Transfer Təsir Qiymətləndirməsi
VERİ ÖTƏRİLMƏSİNİN TƏSİR QİYMƏTLƏNDİRMƏSİ
Son yenilənmə tarixi: 19 mart 2026
Bu Veri Ötərilməsinin Təsir Qiymətləndirməsi ("TIA") Acira AI LLC ("Acira AI", "biz", "bizim") tərəfindən Avropa İttifaqı Ədalət Məhkəməsinin Data Protection Commissioner v. Facebook Ireland Limited and Maximillian Schrems işi üzrə qərarının (C-311/18 saylı iş, "Schrems II") və Avropa Məlumat Müdafiəsi Şurasının tövsiyələrinin (EDPB Recommendations 01/2020 on supplementary measures) tələblərinə uyğun olaraq hazırlanmışdır.
Bu TIA, Xidmətlərimizin göstərilməsi çərçivəsində Avropa İqtisadi Ərazisindən ("EEA"), Birləşmiş Krallıqdan ("UK"), İsveçrədən və Kanadadan Birləşmiş Ştatlara və digər üçüncü ölkələrə ötürülən şəxsi məlumatlar üçün qorumaların adekvatlığını qiymətləndirir.
Bu TIA rahatlığınız üçün digər dillərə tərcümə oluna bilər. İngilis dili versiyası ilə hər hansı tərcümə edilmiş versiya arasında hər hansı ziddiyyət və ya uyğunsuzluq olduqda, İngilis dili versiyası üstünlük təşkil edəcəkdir.
MÜNDƏRİCAT
- ÖTÜRMƏLƏRƏ ÜMUMİ BAXIŞ
- ÖTÜRÜLƏN MƏLUMATLARİN XARAKTERİ
- ÖTÜRMƏ MEXANİZMLƏRİ
- TƏYİNAT ÖLKƏSİNİN QANUNLARININ QİYMƏTLƏNDİRİLMƏSİ
- XİDMƏT TƏMİNATÇISI ÜZRƏ MƏLUMAT AXINLARININ QİYMƏTLƏNDİRİLMƏSİ
- ƏLAVƏ TƏDBİRLƏR
- RİSK QİYMƏTLƏNDİRMƏSİ
- NƏTİCƏ
- YOXLAMA CƏDVƏLİ
- BİZİMLƏ ƏLAQƏ
1. ÖTÜRMƏLƏRƏ ÜMUMİ BAXIŞ
1.1 Kontekst
Acira AI, müəssisələrə və fiziki şəxslərə süni intellektlə gücləndirilmiş veb-saytlar yaratmağa, idarə etməyə və yerləşdirməyə imkan verən proqram-xidmət (SaaS) platformasıdır. İstifadəçilər EEA, UK, İsveçrə və ya Kanadadan ziyarətçilərin daxil ola biləcəyi veb-saytlar yaratdıqda, həmin ziyarətçilərin şəxsi məlumatları Birləşmiş Ştatlara və infrastruktur təminatçılarımızın fəaliyyət göstərdiyi digər yerlərə ötürülə və orada emal edilə bilər.
1.2 Tərəflər
- Məlumat ixracatçısı: Veb-sayt operatoru (müştərimiz, Nəzarətçi kimi fəaliyyət göstərir) və analitika məlumatları üçün Acira AI Birgə Nəzarətçi kimi.
- Məlumat idxalatçısı: Acira AI LLC, Nevada ştatında, Birləşmiş Ştatlarda qeydiyyatdan keçmiş, Emal edən kimi (və analitika üçün Birgə Nəzarətçi kimi) fəaliyyət göstərir.
- Alt emal edənlər: Acira AI tərəfindən cəlb edilmiş üçüncü tərəf xidmət təminatçıları (5-ci bölmədə siyahılanmışdır).
1.3 Ötürmə təyinatları
| Təyinat | Təminatçılar | Əsas |
|---|---|---|
| ABŞ və Avropa İttifaqı (Stokholm) | AWS | SCC-lər + Əlavə Tədbirlər (ABŞ); Aİ-da yaşayan istifadəçilər üçün avtomatik ziyarətçiyə yönəlik əməliyyatlar üçün EEA daxili |
| ABŞ | Stripe, Fireworks AI, xAI | SCC-lər + Əlavə Tədbirlər |
| Qlobal (kənar yerlər) | Cloudflare | SCCs + Əlavə tədbirlər |
| İsrail | BrightData (yalnız istifadəçi tərəfindən istiqamətləndirilmiş) | SCCs + Əlavə tədbirlər |
| Avropa İttifaqı | Black Forest Labs, ScreenshotOne, CloudConvert | EEA daxili (ötürmə mexanizmi tələb olunmur) |
2. ÖTÜRÜLƏN MƏLUMATLARİN XARAKTERİ
2.1 Şəxsi məlumatların kateqoriyaları
Ötürülən şəxsi məlumatlar veb-sayt operatorunun aktivləşdirdiyi funksiyalardan və veb-sayt ziyarətçilərinin qarşılıqlı əlaqələrindən asılıdır. Aşağıdakı kateqoriyalar ötürülə bilər:
| Məlumat kateqoriyası | Təsvir | Həssaslıq | Həcm |
|---|---|---|---|
| Analitika identifikatorları | IP + İstifadəçi-Agent + tarixi üçün gündəlik dövri kriptoqrafik hash (psevdonimləşdirilmiş) | Aşağı | Yüksək (hər səhifə görünüşündə) |
| Ziyarətçi metadata | Ölkə, region, dil, cihaz növü, brauzer, OS, yönləndirici domenin, UTM parametrləri | Aşağı | Yüksək (hər səhifə görüntüsündə) |
| IP ünvanları | Form göndərişləri və chatbot söhbətləri ilə birlikdə metadata kimi saxlanılır; analitika üçün heşlənir; bot çağırış yoxlaması üçün müvəqqəti istifadə edilir; sürət məhdudlaşdırması üçün müvəqqəti saxlanılır (7 günə qədər) | Orta | Orta |
