Phụ lục Bảo vệ Dữ liệu cho các Đối tác RTB và Chương trình
Last Update: May 29, 2024
Phụ lục Bảo vệ Dữ liệu cho các Đối tác RTB và Chương trình
Ngày có hiệu lực: 29 tháng 5, 2024
Để đảm bảo rằng Taboola có các điều khoản bảo vệ dữ liệu phù hợp với các Đối tác Chương trình và RTB của chúng tôi (mỗi đối tác được gọi là “Đối tác”), Taboola cung cấp Phụ lục Bảo vệ Dữ liệu này (gọi là “DPA”).
DPA này tự động bổ sung và là một phần của thỏa thuận kinh doanh hợp đồng hiện có giữa Đối tác và Taboola liên quan đến việc cung cấp dịch vụ RTB và chương trình (“Thỏa thuận Cơ sở”).
Tất cả các thuật ngữ viết hoa được sử dụng trong DPA này, nhưng không được định nghĩa trong DPA này sẽ có nghĩa như được quy định trong Thỏa thuận Cơ sở. Trong trường hợp có bất kỳ xung đột nào giữa DPA này và Thỏa thuận Cơ sở, DPA này sẽ chiếm ưu thế trong phạm vi xung đột đó.
1. Các định nghĩa
“Luật Bảo vệ Dữ liệu Áp dụng” có nghĩa là bất kỳ và tất cả các luật bảo vệ quyền riêng tư và dữ liệu liên bang, quốc gia, tiểu bang hoặc khác có thể được sửa đổi hoặc thay thế theo thời gian, bao gồm, nếu áp dụng và không giới hạn, CCPA (như được định nghĩa dưới đây), và các Luật Bảo vệ Dữ liệu Châu Âu.
“CCPA” có nghĩa là Đạo luật Bảo vệ Quyền riêng tư Người tiêu dùng California (Cal. Civ. Mã §§ 1798.100 – 1798.199), được sửa đổi bởi Đạo luật Quyền riêng tư California (Cal. Civ. Mã §§ 1798.100 – 1798.199).
“Người kiểm soát” có nghĩa là một thực thể xác định mục đích và phương tiện xử lý Thông tin Cá nhân, và bao gồm bất kỳ thực thể nào xử lý Thông tin Cá nhân như một “doanh nghiệp” hoặc “bên thứ ba” theo CCPA và CPRA.
“Khung Bảo mật Dữ liệu” hoặc “DPF” có nghĩa là Khung Bảo mật Dữ liệu EU-Mỹ. Khung Bảo mật Dữ liệu và Phụ lục Vương quốc Anh cho EU-Mỹ. DPF như được quy định bởi Hoa Kỳ. Bộ Thương mại.
“Luật Bảo vệ Dữ liệu Châu Âu” có nghĩa là Luật Bảo vệ Dữ liệu EU và Luật Bảo vệ Dữ liệu Vương quốc Anh.
“Luật Bảo vệ Dữ liệu EU” có nghĩa là: (i) Quy định EU 2016/679 (“EU GDPR“); (ii) Quy định EU 2002/58/EC; và (iii) các luật quốc gia của mỗi quốc gia thành viên EEA được ban hành theo, theo hoặc thực hiện (i) hoặc (ii), hoặc có liên quan đến việc xử lý dữ liệu cá nhân; trong mỗi trường hợp, được sửa đổi hoặc thay thế theo thời gian.
“Thông tin Cá nhân” có nghĩa là bất kỳ thông tin nào liên quan đến một cá nhân tự nhiên đã được xác định hoặc có thể xác định, và bao gồm bất kỳ thông tin nào được định nghĩa là “dữ liệu cá nhân” hoặc “thông tin cá nhân” như được định nghĩa theo Luật Bảo vệ Dữ liệu Áp dụng.
“Mục đích Được phép” có nghĩa là các mục đích đấu giá theo thời gian thực, liên quan đến việc mua và bán quảng cáo trực tuyến theo thỏa thuận cơ sở, mà Taboola tiết lộ hoặc làm cho Dữ liệu Chia sẻ có sẵn cho Đối tác để xử lý, như được nêu trong Phụ lục I.
