0 検索結果
            結果に戻る

              データ保護契約書 (English Version)

              データ保護契約書(Data Protection Agreement、「DPA」)は、SecureWorksとお客様との間で締結されたMSAの一部を構成し、SecureWorksがお客様に提供するサービスにおいて「プライバシー法」の対象となる「個人データ」の処理を行う場合に適用されます(カッコ内の用語は以下に定義されます。)。別途明記される場合を除き、MSAに基づいて処理される個人データについて、お客様は「データ管理者」となり、SecureWorksは「データ処理者」となります。DPAとMSAの条項が抵触する場合、DPAの範囲においてDPAが優先するものとします。

              1. 定義: DPAにおいて使用される「データ管理者」、「データ主体」「データ処理者」および「監督当局」という用語は、「プライバシー法」において定義された意味と同じ意味を有するものとします。DPAにおいて定義されていない用語は、MSAの定義に従うものとします。

              1.1データ侵害」とはSecureWorksがDPAに基づくセキュリティ義務に実際に違反したことにより生じた、伝送、保管、その他の手段により処理された、偶発的または不正な個人データの毀損、消失、変更、漏洩またはアクセスを意味します。

              1.2個人データ」とは、本サービスの提供に関してSecureWorksがお客様のためにデータ処理者として処理した、識別された自然人または識別可能な自然人に関連する、プライバシー法によって保護されるすべての情報を意味します。

              1.3 プライバシー法」とは、MSAの各当事者が規制の対象となる、または、本サービスに係るすべてのデータ保護およびプライバシーに関する法律、法令、指令その他の規制(改正法を含む)を意味します。日本の個人情報の保護に関する法律およびEU一般データ保護規則(General Data Protection Regulation 2016/679、 「GDPR」)を含みますが、これらに限られないものとします。

              1.4 処理」とは、自動的手段で行われるか否かにかかわらず、個人データに対して行われる収集、記録、組織化、構造化、保管、修正もしくは変更、復旧、参照、利用、伝送による開示、周知もしくはその他の方法による提供、整列もしくは結合、制限、消去または破棄などの操作を意味します。

              1.5 セキュリティイベント・データ」とは、サービスの提供に関連してSecureWorksが収集する、セキュリティイベントに関する情報を意味します。

              1.6 サービス」とは、SecureWorksがお客様に提供する、MSSサービスおよびコンサルティングサービスを意味します。

              1.7 復処理者」とは、個人データの処理に関連してSecureWorksに関与する、SecureWorksの関連会社、委託先を含む、第三者を意味します。


              2. 処理の内容 MSAおよびDPAに基づいて行われる処理の内容は、別紙1に記載の通りとします。


              3. 法律の遵守 両当事者は、プライバシー法に規定される各々の義務を遵守するものとします。特にお客様は、個人データをSecureWorksに開示、伝送、その他の手段で提供する前に、自己または(関係する場合は)各関連会社のためにプライバシー法を遵守するために必要なすべての許可および同意を取得すること、また、個人データがMSAおよびDPAに基づいて処理される利用目的についてデータ主体に対する適切な通知を行うことを表明し、保証します。


              4. SecureWorksの義務

              4.1 指示 SecureWorksは、(法令上の要請がない限り)個人データをお客様の適切で正当な指示に基づいて処理するものとします。お客様は、SecureWorksに対して、本サービスを提供するために個人データを処理し、SecureWorksのMSAおよびDPAに基づく権利および義務に従うよう指示するものとします。MSAおよびDPAは、個人データの処理に関するSecureWorksに対するお客様のすべての指示を構成するものとします。両当事者間における指示の追加または変更は、書面により合意されるものとし、指示に従うことによって追加の費用が生じる場合は、費用の取扱いについて取り決めるものとします。SecureWorksは、お客様の指示が適用される法律を遵守しているかについて判断する責任を負いませんが、お客様の指示が、適用されるプライバシー法の規定に反するという意見を有する場合、お客様に対して合理的に速やかにその旨をお客様に通知することにより、当該指示に従う義務を負わないものとします。

              4.2 機密保持義務 個人データが(適用される法律に従い)機密情報とされる範囲において、SecureWorksは、個人データをMSA第8条に基づき機密情報として取り扱うものとし、個人データにアクセスする権限を持つ者(復処理者を含む)に対して、本条に定める義務と同等の義務を課すものとします。

              4.3 開示 SecureWorksは、次の各号に定める場合、個人データを第三者(関連会社および復処理者を含む)に開示することができるものとします。

              (a) お客様の合理的で正当な指示に従う場合

              (b) 本サービスの提供に関連し、MSAおよびDPAによって許諾されている場合

              (c) プライバシー法を遵守するために必要な場合、またはSecureWorksおよびSecureWorksの関連会社もしくは復処理者に対して管轄権を有する裁判所、審判機関、規制当局、政府当局から開示を要求された場合。ただし、SecureWorksは、(法律に従って認められる範囲において)お客様に対して当該個人データの開示について事前に通知するものとし、開示範囲を法令上必要な範囲に限定するために、合理的な範囲でお客様に協力するものとします。

              4.4 データ主体の権利に関する支援 SecureWorksは、本サービスに関して、データ主体が個人データに関して(アクセス、変更および消去を含むがこれらに限定されない)プライバシー法に基づく権利を行使した場合に、お客様が要求に応じる上で、合理的な範囲において支援するものとします。SecureWorksは、当該支援に費用を要する場合、お客様に対して請求する権利を有するものとします。SecureWorksは、データ主体からMSAの有効期間内に個人データに関連して適用されるプライバシー法に基づく権利の行使について要求を受けたときは、お客様に対して合理的に速やかに通知するものとします。