| Form göndəriş məzmunu | Ziyarətçilər tərəfindən göndərilən sərbəst mətn sahələri (adlar, e-poçtlar, mesajlar və s.) | Dəyişkən (forma asılıdır) | Aşağıdan ortaya |
| Chatbot mesajları | Ziyarətçi mesajları və süni intellekt tərəfindən yaradılan cavablar (mesaj başına maksimum 2.000 simvol) | Aşağıdan ortaya | Aşağı |
| Fayl yükləmələri | Ziyarətçilər tərəfindən veb-sayt formaları vasitəsilə yüklənmiş fayllar (şəkillər, sənədlər) | Dəyişkən | Aşağı |
| Sessiya identifikatorları | Server tərəfli sessiya ID-ləri və müştəri tərəfli sessiya kukiləri | Aşağı | Yüksək |
| Autentifikasiya etimadnamələri | Veb-saytın qorunan sahələri üçün parollar (yalnız heşlənmiş formada saxlanılır) | Yüksək (lakin heşlənmiş) | Aşağı |
2.2 Məlumat subyektlərinin kateqoriyaları
- Acira AI platformasında yerləşdirilmiş veb-saytların ziyarətçiləri
- Platformada yerləşdirilmiş veb-saytlarda hesab yaradan istifadəçilər
- Yerləşdirilmiş veb-saytlarda forma dolduran, chatbotlarla əlaqə quran və ya fayl yükləyən istifadəçilər
2.3 Ötürülməyən məlumatlar
- Geolokasiya məlumatları: IP-dən yerə axtarışları şəbəkə kənarında infrastruktur provayderimiz tərəfindən həyata keçirilir. Heç bir ziyarətçi IP ünvanı xarici geolokasiya xidmətinə ötürülmür.
- Xam analitika IP ünvanları: Yalnız gündəlik dövri kriptoqrafik hash saxlanılır; xam IP-lər analitika sistemlərində saxlanılmır.
- Açıq mətn şifrələri: Yalnız kriptoqrafik heşlər saxlanılır və ötürülür.
3. ÖTÜRMƏ MEXANİZMLƏRİ
3.1 Əsas mexanizm: Standart Müqavilə Şərtləri
Komissiya Tətbiqetmə Qərarı (EU) 2021/914 ilə qəbul edilmiş Avropa Komissiyasının Standart Müqavilə Şərtlərindən (SCCs) istifadə edirik, xüsusilə:
- Birinci modul (Nəzarətçidən Nəzarətçiyə): Acira AI-nin veb-sayt operatoru ilə Birgə Nəzarətçi kimi fəaliyyət göstərdiyi analitika məlumatlarının ötürülməsi üçün (DPA Bölmə 2.3-ə baxın).
- İkinci modul (Nəzarətçidən Emal edənə): Veb-sayt operatorundan (Nəzarətçi) Acira AI-yə (Emal edən) ziyarətçilərin şəxsi məlumatlarının ötürülməsi üçün.
- Üçüncü modul (Emal edəndən Alt emal edənə): Acira AI-dən alt emal edənlərə sonrakı ötürmələr üçün.
3.2 UK, İsveçrə və Kanada ötürmələri
- UK: EU SCCs-ə UK Beynəlxalq Məlumat Ötürmə Əlavəsi tətbiq olunur.
- İsveçrə: SCCs-lər İsveçrənin Federal Məlumat Müdafiəsi Aktının (FADP) tələb etdiyi dəyişikliklərlə tətbiq olunur.
- Kanada: Ötürmələr hər bir alt emal edən ilə müqavilə müdafiəsinə əsaslanır ki, bu da Şəxsi Məlumatların Müdafiəsi və Elektron Sənədlər Aktı (PIPEDA) və tətbiq olunan əyalət məxfilik qanunvericiliyi ilə uyğun öhdəliklər qoyur; bu, 6-cı bölmədə təsvir olunan əlavə texniki və təşkilati tədbirlərlə birlikdə tətbiq edilir. Ətraflı məlumat üçün DPA Bölmə 7.4-ə baxın.
3.3 Alt emal edənin ötürmə mexanizmləri
| Alt emal edən | Ötürmə mexanizmi |
|---|---|
| Amazon Web Services | SCCs (AWS DPA), ISO 27001/27017/27018 sertifikatlaşdırılmış |
| Cloudflare | SCCs (Cloudflare DPA), ISO 27001 sertifikatlaşdırılmış |
| Stripe | SCCs (Stripe DPA), PCI DSS Səviyyə 1 sertifikatlaşdırılmış |
| Fireworks AI | SCCs (Fireworks AI DPA), SOC 2 Tip II, ISO 27001/27701/42001 sertifikatlaşdırılmış |
| xAI | SCCs (EU SCCs ilə xAI DPA) |
| BrightData | SCCs (BrightData DPA) |
4. TƏYİNAT ÖLKƏSİNİN QANUNLARININ QİYMƏTLƏNDİRİLMƏSİ
4.1 Birləşmiş Ştatlar
Birləşmiş Ştatlar ötürülən məlumatlar üçün əsas təyinat ölkəsidir. Aşağıdakı ABŞ qanunları bu qiymətləndirmə üçün aktualdır:
4.1.1 Xarici Kəşfiyyat Müşahidəsi Aktı (FISA), Bölmə 702
FISA Bölmə 702 ABŞ hökumətinə xarici kəşfiyyat məqsədləri üçün Birləşmiş Ştatların xaricində yerləşən qeyri-ABŞ vətəndaşlarının kommunikasiyalarına giriş imkanı verməsi üçün elektron kommunikasiya xidməti təminatçılarını məcbur etməyə icazə verir.