“Chuyển nhượng Bị hạn chế” có nghĩa là: (i) nơi EU GDPR áp dụng, một chuyển nhượng dữ liệu cá nhân từ EEA đến một quốc gia ngoài EEA không thuộc đối tượng xác định độ phù hợp của Ủy ban Châu Âu (một “Chuyển nhượng Bị hạn chế EU“); và (ii) nơi UK GDPR áp dụng, một chuyển nhượng dữ liệu cá nhân từ Vương quốc Anh đến bất kỳ quốc gia nào khác không thuộc đối tượng hoặc không dựa trên các quy định về độ phù hợp theo Điều 17A của Đạo luật Bảo vệ Dữ liệu Vương quốc Anh 2018 (một “Chuyển nhượng Bị hạn chế UK“).
“Sự cố Bảo mật” có nghĩa là một vi phạm bảo mật dẫn đến việc phá hủy, mất mát, thay đổi, tiết lộ trái phép, hoặc truy cập vào Dữ liệu Chia sẻ một cách tình cờ hoặc bất hợp pháp.
“Bán” và “chia sẻ” sẽ có nghĩa như được quy định trong CCPA và CPRA và các quy định thực hiện của chúng.
“Dữ liệu Chia sẻ” có nghĩa là các loại Thông tin Cá nhân được liệt kê trong Phụ lục I của DPA này.
“Điều khoản hợp đồng tiêu chuẩn” có nghĩa là: (i) nơi GDPR của EU áp dụng, các điều khoản hợp đồng được đính kèm trong Quyết định Thực hiện 2021/914 của Ủy ban Châu Âu ngày 4 tháng 6 năm 2021 về các điều khoản hợp đồng tiêu chuẩn cho việc chuyển giao dữ liệu cá nhân đến các quốc gia thứ ba theo Quy định (EU) 2016/679 của Nghị viện Châu Âu và Hội đồng (“EU SCCs”); và (ii) nơi GDPR của Vương quốc Anh áp dụng, “Phụ lục Chuyển giao Dữ liệu Quốc tế cho các Điều khoản Hợp đồng Tiêu chuẩn của Ủy ban EU” được phát hành bởi Ủy viên Thông tin theo s.119A(1) của DPA 2018 (“Phụ lục Vương quốc Anh”).
“Luật Bảo vệ Dữ liệu Vương quốc Anh” có nghĩa là: (i) GDPR của EU như là một phần của luật Vương quốc Anh theo điều khoản 3 của Đạo luật Liên minh Châu Âu (Rút lui) 2018 (“GDPR Vương quốc Anh“); (ii) Quy định về Quyền riêng tư và Truyền thông Điện tử (Chỉ thị EC) 2003; (iii) Đạo luật Bảo vệ Dữ liệu 2018; và (iv) bất kỳ luật nào khác ở Vương quốc Anh được ban hành theo, theo hoặc thực hiện (i) hoặc (ii), hoặc liên quan đến việc xử lý dữ liệu cá nhân; trong mỗi trường hợp, được sửa đổi hoặc thay thế theo thời gian.
2. Tiết lộ dữ liệu
Tùy thuộc vào việc Đối tác tuân thủ Thỏa thuận Cơ sở và DPA này, Taboola sẽ tiết lộ hoặc làm cho Dữ liệu Chia sẻ có sẵn cho Đối tác để Đối tác xử lý chỉ cho Mục đích Được phép.
3. Mối quan hệ của các bên
Các bên công nhận rằng Taboola là một người kiểm soát Dữ liệu Chia sẻ mà nó tiết lộ cho Đối tác, và Đối tác sẽ xử lý Dữ liệu Chia sẻ như một người kiểm soát chỉ cho Mục đích Được phép.
