স্থানান্তর প্রভাব মূল্যায়ন
ট্রান্সফার ইমপ্যাক্ট অ্যাসেসমেন্ট
সর্বশেষ হালনাগাদ: ১৯ মার্চ ২০২৬
এই ট্রান্সফার ইমপ্যাক্ট অ্যাসেসমেন্ট ("TIA") Acira AI LLC ("Acira AI", "আমরা", "আমাদের") কর্তৃক ডেটা প্রোটেকশন কমিশনার বনাম Facebook Ireland Limited এবং Maximillian Schrems (কেস C-311/18, "Schrems II") মামলায় ইউরোপীয় ইউনিয়নের বিচার আদালতের সিদ্ধান্তের প্রয়োজনীয়তা এবং ইউরোপীয় ডেটা প্রোটেকশন বোর্ডের সুপারিশ (EDPB সুপারিশ 01/2020 সম্পূরক ব্যবস্থা সম্পর্কিত) অনুযায়ী প্রস্তুত করা হয়েছে।
এই TIA আমাদের পরিষেবা প্রদানের সাথে সম্পর্কিত ইউরোপীয় অর্থনৈতিক এলাকা ("EEA"), যুক্তরাজ্য, সুইজারল্যান্ড এবং কানাডা থেকে মার্কিন যুক্তরাষ্ট্র এবং অন্যান্য তৃতীয় দেশে হস্তান্তরিত ব্যক্তিগত ডেটার সুরক্ষার পর্যাপ্ততা মূল্যায়ন করে।
এই TIA আপনার সুবিধার জন্য অন্যান্য ভাষায় অনুবাদ করা হতে পারে। ইংরেজি সংস্করণ এবং যেকোনো অনুবাদ সংস্করণের মধ্যে কোনো বিরোধ বা অসঙ্গতি থাকলে, ইংরেজি সংস্করণ প্রাধান্য পাবে।
বিষয়বস্তু
- হস্তান্তরের সংক্ষিপ্ত বিবরণ
- হস্তান্তরিত ডেটার প্রকৃতি
- হস্তান্তর প্রক্রিয়া
- গন্তব্য দেশের আইনের মূল্যায়ন
- পরিষেবা প্রদানকারী অনুযায়ী ডেটা প্রবাহের মূল্যায়ন
- সম্পূরক ব্যবস্থা
- ঝুঁকি মূল্যায়ন
- উপসংহার
- পর্যালোচনা সময়সূচি
- যোগাযোগ করুন
১. হস্তান্তরের সংক্ষিপ্ত বিবরণ
১.১ প্রেক্ষাপট
Acira AI একটি সফটওয়্যার-অ্যাজ-আ-সার্ভিস প্ল্যাটফর্ম যা ব্যবসা এবং ব্যক্তিদের AI-চালিত ওয়েবসাইট তৈরি, পরিচালনা এবং হোস্ট করতে সক্ষম করে। যখন ব্যবহারকারীরা EEA, যুক্তরাজ্য, সুইজারল্যান্ড বা কানাডায় অবস্থিত দর্শকদের দ্বারা অ্যাক্সেস করা ওয়েবসাইট তৈরি করেন, তখন সেই দর্শকদের ব্যক্তিগত ডেটা মার্কিন যুক্তরাষ্ট্র এবং অন্যান্য স্থানে হস্তান্তরিত ও প্রক্রিয়া করা হতে পারে যেখানে আমাদের অবকাঠামো প্রদানকারীরা কাজ করে।
১.২ পক্ষসমূহ
- ডেটা রপ্তানিকারক: ওয়েবসাইট অপারেটর (আমাদের গ্রাহক, নিয়ন্ত্রক হিসেবে কাজ করছে) এবং বিশ্লেষণ ডেটার জন্য Acira AI যৌথ নিয়ন্ত্রক হিসেবে।
- ডেটা আমদানিকারক: Acira AI LLC, নেভাডা, মার্কিন যুক্তরাষ্ট্রে নিবন্ধিত, প্রক্রিয়াকারক (এবং বিশ্লেষণার জন্য যৌথ নিয়ন্ত্রক) হিসেবে কাজ করছে।
- উপ-প্রক্রিয়াকারক: Acira AI কর্তৃক নিয়োজিত তৃতীয় পক্ষ পরিষেবা প্রদানকারী (বিভাগ ৫-এ তালিকাভুক্ত)।
১.৩ হস্তান্তর গন্তব্য
| গন্তব্য | প্রদানকারী | ভিত্তি |
|---|---|---|
| মার্কিন যুক্তরাষ্ট্র এবং ইউরোপীয় ইউনিয়ন (স্টকহোম) | AWS | SCCs + সম্পূরক ব্যবস্থা (মার্কিন যুক্তরাষ্ট্র); ইইউ-বাসী স্বয়ংক্রিয় দর্শক-মুখী কার্যক্রমের জন্য ইইএ-অভ্যন্তরীণ |
| মার্কিন যুক্তরাষ্ট্র | Stripe, Fireworks AI, xAI | SCCs + সম্পূরক ব্যবস্থা |
| বৈশ্বিক (এজ লোকেশন) | Cloudflare | SCCs + সম্পূরক ব্যবস্থা |
| ইসরায়েল | BrightData (শুধুমাত্র ব্যবহারকারী-নির্দেশিত) | SCCs + সম্পূরক ব্যবস্থা |
| ইউরোপীয় ইউনিয়ন | Black Forest Labs, ScreenshotOne, CloudConvert | EEA-অভ্যন্তরীণ (কোনো হস্তান্তর প্রক্রিয়ার প্রয়োজন নেই) |
২. হস্তান্তরিত ডেটার প্রকৃতি
২.১ ব্যক্তিগত ডেটার বিভাগসমূহ
হস্তান্তরিত ব্যক্তিগত ডেটা ওয়েবসাইট অপারেটর কর্তৃক সক্রিয় বৈশিষ্ট্য এবং ওয়েবসাইট দর্শকদের মিথস্ক্রিয়ার উপর নির্ভর করে। নিম্নলিখিত বিভাগগুলি হস্তান্তরিত হতে পারে:
| ডেটা বিভাগ | বিবরণ | সংবেদনশীলতা | পরিমাণ |
|---|---|---|---|
| অ্যানালিটিক্স শনাক্তকারী | IP + ইউজার-এজেন্ট + তারিখের দৈনিক-ঘূর্ণায়মান ক্রিপ্টোগ্রাফিক হ্যাশ (ছদ্মনামীকৃত) | কম | উচ্চ (প্রতিটি পৃষ্ঠা দর্শনে) |
| দর্শক মেটাডেটা | দেশ, অঞ্চল, ভাষা, ডিভাইসের ধরন, ব্রাউজার, OS, রেফারার ডোমেন, UTM প্যারামিটার | কম | বেশি (প্রতিটি পেজ ভিউ) |
| IP ঠিকানা | ফর্ম সাবমিশন এবং চ্যাটবট কথোপকথনের সাথে মেটাডেটা হিসেবে সংরক্ষিত; বিশ্লেষণার জন্য হ্যাশ করা; বট চ্যালেঞ্জ যাচাইয়ের জন্য অস্থায়ীভাবে ব্যবহৃত; রেট সীমাবদ্ধতার জন্য অস্থায়ীভাবে সংরক্ষিত (৭ দিন পর্যন্ত) | মাঝারি | মাঝারি |
