Acira AI Logo
قیمت‌گذاریویژگی‌هادرباره مامقایسه
ورود

ارزیابی تأثیر انتقال

ارزیابی تأثیر انتقال

آخرین بروزرسانی: ۱۹ مارس ۲۰۲۶

این ارزیابی تأثیر انتقال («TIA») توسط Acira AI LLC («Acira AI»، «ما»، «ما را») مطابق با الزامات حکم دیوان دادگستری اتحادیه اروپا در پرونده کمیسیونر حفاظت از داده‌ها در برابر Facebook Ireland Limited و Maximillian Schrems (پرونده C-311/18، «Schrems II») و توصیه‌های هیئت حفاظت از داده‌های اروپا (توصیه‌های EDPB 01/2020 در مورد اقدامات تکمیلی) تهیه شده است.

این TIA کفایت حمایت‌ها برای داده‌های شخصی منتقل‌شده از منطقه اقتصادی اروپا («EEA»)، بریتانیا، سوئیس و کانادا به ایالات متحده و سایر کشورهای ثالث در ارتباط با ارائه خدمات ما را ارزیابی می‌کند.

این TIA ممکن است برای راحتی شما به زبان‌های دیگر ترجمه شود. در صورت هر گونه تعارض یا ناسازگاری بین نسخه انگلیسی و هر نسخه ترجمه‌شده، نسخه انگلیسی برتری دارد.

فهرست مطالب

  1. مروری بر انتقال‌ها
  2. ماهیت داده‌های منتقل‌شده
  3. مکانیزم‌های انتقال
  4. ارزیابی قوانین کشور مقصد
  5. ارزیابی جریان‌های داده بر اساس ارائه‌دهنده خدمات
  6. اقدامات تکمیلی
  7. ارزیابی ریسک
  8. نتیجه‌گیری
  9. برنامه بازبینی
  10. تماس با ما

۱. مروری بر انتقال‌ها

۱.۱ زمینه

Acira AI یک پلتفرم نرم‌افزار به عنوان سرویس است که به کسب‌وکارها و افراد امکان می‌دهد وب‌سایت‌های مبتنی بر هوش مصنوعی را ایجاد، مدیریت و میزبانی کنند. هنگامی که کاربران وب‌سایت‌هایی ایجاد می‌کنند که توسط بازدیدکنندگان واقع در EEA، بریتانیا، سوئیس یا کانادا بازدید می‌شود، داده‌های شخصی آن بازدیدکنندگان ممکن است به ایالات متحده و مکان‌های دیگری که ارائه‌دهندگان زیرساخت ما در آنجا فعالیت می‌کنند منتقل و پردازش شود.

۱.۲ طرفین

  • صادرکننده داده: اپراتور وب‌سایت (مشتری ما، که به عنوان کنترلر عمل می‌کند) و برای داده‌های تحلیلی، Acira AI به عنوان کنترلر مشترک.
  • واردکننده داده: Acira AI LLC، ثبت‌شده در نوادا، ایالات متحده، که به عنوان پردازنده عمل می‌کند (و کنترلر مشترک برای تحلیلیات).
  • پردازنده‌های فرعی: ارائه‌دهندگان خدمات شخص ثالث که توسط Acira AI استخدام شده‌اند (فهرست شده در بخش ۵).

۱.۳ مقاصد انتقال

مقصد ارائه‌دهندگان مبنا
ایالات متحده و اتحادیه اروپا (استکهلم) AWS SCCها + اقدامات تکمیلی (ایالات متحده)؛ درون-EEA برای عملیات خودکار رو به بازدیدکننده برای ساکنان اتحادیه اروپا
ایالات متحده Stripe, Fireworks AI, xAI SCCها + اقدامات تکمیلی
جهانی (مکان‌های لبه) Cloudflare SCC + اقدامات تکمیلی
اسرائیل BrightData (فقط به دستور کاربر) SCC + اقدامات تکمیلی
اتحادیه اروپا Black Forest Labs، ScreenshotOne، CloudConvert داخل EEA (مکانیزم انتقال لازم نیست)