4. Nghĩa vụ của Đối tác
Đối tác đảm bảo, đại diện và cam kết rằng:
(a) nó sẽ luôn Xử lý Dữ liệu Chia sẻ chỉ cho Mục đích Được phép và theo các Luật Bảo vệ Dữ liệu Áp dụng;
(b) nó không có lý do để tin rằng các Luật Bảo vệ Dữ liệu Áp dụng ngăn cản nó thực hiện nghĩa vụ của mình liên quan đến việc Xử lý Dữ liệu Chia sẻ cho Mục đích Được phép;
(c) nếu Đối tác xác định rằng nó không thể Xử lý Dữ liệu Chia sẻ cho Mục đích Được phép theo các Luật Bảo vệ Dữ liệu Áp dụng, nó sẽ ngay lập tức thông báo cho Taboola;
(d) nó sẽ luôn trình bày và duy trì một thông báo quyền riêng tư có thể truy cập công khai trên trang web của mình tuân thủ các yêu cầu của các Luật Bảo vệ Dữ liệu Áp dụng, và cung cấp thông tin liên hệ nơi các chủ thể dữ liệu có thể đặt câu hỏi liên quan đến bảo vệ dữ liệu;
(e) nó sẽ cho phép các chủ thể dữ liệu thực hiện quyền bảo vệ dữ liệu của họ theo các Luật Bảo vệ Dữ liệu Áp dụng, bao gồm (không giới hạn) quyền phản đối việc xử lý Dữ liệu Chia sẻ của họ;
(f) liên quan đến bất kỳ việc xử lý Dữ liệu Chia sẻ nào được bảo vệ theo các Luật Bảo vệ Dữ liệu Châu Âu, nó sẽ:
(g) chỉ xử lý Dữ liệu Chia sẻ khi nó có sự đồng ý để làm như vậy, nhất quán với các yêu cầu của các Luật Bảo vệ Dữ liệu Châu Âu; và
(h) nó sẽ thực hiện các biện pháp kỹ thuật và tổ chức thích hợp bao gồm, tối thiểu, các biện pháp được nêu trong Phụ lục II để bảo vệ Dữ liệu Chia sẻ khỏi và chống lại một Sự cố Bảo mật.
5. Các bước Hợp lý và Thích hợp
Taboola có thể thực hiện các bước hợp lý và thích hợp để đảm bảo rằng Đối tác xử lý Dữ liệu Chia sẻ theo Thỏa thuận Cơ sở và DPA này theo cách nhất quán với các Luật Bảo vệ Dữ liệu Áp dụng.
Nếu Đối tác không tuân thủ Thỏa thuận Cơ sở, DPA này hoặc các Luật Bảo vệ Dữ liệu Áp dụng, Taboola sẽ thực hiện các bước hợp lý và thích hợp để ngăn chặn và khắc phục việc sử dụng trái phép Dữ liệu Chia sẻ (bao gồm việc tạm ngừng hoặc chấm dứt việc tiết lộ Dữ liệu Chia sẻ cho Đối tác).
6. Tuân thủ Luật Áp dụng
Đối tác phải tuân thủ các Luật Bảo vệ Dữ liệu hiện hành và phải cung cấp mức độ bảo vệ quyền riêng tư tương tự cho Dữ liệu Chia sẻ như yêu cầu của các Luật Bảo vệ Dữ liệu hiện hành.
7. Nghĩa vụ hợp tác
Trong trường hợp một bên nhận được bất kỳ thư từ, yêu cầu hoặc khiếu nại nào từ một chủ thể dữ liệu, cơ quan quản lý hoặc bên thứ ba khác (“Thư từ“) liên quan đến (a) việc tiết lộ Dữ liệu Chia sẻ cho Mục đích Được phép; hoặc (b) việc xử lý Dữ liệu Chia sẻ bởi bên kia, bên đó sẽ nhanh chóng thông báo cho bên kia với đầy đủ chi tiết về vấn đề đó, và các bên sẽ hợp tác hợp lý và thiện chí để phản hồi Thư từ theo bất kỳ yêu cầu nào theo Luật Bảo vệ Dữ liệu hiện hành.