              4.5 セキュリティSecureWorksは、業界標準、対応に掛かる費用、種類、範囲、文脈および処理の目的、その他個人データの処理に関連する状況を考慮し、SecureWorksのポリシーに従って、個人データに関する適切なセキュリティリスクのレベルを保証するために求められる、適切な技術的・組織的安全管理措置を講じるものとします。両当事者は、別紙2(情報セキュリティ基準)の内容が本条に定める個人データの適切なセキュリティ保護基準を満たすことを合意します。

              4.6 復処理者 お客様は、以下の各号に従うことを条件に、SecureWorksが本サービスの個人データを処理する復処理者(お客様ポータルに掲載され、随時更新されるリストにより特定される委託先)を指名し、利用することに同意します。

              (a) SecureWorksが復処理者との間で、(i) 復処理者が行う業務の内容と、(ii) DPAに基づいてSecureWorksが負う義務と同等の義務を復処理者に課す内容の契約を書面により締結すること。

              (b) 復処理者が(a)項に定めるデータ保護義務を満たさなかった場合、SecureWorksが当該不履行に対してお客様に対して責任を負うこと。

              4.7 個人データの消去 (理由の如何を問わず)本サービスが終了し、お客様から書面による要求があった場合、SecureWorksは合理的に速やかに個人データを消去するものとします。ただし、SecureWorksは、(a) 法律、規制、司法、監査、社内コンプライアンスの要請に基づき、必要な範囲で1部の複製物を保持できるものとし、(b) 個人データまたはその複製物をSecureWorksのシステムから消去することが合理的かつ実務上できない場合、当該期間、消去を延期することが出来るものとします。本条 (a) または (b) に基づいて消去を延期している間、DPAの規定が引き続き適用されるものとします。SecureWorksは、本条に基づく個人データに掛かる合理的な費用をお客様に請求する権利を留保するものとします。

              4.8 DPA遵守状況の報告 SecureWorksは、お客様から合理的な書面による要請を受けた場合(ただし12か月に1度の頻度を超えないものとします)、SecureWorksがDPAに基づく義務を遵守していることを証明するために合理的に必要な情報をお客様に提供します。

              4.9 監査および検査 お客様は、第4.8条に基づいてSecureWorksが提供した情報がSecureWorksのDPA遵守状況の証明として十分ではないと合理的に判断する場合、関連するSecureWorksの処理に関するDPAの遵守状況を監査または検査する目的で、次の各号に従い、関連するSecureWorksの処理に関する活動への合理的なアクセスを要請することができるものとします。

              (a) お客様は、SecureWorksに対して、監査または検査の30日以上前に合理的な書面による通知を行うものとします。(ただし、プライバシー法、監督当局の命令、両当事者間の合意、データ侵害が発生した場合に、本項の定めより短い期間が適用される場合は、この限りではないものとします。)

              (b) 監査または検査は、12か月に1回という頻度を上回る頻度で行われないものとします。(ただし、プライバシー法、監督当局の命令、両当事者間の合意、データ侵害が発生した場合に、当該頻度を上回る場合は、この限りではなものとします。)

              (c) お客様は、SecureWorksに対し、監査希望日の2週間以上前に、監査の範囲、監査期間、監査開始日を記載した詳細な監査計画書を提出するものとします。SecureWorksは、当該監査計画書を確認し、重要な懸念や質問事項を遅滞なくお客様に連絡するものとし、その後、両当事者は、最終的な監査計画を合意するものとします。

              (d) SecureWorksは、調査を実施しつつ、法令および第三者との秘密保持義務に違反しない目的で、情報へのアクセスを制限することができるものとします。(セキュリティー・オペレーション・センターの見学者用スペースからガラス越しに見学することはできますが)、お客様およびお客様の監査人による、他のお客様のお客様データを取り扱っている機密性が高く立ち入りが制限されている区域へのお客様のアクセスは、法令により厳しく制限されます。お客様は、SecureWorksのポリシー、管理基準、手続に関する機密性の高い資料または内容を、監査または検査が行われたSecureWorksのオフィスに(電子的であるか物理的であるかを問わず)放置しないものとし、自己の監査人が当該条件に従うことを保証するものとします。

              (e) お客様は、監査または検査をSecureWorksの通常の業務時間中に実施するものとし、SecureWorksの業務を中断させないものとします。

              (f) 監査または検査は、SecureWorksの関連する施設におけるポリシーおよび手続に従って行われるものとします。

              (g) お客様のために第三者が監査を実施する場合、当該第三者はMSA第8条(機密保持)と同等の義務に服するものとし、かつ、SecureWorksの直接の競合ではないものとします。SecureWorksは、当該第三者が監査を実施する前に、直接当該第三者との間で機密保持に関する契約書を締結する権利を留保するものとします。

              (h) 当該監査または検査によりSecureWorksがDPAに定める義務に違反していたことが判明した場合を除き、お客様は、SecureWorksが本条の定めに従うために発生した合理的な費用(SecureWorksが監査に対応した時間に対し、SecureWorks、社員および専門家に対して発生した費用を含む)を負担するものとします。

              お客様は、適用される法令により禁止されていない限り、本条に基づいて実施した監査報告書の写しを一部SecureWorksに提出するものとします。お客様は、当該監査報告書を、法令上の基準を満たす目的またはDPAの要件を満たすことを確認する目的で使用することができるものとします。当該監査報告書は両当事者間の機密情報に該当するものとします。


