Version 2.8 Senast uppdaterad 14 januari 2019.
För att se tidigare versioner av ISMS.online Customer License Agreement klicka här.
Denna överenskommelse ("Avtal”) görs från och med det startdatum för tjänsten som anges på det godkända beställningsformuläret eller det första datumet då du öppnar ISMS.online, om tidigare, (”Giltig datum”) mellan Alliantist Limited, ett företag registrerat i England och Wales (företagsnummer: 4922343) (“Alliantist") och din organisation som anges på förslagsbeställningsformuläret ("Kund”). Alliantist kan kontaktas på enquiries@ISMS.online och via post till Sussex Innovation Centre, Science Park Square, Brighton, BN1 9SB, Storbritannien.
"ISMS.online" är en kraftfull molnprogramvaruplattform ("plattform”) ägs och drivs av Alliantist tillgängligt med en rad kärntjänster och valfria programvarutillägg. Dessutom, med ISMS.online-policyer, beskrivs Virtual Coach som innehållsfokuserade tillägg som specificeras vid tidpunkten för prenumerationen eller kan läggas till under terminen, tillsammans med plattformen som (""tjänsterna”). Tjänstens konfiguration beror på kundens affärssyfte (“Syftet”) som vanligtvis syftar till att implementera, förbättra och hantera ett ledningssystem för informationssäkerhet (“ISMS").
ISMS.online är tillgängligt för registrerade användare (enligt definitionen nedan) som har lagts till av kunden i linje med dess tillåtna antal registrerade användare (enligt definitionen på beställningsformuläret). Kunden vill licensiera ISMS.online och auktorisera registrerade användare att använda tjänsterna för kundledda affärsaktiviteter som gör det möjligt för dess organisation att uppnå syftet enligt villkoren i detta avtal.
Tjänsterna erbjuds för kundens godkännande, utan ändringar (förutom eventuella särskilda villkor enligt definitionen nedan) som parterna har kommit överens om i enlighet med villkoren i detta avtal och alla andra operativa regler, policyer (inklusive, utan begränsning, integritetspolicy, supportpolicy och eventuella framtida ändringar av dessa, och procedurer som kan publiceras från tid till annan på Plattformen eller göras tillgängliga för dig på eller genom Tjänsterna (sammantaget "Villkoren"). När de accepteras av kunden (enligt definitionen nedan), utgör dessa villkor ett juridiskt bindande avtal mellan dig och Alliantist. Du intygar att du har laglig befogenhet att binda kunden. När de väl har godkänts förblir dessa villkor giltiga tills de sägs upp enligt bestämmelserna häri.
Alliantist erbjuder normalt inte prövningar. Om dock Alliantist erbjuder en provversion, betald eller obetald av ISMS.online eller tjänsterna, kommer de tillämpliga bestämmelserna i dessa villkor att styra provet. Alliantist förbehåller sig rätten att inte erbjuda prövningar och kan efter eget gottfinnande välja att avbryta en prövning när som helst av vilken anledning som helst.
LÄS DESSA VILLKOR NOGGRANT. GENOM ATT ÅTKOMMA, BLÄDDRA OCH/ELLER ANNAT ANVÄNDA ISMS.ONLINE-TJÄNSTERNA, BEKRÄFTAR DU ATT DU HAR LÄST, FÖRSTÅTT OCH GODKÄNNER ATT VARA BUNDEN AV DESSA VILLKOR. OM DU INTE GODKÄNNER ATT VARA BUNDEN AV DESSA VILLKOR, SKA DU INTE ÅTKOMMA, BLÄDDRA ELLER ANVÄNDA PLATTFORMEN ELLER ISMS.ONLINE-TJÄNSTERNA.
Alliantist förbehåller sig rätten att ändra, modifiera, lägga till eller ta bort delar av villkoren när som helst (förutom eventuella särskilda villkor som definieras nedan) genom att publicera sådana ändringar till kunden på dess nominerade huvudanvändares e-postadress eller via plattformen beroende på om förändringarnas karaktär. Vänligen kontrollera dessa villkor regelbundet för ändringar. Din fortsatta användning av tjänsterna efter att sådana ändringar har publicerats enligt ovan utgör ditt bindande godkännande av sådana ändringar. Sådana ändrade villkor kommer automatiskt att träda i kraft vid det tidigare av din fortsatta användning av Tjänsterna, eller 30 dagar efter att sådana ändrade villkor publicerats på eller via Plattformen. Oavsett det föregående kommer lösningen av alla tvister som uppstår att styras av de villkor som gällde vid den tidpunkt då en sådan tvist uppstod.