| ফর্ম সাবমিশন বিষয়বস্তু | দর্শকদের দ্বারা জমা দেওয়া মুক্ত-টেক্সট ক্ষেত্র (নাম, ইমেইল, বার্তা ইত্যাদি) | পরিবর্তনশীল (ফর্মের উপর নির্ভর করে) | কম থেকে মাঝারি |
| চ্যাটবট বার্তা | দর্শকদের বার্তা এবং AI-উত্পন্ন প্রতিক্রিয়া (প্রতি বার্তায় সর্বোচ্চ ২,০০০ অক্ষর) | কম থেকে মাঝারি | কম |
| ফাইল আপলোড | ওয়েবসাইট ফর্মের মাধ্যমে দর্শকদের দ্বারা আপলোড করা ফাইল (ছবি, দলিল) | পরিবর্তনশীল | কম |
| সেশন শনাক্তকারী | সার্ভার-সাইড সেশন আইডি এবং ক্লায়েন্ট-সাইড সেশন কুকি | কম | বেশি |
| প্রমাণীকরণ শংসাপত্র | ওয়েবসাইট সুরক্ষিত এলাকার পাসওয়ার্ড (শুধুমাত্র হ্যাশ আকারে সংরক্ষিত) | বেশি (কিন্তু হ্যাশ করা) | কম |
২.২ ডেটা বিষয়ের বিভাগসমূহ
- Acira AI প্ল্যাটফর্মে হোস্ট করা ওয়েবসাইটের দর্শক
- প্ল্যাটফর্মে হোস্ট করা ওয়েবসাইটে অ্যাকাউন্ট তৈরিকারী ব্যবহারকারী
- হোস্ট করা ওয়েবসাইটে ফর্ম জমা দেওয়া, চ্যাটবটের সাথে ইন্টারঅ্যাক্ট করা বা ফাইল আপলোড করা ব্যবহারকারী
২.৩ যে ডেটা হস্তান্তর করা হয় না
- জিওলোকেশন ডেটা: IP-থেকে-অবস্থান লুকআপ আমাদের অবকাঠামো প্রদানকারী দ্বারা নেটওয়ার্ক এজে সম্পাদিত হয়। কোনো দর্শকের IP ঠিকানা কোনো বাহ্যিক জিওলোকেশন পরিষেবায় প্রেরণ করা হয় না।
- বিশ্লেষণের কাঁচা IP ঠিকানা: শুধুমাত্র একটি দৈনিক-ঘূর্ণায়মান ক্রিপ্টোগ্রাফিক হ্যাশ সংরক্ষণ করা হয়; বিশ্লেষণ সিস্টেমে কাঁচা IP সংরক্ষণ করা হয় না।
- প্লেইনটেক্সটে পাসওয়ার্ড: শুধুমাত্র ক্রিপ্টোগ্রাফিক হ্যাশ সংরক্ষিত এবং হস্তান্তর করা হয়।
৩. হস্তান্তর প্রক্রিয়া
৩.১ প্রাথমিক প্রক্রিয়া: স্ট্যান্ডার্ড কন্ট্র্যাকচুয়াল ক্লজ
আমরা কমিশন বাস্তবায়ন সিদ্ধান্ত (EU) 2021/914 দ্বারা গৃহীত ইউরোপীয় কমিশনের স্ট্যান্ডার্ড কন্ট্র্যাকচুয়াল ক্লজ (SCCs) এর উপর নির্ভর করি, বিশেষত:
- মডিউল এক (নিয়ন্ত্রক থেকে নিয়ন্ত্রক): বিশ্লেষণ ডেটার হস্তান্তরের জন্য যেখানে Acira AI ওয়েবসাইট অপারেটরের সাথে যৌথ নিয়ন্ত্রক হিসেবে কাজ করে (DPA বিভাগ ২.৩ দেখুন)।
- মডিউল দুই (নিয়ন্ত্রক থেকে প্রক্রিয়াকারক): ওয়েবসাইট অপারেটর (নিয়ন্ত্রক) থেকে Acira AI (প্রক্রিয়াকারক) এ দর্শকদের ব্যক্তিগত ডেটার হস্তান্তরের জন্য।
- মডিউল তিন (প্রক্রিয়াকারক থেকে উপ-প্রক্রিয়াকারক): Acira AI থেকে আমাদের উপ-প্রক্রিয়াকারকদের কাছে পরবর্তী হস্তান্তরের জন্য।
৩.২ UK, সুইস এবং কানাডিয়ান হস্তান্তর
- UK: EU SCCs-এর UK আন্তর্জাতিক ডেটা ট্রান্সফার অ্যাডেন্ডাম প্রযোজ্য।
- সুইজারল্যান্ড: সুইস ফেডারেল ডেটা প্রোটেকশন অ্যাক্ট (FADP) দ্বারা প্রয়োজনীয় পরিবর্তন সহ SCCs প্রযোজ্য।
- কানাডা: হস্তান্তর প্রতিটি উপ-প্রক্রিয়াকারকের সাথে চুক্তিগত সুরক্ষার উপর নির্ভর করে যা ব্যক্তিগত তথ্য সুরক্ষা এবং ইলেকট্রনিক দলিল আইন (PIPEDA) এবং প্রযোজ্য প্রাদেশিক গোপনীয়তা আইনের সাথে সামঞ্জস্যপূর্ণ বাধ্যবাধকতা আরোপ করে, বিভাগ ৬-এ বর্ণিত সম্পূরক প্রযুক্তিগত এবং সাংগঠনিক ব্যবস্থার সাথে মিলিত। বিস্তারিত জানতে DPA বিভাগ ৭.৪ দেখুন।
৩.৩ উপ-প্রক্রিয়াকারক হস্তান্তর প্রক্রিয়া
| উপ-প্রক্রিয়াকারক | হস্তান্তর প্রক্রিয়া |
|---|---|
| Amazon Web Services | SCCs (AWS DPA), ISO 27001/27017/27018 সার্টিফাইড |
| Cloudflare | SCCs (Cloudflare DPA), ISO 27001 সার্টিফাইড |
| Stripe | SCCs (Stripe DPA), PCI DSS Level 1 সার্টিফাইড |
| Fireworks AI | SCCs (Fireworks AI DPA), SOC 2 Type II, ISO 27001/27701/42001 সার্টিফাইড |
| xAI | SCCs (xAI DPA with EU SCCs) |
| BrightData | SCCs (BrightData DPA) |
৪. গন্তব্য দেশের আইনের মূল্যায়ন
৪.১ মার্কিন যুক্তরাষ্ট্র
মার্কিন যুক্তরাষ্ট্র হস্তান্তরিত ডেটার প্রাথমিক গন্তব্য। নিম্নলিখিত মার্কিন আইনগুলি এই মূল্যায়নের জন্য প্রাসঙ্গিক:
৪.১.১ ফরেন ইন্টেলিজেন্স সার্ভেইল্যান্স অ্যাক্ট (FISA), ধারা ৭০২
FISA ধারা ৭০২ মার্কিন সরকারকে বিদেশী গোয়েন্দা উদ্দেশ্যে মার্কিন যুক্তরাষ্ট্রের বাইরে অবস্থিত অ-মার্কিন ব্যক্তিদের যোগাযোগে অ্যাক্সেস প্রদান করতে ইলেকট্রনিক যোগাযোগ পরিষেবা প্রদানকারীদের বাধ্য করার ক্ষমতা দেয়।
ঝুঁকির মূল্যায়ন:
- প্রযোজ্যতা: FISA ধারা ৭০২ 50 U.S.C. § 1881(b)(4)-এ সংজ্ঞায়িত "ইলেকট্রনিক যোগাযোগ পরিষেবা প্রদানকারী"-দের ক্ষেত্রে প্রযোজ্য। Acira AI একটি SaaS ওয়েবসাইট হোস্টিং প্ল্যাটফর্ম, একটি ঐতিহ্যবাহী টেলিযোগাযোগ প্রদানকারী নয়। আমাদের উপ-প্রক্রিয়াকারকরা (AWS, Cloudflare) ধারা ৭০২ নির্দেশের অধীনে হওয়ার সম্ভাবনা বেশি।
- ঝুঁকিপূর্ণ ডেটার পরিধি: আমরা যে ব্যক্তিগত ডেটা প্রক্রিয়া করি তা মূলত ওয়েবসাইট দর্শকদের বিশ্লেষণ (ছদ্মনামিকৃত), ফর্ম সাবমিশন এবং চ্যাটবট বার্তা নিয়ে গঠিত। এই ডেটা বিদেশী গোয়েন্দা স্বার্থের জন্য অসম্ভব।
- বাস্তব সম্ভাব্যতা: আমরা কখনো FISA ধারা ৭০২ নির্দেশ পাইনি এবং আমাদের পরিষেবার প্রকৃতি এবং আমরা যে ডেটা প্রক্রিয়া করি তার পরিপ্রেক্ষিতে এই ধরনের নির্দেশ পাওয়ার বাস্তব সম্ভাব্যতাকে অত্যন্ত কম হিসেবে মূল্যায়ন করি।
৪.১.২ এক্সিকিউটিভ অর্ডার ১২৩৩৩
EO 12333 মার্কিন গোয়েন্দা সংস্থাগুলিকে সিগন্যাল ইন্টেলিজেন্সের বাল্ক সংগ্রহ সহ নজরদারি কার্যক্রম পরিচালনার অনুমতি দেয়। এটি ট্রানজিটে ডেটার ক্ষেত্রে প্রযোজ্য এবং বেসরকারি কোম্পানিগুলিকে সহযোগিতা করতে বাধ্য করে না।
ঝুঁকির মূল্যায়ন:
- প্রশমন: ট্রানজিটে সমস্ত ডেটা TLS ব্যবহার করে এনক্রিপ্ট করা হয়েছে। ট্রানজিটে এনক্রিপ্টেড ডেটার বাল্ক আটকানো প্লেইনটেক্সট ব্যক্তিগত ডেটা প্রদান করবে না।
- বাস্তব সম্ভাব্যতা: কম। আমাদের পরিষেবার মাধ্যমে প্রক্রিয়া করা ডেটা সাধারণত সিগন্যাল ইন্টেলিজেন্স দ্বারা লক্ষ্যবিদ্ধ প্রকৃতির নয়।
৪.১.৩ এক্সিকিউটিভ অর্ডার ১৪০৮৬ এবং EU-US ডেটা প্রাইভেসি ফ্রেমওয়ার্ক
এক্সিকিউটিভ অর্ডার ১৪০৮৬ (অক্টোবর ২০২২) সিগন্যাল ইন্টেলিজেন্স কার্যক্রমের জন্য অতিরিক্ত সুরক্ষা প্রবর্তন করেছে, যার মধ্যে রয়েছে:
- গোয়েন্দা সংগ্রহের জন্য প্রয়োজনীয়তা এবং আনুপাতিকতার প্রয়োজনীয়তা
- EU/UK/সুইস ব্যক্তিদের জন্য উপলব্ধ দ্বি-স্তরীয় প্রতিকার প্রক্রিয়া (সিভিল লিবার্টিজ প্রোটেকশন অফিসার + ডেটা প্রোটেকশন রিভিউ কোর্ট)
- বাল্ক সংগ্রহের সীমাবদ্ধতা
ইউরোপীয় কমিশন ১০ জুলাই, ২০২৩-এ EU-US ডেটা প্রাইভেসি ফ্রেমওয়ার্ক (DPF) এর জন্য একটি পর্যাপ্ততা সিদ্ধান্ত গ্রহণ করেছে। যদিও Acira AI বর্তমানে DPF এর অধীনে স্ব-সার্টিফাইড নয়, EO 14086-এর অধীনে সুরক্ষাগুলি মার্কিন যুক্তরাষ্ট্রে সমস্ত ডেটা হস্তান্তরের ক্ষেত্রে ব্যাপকভাবে প্রযোজ্য এবং ব্যবহৃত হস্তান্তর প্রক্রিয়া নির্বিশেষে সমস্ত ডেটা বিষয়কে উপকৃত করে।
৪.১.৪ CLOUD অ্যাক্ট
ক্ল্যারিফাইং লফুল ওভারসিজ ইউজ অফ ডেটা (CLOUD) অ্যাক্ট মার্কিন আইন প্রয়োগকারীদের একটি বৈধ পরোয়ানা বা আদালতের আদেশের সাপেক্ষে ডেটা কোথায় সংরক্ষিত তা নির্বিশেষে মার্কিন-ভিত্তিক প্রদানকারীদের ডেটা প্রদান করতে বাধ্য করার অনুমতি দেয়।
ঝুঁকির মূল্যায়ন:
- সুরক্ষা: CLOUD অ্যাক্টের জন্য একটি বৈধ আইনি প্রক্রিয়া (পরোয়ানা, সমন বা আদালতের আদেশ) প্রয়োজন। এটি পরোয়ানাহীন বাল্ক অ্যাক্সেস অনুমোদন করে না।
- সৌজন্য বিধান: CLOUD অ্যাক্টে একটি সৌজন্য কাঠামো রয়েছে যা প্রদানকারীদের বিদেশী আইনের সাথে সংঘর্ষমূলক আদেশগুলিকে চ্যালেঞ্জ করার অনুমতি দেয়।
- বাস্তব সম্ভাব্যতা: ওয়েবসাইট দর্শকদের ডেটার জন্য কম। আইন প্রয়োগকারী অনুরোধগুলি দর্শক বিশ্লেষণ বা ফর্ম সাবমিশনের পরিবর্তে অপরাধমূলক কার্যকলাপে সন্দেহভাজন নির্দিষ্ট অ্যাকাউন্টগুলিকে লক্ষ্য করার সম্ভাবনা বেশি।
৪.২ ইসরায়েল (BrightData)
BrightData ইসরায়েলে অবস্থিত। ইসরায়েলে ইউরোপীয় কমিশনের কাছ থেকে একটি পর্যাপ্ততা সিদ্ধান্ত (2011/61/EU) রয়েছে, যার অর্থ ইসরায়েলে হস্তান্তরগুলি EEA-অভ্যন্তরীণ হস্তান্তরের মতো আচরণ করা হয়। তবে BrightData অন্যান্য বৈশ্বিক অবস্থানেও ডেটা প্রক্রিয়া করে। আমরা উল্লেখ করি যে:
- BrightData প্রক্রিয়াকরণ শুধুমাত্র ব্যবহারকারী-নির্দেশিত হলে (বিষয়বস্তু আমদানির জন্য ওয়েবসাইট তৈরির সময়) বা নির্ধারিত SERP ট্র্যাকিংয়ের সময় ঘটে।
- কোনো ওয়েবসাইট দর্শকের ব্যক্তিগত ডেটা BrightData-তে প্রেরণ করা হয় না।
৪.৩ কানাডা (কানাডা থেকে মার্কিন যুক্তরাষ্ট্রে হস্তান্তর)