              5. 国際的な移転 SecureWorksは、本サービスの提供に関連し、または通常の業務の一環において、個人データを自己の関連会社および復処理者に移転する可能性があります。当該移転を行う場合、SecureWorksは、MSAまたはDPAに関連して移転された個人データを保護するために適切な保護措置を講じるものとします。本サービスの提供の際に、(EUデータ保護指令95/46/ECまたはGDPRに基づく十分性認定に基づかずに) 欧州経済領域 (European Economic Area、「EEA」) 域内からEEA域外へ個人データが移転される場合、当該移転は次の各号に従って行われるものとします。

              5.1 SecureWorksが、当該個人データの移転に対して適切な保護措置を講じること。

              5.2 SecureWorksが、個人データに対してアクセス権を有する可能性がある関連会社との間で、欧州委員会が承認した標準契約条項 (「標準契約条項」) を組み込んだグループ間契約を締結していること。

              5.3 SecureWorksが、必要に応じて、復処理者との間で標準契約条項を組み込んだ契約を締結していること。


              6. データ侵害 SecureWorksは、DPAに基づく自らの債務不履行に起因してデータ侵害が発生した場合、次の対応を取るものとします。

              6.1 SecureWorksは、データ侵害の発生を確認した場合、遅滞なくお客様に通知し、SecureWorksが把握している範囲でデータ侵害の概要、連絡先、当該データ侵害への実施済みの対策および今後の対策に関する情報を提供するものとします

              6.2 SecureWorksは、データ侵害に関する調査および復旧に関して、お客様に合理的な協力を提供します。(プライバシー法に基づく規制当局および影響を受けた個人に対する通知を含みますが、これらに限定されません。)

              6.3 SecureWorksは、個人データに関するデータ侵害に関して、お客様の書面による同意を得ることなく、第三者に通知しないものとします。ただし、適用される法律に基づく通知義務がある場合を除くものとし、また、本条の規定は、データ侵害により自己の個人データに影響を受けた可能性がある他のお客様への通知を妨げるものではないものとします。

              お客様が、監督当局、その他の規制当局または司法機関に対してデータ侵害に関する通知を行うことを意図する場合、(法律により禁止されている場合を除き)SecureWorksに対して当該通知内容を確認する機会を与えるものとし、SecureWorksが提示した合理的な意見および修正を反映させるものとします。


              7. 責任および費用 SecureWorksおよび復処理者は、お客様の指示に従ったために生じた、SecureWorksの作為または不作為に起因するお客様または第三者からの一切の請求について、責任を負わないものとします。


              8. セキュリティーイベント・データ SecureWorksは、本サービスの提供に関連してセキュリティイベント・データを処理するものとします。お客様は、SecureWorksが自らが顧客に提供するセキュリティサービス、製品、サービスの開発、機能向上、改良目的でセキュリティイベント・データを処理できることに同意します。SecureWorksは、セキュリティイベント・データに含まれる個人データについてはデータ管理者に該当し、SecureWorksは、(i) 適用されるプライバシー法を遵守し、(ii) DPAに定める保護基準を下回らないセキュリティ対策を講じることにより、当該セキュリティイベント・データを保護します。DPAに定める個人データの開示および移転に関する制約は、本条に定める利用目的に沿ってSecureWorksが実施する、セキュリティイベント・データの処理には適用されないものとします。ただし、MSAまたはDPAで許諾されている場合、または当該開示が適用される法律または司法手続において要求されない限り、お客様が特定可能なセキュリティイベント・データを、(関連会社および復処理者を除く)第三者に開示しないものとします。SecureWorksは、本サービスの終了時に(いかなる理由においても)セキュリティイベント・データを返却または消去する義務を負わないものとします。お客様は、本サービスに関連して自己の個人データがSecureWorksによって処理される自己の社員またはその他のデータ主体に対し、本条に規定されたセキュリティサービス、製品、サービスの開発、機能向上、改良目的で自己の個人データがSecureWorksによって処理されることについて適切な通知を行うことを保証します。お客様が、(管轄権を有する裁判所または規制当局等による)法的に拘束力を有する命令に基づき、セキュリティイベント・データを消去せざるを得ない場合、SecureWorksは当該命令に従い、速やかに、対象となるセキュリティイベント・データの匿名化、仮名化、または消去を行うことに同意します。


              9. プライバシー影響評価 お客様が、本サービスにおけるSecureWorksが行う個人データの処理の範囲で、監督当局への事前相談を含む、SecureWorksが行う個人データの処理に関連するデータ保護影響評価を実施する場合、SecureWorksは、合理的な範囲でこれに協力するものとします。ただし、SecureWorksは、当該協力に掛かる合理的な費用を請求する権利を留保するものとします。

              別紙1 – 処理の内容

              処理の目的

              SecureWorksは、MSAの条件に基づいて情報セキュリティサービスをお客様に提供し、注文書、SOW、SLA、サービス説明書その他に規定された本サービスを提供するために個人データの処理を行います。

              処理の期間

              SecureWorksは、MSAの有効期間中、個人データを取得して処理するものとし、DPAに従って個人データを返還または消去するものとします。

              データ主体

              次の区分に属する個人が、個人データの移転に係るデータ主体となります。 過去、現在、将来の、(i)従業員およびパートナー、(ii)SecureWorksが提供するサービスの対象となるお客様の情報システムを利用し、アクセスするお客様および個人、(iii)アドバイザー、コンサルタント、契約社員、業務委託先および代理人、(iv)不服申立者、取引先、照会者

              個人データの種類

              MSSサービス: 次の各号の個人データが対象となる可能性があります。

              1. ユーザ名、ユーザID、ロケーション、IPアドレス、MACアドレスなどのオンライン識別子、アクセスしたリソース、アクセス時刻、デバイス名などの、セキュリティログやアラートに含まれるITリソースに関する情報。
              2. 悪意のあるファイル、ネットワーク・フラグメント、処理内容、ドメイン名、ネットワーク接続などの、セキュリティログやアラートに関する制御情報。
              3. SecureWorksのMSSリソース(例:お客様ポータル)にアクセスするための、ユーザ・アカウント情報