Risklərin qiymətləndirilməsi:
- Tətbiq oluna bilənlik: FISA Bölmə 702, 50 U.S.C. § 1881(b)(4)-də müəyyən edildiyi kimi "elektron kommunikasiya xidməti təminatçılarına" aiddir. Acira AI ənənəvi telekommunikasiya təminatçısı deyil, SaaS veb-sayt hostinq platformasıdır. Alt emal edənlərimiz (AWS, Cloudflare) 702-ci bölmə direktivlərinə daha çox tabe ola bilər.
- Riskdə olan məlumatların əhatəsi: Emal etdiyimiz şəxsi məlumatlar əsasən veb-sayt ziyarətçilərinin analitikasından (psevdonimləşdirilmiş), form göndərişlərindən və chatbot mesajlarından ibarətdir. Bu məlumatların xarici kəşfiyyat üçün əhəmiyyətli olması ehtimalı azdır.
- Praktik ehtimal: Heç vaxt FISA Bölmə 702 direktivi almamışıq və Xidmətlərimizin xarakteri və emal etdiyimiz məlumatlar nəzərə alındığında belə bir direktiv alımının praktik ehtimalını çox aşağı qiymətləndiririk.
4.1.2 12333 saylı İcra Əmri
12333 saylı İcra Əmri ABŞ kəşfiyyat qurumlarına siqnallar kəşfiyyatının toplu toplanması da daxil olmaqla müşahidə fəaliyyəti həyata keçirməyə icazə verir. Bu əmr tranzitdəki məlumatlara şamil olunur və özəl şirkətlərə əməkdaşlıq etməyi məcbur etmir.
Risklərin qiymətləndirilməsi:
- Azaldıcı tədbirlər: Tranzitdəki bütün məlumatlar TLS ilə şifrələnmişdir. Tranzitdəki şifrələnmiş məlumatların toplu tutulması açıq mətn şəxsi məlumatlar verməz.
- Praktik ehtimal: Aşağı. Xidmətlərimiz vasitəsilə emal edilən məlumatların xarakteri tipik olaraq siqnallar kəşfiyyatı üçün hədəflənmir.
4.1.3 14086 saylı İcra Əmri və AB-ABŞ Məlumat Məxfiliyi Çərçivəsi
14086 saylı İcra Əmri (oktyabr 2022) siqnallar kəşfiyyat fəaliyyətləri üçün əlavə tədbirlər təqdim etdi, o cümlədən:
- Kəşfiyyat toplama üçün zərurət və mütənasiblik tələbləri
- AB/UK/İsveçrə vətəndaşları üçün mövcud iki pilləli müraciət mexanizmi (Mülki Azadlıqların Müdafiəsi Zabiti + Məlumat Müdafiəsi Baxış Məhkəməsi)
- Toplu toplama üzrə məhdudiyyətlər
Avropa Komissiyası 10 iyul 2023-cü ildə AB-ABŞ Məlumat Məxfiliyi Çərçivəsi (DPF) üçün adekvatlıq qərarı qəbul etdi. Acira AI hazırda DPF çərçivəsində özünü sertifikatlaşdırmasa da, 14086 saylı İcra Əmri çərçivəsindəki qorumalar Birləşmiş Ştatlara bütün məlumat ötürmələrinə geniş şəkildə tətbiq olunur və istifadə edilən ötürmə mexanizmindən asılı olmayaraq bütün məlumat subyektlərinin xeyrinə işləyir.
4.1.4 CLOUD Aktı
Xaricdə Məlumatların Qanuni İstifadəsini Aydınlaşdırma (CLOUD) Aktı ABŞ hüquq-mühafizə orqanlarına məlumatların harada saxlandığından asılı olmayaraq, etibarlı order və ya məhkəmə qərarı əsasında ABŞ-a əsaslanan təminatçılardan məlumatları təqdim etməyi tələb etməyə icazə verir.
Risklərin qiymətləndirilməsi:
- Təminatlar: CLOUD Aktı etibarlı hüquqi proses (order, məhkəmə çağırışı və ya məhkəmə qərarı) tələb edir. Ordersiz toplu girişə icazə vermir.
- Nəzakət müddəaları: CLOUD Aktı xarici qanunla ziddiyyət təşkil edən əmrlərə etiraz etməyə imkan verən nəzakət çərçivəsi ehtiva edir.
- Praktik ehtimal: Veb-sayt ziyarətçisi məlumatları üçün aşağı. Hüquq-mühafizə orqanlarının sorğuları çətin ki, ziyarətçi analitikasını və ya form göndərişlərini hədəf alsın; daha çox cinayət fəaliyyəti şübhəsi olan konkret hesablara yönəlib.
4.2 İsrail (BrightData)
BrightData İsraildə qərargah qurub. İsrailin Avropa Komissiyasından adekvatlıq qərarı var (2011/61/EU), yəni İsrailə ötürmələr EEA daxili ötürmələrə bənzər şəkildə qəbul edilir. Lakin BrightData məlumatları digər qlobal yerlərdə də emal edir. Qeyd edirik ki:
- BrightData emalı yalnız istifadəçi tərəfindən istiqamətləndirilmiş (məzmun idxalı üçün veb-sayt yaradılması zamanı) və ya planlaşdırılmış SERP izləmə zamanı baş verir.
- Heç bir veb-sayt ziyarətçisinin şəxsi məlumatları BrightData-ya ötürülmür.