কানাডায় অবস্থিত ওয়েবসাইট দর্শকদের ব্যক্তিগত ডেটা প্রক্রিয়াকরণের জন্য মার্কিন যুক্তরাষ্ট্রে হস্তান্তর করা হতে পারে। নিম্নলিখিত কানাডিয়ান আইনগুলি এই মূল্যায়নের জন্য প্রাসঙ্গিক:
৪.৩.১ ব্যক্তিগত তথ্য সুরক্ষা এবং ইলেকট্রনিক দলিল আইন (PIPEDA)
PIPEDA বাণিজ্যিক কার্যক্রমের গতিতে বেসরকারি খাতের সংস্থাগুলির দ্বারা ব্যক্তিগত তথ্যের সংগ্রহ, ব্যবহার এবং প্রকাশ পরিচালনা করে। PIPEDA নীতি ৪.১.৩ সংস্থাগুলিকে কানাডার বাইরে হস্তান্তর সহ প্রক্রিয়াকরণের জন্য ব্যক্তিগত তথ্য তৃতীয় পক্ষের কাছে হস্তান্তর করার সময় তুলনামূলক স্তরের সুরক্ষা নিশ্চিত করার জন্য চুক্তিগত বা অন্যান্য উপায় ব্যবহার করতে প্রয়োজন।
ঝুঁকির মূল্যায়ন:
- তুলনামূলক সুরক্ষা: বিভাগ ৬-এ বর্ণিত সম্পূরক ব্যবস্থাগুলি (এনক্রিপশন, ছদ্মনামীকরণ, অ্যাক্সেস নিয়ন্ত্রণ, ডেটা ন্যূনতমকরণ) PIPEDA-এর অধীনে প্রয়োজনীয় সুরক্ষার একটি তুলনামূলক স্তর প্রদান করে। সমস্ত উপ-প্রক্রিয়াকারকদের সাথে লিখিত ডেটা প্রক্রিয়াকরণ চুক্তি রয়েছে।
- কোনো পর্যাপ্ততার প্রয়োজনীয়তা নেই: GDPR-এর বিপরীতে, PIPEDA "পর্যাপ্ততা" খুঁজে পাওয়ার অভাবযুক্ত দেশগুলিতে হস্তান্তর নিষিদ্ধ করে না। সংস্থাগুলিকে চুক্তিগত এবং অন্যান্য উপায়ে তুলনামূলক সুরক্ষা নিশ্চিত করতে হবে, যা আমরা বাস্তবায়ন করেছি।
৪.৩.২ প্রাদেশিক গোপনীয়তা আইন
আলবার্তার ব্যক্তিগত তথ্য সুরক্ষা আইন (PIPA), ব্রিটিশ কলাম্বিয়ার ব্যক্তিগত তথ্য সুরক্ষা আইন (PIPA) এবং কুইবেকের ব্যক্তিগত খাতে ব্যক্তিগত তথ্য সুরক্ষা সংক্রান্ত আইন কিছু প্রদেশের জন্য অতিরিক্ত প্রয়োজনীয়তা আরোপ করে:
ঝুঁকির মূল্যায়ন:
- কুইবেক আইন ২৫: কুইবেকের আধুনিকীকৃত গোপনীয়তা আইন (সেপ্টেম্বর ২০২৩ থেকে কার্যকর) কুইবেকের বাইরে ব্যক্তিগত তথ্য হস্তান্তরের আগে একটি গোপনীয়তা প্রভাব মূল্যায়ন প্রয়োজন, এবং হস্তান্তরকারী সংস্থাকে সন্তুষ্ট হতে হবে যে তথ্যটি পর্যাপ্ত সুরক্ষা পাবে। আমাদের চুক্তিগত সুরক্ষা, সম্পূরক প্রযুক্তিগত ব্যবস্থা এবং ডেটার প্রকৃতি (মূলত ছদ্মনামিকৃত বিশ্লেষণ এবং ছোট ব্যবসার ওয়েবসাইট মিথস্ক্রিয়া) পর্যাপ্ত সুরক্ষার একটি অনুসন্ধান সমর্থন করে।
- আলবার্তা এবং BC: আলবার্তা এবং BC-এর PIPAs সংস্থাগুলিকে হস্তান্তরিত ডেটার জন্য তুলনামূলক সুরক্ষা নিশ্চিত করতে প্রয়োজন। আমাদের চুক্তিগত এবং প্রযুক্তিগত সুরক্ষা এই প্রয়োজনীয়তা পূরণ করে।
৪.৩.৩ কানাডিয়ান দৃষ্টিকোণ থেকে মার্কিন সরকারের অ্যাক্সেস
বিভাগ ৪.১-এ মূল্যায়ন করা একই মার্কিন সরকারের অ্যাক্সেস ঝুঁকিগুলি কানাডিয়ান ডেটা হস্তান্তরের ক্ষেত্রেও প্রযোজ্য। সরকারী অ্যাক্সেসের কম সম্ভাব্যতা (ডেটার প্রকৃতি এবং আমাদের কোম্পানির প্রোফাইল বিবেচনা করে), বিভাগ ৬-এর সম্পূরক ব্যবস্থার সাথে মিলিত, নিশ্চিত করে যে কানাডা থেকে মার্কিন যুক্তরাষ্ট্রে হস্তান্তরিত ব্যক্তিগত ডেটা কানাডিয়ান গোপনীয়তা আইনের অধীনে প্রয়োজনীয় সুরক্ষার একটি তুলনামূলক স্তর পায়।
৪.৪ বৈশ্বিক এজ লোকেশন (Cloudflare)
Cloudflare এজ লোকেশনের একটি বৈশ্বিক নেটওয়ার্ক পরিচালনা করে। EU দর্শকদের অনুরোধগুলি সাধারণত Cloudflare-এর নিকটতম পয়েন্ট অফ প্রেজেন্সে প্রক্রিয়া করা হয়, যা EU দর্শকদের জন্য সাধারণত একটি EU অবস্থান হবে।
- অনুরোধ রাউটিং, TLS সমাপ্তি এবং বট সুরক্ষা নিকটতম এজ লোকেশনে ঘটে।
- EU বাসিন্দা হিসেবে চিহ্নিত ওয়েবসাইট অপারেটরদের জন্য, স্থায়ী স্টোরেজ (ফর্ম সাবমিশন, চ্যাটবট কথোপকথন এবং সেশন ডেটা সহ) Cloudflare-এর জুরিসডিকশন API ব্যবহার করে ইউরোপীয় ইউনিয়নে এখতিয়ারগতভাবে সীমাবদ্ধ। EU-বহির্ভূত ওয়েবসাইট অপারেটরদের জন্য, স্থায়ী স্টোরেজ অপারেটরের ভৌগোলিক অঞ্চলের নিকটে অবস্থিত কিন্তু EU-এর বাইরে হতে পারে।
- অ্যানালিটিক্স ডেটা Cloudflare-পরিচালিত অবকাঠামোতে প্রক্রিয়া করা হয়।
৫. পরিষেবা প্রদানকারী অনুযায়ী ডেটা প্রবাহের মূল্যায়ন
৫.১ Amazon Web Services (মার্কিন যুক্তরাষ্ট্র)
| ডেটা প্রবাহ | জড়িত ব্যক্তিগত ডেটা | উদ্দেশ্য |
|---|---|---|
| ডেটাবেস স্টোরেজ | ফর্ম সাবমিশন মেটাডেটা (IP, দেশ, অঞ্চল), চ্যাটবট কথোপকথনের রেকর্ড, ফাইল মেটাডেটা, সেশন রেকর্ড | ওয়েবসাইট দর্শকের ডেটার স্থায়ী স্টোরেজ |