              コンサルティングサービス: SecureWorksがコンサルティングサービスを提供する上で、必要に応じて処理する可能性がある個人データには、以下に例示する情報が含まれます。

              1. 連絡先情報(氏名、住所、電子メールアドレス、電話番号、FAX番号、現地タイムゾーンに関する情報)
              2. 雇用情報(会社名、職制、職位、人口統計データおよびロケーションデータ)
              3. ITシステム情報 (例:ユーザID、パスワード、コンピュータ名、ドメイン名、IPアドレス、cookieなどのソフトウェア使用パターンの追跡情報)
              4. 情報技術に関する相談、サポートおよびサービスを提供する過程で、偶発的にアクセスする可能性がある、データ主体の電子メールの内容および送信データ。(偶発的なアクセスには、電子メールの送信、ルーティング、受信に関する電子メールによるコミュニケーションおよびデータを含むものとします。)
              5. データ主体に対して、またはデータ主体のために提供される製品およびサービスの内容
              6. 財務情報(例:信用情報、支払条件および銀行口座情報)
              7. 偶発的に処理を行うことにより、明らかにされる可能性がある特別カテゴリーのデータ;人種的もしくは民族的素性、政治的思想、宗教的もしくは哲学的信条、または労働組合の加入状況、健康関連データ (身体的または精神的な健康または状態を含む)、性生活または性的指向、犯罪歴および犯罪捜査歴もしくは関連する裁判手続、ソーシャルセキュリティに関するファイルなど(該当する場合)

              別紙2 – 情報セキュリティ対策

              別紙2は、SecureWorksおよびSecureWorksの関連会社で処理または移転された個人データの保護に関する、SecureWorksの管理指針を示すものです。情報セキュリティプログラムに基づいて、SecureWorksの各部門は、自部門の管掌する責任を把握します。

              セキュリティに関する運用基準

              SecureWorksは、企業環境を保護するために情報セキュリティ運用基準を施行し、(1)情報セキュリティ、(2)システムおよび資産管理、(3)開発、(4)ガバナンスについて定めています。当該運用基準はSecureWorks のCIOよって承認され、毎年見直しが行われています。

              組織的安全管理措置

              セキュリティに関する運用基準に従うことは、各社員の義務です。運用基準を遵守するために、情報セキュリティ部門は次の役割を担います。

              • 戦略、ポリシー/基準ならびに規制の遵守、意識向上ならびに教育、リスク・アセスメント、セキュリティ要求管理、アプリケーションならびにインフラストラクチャー・コンサルティング、確認テストの実施および自社のセキュリティ指針の運用
              • 当該環境におけるセキュリティ管理を施行するためのセキュリティテスト、設計およびセキュリティソリューションの実施
              • 施行されたセキュリティソリューション、環境、資産に関するセキュリティの運用と、インシデント対応の管理
              • (eDiscoveryおよびeForensicsを含む)調査のためのセキュリティ運用、法律、データ保護および人事に関するフォレンジック調査.

              資産の分類および管理

              SecureWorksでは物理的および論理的な資産を記録し管理しています。SecureWorksのIT部門は、次のような資産を記録しています。

              • 情報資産:特定のデータベース、災害復旧計画、事業継続計画、データ分類基準、アーカイブされた情報な
              • ソフトウェア資産:特定のアプリケーション、システムソフトウェアなど。
              • 物理的資産:特定のサーバ、デスクトップ型/ノート型パソコン、バックアップ用/保管用テープ、プリンタ、通信機器など。 これらの資産は、事業への重要性に基づいて機密性の高さが分類されています。個人データの取り扱いに関する業界ガイドラインに基づいて、技術的、組織的、物理的な管理措置の枠組みが定められています。その中で、アクセス

              管理、暗号化、ロギングおよび監視、データ消去の制御が含まれる場合があります。

              人的セキュリティ

              採用プロセスにおいて、各地域の法令に基づいてスクリーニング審査が行われます。SecureWorksでは、毎年従業員向けの必修コンプライアンス・トレーニングが実施され、従業員は情報セキュリティとデータ・プライバシーに関するオンライン・コースを受講し、合格することが義務付けられています。職種に応じて、セキュリティ啓発プログラムに基づいてその他の資料が提供されます。

              物理的・環境的セキュリティ

              SecureWorksは、物理的なセキュリティのリスクを低減するため、様々な技術的・運用上の手段を講じています。SecureWorksのセキュリティチームは、各拠点の担当者と適切な対策を導入し、物理的な施設、事業内容、既知の脅威に関する変更点について継続的に確認します。また、セキュリティチームは、業界のベストプラクティスの情報を得て、全体として、独自の事業慣行とSecureWorksの期待値の両方を満たす手法を選択します。SecureWorksは、アーキテクチャ、運用、システムを含む、管理の要素を考慮したうえで、セキュリティに対する取り組みを検討するものとします。

              コミュニケーションおよび運用管理

              IT部門は、集中的な変更管理プログラムによって、企業インフラ、システム、アプリケーションに対する変更を管理します。テスト、ビジネス影響評価、必要に応じて経営層の承認などが含まれます。セキュリティおよびデータ保護に係るインシデントに対する、インシデント対応計画が策定されており、インシデント分析、封じ込め、対応、殲滅、報告、通常業務への復旧について定められています。