4.3 Kanada (Kanadadan Birləşmiş Ştatlara ötürmələr)
Kanadada yerləşən veb-sayt ziyarətçilərinin şəxsi məlumatları emal üçün Birləşmiş Ştatlara ötürülə bilər. Aşağıdakı Kanada qanunları bu qiymətləndirmə üçün aktualdır:
4.3.1 Şəxsi Məlumatların Müdafiəsi və Elektron Sənədlər Aktı (PIPEDA)
PIPEDA kommersiya fəaliyyəti kontekstində özəl sektor təşkilatları tərəfindən şəxsi məlumatların toplanmasını, istifadəsini və açıqlanmasını tənzimləyir. PIPEDA Prinsipi 4.1.3 Kanada xaricindəki ötürmələr daxil olmaqla şəxsi məlumatlar emal üçün üçüncü tərəflərə ötürüldükdə müqavilə və ya digər vasitələrdən istifadə edərək müqayisəli müdafiə səviyyəsi təmin etmələrini tələb edir.
Risklərin qiymətləndirilməsi:
- Müqayisəli müdafiə: 6-cı bölmədə təsvir olunan əlavə tədbirlər (şifrələmə, psevdonimləşdirmə, giriş nəzarəti, məlumatların minimuma endirilməsi) PIPEDA çərçivəsindən tələb olunan ilə müqayisəli müdafiə səviyyəsi təmin edir. Bütün alt emal edənlərlə yazılı məlumat emalı müqavilələri mövcuddur.
- Adekvatlıq tələbi yoxdur: GDPR-dan fərqli olaraq, PIPEDA "adekvatlıq" qərarı olmayan ölkələrə ötürmələri qadağan etmir. Təşkilatlar müqavilə və digər vasitələrlə müqayisəli müdafiə təmin etməlidirlər; bunu həyata keçirmişik.
4.3.2 Əyalət Məxfilik Qanunvericiliyi
Albertanın Şəxsi Məlumatların Müdafiəsi Aktı (PIPA), Britaniya Kolumbiyasının Şəxsi Məlumatların Müdafiəsi Aktı (PIPA) və Kebekin Özəl Sektorda Şəxsi Məlumatların Müdafiəsinə dair Aktı müəyyən əyalətlər üçün əlavə tələblər qoyur:
Risklərin qiymətləndirilməsi:
- Kebek Qanunu 25: Kebekin modernləşdirilmiş məxfilik qanunu (sentyabr 2023-cü ildən qüvvədədir) şəxsi məlumatların Kebekdən kənara ötürülməsindən əvvəl məxfilik üzərindəki təsirin qiymətləndirilməsini tələb edir; ötürən təşkilat məlumatların kifayət qədər qorunacağına əmin olmalıdır. Müqavilə müdafiəmiz, əlavə texniki tədbirlərimiz və məlumatların xarakteri (əsasən psevdonimləşdirilmiş analitika və kiçik biznes veb-saytı qarşılıqlı əlaqələri) kifayət qədər müdafiənin mövcudluğunu dəstəkləyir.
- Alberta və Britaniya Kolumbiyası: Alberta və Britaniya Kolumbiyasının PIPA-ları təşkilatların ötürülmüş məlumatlar üçün müqayisəli müdafiə təmin etmələrini tələb edir. Müqavilə və texniki tədbirlərimiz bu tələbi ödəyir.
4.3.3 Kanada perspektivindən ABŞ hökumətinin girişi
4.1-ci bölmədə qiymətləndirilən eyni ABŞ hökumətinin giriş riskləri Kanada məlumat ötürmələrinə də aiddir. Hökumətin girişinin aşağı ehtimalı (məlumatların xarakteri və şirkətimizin profili nəzərə alındığında), 6-cı bölmədəki əlavə tədbirlərlə birlikdə, Kanadadan Birləşmiş Ştatlara ötürülən şəxsi məlumatların Kanada məxfilik qanununun tələb etdiyinə müqayisəli müdafiə səviyyəsi almasını təmin edir.
4.4 Qlobal Kənar Yerlər (Cloudflare)
Cloudflare qlobal kənar yerləri şəbəkəsini idarə edir. AB ziyarətçilərinin sorğuları adətən ən yaxın Cloudflare əhatə nöqtəsində emal edilir ki, bu da AB ziyarətçiləri üçün çox vaxt AB yeri olacaq.
- Sorğu yönləndirilməsi, TLS sonlandırması və bot müdafiəsi ən yaxın kənar yerdə baş verir.
- AB sakini olaraq müəyyən edilmiş veb sayt operatorları üçün davamlı saxlama (forma təqdimatları, chatbot söhbətləri və sessiya məlumatlarını ehtiva edən) Cloudflare-in yurisdiksiya API-sindən istifadə edərək Avropa İttifaqı ilə yurisdiksiya baxımından məhdudlaşdırılmışdır. AB olmayan veb sayt operatorları üçün davamlı saxlama operatorun coğrafi bölgəsinin yaxınlığında yerləşir, lakin AB xaricində ola bilər.
- Analitika məlumatları Cloudflare tərəfindən idarə olunan infrastrukturda emal edilir.