۲. ماهیت داده‌های منتقل‌شده

۲.۱ دسته‌های داده‌های شخصی

داده‌های شخصی منتقل‌شده به ویژگی‌های فعال‌شده توسط اپراتور وب‌سایت و تعاملات بازدیدکنندگان وب‌سایت بستگی دارد. دسته‌های زیر ممکن است منتقل شوند:

دسته داده توضیحات حساسیت حجم
شناسه‌های تحلیلی هش رمزنگاری روزانه‌چرخشی از IP + کاربر-عامل + تاریخ (مستعارسازی‌شده) کم بالا (هر بازدید صفحه)
متادیتای بازدیدکننده کشور، منطقه، زبان، نوع دستگاه، مرورگر، سیستم عامل، دامنه ارجاع‌دهنده، پارامترهای UTM کم بالا (هر بازدید صفحه)
آدرس‌های IP ذخیره‌شده به عنوان متادیتا با ارسال‌های فرم و مکالمات چت‌بات؛ هش‌شده برای تحلیلیات؛ به‌طور موقت برای تأیید bot challenge استفاده‌شده؛ به‌طور موقت برای محدودسازی نرخ ذخیره‌شده (تا ۷ روز) متوسط متوسط
محتوای ارسال فرم فیلدهای متن آزاد ارسال‌شده توسط بازدیدکنندگان (نام‌ها، ایمیل‌ها، پیام‌ها و غیره) متغیر (بستگی به فرم دارد) کم تا متوسط
پیام‌های چت‌بات پیام‌های بازدیدکننده و پاسخ‌های تولیدشده توسط هوش مصنوعی (حداکثر ۲۰۰۰ کاراکتر در هر پیام) کم تا متوسط کم
آپلودهای فایل فایل‌های آپلودشده توسط بازدیدکنندگان از طریق فرم‌های وب‌سایت (تصاویر، اسناد) متغیر کم
شناسه‌های جلسه شناسه‌های جلسه سمت سرور و کوکی‌های جلسه سمت کاربر کم بالا
اعتبارنامه‌های احراز هویت رمزهای عبور برای مناطق محافظت‌شده وب‌سایت (فقط به صورت هش‌شده ذخیره‌شده) بالا (اما هش‌شده) کم

۲.۲ دسته‌های موضوعان داده

  • بازدیدکنندگان وب‌سایت‌های میزبانی‌شده در پلتفرم Acira AI
  • کاربرانی که حساب‌هایی در وب‌سایت‌های میزبانی‌شده در پلتفرم ایجاد می‌کنند
  • کاربرانی که فرم‌ها ارسال می‌کنند، با چت‌بات‌ها تعامل می‌کنند یا فایل‌ها را در وب‌سایت‌های میزبانی‌شده آپلود می‌کنند

۲.۳ داده‌هایی که منتقل نمی‌شوند

  • داده‌های موقعیت جغرافیایی: جستجوهای IP به مکان توسط ارائه‌دهنده زیرساخت ما در لبه شبکه انجام می‌شود. هیچ آدرس IP بازدیدکننده‌ای به هیچ سرویس موقعیت جغرافیایی خارجی منتقل نمی‌شود.
  • آدرس‌های IP خام تحلیلیات: فقط یک هش رمزنگاری روزانه‌چرخشی ذخیره می‌شود؛ IP‌های خام در سیستم‌های تحلیلیات ماندگار نمی‌شوند.
  • رمزهای عبور متن ساده: فقط هش‌های رمزنگاری ذخیره و منتقل می‌شوند.

۳. مکانیزم‌های انتقال

۳.۱ مکانیزم اصلی: بندهای قراردادی استاندارد

ما بر بندهای قراردادی استاندارد (SCC) کمیسیون اروپا که با تصمیم اجرایی کمیسیون (EU) 2021/914 تصویب شده تکیه می‌کنیم، به ویژه:

  • ماژول یک (کنترلر به کنترلر): برای انتقال داده‌های تحلیلی که در آن Acira AI به عنوان کنترلر مشترک با اپراتور وب‌سایت عمل می‌کند (به بخش ۲.۳ DPA مراجعه کنید).
  • ماژول دو (کنترلر به پردازنده): برای انتقال داده‌های شخصی بازدیدکننده از اپراتور وب‌سایت (کنترلر) به Acira AI (پردازنده).
  • ماژول سه (پردازنده به پردازنده فرعی): برای انتقال‌های بعدی از Acira AI به پردازنده‌های فرعی ما.