              悪意のある資産の使用および悪意のあるソフトウェアから防御するために、リスクに応じた追加の対策が講じられており、情報セキュリティ運用基準の制定、アクセス権の制御、開発およびテスト環境の整備、サーバ、デスクトップ型/ノート型パソコンにおけるウィルス検知、電子メールおよび添付ファイルのスキャン、システムコンプライアンスのスキャン、侵入防止の監視および対応、主要なイベントのロギングおよび通知、データの種類に応じた情報取扱手順、eコマースのセキュリティおよびネットワークセキュリティ、システム/アプリケーションの脆弱性スキャンなどが含まれます。

              アクセス管理

              承認を取得する適切な手続きによって、企業システムへのアクセス権は制限されています。故意その他の理由を問わず、不正使用のリスクを低減するため、アクセス権は職務の分離と最小権限の原則に基づいて付与されます。リモートアクセスおよび無線接続は制限されており、ユーザおよびシステム上のセキュリティの設定が必要となっています。主要なデバイスとシステムの特定のイベントログは集中的に収集され、インシデント対応およびフォレンジック調査を可能にするために例外事項が報告されています。

              システム開発およびメンテナンス

              SecureWorksは、公表された第三者の脆弱性について、自社の環境での適用性を検討します。SecureWorksの事業およびお客様へのリスクを踏まえ、対処に向けた時間軸をあらかじめ設定しています。また、リスクに応じて、新規の主要なアプリケーションに対し、脆弱性スキャンおよび診断を実施しています。リスクに応じて、コードの脆弱性を事前に把握するために、実装前に開発環境でコードレビューおよびスキャンを行っています。これらの手続によって積極的に脆弱性を特定し、コンプライアンスを推進しています。

              コンプライアンス

              情報セキュリティ部門、法務部門、プライバシーおよびコンプライアンス部門は、SecureWorksに適用され得る適用法令の把握に協力しています。自社およびお客様の知的財産権、ソフトウェアの使用権、従業員およびお客様の個人情報の保護、データ保護およびデータ取扱手続、越境データ移転、財務および運用手続、技術に関する輸出規制、フォレンジック対応などの項目が含まれますが、これらに限定されません。情報セキュリティプログラム、プライバシー委員会、内部/外部監査およびアセスメント、 社内/社外弁護士による相談、内部管理アセスメント、社内ペネトレーションテストおよび脆弱性診断、契約管理、セキュリティ啓発、セキュリティ・コンサルティング、ポリシーの例外審査、リスク管理などを兼ね備えることによってコンプライアンスを推進しています。



              Data Protection Agreement

              This Data Protection Agreement ("DPA") forms part of the MSA between the Customer and Secureworks and shall apply where the provision of Services by Secureworks to Customer involves the processing of Personal Data (as defined below) which is subject to Privacy Laws. Except as otherwise expressly stated, Customer is the controller and Secureworks is the processor (as defined below) of the Personal Data processed under this MSA. In the event of a conflict between this DPA and the MSA, this DPA shall control with respect to its subject matter.

              1. Definitions: References in this DPA to "controller", "data subject", "processor" and "supervisory authority" shall have the meanings ascribed to them under Privacy Laws. Capitalised terms that are not defined in this DPA shall have the meaning set out in the MSA. In this DPA:

              1.1 "Data Breach"means an actual breach by Secureworks of the security obligations under this DPA leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to, the Personal Data transmitted, stored or otherwise processed.

              1.2 "Personal Data"means any information relating to an identified or identifiable natural person which is processed by Secureworks, acting as a processor on behalf of the Customer, in connection with the provision of the Services and which is subject to Privacy Laws.

              1.3 "Privacy Laws" means any data protection and/or privacy related laws, statutes, directives, or regulations (and any amendments or successors thereto) to which a party to the MSA is subject and which are applicable to the Services including, without limitation, the General Data Protection Regulation 2016/679 when it comes into effect.

              1.4 "processing" (and its derivatives) means any operation(s) performed on personal data, whether or not by automated means, including the collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction.

              1.5 "Security Event Data" means information related to security events which is collected during SecureWorks’ provision of services.

              1.6 "Services" means the MSS Service and/or Consulting Service provided by Secureworks to Customer.

              1.7 "Subprocessor" means a third party engaged by Secureworks (including without limitation an Affiliate and/or subcontractor of Secureworks) in connection with the processing of the Personal Data.

              2. Description of processing: a description of the processing activities to be undertaken as part of the MSA and this DPA are set out in Annex 1.

              3. Compliance with laws: the parties agree to comply with their respective obligations under Privacy Laws. In particular, Customer warrants and represents (on its behalf and on behalf of each of its Affiliates where applicable) that it has obtained all necessary authorisations and consents required for compliance with Privacy Laws prior to disclosing, transferring, or otherwise making available any Personal Data to Secureworks and that it has provided appropriate notifications to data subjects describing the purpose for which their personal data will be used pursuant to this DPA and MSA.

              4. Secureworks obligations

              4.1 Instructions: Secureworks shall process the Personal Data only in accordance with Customer's reasonable and lawful instructions (unless otherwise required to do so by applicable law). Customer hereby instructs Secureworks to process the Personal Data to provide the Services and comply with Secureworks' rights and obligations under the MSA and this DPA. The MSA and DPA comprise Customer's complete instructions to Secureworks regarding the processing of Personal Data. Any additional or alternate instructions must be agreed between the parties in writing, including the costs (if any) associated with complying with such instructions. Secureworks is not responsible for determining if Customer's instructions are compliant with applicable law, however, if Secureworks is of the opinion that a Customer instruction infringes applicable Privacy Laws, Secureworks shall notify Customer as soon as reasonably practicable and shall not be required to comply with such infringing instruction.

              4.2 Confidentiality: To the extent the Personal Data is confidential (pursuant to applicable law), Secureworks shall maintain the confidentiality of the Personal Data in accordance with Section 8 of the MSA and shall require persons authorised to process the Personal Data (including its Subprocessors) to have committed to materially similar obligations of confidentiality.