5. XİDMƏT TƏMİNATÇISI ÜZRƏ MƏLUMAT AXINLARININ QİYMƏTLƏNDİRİLMƏSİ
5.1 Amazon Web Services (ABŞ)
| Məlumat axını | Əlaqəli şəxsi məlumatlar | Məqsəd |
|---|---|---|
| Verilənlər bazası saxlama | Forma təqdimat metadata (IP, ölkə, bölgə), chatbot söhbət qeydləri, fayl metadata, sessiya qeydləri | Veb sayt ziyarətçisi məlumatlarının daimi saxlanması |
| Fayl saxlama | Yüklənmiş fayllar (şəkillər, sənədlər), yerləşdirmə anlıq görüntüləri | Fayl saxlama |
| AI çıxarımı | Fayl məzmunu (AI təsvirləri üçün), e-poçt məzmunu (spam aşkarlaması üçün) | AI-dəstəkli təsvirlər və spam təsnifatı |
| Məzmun moderasiyası | Yüklənmiş şəkillər | Məzmun moderasiyası (çılpaqlıq/açıq məzmun aşkarlaması) |
| E-poçt çatdırılması | E-poçt ünvanları, mesaj məzmunu | Tranzaksiya e-poçt çatdırılması və məzmun təqdimatı bildirişləri. Aİ-da yaşayan veb-sayt operatorları üçün bu əməliyyatlar Avropa İttifaqında (Stokholm) emal olunur. |
| Dil aşkarlaması | E-poçt mesaj mətni | Dil aşkarlaması |
AWS Təminatları:
- ISO 27001, 27017, 27018 sertifikatlaşdırılmış
- SOC 1/2/3 hesabatları mövcuddur
- Sənaye standartı şifrələmə istifadə edərək istirahətdə şifrələnmiş məlumatlar
- Tranzitdə məlumatların şifrələnməsi (TLS)
- Hər sistem komponenti üçün ən az imtiyaz giriş nəzarəti
- Əsas xidmətlər ABŞ-da yerləşdirilir; Aİ-da yaşayan veb-sayt operatorları üçün avtomatik ziyarətçiyə yönəlik əməliyyatlar (məzmun təqdimatı bildirişləri və tranzaksiya e-poçt çatdırılması) Avropa İttifaqında (Stokholm) emal olunur
5.2 Cloudflare (Qlobal)
| Məlumat axını | Əlaqəli şəxsi məlumatlar | Məqsəd |
|---|---|---|
| Kənar yönləndirilmə | IP ünvanları, HTTP başlıqları, sorğu URL-ləri | Sorğu yönləndirilməsi, DDoS müdafiəsi, TLS sonlandırması |
| Veb sayt hostinqi | Səhifə məzmunu, ziyarətçi metadata | Veb sayt hostinqi və çatdırılması |
| Davamlı saxlama | Forma təqdimatları, chatbot söhbətləri, sessiya məlumatları, istifadəçi cədvəli məlumatları | Hər veb sayt üçün vəziyyətli saxlama |
| Analitika | Psevdonimləşdirilmiş ziyarətçi hash, ölkə, cihaz, brauzer, istinad, UTM | Gizlilik dostu ziyarətçi analitikası |
| AI çıxarımı | Chatbot mesajları, forma sahəsi xülasələri | AI chatbot cavabları, spam aşkarlaması |
| Aktiv saxlama | Veb sayt aktivləri (şəkillər, fayllar) | Statik aktiv saxlama və CDN çatdırılması |
Cloudflare Təminatları:
- ISO 27001 sertifikatlaşdırılmış, SOC 2 Tip II
- Bütün əlaqələr üçün TLS 1.2+
- SCCs ilə Cloudflare DPA mövcuddur
- Kənar emalı o deməkdir ki, Aİ ziyarətçi məlumatları sorğuların emalı üçün adətən Aİ kənar məkanlarında emal olunur
- Aİ sakinləri kimi müəyyən edilmiş veb-sayt operatorları üçün daimi yaddaş (form təqdimatları, çatbot söhbətləri, sessiya məlumatları və istifadəçi cədvəl məlumatları daxil olan) Cloudflare-in yurisdiksiya API-si istifadə edilərək Avropa İttifaqına yurisdiksion olaraq məhdudlaşdırılıb, bu məlumatların yalnız Aİ məlumat mərkəzlərində saxlanılmasını və emal olunmasını təmin edir. Kənardan gələn arxa plan API çağırışları (məzmun təqdimatı bildirişləri və tranzaksiya e-poçt çatdırılması üçün) Aİ-da yerləşən AWS infrastrukturuna yönləndirilir.
- AI inferensi təlim üçün giriş məlumatlarını saxlamır
5.3 Stripe (ABŞ)
| Məlumat axını | Əlaqəli şəxsi məlumatlar | Məqsəd |
|---|---|---|
| Ödəniş emalı | Veb-sayt operatorunun hesablaşma məlumatları (ad, e-poçt, ödəniş üsulu) | Abunə və domen ödənişlərinin emalı |
Qeyd: Stripe veb-sayt ziyarətçilərinin şəxsi məlumatlarını almır. Stripe yalnız veb-sayt operatorunun (müştərimizin) hesablaşma məlumatlarını emal edir.
Stripe Təminatları:
- PCI DSS Səviyyə 1 sertifikatlaşdırılmış
- ISO 27001 sertifikatlaşdırılmış
- SCCs ilə Stripe DPA mövcuddur
5.4 AI Nəticəçıxarma Təminatçıları (ABŞ)
Fireworks AI və xAI AI model nəticəçıxarma xidmətləri təqdim edir.
| Məlumat axını | Əlaqəli şəxsi məlumatlar | Məqsəd |
|---|---|---|
| Mətn yaradılması (veb-sayt məzmunu) | Veb-sayt məzmunu (ziyarətçi məlumatları deyil) | Veb-sayt məzmununun yaradılması və redaktəsi |
| Şəkil yaradılması | Mətn istəkləri (ziyarətçi məlumatları deyil) | Veb-saytlar üçün şəkil yaradılması |
| Danışıq AI (söhbət agenti) | Platforma istifadəçisinin adı, e-poçtu, dil seçimi və söhbət tarixi | Platforma istifadəçiləri (veb-sayt operatorları) üçün AI dəstəkli köməkçi |
Qeyd: Bu AI təminatçıları veb-sayt ziyarətçilərinin şəxsi məlumatlarını almır. Chatbot funksiyası (veb-sayt ziyarətçilərinə xidmət edən) bu təminatçıları deyil, Cloudflare Workers AI-dən (5.2-ci bölmədə qiymətləndirilmişdir) istifadə edir. Bununla belə, platformanın danışıq AI köməkçisi — veb-sayt operatorları tərəfindən veb-saytlarını idarə etmək üçün istifadə edilir — cavablar yaratmaq üçün platforma istifadəçisinin şəxsi məlumatlarını (ad, e-poçt ünvanı və söhbət tarixi) bu təminatçılara göndərir. Bu emal üçün Acira AI nəzarətçi kimi fəaliyyət göstərir (emal edən kimi deyil) və məlumat subyektləri platforma istifadəçilərimizdir (veb-sayt operatorları), veb-sayt ziyarətçiləri deyil. Bu məlumat axını Məxfilik Siyasətimiz və bu təminatçılarla müqavilələrimiz tərəfindən tənzimlənir, ziyarətçi məlumatları üçün DPA-nın nəzarətçi-emal edən çərçivəsi ilə deyil.