۳.۲ انتقال‌های بریتانیا، سوئیس و کانادا

  • بریتانیا: ضمیمه انتقال بین‌المللی داده بریتانیا به SCC‌های اتحادیه اروپا اعمال می‌شود.
  • سوئیس: SCC‌ها با تغییرات مورد نیاز قانون فدرال سوئیس در مورد حفاظت از داده (FADP) اعمال می‌شوند.
  • کانادا: انتقال‌ها بر حمایت‌های قراردادی با هر پردازنده فرعی تکیه می‌کنند که تعهداتی سازگار با قانون حفاظت از اطلاعات شخصی و اسناد الکترونیکی (PIPEDA) و قانون حریم خصوصی استانی قابل اجرا تحمیل می‌کنند، در ترکیب با اقدامات تکمیلی فنی و سازمانی توصیف‌شده در بخش ۶. برای جزئیات به بخش ۷.۴ DPA مراجعه کنید.

۳.۳ مکانیزم‌های انتقال پردازنده فرعی

پردازنده فرعی مکانیزم انتقال
Amazon Web Services SCC (AWS DPA)، دارای گواهینامه ISO 27001/27017/27018
Cloudflare SCC (Cloudflare DPA)، دارای گواهینامه ISO 27001
Stripe SCC (Stripe DPA)، دارای گواهینامه PCI DSS سطح ۱
Fireworks AI SCC (Fireworks AI DPA)، SOC 2 نوع II، دارای گواهینامه ISO 27001/27701/42001
xAI SCC (xAI DPA با SCC‌های اتحادیه اروپا)
BrightData SCC (BrightData DPA)

۴. ارزیابی قوانین کشور مقصد

۴.۱ ایالات متحده

ایالات متحده مقصد اصلی داده‌های منتقل‌شده است. قوانین زیر آمریکایی برای این ارزیابی مرتبط هستند:

۴.۱.۱ قانون نظارت بر اطلاعات خارجی (FISA)، بخش ۷۰۲

بخش ۷۰۲ FISA دولت آمریکا را مجاز می‌کند که ارائه‌دهندگان خدمات ارتباطات الکترونیکی را مجبور کند تا به ارتباطات افراد غیرآمریکایی واقع در خارج از ایالات متحده برای اهداف اطلاعات خارجی دسترسی دهند.

ارزیابی ریسک:

  • قابلیت اجرا: بخش ۷۰۲ FISA برای «ارائه‌دهندگان خدمات ارتباطات الکترونیکی» طبق تعریف ۵۰ U.S.C. § 1881(b)(4) اعمال می‌شود. Acira AI یک پلتفرم میزبانی وب‌سایت SaaS است، نه یک ارائه‌دهنده مخابرات سنتی. پردازنده‌های فرعی ما (AWS، Cloudflare) بیشتر احتمال دارد تحت بخش ۷۰۲ دستورالعمل‌ها قرار بگیرند.
  • دامنه داده‌های در معرض خطر: داده‌های شخصی که ما پردازش می‌کنیم عمدتاً شامل تحلیلیات بازدیدکنندگان وب‌سایت (مستعارسازی‌شده)، ارسال‌های فرم و پیام‌های چت‌بات می‌شود. این داده‌ها بعید است که از نظر اطلاعات خارجی مورد علاقه باشند.
  • احتمال عملی: ما هرگز دستورالعمل بخش ۷۰۲ FISA دریافت نکرده‌ایم و احتمال عملی دریافت آن را با توجه به ماهیت خدمات و داده‌هایی که پردازش می‌کنیم بسیار کم ارزیابی می‌کنیم.