8. Chuyển nhượng bị hạn chế từ EU và Vương quốc Anh
Trong trường hợp bất kỳ việc chuyển nhượng nào của Dữ liệu Chia sẻ từ Taboola đến Đối tác là một Chuyển nhượng bị hạn chế, các Điều khoản Hợp đồng Chuẩn sẽ được đưa vào DPA này và áp dụng như sau:
(a) khi Chuyển nhượng bị hạn chế là một Chuyển nhượng bị hạn chế của EU, các SCC của EU sẽ áp dụng giữa Taboola (như là bên xuất khẩu dữ liệu) và Đối tác (như là bên nhập khẩu dữ liệu) như sau:
(i) Mô-đun Một sẽ được áp dụng;
(ii) trong Điều khoản 7, Điều khoản kết nối tùy chọn sẽ được áp dụng;
(iii) trong Điều khoản 11, ngôn ngữ tùy chọn sẽ không được áp dụng;
(iv) trong Điều khoản 17, Lựa chọn 1 sẽ được áp dụng, và các SCC của EU sẽ được điều chỉnh bởi luật pháp Ireland;
(v) trong Điều khoản 18(b), các tranh chấp sẽ được giải quyết trước các tòa án của Ireland;
(vi) trong Phụ lục I:
(A) Các Phần A và B sẽ được coi là đã hoàn thành với thông tin được nêu trong Phụ lục A của DPA này;
(B) Phần C sẽ được coi là đã hoàn thành theo các tiêu chí được nêu trong Điều khoản 13(a) của các SCC của EU; và
(vii) Phụ lục II sẽ được coi là đã hoàn thành với các biện pháp bảo mật được nêu trong Phụ lục B của DPA này.
(b) khi Chuyển nhượng bị hạn chế là một Chuyển nhượng bị hạn chế của Vương quốc Anh, Phụ lục Vương quốc Anh sẽ được áp dụng giữa các bên như sau:
(i) các SCC của EU, được hoàn thành như đã nêu ở trên sẽ áp dụng giữa các bên, và sẽ được sửa đổi bởi Phụ lục Vương quốc Anh (được hoàn thành như đã nêu trong tiểu điều (ii) dưới đây); và
(ii) bảng 1 đến 3 của Phụ lục Vương quốc Anh sẽ được coi là đã hoàn thành với thông tin liên quan từ các SCC của EU, được hoàn thành như đã nêu ở trên, và các tùy chọn “Người xuất khẩu” và “Người nhập khẩu” sẽ được coi là đã được đánh dấu trong bảng 4. Ngày bắt đầu của Phụ lục Vương quốc Anh (như đã nêu trong bảng 1) sẽ là ngày có hiệu lực của DPA này.
Đối tác sẽ không thực hiện một Chuyển nhượng bị hạn chế tiếp theo của Dữ liệu Chia sẻ cho một bên thứ ba trừ khi nó đã thực hiện tất cả các hành động và việc cần thiết để đảm bảo rằng Chuyển nhượng bị hạn chế tuân thủ Luật Bảo vệ Dữ liệu hiện hành và bất kỳ Điều khoản Hợp đồng Chuẩn nào mà nó đã ký với Taboola.
Mặc dù đã nêu ở trên, nếu Đối tác đã chứng nhận theo và tuân thủ DPF, việc chuyển giao Dữ liệu Chia sẻ cho Đối tác thực hiện theo DPF sẽ không được coi là một Chuyển giao Bị hạn chế. Trong trường hợp đó, Đối tác sẽ ngay lập tức thông báo cho Taboola nếu không tuân thủ chứng nhận DPF hoặc chứng nhận DPF của mình hết hiệu lực hoặc bị vô hiệu hóa, trong trường hợp đó:
(a) bất kỳ việc chuyển giao Dữ liệu Chia sẻ nào từ Taboola đến Đối tác sẽ ngay lập tức được coi là một Chuyển giao Bị hạn chế và các điều khoản Chuyển giao Bị hạn chế ở trên sẽ được áp dụng; và
(b) Taboola có thể, theo quyết định tuyệt đối của mình, chọn tạm ngừng hoặc chấm dứt việc chuyển giao Dữ liệu Chia sẻ cho Đối tác mà không phải chịu bất kỳ hình phạt nào.