Model Ailələri: Bu infrastruktur provayderləri müxtəlif üçüncü tərəflər tərəfindən işlənib hazırlanmış AI modellərini yerləşdirir və icra edir. İstifadə olunan xüsusi modellər və model ailələri zamanla dəyişə bilər. Model işləyicilərı heç bir istifadəçi məlumatı almır və ya onlara çıxış edə bilmir — bütün məlumat emalı modelin əvvəlcə harada hazırlandığından asılı olmayaraq müstəsna olaraq sadalanan subprosessorların infrastrukturunda baş verir. Bütün AI çıxarım emalı sadalanan subprosessorlarımızın infrastrukturunda qalır. Heç bir istifadəçi məlumatı model işləyicilərinə və ya bu qiymətləndirmədə sadalanan subprosessorların xaricindəki infrastruktura ötürülmür. İstifadə olunan model ailələrinin cari siyahısı legal@acira.ai ilə əlaqə saxlayaraq sorğu ilə əldə edilə bilər.
5.5 BrightData (İsrail / Qlobal)
| Məlumat axını | Əlaqəli şəxsi məlumatlar | Məqsəd |
|---|---|---|
| Veb məlumat toplama | İctimai veb məzmunu (ziyarətçi məlumatları deyil) | Veb-sayt yaradılması zamanı məzmun idxalı (istifadəçi tərəfindən istiqamətləndirilmiş) |
| SERP izləmə | Axtarış açar sözləri (ziyarətçi məlumatları deyil) | Açar söz sıralama monitorinqi |
Qeyd: BrightData veb-sayt ziyarətçilərinin şəxsi məlumatlarını emal etmir. İstifadəçi tərəfindən istiqamətləndirilmiş ictimai veb məzmununu emal edir və istifadəçi tərəfindən müəyyən edilmiş açar sözlər üçün axtarış motoru reytinqlərini izləyir.
5.6 AB Əsaslı Təminatçılar (Ötürmə Yoxdur)
| Təminatçı | Yer | Məqsəd |
|---|---|---|
| Black Forest Labs | Almaniya (AB) | AI şəkil yaradılması (Flux modelləri) |
| ScreenshotOne | Avropa İttifaqı | Veb-sayt ekran görüntüsü çəkimi |
| CloudConvert | Almaniya (AB) | Fayl formatının çevrilməsi |
Bu təminatçılar məlumatları AB daxilində emal edir və beynəlxalq ötürmə təşkil etmir. Black Forest Labs yalnız şəkil yaradılması üçün mətn istəkləri alır; heç bir şəxsi məlumat əlaqəli deyil.
6. ƏLAVƏ TƏDBİRLƏR
SCCs-ə əlavə olaraq, ötürülən şəxsi məlumatlar üçün əsasən ekvivalent müdafiə səviyyəsini təmin etmək üçün aşağıdakı əlavə tədbirləri həyata keçiririk:
6.1 Texniki Tədbirlər
| Tədbir | Təsvir |
|---|---|
| Tranzitdə şifrələmə | Ziyarətçilər, kənar şəbəkə və arxa plan xidmətləri arasında ötürülən bütün məlumatlar TLS (minimum TLS 1.2) istifadə edilərək şifrələnir. Daxili xidmət-xidmətə kommunikasiya şifrəli kanallar istifadə edir. |
| İstirahətdə şifrələmə | Bütün verilənlər bazası qeydləri, fayl saxlama və kənar hostinq davamlı saxlama müvafiq infrastruktur provayderinin idarə etdiyi sənaye standartı şifrələmə istifadə edilərək istirahətdə şifrələnir. |
| Psevdonimləşdirmə | Ziyarətçi analitikası xam IP ünvanlarını saxlamaq əvəzinə gündəlik dövri kriptoqrafik hash (IP + İstifadəçi-Agent + tarix) istifadə edir. Bu hash geri qaytarıla bilməz və hər 24 saatda bir dəyişdirilir, günlər arası izləmənin qarşısını alır. |
| Məlumatların minimuma endirilməsi | Analitika yalnız aqreqat səviyyəli metadata (ölkə, cihaz növü, brauzer) toplayır. Xam IP ünvanları analitikaда saxlanılmır. Chatbot mesajları 2,000 simvolla məhdudlaşdırılıb. |
| Parol heşlənməsi | Bütün ziyarətçi parolları (veb-saytın qorunan sahələri üçün) saxlanmadan əvvəl istifadəçi başına təsadüfi duzlarla güclü kriptoqrafik alqoritmlərdən istifadə edərək heşlənir. Açıq mətn parollar heç vaxt saxlanılmır və ya ötürülmür. |
| Giriş nəzarəti | Ən az imtiyaz giriş siyasətləri hər sistem komponentini yalnız ehtiyac duyduğu resurslara məhdudlaşdırır. Veb sayt başına API tokenları fərdi veb saytlara girişi məhdudlaşdırır. |
| Şəbəkə izolyasiyası | Arxa plan xidmətləri daxili şəbəkələr üzərindən kommunikasiya edir. Veb sayt hostinqi izolyasiya edilmiş icra sandboxlarında işləyir. Xüsusi kod icrası WebAssembly əsaslı sandboxing istifadə edir. |
| Yurisdiksion məlumat yerləşdirilməsi | Aİ sakinləri kimi müəyyən edilmiş veb-sayt operatorları üçün ziyarətçi məlumatlarını (form təqdimatları, çatbot söhbətləri, sessiya məlumatları və istifadəçi cədvəl məlumatları) ehtiva edən daimi yaddaş Avropa İttifaqına yurisdiksion olaraq məhdudlaşdırılıb, bu məlumatların yalnız Aİ məlumat mərkəzlərində saxlanılmasını və emal olunmasını təmin edir. Avtomatik ziyarətçiyə yönəlik əməliyyatlar (məzmun təqdimatı bildirişləri və tranzaksiya e-poçt çatdırılması) da Aİ-da yerləşən infrastrukturda emal olunur. |
| Avtomatlaşdırılmış silinmə | Sessiya məlumatları 30 günlük fəaliyyətsizlikdən sonra başa çatır. Müvəqqəti fayllar 24 saat ərzində silinir. Bot challenge məlumatları keçicidir və saxlanılmır. |