| ফাইল স্টোরেজ | আপলোড করা ফাইল (ছবি, নথি), ডিপ্লয়মেন্ট স্ন্যাপশট | ফাইল স্টোরেজ |
| AI ইনফারেন্স | ফাইল বিষয়বস্তু (AI বিবরণের জন্য), ইমেইল বিষয়বস্তু (স্প্যাম সনাক্তকরণের জন্য) | AI-চালিত বিবরণ এবং স্প্যাম শ্রেণীবিভাগ |
| কন্টেন্ট মডারেশন | আপলোড করা ছবি | কন্টেন্ট মডারেশন (নগ্নতা/স্পষ্ট বিষয়বস্তু সনাক্তকরণ) |
| ইমেইল ডেলিভারি | ইমেইল ঠিকানা, বার্তার বিষয়বস্তু | লেনদেনমূলক ইমেইল ডেলিভারি এবং কন্টেন্ট জমাদানের বিজ্ঞপ্তি। ইইউ-বাসী ওয়েবসাইট অপারেটরদের জন্য, এই কার্যক্রমগুলি ইউরোপীয় ইউনিয়নে (স্টকহোম) প্রক্রিয়াকৃত হয়। |
| ভাষা সনাক্তকরণ | ইমেইল বার্তার পাঠ্য | ভাষা সনাক্তকরণ |
AWS সুরক্ষা:
- ISO 27001, 27017, 27018 সার্টিফাইড
- SOC 1/2/3 রিপোর্ট উপলব্ধ
- শিল্প-মানক এনক্রিপশন ব্যবহার করে বিশ্রামে ডেটা এনক্রিপ্টেড
- ট্রানজিটে ডেটা এনক্রিপ্টেড (TLS)
- প্রতিটি সিস্টেম কম্পোনেন্টের জন্য ন্যূনতম-সুবিধা অ্যাক্সেস নিয়ন্ত্রণ
- প্রধান পরিষেবাগুলি মার্কিন যুক্তরাষ্ট্রে হোস্ট করা হয়; ইইউ-বাসী ওয়েবসাইট অপারেটরদের জন্য স্বয়ংক্রিয় দর্শক-মুখী কার্যক্রম (কন্টেন্ট জমাদানের বিজ্ঞপ্তি এবং লেনদেনমূলক ইমেইল ডেলিভারি) ইউরোপীয় ইউনিয়নে (স্টকহোম) প্রক্রিয়াকৃত হয়
৫.২ Cloudflare (বৈশ্বিক)
| ডেটা প্রবাহ | জড়িত ব্যক্তিগত ডেটা | উদ্দেশ্য |
|---|---|---|
| এজ রাউটিং | IP ঠিকানা, HTTP হেডার, অনুরোধের URL | অনুরোধ রাউটিং, DDoS সুরক্ষা, TLS সমাপ্তি |
| ওয়েবসাইট হোস্টিং | পৃষ্ঠার বিষয়বস্তু, দর্শক মেটাডেটা | ওয়েবসাইট হোস্টিং এবং ডেলিভারি |
| স্থায়ী স্টোরেজ | ফর্ম সাবমিশন, চ্যাটবট কথোপকথন, সেশন ডেটা, ব্যবহারকারী টেবিল ডেটা | প্রতি-ওয়েবসাইট স্টেটফুল স্টোরেজ |
| অ্যানালিটিক্স | ছদ্মনামীকৃত দর্শক হ্যাশ, দেশ, ডিভাইস, ব্রাউজার, রেফারার, UTM | গোপনীয়তা-বান্ধব দর্শক বিশ্লেষণ |
| AI ইনফারেন্স | চ্যাটবট বার্তা, ফর্ম ফিল্ড সারসংক্ষেপ | AI চ্যাটবট প্রতিক্রিয়া, স্প্যাম সনাক্তকরণ |
| অ্যাসেট স্টোরেজ | ওয়েবসাইট অ্যাসেট (ছবি, ফাইল) | স্থির অ্যাসেট স্টোরেজ এবং CDN ডেলিভারি |
Cloudflare সুরক্ষা:
- ISO 27001 সার্টিফাইড, SOC 2 Type II
- সমস্ত সংযোগের জন্য TLS 1.2+
- SCCs সহ Cloudflare DPA উপলব্ধ
- এজ প্রসেসিং-এর অর্থ হলো, অনুরোধ প্রক্রিয়াকরণের জন্য ইইউ ভিজিটর ডেটা সাধারণত ইইউ এজ লোকেশনগুলোতে প্রক্রিয়াকৃত হয়
- ইইউ বাসিন্দা হিসাবে চিহ্নিত ওয়েবসাইট অপারেটরদের জন্য, স্থায়ী স্টোরেজ (ফর্ম জমাদান, চ্যাটবট কথোপকথন, সেশন ডেটা এবং ব্যবহারকারী টেবিল ডেটা ধারণকারী) Cloudflare-এর এখতিয়ার API ব্যবহার করে ইউরোপীয় ইউনিয়নে এখতিয়ারগতভাবে সীমাবদ্ধ, নিশ্চিত করে যে এই ডেটা একচেটিয়াভাবে ইইউ ডেটা সেন্টারে সংরক্ষিত এবং প্রক্রিয়াকৃত হয়। প্রান্ত থেকে ব্যাকএন্ড API কলগুলি (কন্টেন্ট জমাদানের বিজ্ঞপ্তি এবং লেনদেনমূলক ইমেইল ডেলিভারির জন্য) ইইউ-ভিত্তিক AWS অবকাঠামোতে রুট করা হয়।
- AI ইনফারেন্স প্রশিক্ষণের জন্য ইনপুট ডেটা ধরে রাখে না
৫.৩ Stripe (মার্কিন যুক্তরাষ্ট্র)
| ডেটা প্রবাহ | জড়িত ব্যক্তিগত ডেটা | উদ্দেশ্য |
|---|---|---|
| পেমেন্ট প্রক্রিয়াকরণ | ওয়েবসাইট অপারেটরের বিলিং ডেটা (নাম, ইমেইল, পেমেন্ট পদ্ধতি) | সাবস্ক্রিপশন এবং ডোমেন পেমেন্ট প্রক্রিয়াকরণ |
নোট: Stripe ওয়েবসাইট দর্শকদের ব্যক্তিগত ডেটা পায় না। শুধুমাত্র ওয়েবসাইট অপারেটরের (আমাদের গ্রাহকের) বিলিং তথ্য Stripe দ্বারা প্রক্রিয়া করা হয়।
Stripe সুরক্ষা:
- PCI DSS Level 1 সার্টিফাইড
- ISO 27001 সার্টিফাইড
- SCCs সহ Stripe DPA উপলব্ধ
৫.৪ AI অনুমান প্রদানকারী (মার্কিন যুক্তরাষ্ট্র)
Fireworks AI এবং xAI AI মডেল অনুমান পরিষেবা প্রদান করে।
| ডেটা প্রবাহ | জড়িত ব্যক্তিগত ডেটা | উদ্দেশ্য |
|---|---|---|
| টেক্সট জেনারেশন (ওয়েবসাইট বিষয়বস্তু) | ওয়েবসাইট বিষয়বস্তু (দর্শক ডেটা নয়) | ওয়েবসাইট বিষয়বস্তু তৈরি এবং সম্পাদনা |
| ইমেজ জেনারেশন | টেক্সট প্রম্পট (দর্শক ডেটা নয়) | ওয়েবসাইটের জন্য ছবি তৈরি |
| কথোপকথনমূলক AI (চ্যাট এজেন্ট) | প্ল্যাটফর্ম ব্যবহারকারীর নাম, ইমেইল, ভাষার পছন্দ এবং কথোপকথনের ইতিহাস | প্ল্যাটফর্ম ব্যবহারকারীদের (ওয়েবসাইট অপারেটরদের) জন্য AI-চালিত সহকারী |
