Cookie preferences

YARDtwin uses essential cookies for authentication and session management. We don’t currently set analytics or marketing cookies, but our cookie policy categorises them ahead of any future change. Read our Privacy Policy, GDPR Policy, and Cookie Policy.

Tietojenkäsittelysopimus

Versio 3.0 · Viimeksi päivitetty: 9. toukokuuta 2026 · Voimassa välittömästi

1. Osapuolet

Tämä tietojenkäsittelysopimus ("DPA") tehdään asiakkaan ("rekisterinpitäjä") ja Irlantiin rekisteröidyn YARDtwin Ltd:n ("henkilötietojen käsittelijä") välillä, jäljempänä yhdessä "osapuolet". Tämä DPA on osa YARDtwin- Käyttöehdot.

2. Soveltamisala ja tarkoitus

Käsittelijä käsittelee henkilötietoja rekisterinpitäjän puolesta ainoastaan YARDtwin-pihahallinnan alustan tarjoamista varten: laitureiden aikataulutus, porttioperaatiot, digitaalisen kaksosen pihavisualisointi, kuljettaja- ja kuljetusliikehallinta, GMP-vaatimusten mukainen auditoinnin jäljitysketju, analytiikka ja integraatiot. Käsittely suoritetaan rekisterinpitäjän tilauskauden ja kohdan 11 edellyttämän säilytysajan ajaksi.

3. Rekisteröityjen ryhmät

  • Rekisterinpitäjän työntekijät ja järjestelmänvalvojat (alustan nimetyt käyttäjät)
  • Kuljettajat ja logistiikkahenkilöstö, jotka ovat kirjautuneet sisään rekisterinpitäjän porteilla
  • Kuljetusliikkeiden edustajat ja lähetyskeskusten yhteyshenkilöt
  • Porttiturvallisuus- ja varastohenkilöstö

4. Henkilötietojen tyypit

  • Henkilöllisyystiedot: nimet, sähköpostiosoitteet, puhelinnumerot, asema/tehtävänimike, yrityksen nimi ja osoite
  • Todennustiedot: bcrypt-hajautetut salasanat (12 kierrosta), JWT-käyttö- ja päivitystunnukset, istunnon aikaleimat, IP-osoitteet, SSO-tunnisteet (Google, Microsoft)
  • Operatiiviset tiedot: varaukset, laitureiden kohdennukset, perävaunujen liikkeet, tarkastustiedot, asiakirjat, tehtävänannot, ajoneuvon rekisteröinnit
  • Kuljettajatiedot: ajokorttinumerot, ajokortinkuvat, valinnaiset kasvokuvat biometristä porttivarmennusta varten (erityinen henkilötietoryhmä, art. 9 GDPR — käsitellään vain, kun rekisterinpitäjä on ottanut biometrisen varmennuksen käyttöön portilla ja hankkinut nimenomaisen suostumuksen tiedonkeruuhetkellä)
  • Auditointitiedot: käyttäjien toimenpiteet, aikaleimat, IP-osoitteet, käyttäjäagenttitiedot, vanhojen/uusien arvojen erot, GMP-merkityt tietueet

5. Käsittelijän velvollisuudet

  • Käsittelee henkilötietoja ainoastaan rekisterinpitäjän dokumentoitujen ohjeiden mukaisesti (alustan käyttöliittymä ja API muodostavat dokumentoidut ohjeet)
  • Varmistaa, että tietojenkäsittelyyn valtuutetut henkilöt ovat salassapitosopimuksen sitomia
  • Toteuttaa asianmukaiset tekniset ja organisatoriset turvatoimenpiteet (32 art.) — katso kohta 7 jäljempänä
  • Ei käytä alihenkilötietojen käsittelijöitä ilman etukäteistä kirjallista valtuutusta; ilmoittaa uudesta alihenkilötietojen käsittelijästä 30 päivää etukäteen (vastustamisoikeus)
  • Avustaa rekisterinpitäjää rekisteröityjen pyynöissä (15–22 art.) DSAR-päätepisteiden kautta, jotka on kuvattu kohdassa 9
  • Ilmoittaa rekisterinpitäjälle henkilötietoloukkauksista ilman aiheetonta viivytystä ja 72 tunnin kuluessa (kohta 8)
  • Poistaa tai palauttaa kaikki henkilötiedot palvelujen päättyessä (kohta 11)
  • Asettaa saataville kaikki tiedot, jotka ovat tarpeen vaatimustenmukaisuuden osoittamiseksi, sekä tukee auditointeja (kohta 12)

6. Alihenkilötietojen käsittelijät

Henkilötietojen käsittelijä käyttää tällä hetkellä seuraavia alihenkilötietojen käsittelijöitä, joista kukin toimii tietojenkäsittelysopimuksen ja (soveltuvin osin) vuoden 2021 vakiosopimuslausekkeiden nojalla:

AlikäsittelijäTarkoitusSijaintiSuojatoimet
Microsoft AzureHosting (App Service, Postgres Flexible Server, Blob Storage, Key Vault, App Insights, Front Door + WAF)ETA — Ruotsi Central + Norja EastMicrosoft Online Services DPA + EU SCCs, ISO 27001, SOC 2 Type II, ISO 27018, EU Data Boundary
StripeTilauslaskutus ja maksujen käsittely (YARDtwin ei tallenna korttinumeroita)Stripe Ireland (ETA), osa tuesta YhdysvalloissaStripe DPA + EU SCCs + PCI DSS Level 1
ResendTapahtumasähköpostit (tervetuloviestit, kokeilujakson muistutukset, DSAR-vastaukset, loukkaushälytykset)Yhdysvallat (Delaware)Resend DPA + EU SCCs (FISA 702 -lisätoimenpiteiden varmennus käynnissä — katso GDPR Policy 11.6)
Google Cloud VisionAjokortin OCR (vain silloin, kun rekisterinpitäjä on ottanut ajokortin tarkistuksen käyttöön portilla)EU-alueetGoogle Cloud DPA + EU SCCs, ISO 27001, SOC 2
Google / Microsoft (OAuth SSO)Kertakirjautumisen identiteettitokenit käyttäjille, jotka valitsevat SSO-kirjautumisenETA (Microsoft Entra ID) / Globaali (Google Workspace)Microsoft / Google Cloud DPA:t
AnthropicClaude API tuotteen sisäistä tekoälyavustajaa ja ajokortin OCR-tekstianalyysiä vartenYhdysvallat (Kalifornia)Anthropic DPA + nollatallennusvaatimus + EU SCCs (FISA 702 -lisätoimenpiteiden varmennus käynnissä)

Asiakkaille ilmoitetaan vähintään 30 päivää ennen uuden alihenkilötietojen käsittelijän lisäämistä, ja heillä on oikeus vastustaa sekä irtisanoa sopimus ilman sanktioita.

7. Turvatoimenpiteet (32 art.)

  • Salaus siirron aikana: TLS 1.2+ jokaisessa päätepisteessä; sertifikaatit hallinnoi Microsoft Azure (DigiCert)
  • Salaus levossa: Azure Postgres Flexible Server -läpinäkyvä tietojen salaus; Azure Blob Storage -salaus
  • Kenttätason salaus: AES-256-GCM biometrisille tiedoille (ajokorttikuvat, allekirjoituskuvat), avaimet hallinnassa Azure Key Vault -palvelussa
  • Salasanojen hajautus: bcrypt, 12 kierrosta
  • Todennus: JWT-käyttötunnisteet (1 tunnin voimassaolo) + päivitystunnisteet (7 päivän voimassaolo, rotaatio käytön yhteydessä); SSO Google- ja Microsoft-palveluiden kautta MFA-vastaavuuksilla
  • Vuokralaiskohtainen eristys: pakotettu jokaisella API-reitillä, regressiotestataan 25-vektoriristin vuokralaistarkistuksella jokaisen julkaisun yhteydessä
  • Roolipohjainen pääsynhallinta: kuusi roolia (admin, ops_manager, gate_guard, warehouse_operator, carrier, super_admin), vähimmäisoikeuksien väliohjelmisto
  • Web Application Firewall: Azure Front Door + hallittu WAF (OWASP Core Rule Set, bottiensuojaus, L7 DDoS)
  • Nopeuden rajoitus: reittikohtiset rajoitukset, tiukemmat todennuspisteissä; muistinsisäinen ja pysyvä yritysten seuranta
  • Tarkistusketju: vain lisäyksiä sovellustasolla, 6 vuoden säilytys, GMP-relevantit merkinnät merkitty erikseen, pseudonymisoitu (ei poistettu) Art. 17 mukaisen poistopyynnön yhteydessä Art. 17(3)(b) nojalla
  • Jatkuva valvonta: Azure Application Insights, skeeman muutoshälytys (15 minuutin ikkuna), päästä päähän /health/db-write-tarkistus, tietomurtojen valvonnan anomaliatyöntekijä (epäonnistuneiden kirjautumisten piikit, usean IP:n hyökkäykset, maamuutoskirjautumiset, 5xx-taso)
  • Ohjelmiston toimitusketju: npm audit, Trivy, Semgrep, gitleaks, OWASP ZAP jokaisessa PR:ssä. Salaisuudet: Azure Key Vault käytettynä App Servicen hallitun identiteetin kautta; ei salaisuuksia koodissa, ympäristötiedostoissa tai kontaineri-imagessa

8. Henkilötietojen tietoturvaloukkauksen ilmoittaminen

Käsittelijän on ilmoitettava rekisterinpitäjälle ilman aiheetonta viivytystä ja viimeistään 72 tunnin kuluessa siitä, kun se on saanut tiedon rekisterinpitäjän tietoja koskevasta henkilötietojen tietoturvaloukkauksesta (Art. 33). Ilmoituksessa on kuvattava loukkauksen luonne, asianomaisten rekisteröityjen ryhmät ja arvioitu lukumäärä, todennäköiset seuraukset, toteutetut tai ehdotetut toimenpiteet sekä tietomurtorekisterin viite. Havaitut poikkeamat ohjataan Azure Monitor Action Groupiin yardtwin-breach-actions; vahvistetut tapaukset seurataan tietomurtorekisteritaulukossa 72 tunnin DPC-lähtölaskennan kera.