6.2 Təşkilati Tədbirlər
| Tədbir | Təsvir |
|---|---|
| Personal məxfiliyi | Şəxsi məlumatlara çıxışı olan bütün personal məxfilik öhdəlikləri ilə bağlıdır. |
| Alt emal edənin lazımi diqqəti | Alt emal edənlər cəlb edilməzdən əvvəl təhlükəsizlik tətbiqatları və məlumat müdafiəsinə uyğunluğu baxımından qiymətləndirilir. Bütün alt emal edənlərlə yazılı DPA-lar mövcuddur. |
| Hadisəyə cavab | Pozuntu bildiriş prosedurları şəxsi məlumat pozuntusunun təsdiqindən 72 saat ərzində Nəzarətçilərin xəbərdar edilməsini təmin edir. |
| Məlumat saxlama siyasətləri | Avtomatik tətbiq ilə sənədləşdirilmiş saxlama müddətləri (TTL əsaslı silinmə, həyat dövrü siyasətləri). |
| Təhlükəsizlik monitorinqi | Strukturlaşdırılmış gündəlik, avtomatlaşdırılmış təhlükəsizlik monitorinqi və müdaxilə aşkarlaması. Xəta və diaqnostik jurnallar 30 günə qədər saxlanılır. |
6.3 Müqavilə Tədbirləri
| Tədbir | Təsvir |
|---|---|
| Standart Müqavilə Şərtləri | SCCs (Birinci, İkinci və Üçüncü Modullar) DPA-mıza istinadla daxil edilmişdir. |
| Alt emal edənin SCCs-ləri | Hər bir alt emal edən ilə yazılı müqavilələr DPA-mızdakılardan az olmayan məlumat müdafiəsi öhdəlikləri qoyur. |
| Hökumət girişi bildirişi | Şərtlər və Şərtlərimizdə təsvir olunduğu kimi, qanunun icazə verdiyi yerdə hökumət giriş sorğularını Nəzarətçilərə bildirməyi öhdəsinə götürürük. |
| Etiraz öhdəliyi | Həddindən artıq geniş və ya qeyri-qanuni hesab etdiyimiz hökumət giriş sorğularına etiraz etməyi öhdəsinə götürürük. |
7. RİSK QİYMƏTLƏNDİRMƏSİ
7.1 Hökumət Girişinin Ehtimalı
| Amil | Qiymətləndirmə |
|---|---|
| Məlumatların xarakteri | Əsasən psevdonimləşdirilmiş analitika, kiçik biznes veb-saytlarından form göndərişləri və chatbot mesajları. Bu məlumatlar aşağı kəşfiyyat dəyərinə malikdir. |
| Məlumat həcmi | Aşağıdan ortaya. Hər veb-sayt öz ziyarətçi bazasına xidmət edir; məlumatlar müşahidə məqsədləri üçün veb-saytlar arasında aqreqatlaşdırılmır. |
| Şirkətin profili | Acira AI kiçik biznes veb-saytlarını yerləşdirən kiçik bir SaaS şirkətidir. Telekommunikasiya təminatçısı və ya yüksək profilli müşahidə hədəfi deyil. |
| Tarixi sorğular | Bu qiymətləndirmənin tarixinə qədər Acira AI heç vaxt FISA Bölmə 702 direktivi, Milli Təhlükəsizlik Məktubu və ya müştəri məlumatlarına toplu giriş üçün hər hansı hökumət sorğusu almamışdır. |
| Alt emal edənin profili | AWS və Cloudflare şəffaflıq hesabatları nəşr edən böyük infrastruktur təminatçılarıdır. Onların şəffaflıq hesabatları hökumət sorğularının yerləşdirilmiş məzmuna toplu girişdən deyil, konkret hesablara yönəldiyi göstərir. |
Ümumi ehtimal: AŞAĞI
7.2 Giriş Baş Versə Təsir
| Amil | Qiymətləndirmə |
|---|---|
| Məlumat həssaslığı | Ötürülən məlumatların böyük hissəsi aşağı həssaslıqlıdır (psevdonimləşdirilmiş analitika, veb-sayt ziyarətçisi metadatası). Form göndərişləri veb-saytdan asılı olaraq orta həssaslıqlı məlumatlar (adlar, e-poçt ünvanları, mesajlar) ehtiva edə bilər. |
| Psevdonimləşdirmənin effektivliyi | Analitika məlumatları saxlanılmayan gündəlik fırlanan heş komponentlərinə (IP + İstifadəçi Agenti + tarix) giriş olmadan fərdlərə bağlana bilmir. |
| Məruz qalma sahəsi | Hər hansı dövlət girişi bütün platforma deyil, müəyyən hesablara və ya veb-saytlara yönəldiləcək. Xüsusi saxlama nümunələri vasitəsilə veb-sayt başına məlumat təcrid olunması hər hansı potensial pozuntunun əhatəsini məhdudlaşdırır. Aİ-da yaşayan veb-sayt operatorları üçün daimi yaddaş və avtomatik ziyarətçiyə yönəlik emal (məzmun təqdimatı bildirişləri və tranzaksiya e-poçt çatdırılması) Aİ ilə məhdudlaşdırılıb, bu məlumatlar üçün ABŞ hökumətinin girişinə məruz qalmanı daha da məhdudlaşdırır. |
Ümumi təsir: AŞAĞIDAN ORTAYA (fərdi veb-sayt operatorları tərəfindən toplanan məlumatların həssaslığından asılı olaraq)
7.3 Qalıq Risk Qiymətləndirməsi
Hökumət girişinin aşağı ehtimalını, əlavə texniki tədbirləri (şifrələmə, psevdonimləşdirmə, məlumatların minimuma endirilməsi) və 14086 saylı İcra Əmri ilə tətbiq edilmiş əlavə tədbirləri nəzərə alaraq, məlumat subyektlərinin qalıq riskinin aşağı olduğunu qiymətləndiririk; əlavə tədbirlər SCCs-lərlə birlikdə (EEA/UK/İsveçrə ötürmələri üçün) və müqavilə müdafiəsi (Kanada ötürmələri üçün) EEA daxilindəki ilə əsasən ekvivalent müdafiə səviyyəsi və Kanada məxfilik qanununun tələb etdiyinə müqayisəli müdafiə səviyyəsi təmin edir.