| Kundorganisation | ISMS.online-organisationskontot till vilket kundens anställda och representativa registrerade användare är kopplade. |
| Huvudanvändare | Kunden nominerade namn och e-postadress som Alliantist har registrerat som den person som jag ska kontakta för kundens användning av plattformen. Vanligtvis även samma person som har Kundsystemadministrationsrättigheter och deltar i granskningar med Alliantist då och då och som sådan är den auktoriserade person som kommer att meddelas av Alliantist vid ett dataintrång. Kunden kan dela dessa roller och nominera andra. |
| Kundanvändare | Registrerade användare som är anställda hos kunden eller i allmänhet verkar i egenskap av representanter för kunden och som har accepterat användarregistreringsvillkoren. Varje kundanvändare kommer att ha sin egen unika e-postadress och lösenord för inloggning. |
| Partnerorganisation | En organisation som läggs till ISMS.online av kundorganisationen som sedan kan utfärdas licenser för begränsade användarrättigheter "Partneranvändare", t.ex. för där kunden vill samarbeta med partnerorganisationen för ändamålet (t.ex. en leverantör, partner eller kund som arbetar med information säkerhetshantering tillsammans). |
| Partnerorganisationer har sina egna skyldigheter. Den första partneranvändaren kommer att acceptera online-klicket genom partnerregistreringsavtalet på uppdrag av sin organisation. Om partnerorganisationen redan är en kundorganisation gäller inga ytterligare villkor och organisationerna samarbetar helt enkelt tillsammans på Plattformen under sina normala avtalsvillkor (och de kan ha sitt eget informationsdelningsavtal på plats). | |
| Partneranvändare | Registrerade användare som är anställda eller representanter för en partnerorganisation och behöver tillgång till ISMS.online. Partneranvändare är associerade med en partnerorganisation och får endast använda plattformen för kundorganisationsändamål. Partneranvändare accepterar användarregistreringsvillkoren och har begränsad tillgång till ISMS.online. De kan samarbeta fullt ut i initiativ skapade av en kundanvändare men kan inte själva skapa nya arbetsinitiativ. Varje partneranvändare kommer att ha sin egen unika inloggning och lösenord. |
| Partnerregistreringsavtal | Villkoren för registrering för alla partnerorganisationer som använder ISMS.online. |
| Registered User | En kundanvändare eller partneranvändare registrerad i ISMS.online. |
| Vanlig användare | Standardlicensmodellen för registrerade användare som gör det möjligt för användaren att komma åt och engagera sig i arbete på plattformen i enlighet med syftet. |
| Tillfällig användare | En kompletterande licensmodell med lägre kostnad för kunder som vill ha större volymer av registrerade användare (normalt över femtio) men som kanske bara behöver dessa användare för att få: a) e-postmeddelanden från plattformen, t.ex. för informationssäkerhetsuppdateringar och eller b) ibland få tillgång till plattformen för demonstrera efterlevnad av policyer och kontroller som en del av policypaketets tillägg och sällan engagera sig i annat arbete, t.ex. en diskussion om en Legitima Interest Assessment (LIA) eller Data Protection Impact Assessment (DPIA). Enstaka och sällsynta innebär vanligtvis en begränsad inloggning under en period, t.ex. för att förstå och visa efterlevnad av deras policyer när de utvecklas. Den har ett rimlighetstest mot sig för att säkerställa att tillfällig användarlicens inte missbrukas när en vanlig användarlicens kan vara lämpligare. |
| initiativ | Specifika arbetsområden antingen förkonfigurerade som en del av plattformens omfattning eller skapade av kundanvändare under loppet av att uppnå sitt syfte. Exempel inkluderar policy- och kontrollprojekt, gapanalysprojekt, grupper, leverantörskonton, efterlevnadspolicypaket och trackers som de för att hantera säkerhetsincidenter, korrigerande åtgärder etc. |
| BESTÄLLNINGSFORMULÄR | Informationen i förslagsbeställningen som anger omfattning, avgifter, antal och typ av registrerade användare, varaktighet och startdatum för åtkomst till ISMS.online av kunden tillsammans med relevanta funktioner, initiativtyper och verktyg, ISMS.online Policyer, virtuell coach eller relaterade lösningar som tillhandahålls samt all annan kontextuell plattformsinformation. |
| Kundorganisationsdata | Allt affärsinnehåll som lagts in i ISMS.online av kundanvändare för ändamålet, inklusive personuppgifter. |
| Partnerorganisationsdata | Allt affärsinnehåll som matats in i ISMS.online av partneranvändare för ändamålet, inklusive personuppgifter. |
| Data | Kundorganisation och partnerorganisationsdata. |
| Användarregistreringsvillkor | Registreringsvillkoren inklusive policyn för acceptabel användning som anges av Alliantist för alla registrerade användare av ISMS.online. |
| Personuppgifter | Ska ha den innebörd som anges i Europaparlamentets och rådets allmänna dataskyddsförordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om fri rörlighet för sådana uppgifter och upphävande av direktiv 95/46/EG (General Data Protection Regulation – GDPR). |
| Data Controller | Kundorganisationen eller partnerorganisationen som bestämmer ändamålen och medlen för behandlingen av personuppgifter. |
| Dataprocessor | Alliantist, som behandlar personuppgifter på uppdrag av den personuppgiftsansvarige som en del av dess tillhandahållande av tjänsterna enligt laglig grund av en avtalsförpliktelse. Såvida det inte uttryckligen lagts till av kunden för coachning på plattformen, eller i syfte att stödja buggar och problem, kommer Alliantist och dess namngivna underbehandlare inte åt några data. |
| Underprocessorer | Leverantörer utvalda av Alliantist för att komplettera sin egen leverans av Tjänsterna när det gäller personuppgifter relaterat arbete i linje med GDPR skyldigheter. |
| Hjälpdokumentation | Användarguider och onlineturer för ISMS.online i elektronisk eller utskrivbar form görs också tillgängliga i 'hjälp'-delen av ISMS.online och uppdateras då och då. |
| ISMS.online-policyer | Ett tillval inklusive policyer och kontroller, eller relaterad vägledning för kunden att använda som en del av sitt ISMS i form av skriftliga anteckningsdokumentation, filer och annat innehåll som presenteras i ISMS.online-systeminnehållet. Den tillhandahålls i allmänhet av Alliantist förkonfigurerad med plattformen för att hjälpa kunden att "adoptera, anpassa och lägga till" mycket snabbt och ge ett försprång i utvecklingen av dess ISMS. Exempel inkluderar metoder för riskhantering, säkerhetsincident, leverantörshanteringspolicyer etc. Alliantist ger inga garantier till kunden om deras lämplighet för Ändamålet givet de specifika målen för kundens ISMS. En del tydligt specificerat innehåll som läggs till i anteckningsområdena återges med tillstånd från respektive upphovsrättsinnehavare, t.ex. Information Commissioner's Office i Storbritannien och vid tidpunkten för tjänstens början återspeglar det organets vägledning. Alliantist är inte skyldig att hålla någon av policyerna, kontrollerna eller riktlinjerna uppdaterade efter tjänstens startdatum. |
| Virtuell coach | En valfri extra virtuell coachingtjänst enligt ISO 27001:2013 levererad via plattformen som inkluderar guider, checklistor, videor och presentationer för att hjälpa organisationer som är nya i ISO 27001:2013 att förstå mer om standarden och hur de kan implementera den för sin organisation. Alliantist ger inga garantier till kunden om deras lämplighet för Ändamålet givet de specifika målen för kundens ISMS. |
| Särskilda villkor | Endast tillgängligt för organisationer som kräver skräddarsydd plattformsutveckling utöver standardpaketerade tjänster och som investerar minst 50,000 XNUMX £ per år exklusive moms. Dessa är särskilda villkor som läggs till i förslaget Beställningsformulär eller på annat sätt dokumenteras och godkänns i skriftlig eller elektronisk revisionsbar form och läggs till i avtalet t.ex. genom e-postutbyte och har företräde framför standardavtalsvillkoren. |
| Minsta avgift | Förstaårsavgiften för åtkomst till tjänsterna eller en specifik minimibetalning för åtkomst till plattformen, ISMS.online-policyerna, hjälpdokumentation, virtuell coach och annan värdefull lärdom som tillhandahålls inom tjänsterna. |
| Återförsäljaravtal | Ett separat avtal med Alliantist för att specifikt hänvisa och sälja några av alla tjänsterna. |
| Avtal om informationsdelning: | Organisationer som samarbetar i arbetet med att dela känslig information kan välja att ha ett separat informationsdelningsavtal mellan sig som anger eventuella bestämmelser för deras information och datadelning på Plattformen inklusive personuppgiftsansvarig, processor och annan aktivitet mellan dem. Se punkt 3. |
2.1) I enlighet med villkoren i detta avtal beviljar Alliantist, och kunden accepterar, en icke-exklusiv, icke-överlåtbar, återkallbar licens, utan rätt att bevilja underlicenser, förutom till partnerorganisationer som lagts till i enlighet med relevant omfattning och prenumeration betalningar som beskrivs i beställningsformuläret för att använda tjänsterna för ändamålet.