              4.3 Disclosures: Secureworks may only disclose the Personal Data to third parties (including without limitation its Affiliates and Subprocessors) for the purpose of:

              (a) complying with Customer's reasonable and lawful instructions

              (b) as required in connection with the Services and as permitted by the MSA and/or this DPA, and/or

              (c) as required to comply with Privacy Laws, or an order of any court, tribunal, regulator or government agency with competent jurisdiction to which Secureworks, its Affiliates and/or Subprocessors is subject PROVIDED that Secureworks will (to the extent permitted by law) inform the Customer in advance of any disclosure of Personal Data and will reasonably co-operate with Customer to limit the scope of such disclosure to what is legally required.

              4.4 Assisting with data subject rights: Secureworks shall, as required in connection with the Services and to the extent reasonably practicable, assist Customer to respond to requests from data subjects exercising their rights under Privacy Laws (including without limitation the right of access, rectification and/or erasure) in respect of the Personal Data. Secureworks reserves the right to charge Customer for such assistance if the cost of assisting exceeds a nominal amount. Secureworks shall notify Customer as soon as practicable of any request Secureworks receives from data subjects relating to the exercise of their rights under applicable Privacy Laws during the Term of the MSA (to the extent such request relates to the Personal Data).

              4.5 Security: Taking into account industry standards, the costs of implementation, the nature, scope, context and purposes of the processing and any other relevant circumstances relating to the processing of the Personal Data, Secureworks shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk in respect of any Personal Data in accordance with Secureworks policies. The parties agree that the security measures described in Annex 2 (Information Security Measures) provide an appropriate level of security for the protection of Personal Data to meet the requirements of this clause.

              4.6 Subprocessors: Customer agrees that SecureWorks may appoint and use Subprocessors (which are identified on the subcontractor list posted on the Portal, as updated from time to time) to process the Personal Data in connection with the Services PROVIDED that:

              (a) Secureworks puts in place a contract in writing with each Subprocessor that imposes obligations that are (i) relevant to the services to be provided by the Subprocessors and (ii) materially similar to the rights and/or obligations granted or imposed on Secureworks under this DPA; and

              (b) where a Subprocessor fails to fulfil its data protection obligations as specified above, Secureworks shall be liable to the Customer for the performance of the Subprocessor's obligations.

              4.7 Deletion of Personal Data: Upon termination of the Services (for any reason) and if requested by Customer in writing, Secureworks shall as soon as reasonably practicable delete the Personal Data, PROVIDED that Secureworks may: (a) retain one copy of the Personal Data as necessary to comply with any legal, regulatory, judicial, audit or internal compliance requirements; and/or (b) defer the deletion of the Personal Data to the extent and for the duration that any Personal Data or copies thereof cannot reasonably and practically be expunged from Secureworks' systems; and for such retention or deferral periods as referred to in subparagraphs (a) or (b) of this clause, the provisions of this DPA shall continue to apply to such Personal Data. Secureworks reserves the right to charge Customer for any reasonable costs and expenses incurred by Secureworks in deleting the Personal Data pursuant to this clause.

              4.8 Demonstrating compliance: Secureworks shall, upon reasonable prior written request from Customer (such request not to be made more frequently than once in any twelve month period), provide to Customer such information as may be reasonably necessary to demonstrate Secureworks' compliance with its obligations under this DPA.

              4.9 Audits and inspections: Where Customer reasonably considers the information provided under clause 4.8 above is not sufficient to demonstrate Secureworks' compliance with this DPA, Customer may request reasonable access to Secureworks' relevant processing activities in order to audit and/or inspect Secureworks' compliance with this DPA PROVIDED THAT:

              (a) Customer gives Secureworks reasonable prior written notice of at least thirty (30) days before any audit or inspection (unless a shorter notice period is required by Privacy Laws, an order of a supervisory authority, otherwise agreed between the parties or in the event of a Data Breach)

              (b) audits or inspections may not be carried out more frequently than once in any twelve month period (unless required more frequently by Privacy Laws, an order of a supervisory authority, otherwise agreed between the parties or in the event of a Data Breach)

              (c) Customer submits to Secureworks a detailed audit plan at least two weeks in advance of the proposed audit date describing the proposed scope, duration and start date of the audit. Secureworks shall review the audit plan and provide Customer with any material concerns or questions without undue delay. The parties will then reasonably cooperate to agree a final audit plan

              (d) Secureworks may restrict access to information in order to avoid compromising a continuing investigation, violating law or violating confidentiality obligations to third parties. Any access to sensitive or restricted facilities by Customer is strictly prohibited due to regulatory restrictions on access to other customers' data, although Customer and/or its auditor shall be entitled to observe the security operations center via a viewing window). Customer shall not (and must ensure that its auditor shall not) allow any sensitive documents and/or details regarding Secureworks' policies, controls and/or procedures to leave the Secureworks location at which the audit or inspection is taking place (whether in electronic or physical form)

              (e) Customer carries out the audit or inspection during normal business hours and without creating a business interruption to Secureworks

              (f) the audit or inspection is carried out in compliance with Secureworks' relevant on site policies and procedures

              (g) where the audit is carried out by a third party on behalf of the Customer, such third party is bound by similar obligations to those set out in Section 8 of the MSA (Confidentiality) and is not a direct competitor of Secureworks. Secureworks reserves the right to require any such third party to execute a confidentiality agreement directly with Secureworks prior to the commencement of an audit or inspection, and

              (h) except where the audit or inspection discloses a failure on the part of Secureworks to comply with its obligations under this DPA, Customer shall pay all reasonable costs and expenses (including without limitation any charges for the time engaged by Secureworks, its personnel and professional advisers) incurred by Secureworks in complying with this clause.

