Cookie preferences

YARDtwin uses essential cookies for authentication and session management. We don’t currently set analytics or marketing cookies, but our cookie policy categorises them ahead of any future change. Read our Privacy Policy, GDPR Policy, and Cookie Policy.

Споразумение за обработка на данни

Версия 3.0 · Последна актуализация: 9 май 2026 г. · В сила незабавно

1. Страни

Настоящото Споразумение за обработка на данни ("DPA") се сключва между Клиента ("Администратор на данни") и YARDtwin Ltd, регистрирано в Ирландия ("Обработващ данни"), заедно наричани "Страните". Настоящото DPA е неразделна част от и се подчинява на YARDtwin Условия за ползване.

2. Обхват и цел

Обработващият обработва лични данни от името на Администратора единствено с цел предоставяне на платформата за управление на двор YARDtwin: планиране на докове, операции на портата, визуализация на цифров двойник на двора, управление на превозвачи и шофьори, GMP-съвместим одитен запис, анализи и интеграции. Обработването се извършва за срока на абонамента на Администратора и всеки период на съхранение, изискван съгласно Раздел 11.

3. Категории субекти на данни

  • Служители и администратори на Администратора (поименни потребители на платформата)
  • Шофьори и логистичен персонал, регистрирани на портите на Администратора
  • Представители на превозвачи и контакти за изпращане
  • Персонал по охрана на портата и складови оператори

4. Видове лични данни

  • Данни за самоличност: имена, имейл адреси, телефонни номера, длъжност/работна позиция, наименование и адрес на дружеството
  • Данни за удостоверяване: пароли, хеширани с bcrypt (12 рунда), JWT токени за достъп и обновяване, времеви маркери на сесии, IP адреси, SSO идентификатори (Google, Microsoft)
  • Оперативни данни: записи за часове, разпределения на докове, движения на ремаркета, протоколи от проверки, документи, възлагане на задачи, регистрационни номера на превозни средства
  • Данни за шофьори: номера на шофьорски книжки, изображения на шофьорски книжки, незадължителни лицеви изображения за биометрична верификация на портата (данни от специална категория, чл. 9 GDPR — обработват се само когато Администраторът е активирал биометрична верификация на портата и е получил изрично съгласие в момента на заснемане)
  • Одитни данни: действия на потребителите, времеви маркери, IP адреси, низове на потребителски агент, разлики между стари/нови стойности, GMP-маркирани записи

5. Задължения на обработващия данни

  • Обработва лични данни само въз основа на документирани инструкции от Администратора (потребителският интерфейс и API на платформата представляват документирани инструкции)
  • Гарантира, че лицата, упълномощени да обработват данни, са обвързани с договори за поверителност
  • Прилага подходящи технически и организационни мерки за сигурност (чл. 32) — вж. Раздел 7 по-долу
  • Не ангажира под-обработващи без предварително писмено разрешение; предоставя 30-дневно предизвестие за всеки нов под-обработващ (право на възражение)
  • Съдейства на Администратора при искания на субекти на данни (чл. 15–22) чрез DSAR крайните точки, описани в Раздел 9
  • Уведомява Администратора за нарушения на сигурността на личните данни без неоправдано забавяне и в срок от 72 часа (Раздел 8)
  • Изтрива или връща всички лични данни при прекратяване на услугите (Раздел 11)
  • Предоставя цялата необходима информация за демонстриране на съответствие и подпомага одитите (Раздел 12)

6. Под-обработващи

Обработващият понастоящем ангажира следните под-обработващи, всеки от които действа въз основа на Споразумение за обработка на данни и (където е приложимо) Стандартни договорни клаузи 2021:

Подизпълнител на обработкатаЦелМестоположениеЗащитни мерки
Microsoft AzureХостинг (App Service, Postgres Flexible Server, Blob Storage, Key Vault, App Insights, Front Door + WAF)ЕИП — Швеция Централна + Норвегия ИзтокMicrosoft Online Services DPA + EU SCCs, ISO 27001, SOC 2 Type II, ISO 27018, EU Data Boundary
StripeАбонаментно фактуриране и обработка на плащания (YARDtwin не съхранява номера на карти)Stripe Ирландия (ЕИП), частична поддръжка в САЩStripe DPA + EU SCCs + PCI DSS Level 1
ResendТранзакционен имейл (добре дошли, напомняния за пробен период, отговори на DSAR, сигнали за нарушения)САЩ (Делауер)Resend DPA + EU SCCs (верификацията на допълнителни мерки по FISA 702 е в процес — вж. GDPR Policy 11.6)
Google Cloud VisionOCR на шофьорска книжка (само когато Администраторът е активирал верификация на документи на портала)Региони в ЕСGoogle Cloud DPA + EU SCCs, ISO 27001, SOC 2
Google / Microsoft (OAuth SSO)Токени за самоличност при единично влизане за потребители, избрали SSOЕИП (Microsoft Entra ID) / Глобално (Google Workspace)Microsoft / Google Cloud DPAs
AnthropicClaude API за вграден AI асистент + текстов анализ от OCR на документиСАЩ (Калифорния)Anthropic DPA + декларация за нулево съхранение + EU SCCs (верификацията на допълнителни мерки по FISA 702 е в процес)

Клиентите се уведомяват най-малко 30 дни преди добавянето на нов под-обработващ, с право на възражение и прекратяване без неустойка.

7. Мерки за сигурност (чл. 32)

  • Криптиране при пренос: TLS 1.2+ на всяка крайна точка; сертификати, управлявани от Microsoft Azure (DigiCert)
  • Криптиране в покой: Прозрачно криптиране на данни в Azure Postgres Flexible Server; криптиране на Azure Blob Storage
  • Криптиране на ниво поле: AES-256-GCM за биометрични данни (изображения на шофьорски книжки, изображения на подписи), ключове съхранявани в Azure Key Vault
  • Хеширане на пароли: bcrypt, 12 итерации
  • Удостоверяване: JWT токени за достъп (изтичане след 1 час) + токени за обновяване (изтичане след 7 дни, ротация при използване); SSO чрез Google и Microsoft за еквивалент на MFA
  • Изолация на наематели: прилагана на всеки API маршрут, регресионно тествана чрез 25-векторен одит на достъп между наематели при всяко издание
  • Контрол на достъпа въз основа на роли: шест роли (admin, ops_manager, gate_guard, warehouse_operator, carrier, super_admin), мидълуер с принцип на минимални привилегии
  • Защитна стена за уеб приложения: Azure Front Door + управляван WAF (OWASP Core Rule Set, защита от ботове, L7 DDoS)
  • Ограничаване на заявките: лимити по маршрут, по-строги за крайните точки за удостоверяване; проследяване на опити в паметта и с персистиране
  • Одитна следа: само за добавяне на ниво приложение, съхранение 6 години, записи, свързани с GMP, маркирани отделно, псевдонимизирани (не изтрити) при искане за заличаване по чл. 17 съгласно чл. 17(3)(б)
  • Непрекъснато наблюдение: Azure Application Insights, известие при отклонение в схемата (прозорец от 15 минути), крайна до крайна проба /health/db-write, работник за наблюдение на нарушения (пикове при неуспешни влизания, атаки от множество IP адреси, влизания при смяна на държава, честота на 5xx)
  • Верига за доставка на софтуер: npm audit, Trivy, Semgrep, gitleaks, OWASP ZAP при всяка заявка за сливане. Тайни данни: Azure Key Vault, достъпен чрез управлявана идентичност на App Service; без тайни данни в код, env файлове или образи на контейнери

8. Уведомяване при нарушение на сигурността на личните данни

Обработващият уведомява Администратора без ненужно забавяне и не по-късно от 72 часа след узнаване на нарушение на сигурността на личните данни, засягащо данните на Администратора (чл. 33). Уведомлението включва естеството на нарушението, категориите и приблизителния брой засегнати субекти на данни, вероятните последици, взетите или предложените мерки и референтния номер в регистъра на нарушенията. Откритите аномалии се насочват към Azure Monitor Action Group yardtwin-breach-actions; потвърдените инциденти се проследяват в таблицата на регистъра на нарушенията с обратно броене от 72 часа за DPC.