2.2) Kunden ska visa och behålla Alliantists och/eller dess leverantörers upphovsrätt, varumärken, äganderätt eller konfidentialitetsförklaring eller förklaringar och andra meddelanden i ISMS.online hur det än används.
2.3) Kunden bekräftar att Alliantist behåller alla rättigheter, äganderätt och intressen i och till originalet, och eventuella kopior, av ISMS.online, ISMS.online-policyerna och hjälpdokumentationen, Virtual Coach och äganderätten till alla patent, upphovsrätter, affärshemligheter, varumärken och andra immateriella rättigheter (oavsett om de är registrerade eller inte) som hänför sig till dessa, ska vara och förbli den enda egendom som tillhör Alliantist eller de ursprungliga upphovsrättsinnehavarna om de uttrycks som olika ägare i ISMS.online-policyerna eller är uppenbart från ramarnas, bestämmelsernas natur. eller tillgängliga standarder. Ramar, förordningar och specialiststandarder upphovsrättsinnehavare kan ta ut licensavgifter för att följa deras checklistor/metoder. Alliantist rekommenderar att specifika licenser köps där så krävs och kunden är ansvarig för att skaffa och finansiera eventuella specifika licenser från dessa upphovsrättsinnehavare.
2.4) Trots att kunden kan bidra till kostnaderna för eller delta i framställningen av härledda verk, översättningar, anpassade versioner, uppdateringar, felkorrigeringar, förbättringar, modifieringar eller andra versioner av ISMS.online, ska kunden inte vara ägare till någon kopior eller översättningar eller versioner av, och inte heller har något intresse av, ISMS.online, dess hjälpdokumentation eller den virtuella coachen, utan snarare är licensierad, i enlighet med och med förbehåll för begränsningarna i detta avtal, att använda sådana kopior enbart för ändamålet som anges i detta avtal.
2.5) Utan att begränsa det allmänna i det föregående, erhåller kunden inga rättigheter till, och samtycker till att den inte själv, eller genom något moderbolag, dotterbolag, dotterbolag, agent eller annan tredje part (i) dekompilera, demontera, reverse engineering eller försöka att rekonstruera, identifiera eller upptäcka någon källkod, underliggande idéer, underliggande användargränssnittstekniker, processer eller algoritmer för tjänsterna eller någon del därav, eller på annat sätt härleda dess källkod; (ii) modifiera, portera, översätta, lokalisera eller skapa härledda verk av tjänsterna; (iii) sälja, leasa, licensiera, underlicensiera, kopiera, marknadsföra eller distribuera tjänsterna, annat än till Partners som anges i detta avtal; (iv) belasta eller lida att existera någon panträtt eller säkerhetsintresse för tjänsterna; (v) avslöja resultaten av prestandatester eller kvalitativ analys av tjänsterna till tredje part utan föregående skriftligt medgivande från Alliantist; och (vi) använda ett totalt antal registrerade användare utöver de som överenskommits i beställningsformuläret.
2.6) Om det tas som ett alternativ på beställningsformuläret beviljas kunden en begränsad, icke-exklusiv, återkallbar, icke-överlåtbar licens att få tillgång till och använda ISMS.online-policyerna och den virtuella coachen enbart för ändamålet. De innehåller information och mallar som utgör en allmän vägledning endast i förhållande till tillämpningen av de relevanta föreskrifter eller standarder som Kunden vill arbeta mot. Kunden bör ta informationssäkerhet, juridisk eller annan lämplig professionell rådgivning för att säkerställa att innehållet och tillvägagångssättet uppfyller dess specifika syfte.
2.7) Om inte annat överenskommits som en del av ett återförsäljaravtal åtar sig och samtycker kunden till att inte licensiera, sälja, sälja vidare, överföra, överlåta, distribuera eller på annat sätt kommersiellt utnyttja eller göra tjänsterna tillgängliga för tredje part, inklusive plattformen, hjälpdokumentationen, ISMS. onlinepolicyer eller virtuell coach på något sätt och ska meddela Alliantist omedelbart om den blir medveten om någon obehörig användning av dem. Detta villkor ska fortsätta att gälla efter uppsägning av detta avtal.
2.8) Med förbehåll för de andra villkoren i detta avtal, särskilt 2.7 och 4.8.4, kan kunden, efter att ha betalat sin minimiavgift för tjänsterna, fortsätta att använda innehållet i ISMS.online-policyerna (inte teknikverktygen i plattformen) för dess syfte internt även om det väljer att inte förnya eller fortsätta med plattformen när tjänsterna ska förnyas.
2.9) Varje registrerad användare ska acceptera användarregistreringsvillkoren som inkluderar acceptabla användningsvillkor och en auktoriserad representant från en partnerorganisation accepterar "klicka igenom" partnerregistreringsavtalet såvida de inte redan har ett kundorganisationskonto hos Alliantist.
3.1) Kunden behåller alla rättigheter, äganderätt och intressen till alla Kundorganisationsdata. Partnerorganisationen behåller alla rättigheter, äganderätt och intressen till alla Partnerorganisationsdatasubjekt utom där:
3.1a) Kunden har sitt eget informationsdelningsavtal med alla partnerorganisationer som den lägger till i plattformen om eventuell partnerorganisationsdata som delas på plattformen. Alliantist kommer endast att agera i enlighet med kundens instruktioner, inte partnerorganisationen;
3.1b) Partnerorganisationen är också en Alliantists kund, i vilket fall den skulle försöka förstå vem som ägde initiativet i Plattformen om det fanns någon tvist och arbeta tillsammans med Kunden och Partnerorganisationen i enlighet med ett relevant informationsdelningsavtal för att hjälpa till att lösa eventuella problem.