              Customer shall provide to Secureworks a copy of any audit reports generated in connection with an audit carried out under this clause, unless prohibited by applicable law. Customer may use the audit reports only for the purposes of meeting its regulatory audit requirements and/or confirming compliance with the requirements of this DPA. The audit reports shall be Confidential Information of the parties.

              5. International transfers: Secureworks may, in connection with the provision of the Services, or in the normal course of business, make international transfers of the Personal Data to its Affiliates and/or Subprocessors. When making such transfers, Secureworks shall ensure appropriate protection is in place to safeguard the Personal Data transferred under or in connection with the MSA and this DPA. Where the provision of Services involves the transfer of Personal Data from countries within the European Economic Area ("EEA") to countries outside the EEA (which are not subject to an adequacy decision under Directive 95/46/EC or the GDPR once in effect) such transfer shall be subject to the following requirements:

              5.1 Secureworks has implemented appropriate security measures to adequately protect the transfer of such Personal Data

              5.2 Secureworks has in place intra-group agreements with any Affiliates which may have access to the Personal Data, which agreements shall incorporate the EU Commission approved Standard Contractual Clauses ("Standard Contractual Clauses"); and

              5.3 Secureworks has in place agreements with its Subprocessors that incorporate the Standard Contractual Clauses (as appropriate).

              6. Data Breaches: Where a Data Breach is caused by Secureworks' failure to comply with its obligations under this DPA, Secureworks shall:

              6.1 notify Customer without undue delay after establishing the occurrence of the Data Breach and shall, to the extent such information is known or available to Secureworks at the time, provide Customer with details of the Data Breach, a point of contact and the measures taken or to be taken to address the Data Breach

              6.2 reasonably cooperate and assist Customer with any investigation into, and/or remediation of, the Data Breach (including, without limitation and where required by Privacy Laws, the provision of notices to regulators and affected individuals)

              6.3 not inform any third party of any Data Breach relating to the Personal Data without first obtaining Customer's prior written consent, except as otherwise required by applicable law provided that nothing in this clause shall prevent Secureworks from notifying other customers whose personal data may be affected by the Data Breach, and

              In the event Customer intends to issue a notification regarding the Data Breach to a supervisoryauthority, other regulator or law enforcement agency, Customer shall (unless prohibited by law) allow Secureworks to review the notification and Customer shall have due regard to any reasonable comments or amendments proposed by Secureworks.

              7. Liability and Costs: Neither Secureworks nor any Subprocessor shall be liable for any claim brought by Customer or any third party arising from any action or omission by Secureworks and/or Subprocessors to the extent such action or omission resulted from compliance with Customer's instructions.

              8. Security Event Data: Secureworks will process Security Event Data as part of its provision of Services. Customer acknowledges that Secureworks may also process Security Event Data in order to develop, enhance and/or improve its security services and the products and services it offers and provides to customers. Secureworks shall be the controller in respect of any personal data in the Security Event Data and, for the duration of its processing of such Security Event Data, Secureworks shall (i) comply with applicable Privacy Laws and (ii) safeguard such Security Event Data with security measures that are no less protective than those set out in this DPA. Restrictions on the disclosure and transfer of Personal Data in this DPA shall not apply in connection with Secureworks' processing of the Security Event Data for the purposes described in this clause, however, Secureworks shall not disclose any Security Event Data that is traceable to Customer to any third parties (other than Affiliates and Subprocessors) unless permitted under the MSA and/or this DPA, or the disclosure is required in order to comply with applicable law or legal process. Secureworks shall not be required to return or delete Security Event Data upon termination of the Services (for any reason). Customer shall ensure its personnel and any other data subjects whose personal data is processed by Secureworks in connection with the Services are appropriately notified of the fact their personal data may be processed in connection with the development, enhancement and/or provision of Secureworks' products or services as described in this clause. If Customer is compelled by a legally binding order (e.g. of a court or regulatory authority of competent jurisdiction) to have the Security Event Data deleted, then Secureworks agrees, as appropriate, to anonymise, pseudonymise or delete the Security Event Data that is the subject of the binding order as soon as practicable.

              9. Privacy Impact Assessments: Secureworks shall provide reasonable cooperation and assistance to Customer, to the extent applicable in relation to Secureworks' processing of the Personal Data and within the scope of the agreed Services, in connection with any data protection impact assessment(s) which the Customer may carry out in relation to the processing of Personal Data to be undertaken by Secureworks, including any required prior consultation(s) with supervisory authorities. Secureworks reserves the right to charge Customer a reasonable fee for the provision of such cooperation and assistance.

              Annex 1 - Processing description

              Subject matter and purpose

              Subject to the terms of the MSA, Secureworks provides information security services for the Customer and processes the Personal Data for the purpose of providing such services as set out in applicable Service Orders, SOWs, SLAs, Service descriptions or otherwise

              Duration of processing

              Secureworks will retain and process the Personal Data for the term of the MSA and in accordance with the provisions of this DPA regarding the return or deletion of the Personal Data

              Data subjects

              The Personal Data transferred may concern the following categories of data subjects: past, present and prospective (i) employees and partners, (ii) clients and individuals who use and access Customer information technology systems for which SecureWorks provides services, (iii) advisors, consultants, contractors, subcontractors and agents; and (iv) complainants, correspondents and enquirers

              Type of personal data

              For MSS Services: Personal Data may be contained:

              1. within the security logs or alerts which may include information related to IT resources access, such as user name, identification number, location, IP address, MAC address or other device identifier, resource accessed, time of access and device name;
              2. within context related to the security logs or alert which may include malicious files, network fragment, process details, domain name, network connections; and
              3. within the user account created to access Secureworks MSS resources (e.g. Portal access).