۴.۱.۲ دستور اجرایی ۱۲۳۳۳

EO 12333 آژانس‌های اطلاعاتی آمریکا را مجاز می‌کند که فعالیت‌های نظارتی از جمله جمع‌آوری انبوه اطلاعات سیگنال انجام دهند. این دستور برای داده‌های در حال انتقال اعمال می‌شود و شرکت‌های خصوصی را مجبور به همکاری نمی‌کند.

ارزیابی ریسک:

  • کاهش: تمام داده‌های در حال انتقال با TLS رمزگذاری شده‌اند. رهگیری انبوه داده‌های رمزگذاری‌شده در حال انتقال داده‌های شخصی متن ساده تولید نمی‌کند.
  • احتمال عملی: کم. داده‌های پردازش‌شده از طریق خدمات ما ماهیتی ندارند که معمولاً توسط اطلاعات سیگنال هدف قرار می‌گیرند.

۴.۱.۳ دستور اجرایی ۱۴۰۸۶ و چارچوب حریم خصوصی داده اتحادیه اروپا-ایالات متحده

دستور اجرایی ۱۴۰۸۶ (اکتبر ۲۰۲۲) تضمینات اضافی برای فعالیت‌های اطلاعات سیگنال معرفی کرد، از جمله:

  • الزامات ضرورت و تناسب برای جمع‌آوری اطلاعات
  • یک مکانیزم جبران خسارت دو مرحله‌ای (افسر حفاظت از آزادی‌های مدنی + دادگاه بازبینی حفاظت از داده) که برای افراد اتحادیه اروپا/بریتانیا/سوئیس در دسترس است
  • محدودیت‌هایی برای جمع‌آوری انبوه

کمیسیون اروپا در ۱۰ ژوئیه ۲۰۲۳ یک تصمیم کفایت برای چارچوب حریم خصوصی داده اتحادیه اروپا-ایالات متحده (DPF) صادر کرد. اگرچه Acira AI در حال حاضر تحت DPF خودگواهی‌شده نیست، حمایت‌های تحت EO 14086 به طور گسترده‌ای برای همه انتقال‌های داده به ایالات متحده اعمال می‌شوند و صرف نظر از مکانیزم انتقال استفاده‌شده به همه موضوعان داده سود می‌رسانند.

۴.۱.۴ قانون CLOUD

قانون روشن‌سازی استفاده قانونی از داده در خارج از کشور (CLOUD Act) به مجریان قانون آمریکا اجازه می‌دهد که ارائه‌دهندگان مستقر در آمریکا را مجبور کنند داده‌ها را صرف نظر از محل ذخیره‌سازی تولید کنند، مشروط به وارانت یا حکم دادگاه معتبر.

ارزیابی ریسک:

  • تضمینات: قانون CLOUD نیازمند یک فرایند قانونی معتبر (وارانت، احضاریه یا حکم دادگاه) است. دسترسی انبوه بدون وارانت را مجاز نمی‌کند.
  • مقررات احترام متقابل: قانون CLOUD شامل یک چارچوب احترام متقابل است که به ارائه‌دهندگان اجازه می‌دهد دستوراتی را که با قانون خارجی تعارض دارند به چالش بکشند.
  • احتمال عملی: برای داده‌های بازدیدکنندگان وب‌سایت کم. درخواست‌های مجریان قانون بیشتر حساب‌های خاص مشکوک به فعالیت جنایی را هدف قرار می‌دهند، نه تحلیلیات بازدیدکننده یا ارسال‌های فرم.

۴.۲ اسرائیل (BrightData)

BrightData در اسرائیل مستقر است. اسرائیل دارای تصمیم کفایت از کمیسیون اروپا (2011/61/EU) است، به این معنا که انتقال‌ها به اسرائیل مشابه انتقال‌های داخل EEA رفتار می‌شود. با این حال، BrightData داده‌ها را در مکان‌های جهانی دیگر نیز پردازش می‌کند. ما توجه می‌دهیم که:

  • پردازش BrightData فقط هنگامی که کاربر هدایت می‌کند اتفاق می‌افتد (در حین ایجاد وب‌سایت برای وارد کردن محتوا) یا در حین ردیابی SERP برنامه‌ریزی‌شده.
  • هیچ داده شخصی بازدیدکننده وب‌سایتی به BrightData منتقل نمی‌شود.