9. Права на субектите на данни

Обработващият предоставя на Администратора следните крайни точки за изпълнение на правата на субектите на данни в рамките на 30-дневния срок по чл. 12(3):

  • POST /api/v1/dsar/export/by-email — машинно четим експорт, обхващащ чл. 15 (достъп) и чл. 20 (преносимост)
  • POST /api/v1/dsar/erase/by-email — псевдонимизиране във всички таблици с лични данни, при запазено съхранение на одитните журнали съгласно чл. 17(3)(б)
  • Портал за самообслужване на заявки на адрес /data-request

10. Международни предавания

Оперативните данни се съхраняват в рамките на Европейското икономическо пространство (Microsoft Azure, Sweden Central + Norway East). Последващите предавания към подобработващи извън ЕИП (Resend, Anthropic) се уреждат от Стандартните договорни клаузи от 2021 г. с документирани оценки на въздействието върху предаването. Stripe договаря чрез Stripe Ireland (основен в ЕИП).

11. Срок, прекратяване и връщане на данни

Настоящото DPA остава в сила за срока на договора за услуги. При прекратяване:

  • Администраторът може да експортира всичките си данни в рамките на 30 дни чрез вградените функции за експорт или по заявка
  • След 30 дни Обработващият ще изтрие всички оперативни лични данни на Администратора
  • Одитните журнали се съхраняват 6 години след събитието в псевдонимизиран вид, съгласно изискванията на 21 CFR Part 11 / EU GMP Annex 11 (отмяна на задължение по чл. 17(3)(б))
  • Резервните копия се изтриват в рамките на 7 дни след оперативното изтриване, в съответствие с прозореца за възстановяване към момент от миналото

12. Права на одит

Обработващият предоставя на Администратора цялата информация, необходима за доказване на съответствие с чл. 28 от GDPR. Клиентите могат да поискат: копия от съответните сертификати за сигурност и одитни доклади (когато съществуват), актуалния регистър на подобработващите, последния доклад от регресионно тестване на изолацията на наемателите, последното обобщение на външен тест за проникване (когато е издадено, вж. GDPR Policy 11.1) и отговори на въпросник за сигурност на доставчика. Разумни одити на място или дистанционно могат да бъдат организирани с предизвестие от най-малко 30 дни, провеждани от Администратора или независима трета страна, обвързана с поверителност. Обработващият ще даде приоритет на докладите ISO 27001 / SOC 2 Type II като заместващи доказателства, след като тези сертификации бъдат получени.

13. Отговорност и приложимо право

Отговорността по настоящото DPA е предмет на ограниченията, посочени в YARDtwin Условия за ползване. Настоящото DPA се урежда от законодателството на Ирландия и Общия регламент на ЕС за защита на данните (GDPR). Всички спорове са подсъдни на съдилищата на Ирландия.

14. Контакти

За въпроси относно настоящото DPA, за заявка на подписан екземпляр или за упражняване на някое от посочените по-горе права, свържете се с admin@yardtwin.com или с длъжностното лице по защита на данните на адрес dpo@yardtwin.com. В процес на сключване е договор с външен частичен DPO (GDPR Policy 11.2); до назначаването му, поща, изпратена до dpo@yardtwin.com, се пренасочва към admin@yardtwin.com.

С приемането, Клиентът се съгласява да бъде обвързан от настоящото Споразумение за обработка на данни v3.0 като Администратор на данни.

Здравейте! Започнете безплатния си пробен период за 2 минути — ще ви помогна да настроите всичко!