YARDtwin™ — Intelligent Yard Management for Industry 4.0

Versija 3.0 · Paskutinį kartą atnaujinta: 2026 m. gegužės 9 d. · Įsigalioja nedelsiant

1. Šalys

Šis Duomenų tvarkymo susitarimas ("DPA") sudaromas tarp Kliento ("Duomenų valdytojas") ir YARDtwin Ltd, registruotos Airijoje ("Duomenų tvarkytojas"), kartu vadinamų "Šalimis". Šis DPA yra sudėtinė YARDtwin dalis ir yra jai pavaldus Paslaugų teikimo sąlygos.

2. Apimtis ir tikslas

Duomenų tvarkytojas tvarko asmens duomenis Valdytojo vardu išskirtinai siekdamas teikti YARDtwin kiemo valdymo platformos paslaugas: doko planavimą, vartų operacijas, skaitmeninio dvynio kiemo vizualizaciją, vežėjų ir vairuotojų valdymą, GMP atitinkantį audito žurnalą, analitiką ir integracijas. Duomenys tvarkomi Valdytojo prenumeratos laikotarpiu ir bet kurį 11 skyriuje numatytą saugojimo laikotarpį.

3. Duomenų subjektų kategorijos

Valdytojo darbuotojai ir administratoriai (pavadinti platformos naudotojai)
Vairuotojai ir logistikos personalas, registruotas Valdytojo vartuose
Vežėjų atstovai ir dispečerių kontaktai
Vartų apsaugos ir sandėlio operatorių personalas

4. Asmens duomenų rūšys

Tapatybės duomenys: vardai ir pavardės, el. pašto adresai, telefono numeriai, pareigos / darbo pavadinimas, įmonės pavadinimas ir adresas
Autentifikavimo duomenys: bcrypt užšifruoti slaptažodžiai (12 raundų), JWT prieigos ir atnaujinimo žetonai, seansų laiko žymos, IP adresai, SSO identifikatoriai (Google, Microsoft)
Operaciniai duomenys: susitikimai, doko paskirstymai, priekabų judesiai, patikrinimų įrašai, dokumentai, užduočių priskyrimai, transporto priemonių registracijos
Vairuotojo duomenys: vairuotojo pažymėjimų numeriai, pažymėjimų vaizdai, neprivalomi veido vaizdai biometriniam vartų patikrinimui (ypatingos kategorijos duomenys, GDPR 9 str. — tvarkomi tik tais atvejais, kai Valdytojas įgalino biometrinį patikrinimą vartuose ir gavė aiškų sutikimą duomenų rinkimo metu)
Audito duomenys: naudotojų veiksmai, laiko žymos, IP adresai, naudotojo agento eilutės, senų ir naujų reikšmių skirtumai, GMP pažymėti įrašai

5. Duomenų tvarkytojo įsipareigojimai

Tvarkyti asmens duomenis tik pagal dokumentuotas Valdytojo instrukcijas (platformos UI ir API laikomi dokumentuotomis instrukcijomis)
Užtikrinti, kad duomenų tvarkymui įgalioti asmenys būtų saistomi konfidencialumo susitarimais
Įgyvendinti tinkamas technines ir organizacines saugumo priemones (32 str.) — žr. 7 skyrių žemiau
Neįtraukti papildomų duomenų tvarkytojų be išankstinio rašytinio leidimo; pateikti 30 dienų išankstinį pranešimą apie bet kurį naują papildomą tvarkytoją (teisė prieštarauti)
Padėti Valdytojui vykdyti duomenų subjektų prašymus (15–22 str.) per DSAR galinius taškus, aprašytus 9 skyriuje
Pranešti Valdytojui apie asmens duomenų pažeidimus be nepagrįsto delsimo ir per 72 valandas (8 skyrius)
Ištrinti arba grąžinti visus asmens duomenis pasibaigus paslaugų teikimui (11 skyrius)
Pateikti visą informaciją, būtiną atitikties įrodymui, ir sudaryti sąlygas auditams (12 skyrius)

6. Papildomi duomenų tvarkytojai

Tvarkytojas šiuo metu naudojasi šiais papildomais duomenų tvarkytojais, kurių kiekvienas veikia pagal Duomenų tvarkymo sutartį ir (jei taikoma) 2021 m. Standartines sutarčių sąlygas:

Papildomas tvarkytojas	Paskirtis	Vieta	Apsaugos priemonės
Microsoft Azure	Prieglobstas (App Service, Postgres Flexible Server, Blob Storage, Key Vault, App Insights, Front Door + WAF)	EEE — Švedija (centras) + Norvegija (rytai)	Microsoft Online Services DPA + ES SCC, ISO 27001, SOC 2 Type II, ISO 27018, ES duomenų siena
Stripe	Prenumeratos atsiskaitymai ir mokėjimų apdorojimas (kortelių numeriai YARDtwin nesaugomi)	Stripe Ireland (EEE), tam tikras palaikymas JAV	Stripe DPA + ES SCC + PCI DSS 1 lygis
Resend	Transakcinis el. paštas (sveikinamieji laiškai, bandomojo laikotarpio priminimai, DSAR atsakymai, pranešimai apie pažeidimus)	JAV (Delaveras)	Resend DPA + ES SCC (FISA 702 papildomų priemonių tikrinimas vykdomas — žr. GDPR politiką 11.6)
Google Cloud Vision	Vairuotojo pažymėjimo OCR (tik kai Valdytojas įjungia pažymėjimo patikrą vartai)	ES regionai	Google Cloud DPA + ES SCC, ISO 27001, SOC 2
Google / Microsoft (OAuth SSO)	Vienkartinio prisijungimo tapatybės žetonai vartotojams, pasirinkusiems SSO	EEE (Microsoft Entra ID) / globalus (Google Workspace)	Microsoft / Google Cloud DPA
Anthropic	Claude API produkto vidaus AI asistentui ir pažymėjimo OCR teksto analizei	JAV (Kalifornija)	Anthropic DPA + nulinės saugojimo trukmės deklaracija + ES SCC (FISA 702 papildomų priemonių tikrinimas vykdomas)

Klientai informuojami ne vėliau kaip prieš 30 dienų iki bet kurio naujo papildomo tvarkytojo įtraukimo, suteikiant teisę prieštarauti ir nutraukti sutartį be baudos.

7. Saugumo priemonės (32 str.)

Šifravimas perdavimo metu: TLS 1.2+ kiekviename galiniame taške; sertifikatais valdo Microsoft Azure (DigiCert)
Šifravimas saugykloje: Azure Postgres Flexible Server skaidrus duomenų šifravimas; Azure Blob Storage šifravimas
Laukų lygio šifravimas: AES-256-GCM biometriams (vairuotojo pažymėjimo vaizdai, parašų vaizdai), raktai saugomi Azure Key Vault
Slaptažodžių maišymas: bcrypt, 12 kartų
Autentifikacija: JWT prieigos žetonai (galioja 1 valandą) + atnaujinimo žetonai (galioja 7 dienas, keičiami naudojant); SSO per Google ir Microsoft kaip MFA atitikmuo
Nuomininkų atskyrimas: taikomas kiekviename API maršrute, kiekvieno leidimo metu tikrinamas 25 vektorių kryžminiu nuomininkų auditu
Vaidmenimis pagrįsta prieigos kontrolė: šeši vaidmenys (admin, ops_manager, gate_guard, warehouse_operator, carrier, super_admin), minimalių privilegijų tarpinė programinė įranga
Žiniatinklio programų ugniasienė: Azure Front Door + valdoma WAF (OWASP pagrindinių taisyklių rinkinys, apsauga nuo robotų, L7 DDoS)
Užklausų dažnio ribojimas: maršruto lygio apribojimai, griežtesni autentifikacijos galiniuose taškuose; bandymų sekimas atmintyje ir saugykloje
Audito sekimas: pridedama tik programos lygmeniu, saugojimo terminas – 6 metai, GMP svarbūs įrašai žymimi atskirai, pseudonimizuojama (ne ištrinama) pagal 17 str. reikalavimą dėl ištrynimo remiantis 17 str. 3 d. b) punktu
Nuolatinis stebėjimas: Azure Application Insights, schemos nukrypimo įspėjimas (15 minučių langas), visapusis /health/db-write zondas, pažeidimų stebėjimo anomalijų darbuotojas (nepavykusio prisijungimo šuoliai, kelių IP atakos, prisijungimai iš kitos šalies, 5xx dažnis)
Programinės įrangos tiekimo grandinė: npm audit, Trivy, Semgrep, gitleaks, OWASP ZAP kiekvienam PR. Slaptažodžiai: Azure Key Vault, pasiekiamas per App Service valdomą tapatybę; jokie slaptažodžiai nėra kode, aplinkos failuose ar konteinerių vaizduose

8. Pranešimas apie asmens duomenų pažeidimą

Tvarkytojas nedelsdamas ir ne vėliau kaip per 72 valandas nuo sužinojimo apie asmens duomenų pažeidimą, paveikusį Valdytojo duomenis, informuoja Valdytoją (33 str.). Pranešime nurodoma pažeidimo pobūdis, paveiktų duomenų subjektų kategorijos ir apytikslis skaičius, tikėtinos pasekmės, imtosios ar planuojamos priemonės ir pažeidimų registro nuoroda. Nustatytos anomalijos nukreipiamos į Azure Monitor Action Group yardtwin-breach-actions; patvirtinti incidentai stebimi pažeidimų registro lentelėje su 72 valandų DPC atgaline atskaita.