8. NƏTİCƏ
Bu qiymətləndirməyə əsaslanaraq nəticəyə gəlirik ki:
Xidmətlərimizin göstərilməsi ilə əlaqədar EEA/UK/İsveçrə/Kanadadan Birləşmiş Ştatlara ötürülən şəxsi məlumatlar AB məlumat müdafiəsi qanunu çərçivəsindəki zəmanətlə əsasən ekvivalent müdafiə səviyyəsindən və Kanada məxfilik qanununun tələb etdiyinə müqayisəli müdafiə səviyyəsindən faydalanır.
6-cı bölmədə təsvir olunan əlavə texniki, təşkilati və müqavilə tədbirləri ilə birlikdə Standart Müqavilə Şərtləri bu qiymətləndirmədə müəyyən edilmiş riskləri kifayət qədər həll edir.
Məlumatların xarakteri (əsasən psevdonimləşdirilmiş analitika və kiçik biznes veb-saytı ziyarətçilərinin qarşılıqlı əlaqələri) və məlumat idxalatçısının profili (kiçik SaaS şirkəti, telekommunikasiya təminatçısı deyil) dövlət müşahidəsinin praktik riskini əhəmiyyətli dərəcədə azaldır.
14086 saylı İcra Əmri tərəfindən tətbiq edilmiş qorumalar və əlaqəli müraciət mexanizmi istifadə edilən konkret ötürmə mexanizmindən asılı olmayaraq bütün məlumat subyektlərinin xeyrinə əlavə tədbirlər təqdim edir.
Kanada ötürmələri üçün burada təsvir olunan müqavilə müdafiəsi və əlavə tədbirlər Kebekin modernləşdirilmiş məxfilik qanunu da daxil olmaqla PIPEDA və tətbiq olunan əyalət məxfilik qanunvericiliyi tərəfindən tələb olunana müqayisəli müdafiə səviyyəsini təmin edir.
ABŞ müşahidə qanunu və praktikasındakı inkişafları, habelə Kanada məxfilik qanunundakı inkişafları (təklif olunan İstehlakçı Məxfiliyi Müdafiəsi Aktı da daxil olmaqla) izləməyə davam edəcəyik və şərait əhəmiyyətli dərəcədə dəyişərsə bu TIA-nı yenidən qiymətləndirəcəyik.
Ötürmələr burada təsvir olunan SCCs-lərin və əlavə tədbirlərin davamlı tətbiqi şərti ilə davam edə bilər.
9. YOXLAMA CƏDVƏLİ
Bu TIA aşağıdakı hallarda nəzərdən keçiriləcək və yenilənəcək:
- Ən azı illik olaraq, və ya
- Tətbiq olunan qanunlarda və ya qaydalarda əhəmiyyətli dəyişikliklər olduqda (FISA, CLOUD Aktı, 14086 saylı İcra Əmri, PIPEDA və ya Kanada əyalət məxfilik qanunvericiliyindəki dəyişikliklər daxil olmaqla),
- Alt emal edənlərimizdə və ya ötürülən məlumatların xarakterində dəyişikliklər olduqda,
- SCCs-lərin etibarlılığını və ya ABŞ məlumat müdafiəsinin adekvatlığını əhəmiyyətli dərəcədə təsir edən hər hansı məhkəmə qərarı çıxarıldıqda.
10. BİZİMLƏ ƏLAQƏ
Bu Veri Ötərilməsinin Təsir Qiymətləndirməsi barədə suallarınız varsa, bizimlə əlaqə saxlayın:
Acira AI LLC
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
United States
Telefon: 888-389-1189
E-poçt: legal@acira.ai
Gizliliyiniz, Bizim Prioritetimiz
Biz məlumatlarınızı satmırıq, izləmə kukilərindən istifadə etmirik — buna görə burada kuki bannerı görməyəcəksiniz. Biz Qlobal Gizlilik Nəzarətinə hörmət edirik və Aİ müştəriləri üçün ziyarətçi məlumatları yalnız Avropa İttifaqında saxlanılır və emal edilir.
Acira AI
AI ilə gözəl veb saytlar qurun. Kodlaşdırma tələb olunmur.
ABŞ-da qürurla yaradılmışdır
© 2026 Acira AI LLC. Bütün hüquqlar qorunur.