9. Bồi thường
Đối tác sẽ bảo vệ Taboola và các giám đốc, cán bộ, nhân viên, đại lý và khách hàng của mình (các “Người được bồi thường của Taboola”) khỏi và chống lại bất kỳ và tất cả các khiếu nại, yêu cầu, vụ kiện, thủ tục và hành động do bên thứ ba đưa ra liên quan đến cáo buộc rằng Đối tác đã vi phạm DPA này hoặc các Luật Bảo vệ Dữ liệu Áp dụng và sẽ bồi thường cho Người được bồi thường của Taboola cho tất cả các thiệt hại, tổn thất, chi phí và chi phí (bao gồm cả phí luật sư hợp lý) phát sinh bởi Người được bồi thường của Taboola do hoặc kết quả từ khiếu nại đó.
10. Các điều khoản khác
Đối tác hoàn toàn chịu trách nhiệm về việc tuân thủ các Luật Bảo vệ Dữ liệu Áp dụng trong việc xử lý Dữ liệu Chia sẻ.
Trong trường hợp có bất kỳ thay đổi nào đối với các Luật Bảo vệ Dữ liệu Áp dụng, Taboola có thể sửa đổi và cập nhật DPA này ở những nơi và trong phạm vi cần thiết để tuân thủ các thay đổi đó trong các Luật Bảo vệ Dữ liệu Áp dụng.
Có hiệu lực từ ngày có hiệu lực của DPA này, các tham chiếu đến “Thỏa thuận” trong DPA này hoặc Thỏa thuận Cơ sở sẽ có nghĩa là Thỏa thuận Cơ sở được bổ sung bởi DPA này.
PHỤ LỤC I
Mô tả chia sẻ dữ liệu
A. DANH SÁCH CÁC BÊN
| Taboola - Data exporter(s) | |
|---|---|
| Name: | See Taboola’s details set out in the Underlying Agreement. |
| Address: | See Taboola’s details set out in the Underlying Agreement. |
| Contact person’s name, position and contact details: | privacy@taboola.com |
| Activities relevant to the data transferred under these Clauses: | Disclosure of Shared Data for the Permitted Purpose. |
| Signature and date: | This DPA shall automatically be deemed executed upon execution of the Underlying Agreement. |
| Role (controller/processor): | Controller. |
| Partner - Data importer: | |
|---|---|
| Name: | See Partner’s details set out in the Underlying Agreement. |
| Address: | See Partner’s details set out in the Underlying Agreement. |
| Contact person’s name, position and contact details: | See Partner’s details set out in the Underlying Agreement. |
| Activities relevant to the data transferred under these Clauses: | Receipt and processing of Shared Data for the Permitted Purpose. |
| Signature and date: | This DPA shall automatically be deemed executed upon execution of the Underlying Agreement. |
| Role (controller/processor): | Controller. |
B. MÔ TẢ VỀ CHUYỂN NHƯỢNG
| Description of Transfer | |
|---|---|
| Categories of data subjects whose personal data is transferred | Visitors to digital properties (such as websites and mobile applications) owned by customers of Taboola and who have integrated Taboola’s advertising technologies on those properties. |
| Categories of personal data transferred | Pre-partnership Integration: Unique User IDs from RTB partners Cookie match / sync / table (either Taboola or Partner can host and the non-hosting party must share data points) Bid request includes: Unique ID of the bid request (provided by the exchange) IMP object representing the impression offered Publisher site or app represented App Device Auction Type Maximum Time Currency Blocked Categories Device ID Taboola User ID Calling Tag Partners: URL |
| Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialised training), keeping a record of access to the data, restrictions for onward transfers or additional security measures | Not applicable. |
| The frequency of the transfer (e.g. whether the data is transferred on a one-off or continuous basis) | Continuous for the duration of the Underlying Agreement. |