              For SRC (Consulting) Services: Personal Data which may be processed by Secureworks if necessary for the provision of the Consulting Services may include any or all of the following:

              1. contact details (which may include name, address, e-mail address, phone and fax contact details and associated local time zone information);
              2. employment details (which may include company name, job title, grade, demographic and location data);
              3. IT systems information (which may include user ID and password, computer name, domain name, IP address, and software usage pattern tracking information i.e. cookies);
              4. data subject's e-mail content and transmission data which is available on an incidental basis for the provision of information technology consultancy, support and services (incidental access may include accessing the content of e-mail communications and data relating to the sending, routing and delivery of e-mails);
              5. details of goods or services provided to or for the benefit of data subjects;
              6. financial details (e.g. credit, payment and bank details)
              7. special categories of data (if appropriate) which may involve the incidental processing of personal data which may reveal racial or ethnic origin; political opinions; religious or philosophical beliefs; trade union membership; generic data and biometric data; data concerning health (including physical or mental health or condition); sexual life or sexual orientation; criminal offences or alleged offences and any related court proceedings; social security files.


              Annex 2 – Information Security Measures

              This information security overview applies to SecureWorks' corporate controls for safeguarding personal data which is processed and transferred among SecureWorks group companies. SecureWorks' information security program enables the workforce to understand their responsibilities.

              Security Practices
              Provider has implemented corporate information security practices and standards that are designed to safeguard Provider's corporate environment and to address: (1) information security; (2) system and asset management; (3) development; and (4) governance. These practices and standards are approved by Provider's executive management and undergo a formal review on an annual basis.

              Organizational Security
              It is the responsibility of the individuals across the organization to comply with these practices and standards. To facilitate the corporate adherence to these practices and standards, the function of information security provides:
              1. Strategy and compliance with policies/standards and regulations, awareness and education, risk assessments and management, contract security requirements management, application and infrastructure consulting, assurance testing and drives the security direction of the company.
              2. Security testing, design and implementation of security solutions to enable security controls adoption across the environment.
              3. Security operations of implemented security solutions, the environment and assets, and manage incident response.
              4. Forensic investigations with security operations, legal, data protection and human resources for investigations including eDiscovery and eForensics.

              Asset Classification and Control
              Provider's practice is to track and manage physical and logical assets. Examples of the assets that Provider IT might track include:

              • Information Assets, such as identified databases, disaster recovery plans, business continuity plans, data classification, archived information.
              • Software Assets, such as identified applications and system software.
              • Physical Assets, such as identified servers, desktops/laptops, backup/archival tapes, printers and communications equipment.

              The assets are classified based on business criticality to determine confidentiality requirements. Industry guidance for handling personal data provides the framework for technical, organizational and physical safeguards. These may include controls such as access management, encryption, logging and monitoring, and data destruction.

              Personnel Security
              As part of the employment process, employees undergo a screening process applicable per regional law. Provider's annual compliance training includes a requirement for employees to complete an online course and pass an assessment covering information security and data privacy. The security awareness program may also provide materials specific to certain job functions.

              Physical and Environmental Security
              Provider uses a number of technological and operational approaches in its physical security program in regards to risk mitigation. Provider's security team works closely with each site to determine appropriate measures are in place and continually monitor any changes to the physical infrastructure, business, and known threats. They also monitor best practice measures used by others in the industry and carefully select approaches that meet both uniqueness's in business practice and expectations of Provider as a whole. Provider balances its approach towards security by considering elements of control that include architecture, operations, and systems.

              Communications and Operations Management
              The IT organization manages changes to the corporate infrastructure, systems and applications through a centralized change management program, which may include, testing, business impact analysis and management approval where appropriate. Incident response procedures exist for security and data protection incidents, which may include incident analysis, containment, response, remediation, reporting and the return to normal operations. To protect against malicious use of assets and malicious software, additional controls may be implemented based on risk. Such controls may include, but are not limited to, information security policies and standards, restricted access, designated development and test environments, virus detection on servers, desktop and notebooks; virus email attachment scanning; system compliance scans, intrusion prevention monitoring and response, logging and alerting on key events, information handling procedures based on data type, e-commerce application and network security, and system and application vulnerability scanning.

              Access Controls
              Access to corporate systems is restricted, based on procedures to ensure appropriate approvals. To reduce the risk of misuse, intentional or otherwise, access is provided based on segregation of duties and least privileges. Remote access and wireless computing capabilities are restricted and require that both user and system safeguards are in place. Specific event logs from key devices and systems are centrally collected and reported on an exceptions basis to enable incident response and forensic investigations.

              System Development and Maintenance
              Publicly released third party vulnerabilities are reviewed for applicability in the Provider environment. Based on risk to Provider's business and customers, there are pre-determined timeframes for remediation. In addition, vulnerability scanning and assessments are performed on new and key applications and the infrastructure based on risk. Code reviews and scanners are used in the development environment prior to production to proactively detect coding vulnerabilities based on risk. These processes enable proactive identification of vulnerabilities as well as compliance.

              Compliance
              The information security, legal, privacy and compliance departments work to identify regional laws, regulations applicable to Provider corporate. These requirements cover areas such as, intellectual property of the company and our customers, software licenses, protection of employee and customer personal information, data protection and data handling procedures, trans-border data transmission, financial and operational procedures, regulatory export controls around technology, and forensic requirements. Mechanisms such as the information security program, the executive privacy council, internal and external audits/assessments, internal and external legal counsel consultation, internal controls assessment, internal penetration testing and vulnerability assessments, contract management, security awareness, security consulting, policy exception reviews and risk management combine to drive compliance with these requirements.