ liệu cá nhân Taboola : https://accessrequest.taboola.com/access
Các biện pháp đảm bảo việc lưu trữ dữ liệu có giới hạn: Chúng tôi lưu giữ thông tin người dùng, được thu thập trực tiếp cho mục đích phục vụ quảng cáo, trong tối đa mười ba (13) tháng kể từ lần tương tác cuối cùng của người dùng với dịch vụ của chúng tôi (thường là trong khoảng thời gian ngắn hơn), sau đó chúng tôi sẽ ẩn danh dữ liệu bằng cách loại bỏ các định danh duy nhất hoặc tổng hợp dữ liệu. Quá trình này được thực hiện tự động.
Các biện pháp đảm bảo trách nhiệm giải trình: Taboola thực hiện nhiều cuộc kiểm tra an ninh và thử nghiệm xâm nhập (nhưng không phải cho tất cả các hệ thống). Taboola cũng sử dụng các nhà cung cấp dịch vụ đám mây được chứng nhận ISO và tuân thủ các chứng nhận liên quan đến đám mây khác để duy trì các biện pháp bảo vệ vật lý cho máy chủ.
Các biện pháp cho phép chuyển đổi dữ liệu và đảm bảo xóa dữ liệu: Taboola liên quan đến việc xử lý phương tiện truyền thông áp dụng cho tất cả các loại phương tiện vì chúng có thể chứa thông tin nhận dạng cá nhân (PII). Mọi phương tiện lưu trữ dữ liệu phải được xóa sạch hoàn toàn trước khi tái sử dụng hoặc vứt bỏ. Mọi hoạt động xử lý phương tiện lưu trữ đều được ghi chép lại. Nhân viên được hướng dẫn không in bất kỳ giấy tờ nào có thể chứa thông tin cá nhân.