| Nature of the processing | Processing of Shared Data by Partner for the purposes of real-time bidding in order to buy and sell advertising inventory on digital properties of Taboola’s customers. |
| Purpose(s) of the data transfer and further processing | Partner processes Shared Data, for the following purposes: Serve personalized and behavioral recommendations. Determine whether to bid on a placement and serve personalized recommendations. |
| The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period | For the duration of the Underlying Agreement and as otherwise required by applicable law. |
| For transfers to (sub-) processors, also specify subject matter, nature and duration of the processing | Not applicable. |
C. CƠ QUAN GIÁM SÁT CÓ THẨM QUYỀN
| Competent Supervisory Authority | |
|---|---|
| Competent supervisory authority where the EU GDPR applies | The competent supervisory authority shall be determined in accordance with Clause 13 of Module 1 of the EU Standard Contractual Clauses. |
| Competent supervisory authority where the UK GDPR applies | The Information Commissioner’s Office |
PHỤ LỤC II
Các Biện pháp Bảo mật
Mô tả về các biện pháp kỹ thuật và tổ chức được thực hiện bởi mỗi bên (bao gồm bất kỳ chứng nhận liên quan nào) để đảm bảo mức độ bảo mật phù hợp, xem xét đến bản chất, phạm vi, bối cảnh và mục đích của việc xử lý, và các rủi ro đối với quyền và tự do của các cá nhân. Đối tác đại diện và đảm bảo rằng họ có các biện pháp kỹ thuật và tổ chức phù hợp tương tự như các biện pháp bảo mật của Taboola được chỉ định dưới đây.
Các biện pháp giả danh và mã hóa dữ liệu cá nhân: Taboola chỉ thu thập dữ liệu đã được giả danh, có nghĩa là chúng tôi không biết bạn là ai vì chúng tôi không biết hoặc xử lý tên, địa chỉ email hoặc dữ liệu nhận dạng khác của người dùng. Thông tin người dùng mà chúng tôi thu thập bao gồm, nhưng không giới hạn ở, thông tin về thiết bị và hệ điều hành của người dùng, địa chỉ IP, các trang web mà người dùng truy cập trong các trang web của khách hàng của chúng tôi, liên kết dẫn đến trang web của khách hàng, ngày và giờ mà người dùng truy cập trang web của khách hàng và các dữ liệu duyệt web khác. CookieID được ẩn danh bằng cách sử dụng Bcrypt và địa chỉ IP được cắt ngắn.
Các biện pháp đảm bảo tính bảo mật, toàn vẹn, khả năng sẵn có và khả năng phục hồi liên tục của các hệ thống và dịch vụ xử lý: Taboola sử dụng nhiều cấp độ bảo mật điện tử (ví dụ: bảo mật điểm cuối, bảo mật phía máy chủ, theo dõi phát hiện, kiểm tra xâm nhập định kỳ và thu thập thông tin sâu để xem xét các sự kiện sau khi xảy ra).
Biện pháp đảm bảo khả năng khôi phục tính khả dụng và truy cập vào dữ liệu cá nhân một cách kịp thời trong trường hợp xảy ra sự cố vật lý hoặc kỹ thuật: Taboola duy trì 9 trung tâm dữ liệu hoạt động trên toàn thế giới. Mỗi trung tâm dữ liệu được sử dụng như một bản sao của nhau, vì vậy nếu một trung tâm gặp sự cố, dữ liệu có thể được trích xuất từ trung tâm dữ liệu khác.
Quy trình kiểm tra, đánh giá và đánh giá định kỳ hiệu quả của các biện pháp kỹ thuật và tổ chức nhằm đảm bảo an ninh cho việc xử lý: Taboola duy trì các quy trình nghiêm ngặt để kiểm tra hiệu quả của các biện pháp kiểm soát (cả kỹ thuật và tổ chức). Chúng tôi có hệ thống ghi nhật ký và giám sát, kiểm tra DR hàng tháng (ít nhất), kiểm tra xâm nhập hàng quý, tường lửa bảo vệ web và honeypots phân tán trên mạng để phát hiện bất kỳ hoạt động độc hại nào. Hơn nữa, chúng tôi có chương trình thưởng giúp chúng tôi liên tục giám sát mạng của mình.