3.2) Om kunden laddar upp data till plattformen måste sådan data och all behandling av den följa dessa villkor tillsammans med alla tillämpliga lagar och förordningar. Genom att ladda upp data till plattformen auktoriserar kunden Alliantist att behandla data. Kunden ansvarar för att:
3.2a) Kunden och någon av de registrerade användarna som är associerade med den inte skapar, överför, visar eller gör på annat sätt tillgänglig data som bryter mot dessa villkor, eller enligt Alliantists ensamma uppfattning, rättigheterna för Alliantist, andra kunder, partnerorganisationer eller användare, personer eller organisationer eller är skadlig (till exempel virus, maskar, skadlig kod och andra destruktiva koder), stötande, hotfull, kränkande, trakasserande, slingrande, ärekränkande, vulgär, obscen, inkräktande på annans integritet, ärekränkande, hatisk eller på annat sätt olaglig ; och
3.2b) Kunden och alla registrerade användare som är associerade med den inklusive partnerorganisationer som lagts till av kunden har nödvändiga rättigheter och lagliga motiveringar för att använda uppgifterna, inklusive att lägga till dem på plattformen och bearbeta dem därefter. Kunden ska ha ensamt ansvar för riktigheten, kvaliteten och lagligheten av alla uppgifter inklusive personuppgifter och sättet på vilket kunden förvärvade dessa uppgifter inklusive personuppgifter.
3.3) Alliantist förhandsgranskar, övervakar eller filtrerar inte någon Data eller handlingar av dess bearbetning av Kunden för att upptäcka någon olaglig natur däri och Kunden förstår att Alliantist inte under normal drift ser eller förstår vilken Data som lagras på plattformen.
För syftet med artikel 28 i förordning (EU) 2016/679 utgör dessa villkor databehandlingsavtalet mellan kunden som personuppgiftsansvarig och Alliantist som databehandlare. Kunden instruerar härmed Alliantist att behandla uppgifterna enligt beskrivningen i dessa villkor.
| Data Controller | Kund. |
| Dataprocessor | Alliantist. |
| Föremål för bearbetning | Alliantist tillhandahåller ISMS.online för kunden att implementera, förbättra och hantera dess ISMS enligt beskrivningen i Syftet. |
| Laglig grund för den registeransvarige | Den registeransvarige kommer att verka enligt något av: a) samtycke, b) kontrakt, c) rättslig skyldighet, d) vitala intressen, e) allmänt intresse, f) legitima intressen |
| Laglig grund för processorn | Avtalsförpliktelse i enlighet med detta avtal. |
| Varaktighet för bearbetningen | Alliantist kommer att behandla Uppgifterna på uppdrag av Kunden under Avtalsperioden och under den tid som krävs därefter om Kunden fortsätter med Tjänsterna och betalar avgifter när de förfaller. |
| Bearbetningens art och syfte | Kunden kan samla in, samarbeta, samordna, organisera, dela, registrera, lagra, ändra, redigera och radera information inklusive lämpliga personuppgifter för det syftet med att implementera, förbättra och hantera dess ISMS. Alliantist kommer också att behandla personuppgifter som krävs för att stödja och underhålla tjänsterna för kunden. |
| Typer av data som lagras | Kunden är endast skyldig att lägga till personlig information om registrerade användare, såsom organisationens e-postadress och förnamn, efternamn för att användarna ska få tillgång till plattformen. Registrerade användare kan välja att lägga till fler detaljer såsom en avatarbild och telefon-, mobil- och jobbadress om de vill för att underlätta större förtroende och samarbete mellan registrerade användare. IP-adresser hålls också i syfte att följa annan lagstiftning, skyddsövervakning och leverans av support och underhåll. |
| Beroende på omfattningen av lösningen kan kunden också besluta att behålla relevanta personliga uppgifter om sin personal, t.ex. under HR-informationssäkerhetsfokuserad rekrytering, introduktion, in-life management och exit. Plattformen är inte specifikt utformad eller uppmuntrad att användas som ett HR-verktyg för att lagra betydande känsliga eller stora mängder personuppgifter. Personuppgifter om leverantörer, partners och kunder för att uppnå Syftet kan också hållas inom områden som kontosviten där det hjälper organisationer att hantera affärsrelationer bättre och visa att de har kontroll över sin leveranskedja. Dessa uppgifter inkluderar e-postadress, telefonnummer, förnamn och efternamn. | |
| Informationssäkerhet och dataskydd på plats | Alliantist har ett antal organisatoriska och plattformsrelaterade åtgärder för att skydda all värdefull information, inte bara personuppgifter. |
| Organisatoriska åtgärder inkluderar: | |
| UKAS-certifierad ISO 27001:2013 på organisationsnivå, mjukvaruapplikationen ISMS.online och personalen som är involverad i tjänsterna uppfyller lämpliga trösklar för konfidentialitet, integritet och tillgänglighet efter en riskanalys. | |
| Försörjningskedjan är certifierad enligt minst samma standard eller en acceptabel motsvarighet för infrastrukturkritiska tjänster (datacenterhosting, code mgt etc). | |
| Alla mindre leverantörer som arbetar på plattformen och som inte har ISO-certifieringar själva följer Alliantist ISMS och kontrakteras på den grunden. | |
| All personal (och relevanta leverantörer) som är involverade utbildas regelbundet i informationssäkerhet och integritet. De samtycker till att följa policyerna och kontrollerna, inklusive konfidentialitet, som en del av deras rekrytering, introduktion, övervakning i livet, minst en gång per år och om så är lämpligt när de byter roll. | |
| Alliantist följer Information Commissioner's Office (ICO)-modellen för att visa GDPR-efterlevnad åtminstone tills en formell erkänd GDPR-certifiering har upprättats. Detta inkluderar övervägande och riskbedömning mot 120 aktiviteter, varav många passar in i den UKAS-certifierade ISO 27001-standard. | |
| När så är lämpligt genomförs konsekvensbedömningar av dataskyddet, policygranskningar och interna revisioner regelbundet tillsammans med ledningens granskningar i linje med ISO 27001:2013. | |
| Programvaran är penetrationstestad årligen eller vid betydande förändringshändelser, alla oberoende CHECK-testade. | |
| Data som överförs mellan slutanvändaren och tjänsten använder TLS. SSL-certifikatet som används av tjänsten använder en 2048 bitars RSA-nyckel med en SHA256-algoritm. TLS-terminatorn är konfigurerad att föredra nyare versioner av protokoll och säkrare alternativ först och är konfigurerad att inte återgå till en äldre standard efter inledande förhandling. Alternativen som används är de som rekommenderas av Mozillas "Intermediate" TLS-konfiguration. | |
| För data i vila är det delade filsystemet och databasfilsystemet krypterat till AES-256 med hjälp av HSM-teknik med Amazon KMS-tjänsten. Lösenord saltas och hashas när de lagras. Databasen delas inte med andra tjänster och är inte heller allmänt tillgänglig – den är brandvägg av i vårt privata moln och är endast tillgänglig för våra applikationsservrar. | |