নোট: এই AI প্রদানকারীরা ওয়েবসাইট দর্শকদের ব্যক্তিগত ডেটা পায় না। চ্যাটবট বৈশিষ্ট্য (ওয়েবসাইট দর্শকদের পরিষেবা দেওয়া) Cloudflare Workers AI ব্যবহার করে (বিভাগ ৫.২-এ মূল্যায়ন করা হয়েছে), এই প্রদানকারীদের নয়। তবে, প্ল্যাটফর্মের কথোপকথনমূলক AI সহকারী — ওয়েবসাইট অপারেটরদের দ্বারা তাদের ওয়েবসাইট পরিচালনার জন্য ব্যবহৃত — প্রতিক্রিয়া তৈরির অংশ হিসেবে এই প্রদানকারীদের কাছে প্ল্যাটফর্ম ব্যবহারকারীর ব্যক্তিগত ডেটা (নাম, ইমেইল ঠিকানা এবং কথোপকথনের ইতিহাস) পাঠায়। এই প্রক্রিয়াকরণের জন্য, Acira AI নিয়ন্ত্রক (প্রক্রিয়াকারক নয়) হিসেবে কাজ করে এবং ডেটা বিষয়গুলি হল আমাদের প্ল্যাটফর্ম ব্যবহারকারীরা (ওয়েবসাইট অপারেটর), তাদের ওয়েবসাইট দর্শকরা নয়।
মডেল পরিবার: এই অবকাঠামো প্রদানকারীরা বিভিন্ন তৃতীয় পক্ষের দ্বারা তৈরি AI মডেল হোস্ট এবং চালায়। ব্যবহৃত নির্দিষ্ট মডেল এবং মডেল পরিবারগুলি সময়ের সাথে পরিবর্তন হতে পারে। মডেল ডেভেলপাররা কোনো ব্যবহারকারীর ডেটা গ্রহণ করে না বা অ্যাক্সেস করতে পারে না — সমস্ত ডেটা প্রক্রিয়াকরণ মূলত মডেলটি কোথায় তৈরি হয়েছে তা নির্বিশেষে তালিকাভুক্ত সাবপ্রসেসরদের অবকাঠামোর মধ্যে একচেটিয়াভাবে ঘটে। সমস্ত AI ইনফারেন্স প্রক্রিয়াকরণ আমাদের তালিকাভুক্ত সাবপ্রসেসরদের অবকাঠামোতে থাকে। কোনো ব্যবহারকারীর ডেটা মডেল ডেভেলপারদের কাছে বা এই মূল্যায়নে তালিকাভুক্ত সাবপ্রসেসরদের বাইরের অবকাঠামোতে প্রেরণ করা হয় না। ব্যবহৃত মডেল পরিবারগুলির একটি বর্তমান তালিকা legal@acira.ai-তে যোগাযোগ করে অনুরোধে পাওয়া যায়।
৫.৫ BrightData (ইসরায়েল / বৈশ্বিক)
| ডেটা প্রবাহ | জড়িত ব্যক্তিগত ডেটা | উদ্দেশ্য |
|---|---|---|
| ওয়েব ডেটা সংগ্রহ | সর্বজনীনভাবে উপলব্ধ ওয়েব বিষয়বস্তু (দর্শক ডেটা নয়) | ওয়েবসাইট তৈরির সময় বিষয়বস্তু আমদানি (ব্যবহারকারী-নির্দেশিত) |
| SERP ট্র্যাকিং | অনুসন্ধান কীওয়ার্ড (দর্শক ডেটা নয়) | কীওয়ার্ড র্যাংকিং মনিটরিং |
নোট: BrightData ওয়েবসাইট দর্শকদের ব্যক্তিগত ডেটা প্রক্রিয়া করে না।
৫.৬ EU-ভিত্তিক প্রদানকারী (কোনো হস্তান্তর নেই)
| প্রদানকারী | অবস্থান | উদ্দেশ্য |
|---|---|---|
| Black Forest Labs | জার্মানি (EU) | AI ইমেজ জেনারেশন (Flux মডেল) |
| ScreenshotOne | ইউরোপীয় ইউনিয়ন | ওয়েবসাইট স্ক্রিনশট ক্যাপচার |
| CloudConvert | জার্মানি (EU) | ফাইল ফরম্যাট রূপান্তর |
এই প্রদানকারীরা EU-এর মধ্যে ডেটা প্রক্রিয়া করে এবং আন্তর্জাতিক হস্তান্তর গঠন করে না।
৬. সম্পূরক ব্যবস্থা
SCCs-এর পাশাপাশি, আমরা হস্তান্তরিত ব্যক্তিগত ডেটার জন্য মূলত সমতুল্য সুরক্ষা নিশ্চিত করতে নিম্নলিখিত সম্পূরক ব্যবস্থাগুলি বাস্তবায়ন করি:
৬.১ প্রযুক্তিগত ব্যবস্থা
| ব্যবস্থা | বিবরণ |
|---|---|
| ট্রানজিটে এনক্রিপশন | দর্শক, এজ নেটওয়ার্ক এবং ব্যাকএন্ড পরিষেবার মধ্যে প্রেরিত সমস্ত ডেটা TLS (ন্যূনতম TLS 1.2) ব্যবহার করে এনক্রিপ্ট করা হয়। অভ্যন্তরীণ পরিষেবা-থেকে-পরিষেবা যোগাযোগ এনক্রিপ্টেড চ্যানেল ব্যবহার করে। |
| বিশ্রামে এনক্রিপশন | সমস্ত ডেটাবেস রেকর্ড, ফাইল স্টোরেজ এবং এজ-হোস্টেড স্থায়ী স্টোরেজ সংশ্লিষ্ট অবকাঠামো প্রদানকারী দ্বারা পরিচালিত শিল্প-মানক এনক্রিপশন ব্যবহার করে বিশ্রামে এনক্রিপ্ট করা হয়। |
| ছদ্মনামীকরণ | দর্শক বিশ্লেষণ কাঁচা IP ঠিকানা সংরক্ষণের পরিবর্তে দৈনিক-ঘূর্ণায়মান ক্রিপ্টোগ্রাফিক হ্যাশ (IP + ইউজার-এজেন্ট + তারিখ) ব্যবহার করে। এই হ্যাশ বিপরীত করা যায় না এবং প্রতি 24 ঘন্টায় ঘোরে, ক্রস-ডে ট্র্যাকিং প্রতিরোধ করে। |
| ডেটা ন্যূনীকরণ | অ্যানালিটিক্স শুধুমাত্র সমষ্টি-স্তরের মেটাডেটা (দেশ, ডিভাইসের ধরন, ব্রাউজার) সংগ্রহ করে। অ্যানালিটিক্সে কাঁচা IP ঠিকানা সংরক্ষণ করা হয় না। চ্যাটবট বার্তাগুলি ২,০০০ অক্ষরে সীমাবদ্ধ। |
| পাসওয়ার্ড হ্যাশিং | সমস্ত দর্শকদের পাসওয়ার্ড সংরক্ষণের আগে প্রতি-ব্যবহারকারী র্যান্ডম সল্ট সহ শক্তিশালী ক্রিপ্টোগ্রাফিক অ্যালগরিদম ব্যবহার করে হ্যাশ করা হয়। |