Biện pháp xác định và ủy quyền người dùng: Mỗi người dùng trong Taboola đều được gán một tên người dùng và mật khẩu riêng. Mọi truy cập vào mạng nội bộ của Taboola đều được thực hiện với 2FA sử dụng xác thực của Google. Người dùng chỉ được tạo ra bởi bộ phận CNTT, trong quá trình tiếp nhận và chỉ sau khi nhận được tất cả thông tin và hợp đồng đã ký từ bộ phận nhân sự.
Biện pháp bảo vệ dữ liệu trong quá trình truyền tải: Taboola hỗ trợ bất kỳ truyền tải dữ liệu nào thông qua các giao thức truyền tải an toàn (HTTPS và TLS v1.2 tối thiểu). Hơn nữa, các hệ thống có thể chứa PII được bảo mật và dữ liệu được giữ ở dạng băm và ẩn danh.
Biện pháp bảo vệ dữ liệu trong quá trình lưu trữ: Dữ liệu được lưu trữ trong cơ sở dữ liệu của chúng tôi được ẩn danh và băm bằng Bcrypt. Quyền truy cập vào DB được tối thiểu hóa và dựa trên nguyên tắc ‘cần biết trong kinh doanh’.
Biện pháp đảm bảo an ninh vật lý cho các địa điểm mà dữ liệu cá nhân được xử lý: Mỗi trung tâm dữ liệu toàn cầu của Taboola (tại Mỹ, Châu Âu và Châu Á) đều có tất cả các máy chủ được đặt trong tủ khóa được duy trì độc quyền cho việc sử dụng của Taboola. Các tủ này được duy trì bởi các công ty được chứng nhận SOC2 hoặc Taboola đã xem xét các biện pháp an ninh của họ. Hơn nữa, bất kỳ quyền truy cập nào vào các máy chủ đều yêu cầu sự cho phép bằng văn bản và được ghi lại. Tất cả các văn phòng của Taboola cũng được kiểm soát và yêu cầu nhân viên sử dụng thẻ truy cập để vào. Hơn nữa, chỉ một số lượng hạn chế nhân viên có quyền truy cập vào các máy chủ của Taboola và bất kỳ quyền truy cập nào cũng yêu cầu sự cho phép bằng văn bản và được ghi lại.
Biện pháp đảm bảo ghi lại sự kiện: Taboola triển khai các công cụ giám sát và các bản ghi được thu thập vào hệ thống SIEM của chúng tôi, hệ thống này cảnh báo chúng tôi về bất kỳ sự kiện đáng ngờ nào và cũng được theo dõi bởi đội ngũ NOC.
Biện pháp đảm bảo cấu hình hệ thống, bao gồm cấu hình mặc định: Các máy chủ được quét để phát hiện cả sự sai lệch cấu hình và mức độ bản vá. Việc báo cáo và/hoặc cảnh báo được thiết lập trên cả hai và mức độ bản vá liên quan được xác nhận. Các bản vá mới được phân phối bằng cách sử dụng Puppet. Tất cả các đánh giá kỹ thuật được quản lý thông qua ứng dụng R&D và thu được thông qua một quy trình đánh giá chính thức (QA) sau khi mã hóa và quy trình CI/CD được thực hiện.
Biện pháp cho quản trị và quản lý IT nội bộ và an ninh IT: Taboola được chứng nhận ISO/IEC 27001:2013 và ISO/IEC 27701:2019. Taboola có một Chính sách An ninh Thông tin quy định rằng Hội đồng Quản trị và ban quản lý của Taboola cam kết bảo vệ tính bảo mật, toàn vẹn và khả năng truy cập của tất cả các tài sản thông tin vật lý và điện tử trong toàn tổ chức của họ. Taboola tổ chức các khóa đào tạo an ninh cho tất cả nhân viên mới, đào tạo chống lừa đảo cho tất cả nhân viên toàn cầu và các khóa đào tạo an ninh định kỳ cho tất cả nhân viên, đồng thời dành các buổi học cho các nhóm R&D.