| Alla säkerhetskopior är krypterade/dekrypterade vid källan med AES256-nivåkryptering och krypteras under överföring mellan applikationen och backupdatalagringen. | |
| All personal som är involverad i tjänsteleveransen har granskats, följer strikta protokoll och alla tjänster de använder är (i tillämpliga fall) aktiverade av 2-faktors autentisering och andra säkerhetskontroller såsom lösenordshanteringstjänster för att säkerställa starka och lämpliga lösenord. | |
| Alliantist följer efter Cyber Essentials till IASME-standarden. | |
| ISMS.online har fått betyget A+ av oberoende kontroller med hjälp av Qualsys granskningsprocess för SSL-inspektionen. | |
| Alliantist har starka behörigheter och kontrollhantering för att säkerställa att endast auktoriserade användare som följer starka säkerhetsprotokoll endast kan komma åt relevanta delar av plattformens backend i händelse av ett supportproblem. All åtkomst loggas och kan vid behov forensiskt analyseras i den osannolika händelse det skulle behövas. | |
| Alliantist har lämpligt försäkringsskydd för yrkesskadeersättning, cyberbrott, offentligt ansvar och anställning. | |
| Plattformsåtgärder som görs tillgängliga för registrerade användare inkluderar: | |
| 2-faktors autentisering ingår för alla användare – utan extra kostnad för kärntjänsten och implementeras inom området för användarinställningar. Kundadministratörer kan se vem som har och inte har implementerat det. | |
| Starka lösenord och andra påtvingade säkerhetsåtgärder som kan ställas in på organisationsnivå t.ex. timeouts, påtvingat lösenordsbyte mm. | |
| Rollbaserade behörigheter och åtkomstkontrollåtgärder för olika jobb / olika krav för registrerade användare. | |
| Sekretesskontroller och behörighetshantering på initiativnivåer, kontrollerade av teamadministratören för att förhindra obehörig åtkomst till data. | |
| Administratörsrapporter och åtgärder för att hjälpa till att övervaka aktivitet utan att kränka användarnas integritet (och säkerställa att kundens investeringar i registrerade användare är optimerade). | |
| Alliantist-personal eller underleverantörer som agerar som coachande eller stödjande i kundens ISMS.online-instans läggs endast till av kunden under den tid som krävs och tas sedan bort av kunden. | |
| Kunden förväntas dra nytta av de plattformsåtgärder som lagts till till sin fördel. Alliantist kommer inte att ansvara för någon säkerhetsincident eller händelse som kan inträffa på grund av att kunden har misslyckats med att implementera någon eller alla av plattformsåtgärderna som anges ovan. Detta inkluderar registrerade användare som ansvarar för att upprätthålla konfidentialitet och säkerhet för sina lösenord och inloggningsuppgifter och att använda den tillhandahållna tvåfaktorsautentiseringstjänsten. | |
| Underprocessorer | Underbehandlare används för en rad olika jobb och hanteras enligt sin roll och risk kring personuppgifterna. Underbehandlare för leverans av kärntjänster (t.ex. hosting) i Alliantist-rollen som databehandlare är alla värdar i Storbritannien, så de har inga internationella överföringar. |
| I allianistisk roll som hantering av kundsupport (coaching, spårning av supportärenden) och backoffice-leverans (t.ex. kundekonomi, kundkommunikation) finns det några internationella överföringar som täcks av integritetsskydd och andra internationella överföringsavtal. | |
| Underprocessorer som används inkluderar: | |
| AWS (London primary and Dublin failover), Google, Jira, ZenDesk, Go To Meeting, Sujiivana, Taylor Baines, Xero, Fresh Financials, Ring Central, Word Press, Mailchimp. | |
| Genom att godkänna dessa villkor ger kunden Alliantist ett allmänt tillstånd i den mening som avses i artikel 28 (2) i förordning (EU) 2016/679 att anlita processorer i syfte att tillhandahålla tjänsterna. Alliantist kommer att informera Kunden om väsentliga förändringar hos sådana underbehandlare i enlighet med Avtalet. | |
| Planera för säker återlämnande av data eller dess förstörelse i slutet av avtalet | Kunden kan när som helst ta bort sina data genom en rad rapporter, exporter och mekanismer på plattformen. Med förbehåll för omfattningen, stilen och arten av vad den vill ha och i vilket format, kommer Alliantist också att hjälpa kunden med sin avslutande aktivitet, inklusive relevanta aspekter av personlig dataportabilitet och överföring vid behov. |
| Vid ingående av avtalet och betalning för tjänsterna driver Alliantist en kundavslutsprocess i linje med ISO 27001:2013 där den säkerställer att kunden som datakontrollant har tagit bort vad den vill ha från plattformen och sedan går igenom den säkra raderingen och radering av kunddata. Detta tar 30 dagar att avsluta eftersom säkerhetskopieringsinformationen raderas och ersätts under den cykeln. När kunden samarbetar i initiativ med andra organisationer på plattformen som förblir kunder hos Alliantist godkänner den att viss kunddata kan behållas på plattformen i initiativ som ägs av andra kunder och endast raderas när dessa initiativ raderas. |
3.5) Alliantist som databehandlare kommer att hjälpa kunden som personuppgiftsansvarig att uppfylla kundens skyldigheter enligt förordning (EU) 2016/679 och låta registrerade personer utöva sina rättigheter enligt förordning (EU) 2016/679. För detta ändamål har Alliantist en rad policyer, procedurer och tillvägagångssätt som:
3.5a) Dataskyddsombud (DPO) – Alliantist har nominerat en lämplig dataskyddsombud och de kan kontaktas på DPO@ISMS.online. Alliantist har även dataskydd, informationssäkerhet och en rad andra policyer och kontroller i linje med ICO GDPR-rekommendationer samt ISO 27001:2013, till UKAS oberoende certifieringsstandarder. 3.5b) Subject Access Request (SAR) och andra rättigheter – kontakta support@ISMS.online. Alliantist kommer att behandla begäran i enlighet med GDPR-skyldigheterna och kommer endast att behandla giltiga SAR. Alla informationsförfrågningar som skickas direkt till Alliantist av externa parter som bör vara för kunden som personuppgiftsansvarig kommer att omdirigeras tillbaka till ursprungsparten och meddelas kunden. Ingen information kommer att delas med någon annan part utan att kunden först har godkänt det skriftligen. Alliantist driver också lagliga policyer och processer för alla individers rättigheter; rätt att bli informerad; rätt till tillgång; rätt till rättelse och datakvalitet, rätt till radering, lagring och förfogande, rätt att begränsa behandlingen; rätt att invända; rättigheter till dataportabilitet och rättigheter relaterade till automatiserat beslutsfattande.