| অ্যাক্সেস নিয়ন্ত্রণ | ন্যূনতম-সুবিধা অ্যাক্সেস নীতিগুলি প্রতিটি সিস্টেম কম্পোনেন্টকে শুধুমাত্র প্রয়োজনীয় রিসোর্সগুলিতে সীমাবদ্ধ করে। প্রতি-ওয়েবসাইট API টোকেন পৃথক ওয়েবসাইটে অ্যাক্সেস সীমাবদ্ধ করে। |
| নেটওয়ার্ক আইসোলেশন | ব্যাকএন্ড পরিষেবাগুলি অভ্যন্তরীণ নেটওয়ার্কের মাধ্যমে যোগাযোগ করে। ওয়েবসাইট হোস্টিং বিচ্ছিন্ন এক্সিকিউশন স্যান্ডবক্সে চলে। কাস্টম কোড এক্সিকিউশন WebAssembly-ভিত্তিক স্যান্ডবক্সিং ব্যবহার করে। |
| এখতিয়ারগত ডেটা আবাস | ইইউ বাসিন্দা হিসাবে চিহ্নিত ওয়েবসাইট অপারেটরদের জন্য, দর্শক ডেটা (ফর্ম জমাদান, চ্যাটবট কথোপকথন, সেশন ডেটা এবং ব্যবহারকারী টেবিল ডেটা) ধারণকারী স্থায়ী স্টোরেজ ইউরোপীয় ইউনিয়নে এখতিয়ারগতভাবে সীমাবদ্ধ, নিশ্চিত করে যে এই ডেটা একচেটিয়াভাবে ইইউ ডেটা সেন্টারে সংরক্ষিত এবং প্রক্রিয়াকৃত হয়। স্বয়ংক্রিয় দর্শক-মুখী কার্যক্রম (কন্টেন্ট জমাদানের বিজ্ঞপ্তি এবং লেনদেনমূলক ইমেইল ডেলিভারি) ইইউ-ভিত্তিক অবকাঠামোতেও প্রক্রিয়াকৃত হয়। |
| স্বয়ংক্রিয় মুছে ফেলা | সেশন ডেটা 30 দিনের নিষ্ক্রিয়তার পরে মেয়াদোত্তীর্ণ হয়। অস্থায়ী ফাইল 24 ঘণ্টার মধ্যে মুছে ফেলা হয়। বট চ্যালেঞ্জ ডেটা ক্ষণস্থায়ী এবং স্থায়ীভাবে সংরক্ষিত হয় না। |
৬.২ সাংগঠনিক ব্যবস্থা
| ব্যবস্থা | বিবরণ |
|---|---|
| কর্মীদের গোপনীয়তা | ব্যক্তিগত ডেটায় অ্যাক্সেস সহ সমস্ত কর্মী গোপনীয়তার বাধ্যবাধকতার দ্বারা আবদ্ধ। |
| উপ-প্রক্রিয়াকারক যথাযথ পরিশ্রম | উপ-প্রক্রিয়াকারকদের নিয়োগের আগে তাদের নিরাপত্তা অনুশীলন এবং ডেটা সুরক্ষা সম্মতির জন্য মূল্যায়ন করা হয়। |
| ঘটনা প্রতিক্রিয়া | লঙ্ঘন বিজ্ঞপ্তি পদ্ধতি নিশ্চিত করে যে নিয়ন্ত্রকদের ব্যক্তিগত ডেটা লঙ্ঘন নিশ্চিতের ৭২ ঘণ্টার মধ্যে অবহিত করা হয়। |
| ডেটা ধারণ নীতিগুলি | স্বয়ংক্রিয় প্রয়োগ সহ নথিভুক্ত ধারণ সময়কাল (TTL-ভিত্তিক মুছে ফেলা, জীবনচক্র নীতিগুলি)। |
| নিরাপত্তা পর্যবেক্ষণ | কাঠামোগত লগিং, স্বয়ংক্রিয় নিরাপত্তা পর্যবেক্ষণ এবং অনুপ্রবেশ সনাক্তকরণ। ত্রুটি এবং ডায়াগনস্টিক লগ ৩০ দিন পর্যন্ত সংরক্ষণ করা হয়। |
৬.৩ চুক্তিগত ব্যবস্থা
| ব্যবস্থা | বিবরণ |
|---|---|
| স্ট্যান্ডার্ড কন্ট্র্যাকচুয়াল ক্লজ | SCCs (মডিউল এক, মডিউল দুই এবং মডিউল তিন) রেফারেন্স দ্বারা আমাদের DPA-তে অন্তর্ভুক্ত করা হয়েছে। |
| উপ-প্রক্রিয়াকারক SCCs | প্রতিটি উপ-প্রক্রিয়াকারকের সাথে লিখিত চুক্তি আমাদের DPA-এর মতো কম সুরক্ষামূলক ডেটা সুরক্ষা বাধ্যবাধকতা আরোপ করে না। |
| সরকারি অ্যাক্সেস বিজ্ঞপ্তি | আমরা আমাদের শর্তাবলীতে বর্ণিত আইনত অনুমোদিত যেখানে সরকারি অ্যাক্সেস অনুরোধের নিয়ন্ত্রকদের অবহিত করতে প্রতিশ্রুতি দিই। |
| চ্যালেঞ্জ প্রতিশ্রুতি | আমরা অতিরিক্ত বা বেআইনি বলে মনে করি এমন সরকারি অ্যাক্সেস অনুরোধগুলিকে চ্যালেঞ্জ করতে প্রতিশ্রুতি দিই। |
৭. ঝুঁকি মূল্যায়ন
৭.১ সরকারি অ্যাক্সেসের সম্ভাব্যতা
| ফ্যাক্টর | মূল্যায়ন |
|---|---|
| ডেটার প্রকৃতি | মূলত ছোট ব্যবসার ওয়েবসাইট থেকে ছদ্মনামিকৃত বিশ্লেষণ, ফর্ম সাবমিশন এবং চ্যাটবট বার্তা। এই ডেটার কম গোয়েন্দা মূল্য আছে। |
| ডেটার পরিমাণ | কম থেকে মাঝারি। প্রতিটি ওয়েবসাইট তার নিজস্ব দর্শক বেসে পরিষেবা দেয়; ডেটা নজরদারি উদ্দেশ্যে ওয়েবসাইটগুলি জুড়ে একত্রিত করা হয় না। |
| কোম্পানির প্রোফাইল | Acira AI একটি ছোট SaaS কোম্পানি যা ছোট ব্যবসার ওয়েবসাইট হোস্ট করে। |
| ঐতিহাসিক অনুরোধ | এই মূল্যায়নের তারিখ পর্যন্ত, Acira AI কখনো FISA ধারা ৭০২ নির্দেশ, জাতীয় নিরাপত্তা চিঠি বা গ্রাহক ডেটায় বাল্ক অ্যাক্সেসের জন্য কোনো সরকারি অনুরোধ পায়নি। |
| উপ-প্রক্রিয়াকারকের প্রোফাইল | AWS এবং Cloudflare বড় অবকাঠামো প্রদানকারী যারা স্বচ্ছতা প্রতিবেদন প্রকাশ করে। তাদের স্বচ্ছতা প্রতিবেদন নির্দেশ করে যে সরকারি অনুরোধগুলি নির্দিষ্ট অ্যাকাউন্টগুলিকে লক্ষ্য করে, হোস্ট করা বিষয়বস্তুতে বাল্ক অ্যাক্সেস নয়। |
সামগ্রিক সম্ভাব্যতা: কম
৭.২ অ্যাক্সেস ঘটলে প্রভাব
| ফ্যাক্টর | মূল্যায়ন |
|---|---|
| ডেটার সংবেদনশীলতা | হস্তান্তরিত ডেটার অধিকাংশ কম সংবেদনশীল (ছদ্মনামিকৃত বিশ্লেষণ, ওয়েবসাইট দর্শক মেটাডেটা)। |