9. Duomenų subjektų teisės

Tvarkytojas suteikia Valdytojui šiuos galutinius taškus, kad duomenų subjektų teisės būtų įvykdytos per 30 dienų terminą pagal 12 str. 3 d.:

POST /api/v1/dsar/export/by-email — mašininio skaitomumo eksportas, apimantis 15 str. (prieiga) ir 20 str. (perkeliamumas) reikalavimus
POST /api/v1/dsar/erase/by-email — pseudonimizavimas visose asmens duomenų lentelėse, išsaugant audito žurnalo saugojimą pagal 17 str. 3 d. b) punktą
Savitarnos užklausų portalas adresu /data-request

10. Tarptautiniai perdavimai

Veiklos duomenys saugomi Europos ekonominėje erdvėje (Microsoft Azure, Švedijos centras + Norvegijos rytai). Tolesniais perdavimais ne EEE esantiems subtvarkytojiams (Resend, Anthropic) valdoma pagal 2021 m. Standartinius sutartinius sąlygas su dokumentuotais perdavimo poveikio vertinimais. Stripe veikia per Stripe Ireland (EEE pirminė buveinė).

11. Trukmė, nutraukimas ir duomenų grąžinimas

Šis DPA galioja paslaugų sutarties laikotarpiu. Nutraukus sutartį:

Valdytojas per 30 dienų gali eksportuoti visus savo duomenis naudodamas produkto eksporto funkcijas arba pateikęs užklausą
Po 30 dienų Tvarkytojas ištrins visus Valdytojo veiklos asmens duomenis
Audito žurnalai saugomi 6 metus po įvykio pseudonimizuota forma, kaip reikalaujama pagal 21 CFR Part 11 / ES GMP Annex 11 (17 str. 3 d. b) punkto teisinės prievolės viršenybė)
Atsarginės kopijos ištrinamos per 7 dienas nuo veiklos duomenų ištrynimo, laikantis laiko atkūrimo lango

12. Audito teisės

Tvarkytojas Valdytojui pateikia visą informaciją, reikalingą atitikties 28 str. GDPR reikalavimams įrodyti. Klientai gali prašyti: atitinkamų saugumo sertifikatų ir audito ataskaitų kopijų (jei yra), dabartinio subtvarkytojiams registro, naujausios nuomininko izoliacijos regresijos testų ataskaitos, naujausios išorinio įsiskverbimo testo santraukos (išduotos – žr. GDPR politika 11.1) ir atsakymų į tiekėjo saugumo klausimyną. Pagrįsti vietiniai ar nuotoliniai auditai gali būti suderinti ne vėliau kaip prieš 30 dienų, juos atliekant Valdytojui ar nepriklausomai trečiajai šaliai, įsipareigojusiai laikytis konfidencialumo. Tvarkytojas pirmenybę teiks ISO 27001 / SOC 2 Type II ataskaitoms kaip pakaitiniams įrodymams, kai šie sertifikatai bus gauti.

13. Atsakomybė ir taikytina teisė

Atsakomybė pagal šį DPA taikoma laikantis YARDtwin nustatytų apribojimų Paslaugų teikimo sąlygos. Šis DPA reglamentuojamas Airijos įstatymais ir ES Bendruoju duomenų apsaugos reglamentu (GDPR). Visi ginčai nagrinėjami išimtinėje Airijos teismų jurisdikcijoje.

14. Kontaktai

Jei turite klausimų dėl šio DPA, norite paprašyti pasirašytos kopijos arba pasinaudoti aukščiau nurodytomis teisėmis, susisiekite admin@yardtwin.com arba su duomenų apsaugos pareigūnu dpo@yardtwin.com. Šiuo metu sudaroma sutartis su išoriniu dalinio darbo DPO (GDPR politika 11.2); iki paskyrimo laiškai, siunčiami adresu dpo@yardtwin.com, nukreipiami į admin@yardtwin.com.

Duomenų tvarkymo sutartis