3.5c) Säkerhetsincidenter och meddelanden om intrång – utgående: Alliantist driver en process för säkerhetsincidenter som också överensstämmer med bilaga A 16 till ISO 27001. I händelse av att Alliantist drabbas av ett intrång som har en potentiell inverkan på de registrerades rättigheter och friheter. kommer att meddela kundens huvudanvändare inom 24 timmar efter intrånget eller så snart den blir medveten om och samarbeta med kunden för att ta itu med konsekvenserna inklusive dess juridiska skyldigheter och de som ansvarig leverantör.
3.5d) Säkerhetsincidenter och meddelanden om intrång – inkommande: Kunden kommer att rapportera alla säkerhetsincidenter, händelser eller svagheter på plattformen inom 24 timmar eller så snart den blir medveten om dem till security@ISMS.online och Alliantist processer i linje med bilaga A 16 kommer att också börja. Alliantist kommer inte att hållas ansvarigt för någon förlust eller skada som uppstår från kundens underlåtenhet att följa dessa krav
3.6d) Alliantist förbinder sig att göra tillgänglig information för kunden som är nödvändig för att visa att dessa skyldigheter efterlevs, inklusive, med förbehåll för sekretessskyldigheterna i detta avtal och att kunden, eller kundens representant, inte är en konkurrent till Alliantist, att dela resultaten av relevanta revisioner , oberoende certifieringar och standarder erhållna.
3.6e) Alliantist hjälper Kunden om så begärs med rimligt samarbete, med hänsyn till kostnaden för Tjänsterna, att uppfylla sin skyldighet att utföra en dataskyddskonsekvensbedömning relaterad till Kundens användning av Tjänsterna.
3.7f) Alliantist är registrerad hos UK Supervisory Authority (ICO) som databehandlare (och datakontrollant för sin egen verksamhet).
4.1) Avgifter för kundlicens till tjänsterna anges i beställningsformuläret. Avgifterna inkluderar åtkomst till tjänsterna enligt beskrivningen och inkluderar plattformsunderhåll med lämplig teknisk support för huvudanvändaren och auktoriserade administratörer. Avgifterna inkluderar även automatisk åtkomst till relevanta plattformsversioner och förbättringar för funktionaliteten i omfattningen på beställningsformuläret. Support för registrerade användare täcks av avgifterna genom hjälpdokumentationen och inkluderar rundturer, videor och annat supportmaterial på plattformen.
4.2) Om inget annat anges på beställningsformuläret ska detta avtal gälla under minst ett år eller enligt vad som anges i beställningsformuläret och ska vara minimiavgiften. Förstaårsavgifter, rabatterade för årlig förskottsbetalning, ska betalas innan tjänsten påbörjas om inte en giltig inköpsorder överenskommits istället. Månatlig och kvartalsvis betalning i förskott finns också tillgängliga.
4.3) Efter det första året kommer Tjänsterna automatiskt att fortsätta tills Kunden eller Alliantist ger den andra minst 30 dagars varsel att säga upp. Avgifter för den löpande tjänsten kan betalas i förskott månadsvis, kvartalsvis eller årligen med rabatter/höjningar som återspeglar det löpande åtagandet. Alliantist ger inga återbetalningar så efter det första året eller betalningen av minimiavgiften kan kunden välja en kortare rullande betalningsperiod för pågående tjänsteleverans, eller fortsätta med tjänsterna tills någon av dess förskottsbetalningar överensstämmer med meddelandet om uppsägning.
4.4) Ytterligare användare eller ökningar av Tjänsternas omfattning, t.ex. att lägga till ett tillval som policypaket eller konton i försörjningskedjan kan göras när som helst med förbehåll för den relevanta avgiftsbetalningen som anges i beställningsformuläret eller priset som anges vid tidpunkten av begäran. Antal registrerade användare granskas kvartalsvis eller vid andra intervall efter behov och betalas pro rata för varje period som läggs till och anpassas sedan till den vanliga betalningsperioden därefter. Efter betalning av minimiavgiften kan någon av tjänsterna justeras i enlighet med detta och avgiftsändringar återspeglar den pågående förändringen i användningen.
4.5) Alla avgifter förutsätter en rättvis och acceptabel användning av tjänsterna. I händelse av att kundens användning av Plattformen eller tjänsterna överstiger rättvis och acceptabel användning kommer Alliantist att uppmärksamma kunden på problemen skriftligen och ge kunden möjligheten att underlätta användningen eller betala för de extra servicekraven.
4.6) Alla avgifter exkluderar moms och andra statliga skatter.
4.7) Båda parterna kan säga upp detta avtal och alla beställningsformulär omedelbart efter skriftligt meddelande om den andra: (i) gör sig skyldig till ett väsentligt avtalsbrott och som (vid ett brott som kan avhjälpas) inte ska ha åtgärdats inom 30 dagar. Ett väsentligt brott inkluderar (i) en underlåtenhet från kundens sida att betala i enlighet med detta avtal; eller (ii) den andra parten har en likvidator, kurator, förvaltare eller administrativ kurator utsedd med avseende på hela eller delar av dess företag eller tillgångar; eller (iii) den andra parten upphör eller hotar att upphöra med sin verksamhet; eller (iv) ett dataintrång som ökar riskerna för rättigheterna och friheterna för de registrerades information som finns på Plattformen.