| ছদ্মনামীকরণের কার্যকারিতা | বিশ্লেষণ ডেটা দৈনিক-ঘূর্ণায়মান হ্যাশ উপাদান (IP + User-Agent + তারিখ) অ্যাক্সেস ছাড়া ব্যক্তিদের সাথে সংযুক্ত করা যায় না। |
| এক্সপোজারের পরিধি | যেকোনো সরকারি অ্যাক্সেস সম্পূর্ণ প্ল্যাটফর্মের পরিবর্তে নির্দিষ্ট অ্যাকাউন্ট বা ওয়েবসাইটে সীমাবদ্ধ থাকবে। ডেডিকেটেড স্টোরেজ ইনস্ট্যান্সের মাধ্যমে প্রতি-ওয়েবসাইট ডেটা বিচ্ছিন্নতা যেকোনো সম্ভাব্য আপোষের পরিধি সীমিত করে। ইইউ-বাসী ওয়েবসাইট অপারেটরদের জন্য, স্থায়ী স্টোরেজ এবং স্বয়ংক্রিয় দর্শক-মুখী প্রক্রিয়াকরণ (কন্টেন্ট জমাদানের বিজ্ঞপ্তি এবং লেনদেনমূলক ইমেইল ডেলিভারি) ইইউতে সীমাবদ্ধ, এই ডেটার জন্য মার্কিন সরকারের অ্যাক্সেসের এক্সপোজার আরও সীমিত করে। |
সামগ্রিক প্রভাব: কম থেকে মাঝারি (পৃথক ওয়েবসাইট অপারেটরদের দ্বারা সংগৃহীত ডেটার সংবেদনশীলতার উপর নির্ভর করে)
৭.৩ অবশিষ্ট ঝুঁকি মূল্যায়ন
সরকারি অ্যাক্সেসের কম সম্ভাব্যতা, সম্পূরক প্রযুক্তিগত ব্যবস্থা (এনক্রিপশন, ছদ্মনামীকরণ, ডেটা ন্যূনতমকরণ) এবং EO 14086 দ্বারা প্রবর্তিত অতিরিক্ত সুরক্ষা বিবেচনা করে, আমরা মূল্যায়ন করি যে ডেটা বিষয়গুলির জন্য অবশিষ্ট ঝুঁকি কম এবং সম্পূরক ব্যবস্থাগুলি EEA-এর মধ্যে নিশ্চিত সুরক্ষার মূলত সমতুল্য স্তর প্রদান করে।
৮. উপসংহার
এই মূল্যায়নের ভিত্তিতে, আমরা উপসংহারে পৌঁছাই যে:
আমাদের পরিষেবা প্রদানের সাথে সম্পর্কিত EEA/UK/সুইজারল্যান্ড/কানাডা থেকে মার্কিন যুক্তরাষ্ট্রে হস্তান্তরিত ব্যক্তিগত ডেটা EU ডেটা সুরক্ষা আইনের অধীনে নিশ্চিত সুরক্ষার মূলত সমতুল্য স্তর থেকে উপকৃত হয়।
বিভাগ ৬-এ বর্ণিত সম্পূরক প্রযুক্তিগত, সাংগঠনিক এবং চুক্তিগত ব্যবস্থার সাথে মিলিত স্ট্যান্ডার্ড কন্ট্র্যাকচুয়াল ক্লজ এই মূল্যায়নে চিহ্নিত ঝুঁকিগুলিকে পর্যাপ্তভাবে সম্বোধন করে।
ডেটার প্রকৃতি (মূলত ছদ্মনামিকৃত বিশ্লেষণ এবং ছোট ব্যবসার ওয়েবসাইট দর্শকদের মিথস্ক্রিয়া) এবং ডেটা আমদানিকারকের প্রোফাইল (একটি ছোট SaaS কোম্পানি) সরকারি নজরদারির ব্যবহারিক ঝুঁকি উল্লেখযোগ্যভাবে হ্রাস করে।
এক্সিকিউটিভ অর্ডার ১৪০৮৬ এবং সংশ্লিষ্ট প্রতিকার প্রক্রিয়া দ্বারা প্রবর্তিত সুরক্ষাগুলি অতিরিক্ত সুরক্ষা প্রদান করে যা ব্যবহৃত নির্দিষ্ট হস্তান্তর প্রক্রিয়া নির্বিশেষে সমস্ত ডেটা বিষয়কে উপকৃত করে।
কানাডিয়ান হস্তান্তরের জন্য, এখানে বর্ণিত চুক্তিগত সুরক্ষা এবং সম্পূরক ব্যবস্থাগুলি PIPEDA এবং প্রযোজ্য প্রাদেশিক গোপনীয়তা আইনের অধীনে প্রয়োজনীয় সুরক্ষার একটি তুলনামূলক স্তর নিশ্চিত করে, কুইবেকের আধুনিকীকৃত গোপনীয়তা আইন সহ।
আমরা মার্কিন নজরদারি আইন ও অনুশীলনে এবং কানাডিয়ান গোপনীয়তা আইনে (প্রস্তাবিত কনজিউমার প্রাইভেসি প্রোটেকশন অ্যাক্ট সহ) উন্নয়ন পর্যবেক্ষণ অব্যাহত রাখব, এবং পরিস্থিতি বস্তুগতভাবে পরিবর্তিত হলে এই TIA পুনর্মূল্যায়ন করব।
হস্তান্তরগুলি এখানে বর্ণিত SCCs এবং সম্পূরক ব্যবস্থার অব্যাহত প্রয়োগের শর্তে এগিয়ে যেতে পারে।
৯. পর্যালোচনা সময়সূচি
এই TIA পর্যালোচনা এবং আপডেট করা হবে:
- বার্ষিক, ন্যূনতম, বা
- প্রযোজ্য আইন বা বিধিমালায় বস্তুগত পরিবর্তনের উপর,
- আমাদের উপ-প্রক্রিয়াকারক বা হস্তান্তরিত ডেটার প্রকৃতিতে পরিবর্তনের উপর,
- SCCs-এর বৈধতাকে বস্তুগতভাবে প্রভাবিত করে এমন যেকোনো আদালতের সিদ্ধান্তের উপর।
১০. যোগাযোগ করুন
এই ট্রান্সফার ইমপ্যাক্ট অ্যাসেসমেন্ট সম্পর্কে আপনার কোনো প্রশ্ন থাকলে, অনুগ্রহ করে আমাদের সাথে যোগাযোগ করুন:
Acira AI LLC
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
মার্কিন যুক্তরাষ্ট্র
ফোন: 888-389-1189
ইমেইল: legal@acira.ai
আপনার গোপনীয়তা, আমাদের অগ্রাধিকার
আমরা আপনার ডেটা বিক্রি করি না, ট্র্যাকিং কুকি ব্যবহার করি না — এই কারণেই এখানে কুকি ব্যানার দেখবেন না। আমরা Global Privacy Control সম্মান করি, এবং EU গ্রাহকদের জন্য, ভিজিটর ডেটা শুধুমাত্র ইউরোপীয় ইউনিয়নে সংরক্ষিত ও প্রক্রিয়াকৃত হয়।
Acira AI
AI দিয়ে সুন্দর ওয়েবসাইট তৈরি করুন। কোডিং প্রয়োজন নেই।
গর্বের সাথে মার্কিন যুক্তরাষ্ট্রে নির্মিত
© 2026 Acira AI LLC. সমস্ত অধিকার সংরক্ষিত।