۴.۳ کانادا (انتقال‌ها از کانادا به ایالات متحده)

داده‌های شخصی بازدیدکنندگان وب‌سایت واقع در کانادا ممکن است برای پردازش به ایالات متحده منتقل شوند. قوانین زیر کانادایی برای این ارزیابی مرتبط هستند:

۴.۳.۱ قانون حفاظت از اطلاعات شخصی و اسناد الکترونیکی (PIPEDA)

PIPEDA جمع‌آوری، استفاده و افشای اطلاعات شخصی توسط سازمان‌های بخش خصوصی در جریان فعالیت‌های تجاری را تنظیم می‌کند. اصل ۴.۱.۳ PIPEDA از سازمان‌ها می‌خواهد که از ابزارهای قراردادی یا سایر ابزارها برای اطمینان از سطح حمایت قابل مقایسه هنگامی که اطلاعات شخصی برای پردازش به اشخاص ثالث منتقل می‌شود استفاده کنند، از جمله انتقال‌های خارج از کانادا.

ارزیابی ریسک:

  • حمایت قابل مقایسه: اقدامات تکمیلی توصیف‌شده در بخش ۶ (رمزگذاری، مستعارسازی، کنترل‌های دسترسی، به حداقل رساندن داده) سطحی از حمایت ارائه می‌دهند که با آنچه تحت PIPEDA مورد نیاز است قابل مقایسه است. توافقنامه‌های پردازش داده مکتوب با همه پردازنده‌های فرعی در جای خود هستند.
  • بدون الزام کفایت: برخلاف GDPR، PIPEDA انتقال‌ها به کشورهایی که فاقد یافته «کفایت» هستند را ممنوع نمی‌کند. سازمان‌ها باید حمایت قابل مقایسه را از طریق ابزارهای قراردادی و سایر ابزارها تضمین کنند که ما آن را پیاده‌سازی کرده‌ایم.

۴.۳.۲ قانون‌گذاری حریم خصوصی استانی

قانون حفاظت از اطلاعات شخصی (PIPA) آلبرتا، قانون حفاظت از اطلاعات شخصی (PIPA) بریتیش کلمبیا و قانون کبک مربوط به حفاظت از اطلاعات شخصی در بخش خصوصی الزامات اضافی برای برخی استان‌ها تحمیل می‌کنند:

ارزیابی ریسک:

  • قانون ۲۵ کبک: قانون حریم خصوصی نوین‌شده کبک (از سپتامبر ۲۰۲۳ اعمال می‌شود) قبل از انتقال اطلاعات شخصی خارج از کبک نیازمند ارزیابی تأثیر حریم خصوصی است و سازمان انتقال‌دهنده باید مطمئن باشد که اطلاعات حمایت کافی دریافت می‌کنند. حمایت‌های قراردادی ما، اقدامات تکمیلی فنی و ماهیت داده‌ها (عمدتاً تحلیلیات مستعارسازی‌شده و تعاملات وب‌سایت کسب‌وکارهای کوچک) از یافتن حمایت کافی پشتیبانی می‌کنند.
  • آلبرتا و بریتیش کلمبیا: PIPA‌های آلبرتا و بریتیش کلمبیا از سازمان‌ها می‌خواهند که حمایت قابل مقایسه برای داده‌های منتقل‌شده تضمین کنند. تضمینات قراردادی و فنی ما این الزام را برآورده می‌کنند.

۴.۳.۳ دسترسی دولت آمریکا از منظر کانادا

همان خطرات دسترسی دولت آمریکا که در بخش ۴.۱ ارزیابی شد برای انتقال‌های داده کانادا اعمال می‌شود. احتمال پایین دسترسی دولت (با توجه به ماهیت داده‌ها و پروفایل شرکت ما)، همراه با اقدامات تکمیلی در بخش ۶، تضمین می‌کند که داده‌های شخصی منتقل‌شده از کانادا به ایالات متحده سطح قابل مقایسه‌ای از حمایت مورد نیاز تحت قانون حریم خصوصی کانادا دریافت می‌کنند.