4.8 Vid uppsägning av någon anledning:
4.8.1) Alla rättigheter som beviljats kunden enligt detta avtal inklusive utan begränsning licensen att använda tjänsterna ska upphöra och kunden ska upphöra med alla aktiviteter som godkänts av detta avtal;
4.8.2) Kunden ska omedelbart betala till Alliantist alla belopp som Alliantist är skyldig Alliantist enligt detta Avtal, utom där någon summa pengar ska kunna återvinnas från eller betalas av Alliantist, kan Kunden dra av detsamma från varje summa som då är skyldig Alliantist enligt detta Avtal. ;
4.8.3) Efter att ha betalat minimiavgiften och alla andra utestående avgifter som ska betalas kan kunder ta bort kundorganisationsdata från plattformen utan kostnad när som helst. På kundens begäran kommer Alliantist att arbeta med kunden i en professionell kapacitet för att hantera kundens utträde från plattformen, inklusive tillhandahållande av kopior av kundorganisationsdata, (utöver eventuell juridisk skyldighet för personuppgifter) förutsatt att kunden kommer att betala rimliga avgifter till Alliantist för att tillhandahålla eventuella supporttjänst utöver den vanliga utträdesprocessen, sådana avgifter ska överenskommas skriftligen innan uppsägningsstödsarbetet påbörjas.
4.8.4). Efter att ha betalat minimiavgiften och betalat alla andra utestående avgifter, ska kunden kunna fortsätta använda innehållet i ISMS.online-policyerna (inte de tekniska verktygen eller plattformen) på löpande basis enbart för sitt eget syfte i enlighet med 2.7 och 2.8 ovan. .
5.1) Alliantist garanterar att plattformen i huvudsak ska fungera i enlighet med specifikationerna som anges i beställningsformuläret, hjälpdokumentationen och återspegla de funktioner och tjänster som uttrycks från ISMS.online-webbplatsen.
5.2) Kunden erkänner och samtycker härmed till att Alliantist (inklusive tjänstemän, medarbetare, återförsäljare, hänvisare, agenter och direktörer för Alliantist) inte har lämnat eller beviljat några uttryckliga garantier angående tjänsterna förutom garantin i avsnitt 5.1 ovan. Kunden är inte behörig att (och ska inte) skapa några garantiåtaganden för Alliantists räkning med sina partners eller partneranvändare.
5.3) Förutom med avseende på Alliantists uttryckliga förpliktelser enligt detta avtal vad gäller konfidentialitet, dess brott mot tillämpliga dataskyddslagar och det ansvar som det påtar sig enligt avsnitt 5.8 och 5.11, i den utsträckning som tillämplig lag tillåter, ska Alliantist inte ha något ansvar. som helst till någon för alla anspråk, förluster eller skador av något slag i relation till någon data eller användning som den är avsedd för.
5.4) De garantier som anges i avsnitt 5 ovan är begränsade till ISMS.online och gäller inte programvara eller teknologi från tredje part. Med undantag för garantin som anges i avsnitt 5.1, friskriver sig Alliantist härmed och kunden avsäger sig härmed alla garantier, uttryckliga eller underförstådda, inklusive men inte begränsat till alla underförstådda garantier om lämplighet för ett visst ändamål (även om de avslöjas av kunden), alla underförstådda garantier av säljbarhet och alla underförstådda garantier som uppstår genom användning av handel, handelsförlopp eller prestationsförlopp. Alla ISMS.online-policyer, hjälpdokumentation, virtuell coach eller data som tillhandahålls av Alliantist tillhandahålls "I BEFINTLIGT SKICK" utan någon form av garanti. Alliantist garanterar eller garanterar inte uppgifternas riktighet, fullständighet eller användbarhet, inte heller säljbarheten eller lämpligheten för något speciellt ändamål. Alliantist lämnar inga garantier och kunden avsäger sig härmed alla garantier beträffande resultaten som erhållits från ISMS.online eller beträffande uppgifternas riktighet eller tillförlitlighet. Alliantist ska inte under några omständigheter hållas ansvarigt för skada eller skador som härrör från eller uppstår på grund av kundens oförmåga att använda ISMS.online eller att komma åt ISMS.online.
5.5) Kunden erkänner härmed och samtycker till att åtkomst till tjänsterna kan påverkas av telekommunikationsaktivitet i det lokala nätverket; statliga nätverk, e-postfel, kapacitet och kompatibilitet med tredje parts kommunikationsutrustning, kommunikationsprogramvara, webbläsare och internet- (eller intranät)-aktiverad programvara. Alliantist avsäger sig härmed och kunden avsäger sig härmed allt Alliantists ansvar för eventuella fel i samband med telekommunikationsaktivitet på lokalmarknaden, statliga nätverk, fel på e-post, kapacitet och kompatibilitet med tredje parts kommunikationsutrustning, kommunikationsprogram, webbläsare och internet (eller intranät). ) aktiverad programvara.
5.6) Alliantist ska inte hållas ansvarig för underlåtenhet att fullgöra sina skyldigheter enligt detta avtal på grund av omständigheter utanför dess kontroll, vilka sådana omständigheter ska inkludera (utan begränsning) naturkatastrofer, terrorism, arbetskonflikter, krig, regeringsförklaringar, transportförseningar, telekommunikation misslyckande och missbruk av tjänsterna av kunden.
5.7) Kunden samtycker till att hålla Alliantist, och dess dotterbolag, dotterbolag, tjänstemän, agenter och anställda och andra ISMS.online-licenstagare skadeslösa från och mot tredje parts anspråk som uppstår från eller på något sätt relaterat till kundens användning av ISMS.online, mot alla anspråk, krav, processer, skulder, kostnader, utgifter (inklusive rimligt uppkomna advokatkostnader), skador och förluster som lidit eller uppstått. I ett sådant fall kommer Alliantist att ge kunden ett skriftligt meddelande om sådan anspråk, talan eller åtgärd.