Biện pháp cho chứng nhận/đảm bảo quy trình và sản phẩm: Kiểm toán nội bộ hàng quý / nửa năm / hàng năm trên nhiều quy trình và hệ thống để xác nhận rằng Taboola đang tuân thủ các mục tiêu và biện pháp an ninh đã được xác định.
Biện pháp đảm bảo giảm thiểu dữ liệu: Taboola cố ý giới hạn dữ liệu mà chúng tôi thu thập như một phần của các nguyên tắc giảm thiểu dữ liệu toàn cầu của Taboola, chỉ xử lý dữ liệu hạn chế cần thiết cho các mục đích kinh doanh cụ thể của chúng tôi. Hơn nữa, Taboola không có khả năng, cũng như không có nhu cầu kinh doanh, để “kỹ thuật đảo ngược” bất kỳ điểm dữ liệu nào được sử dụng trong thuật toán của chúng tôi nhằm cung cấp dịch vụ của chúng tôi. Cụ thể hơn, các điểm dữ liệu mà Taboola thu thập không bao giờ chỉ ra danh tính của người dùng — vì Taboola không thu thập hoặc xử lý thông tin như tên người dùng, số điện thoại, email hoặc địa chỉ vật lý. Thay vào đó, Taboola chỉ thu thập các định danh giả, chỉ xác định các đặc điểm về thiết bị của người dùng. Điều này bao gồm địa chỉ IP (được rút ngắn khi thu thập và chỉ có thể xác định vị trí mã bưu chính chung của thiết bị, nhưng không bao giờ là vị trí địa lý chính xác) và, trong một số trường hợp hạn chế, địa chỉ email đã băm (vốn không thể đảo ngược và không thể giải mã để tiết lộ địa chỉ email gốc). Hơn nữa, ngay cả khi được sử dụng tập thể, dữ liệu mà chúng tôi thu thập không bao giờ có thể tạo ra tên, số điện thoại, email hoặc địa chỉ vật lý của một cá nhân, và các kỹ sư của chúng tôi không làm việc theo bất kỳ cách nào để đạt được mục tiêu này. Ngoài ra, Taboola thực hiện và ghi lại các đánh giá tác động về quyền riêng tư nhằm giảm thiểu rủi ro về quyền riêng tư của các dịch vụ, quy trình và chính sách của chúng tôi.
Biện pháp đảm bảo chất lượng dữ liệu: Dữ liệu được thu thập trực tiếp từ người dùng và người dùng được tạo cơ hội để sửa bất kỳ dữ liệu nào liên quan đến CookieID của họ thông qua Cổng yêu cầu truy cập của Taboola: https://accessrequest.taboola.com/access
Biện pháp đảm bảo thời gian lưu trữ dữ liệu hạn chế: Chúng tôi giữ thông tin người dùng, được thu thập trực tiếp nhằm mục đích phục vụ quảng cáo, tối đa là mười ba (13) tháng kể từ lần tương tác cuối cùng của người dùng với các dịch vụ của chúng tôi (thường là trong thời gian ngắn hơn), sau thời gian đó chúng tôi sẽ loại bỏ các định danh duy nhất hoặc tổng hợp dữ liệu để không còn nhận diện được. Quá trình này được thực hiện tự động.
Biện pháp đảm bảo trách nhiệm: Taboola thực hiện nhiều cuộc kiểm tra an ninh và kiểm tra xâm nhập (nhưng không cho tất cả các hệ thống). Taboola cũng sử dụng các nhà cung cấp đám mây được chứng nhận ISO và tuân thủ các chứng nhận liên quan đến đám mây khác để duy trì các biện pháp bảo vệ vật lý của máy chủ.
Biện pháp cho phép di chuyển dữ liệu và đảm bảo xóa bỏ: Taboola liên quan đến việc xử lý phương tiện giống như tất cả các loại phương tiện vì nó có thể chứa thông tin cá nhân. Bất kỳ phương tiện nào cũng phải được xóa hoàn toàn trước khi được tái sử dụng hoặc xử lý. Bất kỳ việc xử lý phương tiện nào cũng được ghi lại. Nhân viên được hướng dẫn không in bất kỳ tài liệu nào có thể chứa thông tin cá nhân.