9. Rekisteröityjen oikeudet

Käsittelijä tarjoaa rekisterinpitäjälle seuraavat toiminnot rekisteröityjen oikeuksien täyttämiseksi Art. 12(3) mukaisen 30 päivän määräajan puitteissa:

  • POST /api/v1/dsar/export/by-email — koneluettava vienti kattaen Art. 15 (tarkastusoikeus) ja Art. 20 (siirrettävyys)
  • POST /api/v1/dsar/erase/by-email — pseudonymisointi kaikissa henkilötietotaulukoissa, auditointilokien säilytys Art. 17(3)(b) mukaisesti
  • Itsepalvelupyyntöportaali osoitteessa /data-request

10. Kansainväliset siirrot

Operatiiviset tiedot tallennetaan Euroopan talousalueella (Microsoft Azure, Ruotsi Keski + Norja Itä). Edelleen siirrot ETA:n ulkopuolisille alihankkijoille (Resend, Anthropic) perustuvat vuoden 2021 vakiosopimuslausekkeisiin dokumentoituine siirtovaikutusarviointeineen. Stripe sopii Stripe Irelandin kautta (ETA-ensisijainen).

11. Kesto, irtisanominen ja tietojen palauttaminen

Tämä DPA on voimassa palvelusopimuksen ajan. Sopimuksen päättyessä:

  • Rekisterinpitäjä voi viedä kaikki tietonsa 30 päivän kuluessa tuotteen vientitoimintojen kautta tai pyynnöstä
  • 30 päivän jälkeen käsittelijä poistaa kaikki rekisterinpitäjän operatiiviset henkilötiedot
  • Auditointilokit säilytetään 6 vuotta tapahtuman jälkeen pseudonymisoidussa muodossa 21 CFR Part 11 / EU GMP Annex 11 vaatimusten mukaisesti (Art. 17(3)(b) lakisääteinen velvoite)
  • Varmuuskopiot poistetaan 7 päivän kuluessa operatiivisesta poistamisesta, ajantasaisen palautusikkunan mukaisesti

12. Tarkastusoikeudet

Käsittelijän on annettava rekisterinpitäjän käyttöön kaikki tiedot, jotka ovat tarpeen Art. 28 GDPR:n mukaisen vaatimustenmukaisuuden osoittamiseksi. Asiakkaat voivat pyytää: kopioita asiaankuuluvista tietoturvasertifioinneista ja tarkastusraporteista (jos saatavilla), voimassa olevaa alihankkijarekisteriä, uusinta vuokraajaeriytyksen regressiotestiraporttia, uusinta ulkoista tunkeutumistestauksen yhteenvetoa (kun julkaistu, ks. GDPR Policy 11.1) sekä vastauksia toimittajan tietoturvakyselyyn. Kohtuulliset paikalla tai etänä tehtävät tarkastukset voidaan järjestää vähintään 30 päivän ilmoitusajalla, ja ne toteuttaa rekisterinpitäjä tai riippumaton kolmas osapuoli salassapitovelvollisuuden alaisena. Käsittelijä asettaa etusijalle ISO 27001 / SOC 2 Type II -raportit korvaavana näyttönä, kun kyseinen sertifiointi on saatu.

13. Vastuu ja sovellettava laki

Tämän DPA:n mukainen vastuu on YARDtwin:n asettamien rajoitusten alainen Käyttöehdot. Tähän DPA:han sovelletaan Irlannin lakia sekä EU:n yleistä tietosuoja-asetusta (GDPR). Kaikki riidat kuuluvat Irlannin tuomioistuinten yksinomaiseen toimivaltaan.

14. Yhteystiedot

Tätä DPA:ta koskevissa kysymyksissä, allekirjoitetun kopion pyytämiseksi tai yllä mainittujen oikeuksien käyttämiseksi ota yhteyttä admin@yardtwin.com tai tietosuojavastaavaan osoitteessa dpo@yardtwin.com. Ulkoinen osa-aikainen tietosuojavastaava on hankinnassa (GDPR Policy 11.2); nimittämiseen asti osoitteeseen dpo@yardtwin.com lähetetyt viestit ohjataan osoitteeseen admin@yardtwin.com.

Hyväksymällä asiakas sitoutuu tähän tietojenkäsittelysopimukseen v3.0 rekisterinpitäjänä.

Hei! Aloita ilmainen kokeilu 2 minuutissa — autan sinua määrittämään kaiken!