5.8) Alliantist samtycker, med förbehåll för gränsen för sitt försäkringsskydd, att hålla kunden skadeslös mot alla anspråk, krav, stämningar, ansvar, kostnader, utgifter (inklusive rimligt uppkomna advokatkostnader), skador och förluster som kunden lidit eller ådragit sig till följd av en tredje parts anspråk mot kunden avseende intrång i tredje parts immateriella rättigheter som uppstår till följd av kundens användning av ISMS.online. Denna skadeersättning ska inte gälla i den utsträckning som ett krav enligt den härrör från kundens försumlighet, uppsåtliga försummelse eller modifiering av specifikationen. Det är föremål för att Kunden omedelbart underrättar Alliantist om alla anspråk och i alla händelser inom 3 månader; Kunden som inte erkänner något fel eller erbjuder att förlika sig och Alliantist har ensam kontroll över anspråket med rimlig hjälp som krävs från Kunden.
Om Kunden hindras från att använda Plattformen därefter kommer Alliantist efter eget gottfinnande och kostnad antingen: köpa rätten att fortsätta använda; ersätta den omtvistade immateriella egendomen och modifiera ISMS.online så att syftet fortfarande tjänas; eller säga upp Avtalet och återbetala Kunden eventuella oanvända men förbetalda avgifter.
5.9) Förutom i den utsträckning som är förbjuden enligt lag, eller ansvar i förhållande till paragraf 5.8, ska det totala totala ansvaret för Alliantist under inga omständigheter överstiga de årliga plattformsavgifterna som betalats av kunden föregående år.
5.10) Under inga omständigheter kommer någon av parterna att ha något ansvar gentemot den andra för förlorade intäkter eller vinster, följdförluster, oförutsedda förluster, goodwill eller andra indirekta förluster.
5.11) Ingenting i detta avtal begränsar någon av parternas ansvar vid dödsfall eller personskada orsakad av den andra partens försumlighet.
6.1) ISMS.online, ISMS.online-policyer, Virtual Coach och hjälpdokumentationen tillhör Alliantist och innehåller värdefulla affärshemligheter. Kunden ska alltid behålla programvaran, policyerna, dokumentationen, teknisk eller kommersiell information, uppfinningar eller processer och all information som rör Alliantists verksamhet eller produkter och som har lämnats ut till kunden av Alliantist och som är av konfidentiell karaktär i strikt förtroende och ska inte tillåta att detsamma används, kopieras, avslöjas eller kasseras förutom i enlighet med detta avtal.
6.2) Förslaget och beställningsformuläret tillsammans med eventuella särskilda villkor i detta avtal är konfidentiella och får inte avslöjas av någon av parterna utan föregående skriftligt medgivande från den andra parten.
6.3) Den mottagande parten får lämna ut information av konfidentiell karaktär till sådana av sina anställda som behöver veta densamma i syfte att fullgöra den mottagande partens skyldigheter enligt detta avtal och ska säkerställa att sådana anställda är föremål för sekretessskyldigheter motsvarande de som anges i detta avtal.
6.4) Bestämmelserna i detta avsnitt 6 ska: (i) inte gälla information som redan är allmänt känd eller som blir det vid ett framtida datum (annat än genom brott mot detta avtal); (ii) inte tillämpas på information som är känd utan begränsning för den mottagande parten vid tidpunkten för avslöjandet utan brott mot någon skyldighet att sekretess; (iii) inte tillämpas på information som till den ursprungspartens rimliga tillfredsställelse har visat sig ha genererats oberoende av den mottagande parten; (iv) förbli i full kraft och verkan trots uppsägning av detta avtal av någon anledning.
Plattformen kan innehålla länkar till andra tredjepartswebbplatser. Alliantist ansvarar inte för sekretesspraxis eller innehållet på dessa andra webbplatser. Registrerade användare måste kontrollera policyförklaringen för denna andra webbplats Alliantists supportpolicy som finns i sidfoten på plattformen för att förstå deras policyer. Registrerade användare som går in på en länkad webbplats kan avslöja sin privata information. Det är den registrerade användarens ansvar att hålla sådan information privat och konfidentiell
Om inget annat anges i beställningsformuläret, ska service och support tillhandahållas enligt villkoren som anges i supportpolicyn som finns i plattformens sidfot och på webbplatsen.
Parterna kommer enbart att agera som oberoende entreprenörer. Dessa villkor ska inte tolkas som att de skapar en byrå, partnerskap, samriskföretag, förtroendeplikt eller någon annan form av juridisk koppling mellan kunden och Alliantist oavsett gemensam marknadsföring eller marknadsföringskommunikation som genomförs tillsammans. Kunden ska inte förespråka motsatsen, vare sig uttryckligen, underförstått, skenbart eller på annat sätt.
Alliantists underlåtenhet att utöva eller upprätthålla någon rättighet eller bestämmelse i avtalet ska inte utgöra ett avstående från sådan rättighet eller bestämmelse. Om någon bestämmelse i avtalet av en domstol med behörig jurisdiktion befinns vara ogiltig, är parterna ändå överens om att domstolen ska sträva efter att verkställa parternas avsikter som återspeglas i bestämmelsen, och övriga bestämmelser i avtalet kvarstår i full kraft och effekt.
Dessa villkor kommer att styras av och tolkas i enlighet med engelsk lag, utan att påverka dess lagkonfliktbestämmelser eller kundens faktiska tillstånd eller land där de bor. Alla anspråk, rättsliga förfaranden eller rättstvister som uppstår i samband med ISMS Online kommer endast att väckas i England, och kunden samtycker till den exklusiva jurisdiktionen för sådana domstolar förutsatt att varje part ska ha rätt att verkställa en dom från de engelska domstolarna i en jurisdiktion i som den andra parten är registrerad i eller i vilken den andra partens tillgångar kan finnas.
Avsnittsrubrikerna i villkoren är endast avsedda för bekvämlighet och har ingen rättslig eller avtalsenlig effekt.
En person som inte är part i detta avtal får inte förlita sig på eller genomdriva några rättigheter enligt Contracts (Rights of Third Party) Act 1999.
Detta avtal inklusive beställningsformuläret, integritetspolicyn och supportpolicyn utgör hela avtalet mellan kunden och Alliantist.
Eventuella frågor eller problem bör i första hand hanteras med hjälp av de vanliga ISMS.online-supportkanalerna support@ISMS.online och sedan eskaleras vid behov därefter.