۴.۴ مکان‌های لبه جهانی (Cloudflare)

Cloudflare یک شبکه جهانی از مکان‌های لبه را اداره می‌کند. درخواست‌های بازدیدکنندگان اتحادیه اروپا معمولاً در نزدیک‌ترین نقطه حضور Cloudflare پردازش می‌شوند که برای بازدیدکنندگان اتحادیه اروپا معمولاً یک مکان اتحادیه اروپا خواهد بود.

  • مسیریابی درخواست، پایان TLS و حفاظت از ربات در نزدیک‌ترین مکان لبه رخ می‌دهد.
  • برای اپراتورهای وب‌سایتی که به عنوان ساکنان اتحادیه اروپا شناسایی شده‌اند، ذخیره‌سازی دائمی (حاوی ارسال‌های فرم، مکالمات چت‌بات و داده‌های جلسه) با استفاده از API صلاحیت قضایی Cloudflare به اتحادیه اروپا محدود شده است. برای اپراتورهای وب‌سایت غیر-اتحادیه اروپایی، ذخیره‌سازی دائمی در نزدیکی منطقه جغرافیایی اپراتور قرار دارد اما ممکن است خارج از اتحادیه اروپا باشد.
  • داده‌های تحلیلی در زیرساخت مدیریت‌شده توسط Cloudflare پردازش می‌شوند.

۵. ارزیابی جریان‌های داده بر اساس ارائه‌دهنده خدمات

۵.۱ Amazon Web Services (ایالات متحده)

جریان داده داده‌های شخصی مربوط هدف
ذخیره‌سازی پایگاه داده متادیتای ارسال فرم (IP، کشور، منطقه)، سوابق مکالمه چت‌بات، متادیتای فایل، سوابق جلسه ذخیره‌سازی دائمی داده‌های بازدیدکننده وب‌سایت
ذخیره‌سازی فایل فایل‌های آپلودشده (تصاویر، اسناد)، اسنپ‌شات‌های استقرار ذخیره‌سازی فایل
استنتاج هوش مصنوعی محتوای فایل (برای توصیفات هوش مصنوعی)، محتوای ایمیل (برای تشخیص اسپم) توصیفات مبتنی بر هوش مصنوعی و طبقه‌بندی اسپم
اعتدال محتوا تصاویر آپلودشده اعتدال محتوا (تشخیص برهنگی/محتوای صریح)
تحویل ایمیل آدرس‌های ایمیل، محتوای پیام تحویل ایمیل تراکنشی و اعلان‌های ارسال محتوا. برای اپراتورهای وب‌سایت مقیم اتحادیه اروپا، این عملیات در اتحادیه اروپا (استکهلم) پردازش می‌شود.
تشخیص زبان متن پیام ایمیل تشخیص زبان

تضمینات AWS:

  • دارای گواهینامه ISO 27001، 27017، 27018
  • گزارش‌های SOC 1/2/3 در دسترس
  • داده‌های رمزگذاری‌شده در حالت استراحت با استفاده از رمزگذاری استاندارد صنعت
  • داده‌های رمزگذاری‌شده در حال انتقال (TLS)
  • کنترل‌های دسترسی حداقل دسترسی به ازای هر مؤلفه سیستم
  • خدمات اصلی در ایالات متحده میزبانی می‌شوند؛ عملیات خودکار رو به بازدیدکننده (اعلان‌های ارسال محتوا و تحویل ایمیل تراکنشی) برای اپراتورهای وب‌سایت مقیم اتحادیه اروپا در اتحادیه اروپا (استکهلم) پردازش می‌شوند

۵.۲ Cloudflare (جهانی)

جریان داده داده‌های شخصی مربوط هدف
مسیریابی لبه آدرس‌های IP، هدرهای HTTP، URL‌های درخواست مسیریابی درخواست، حفاظت از DDoS، پایان TLS
میزبانی وب‌سایت محتوای صفحه، متادیتای بازدیدکننده میزبانی و تحویل وب‌سایت
ذخیره‌سازی دائمی ارسال‌های فرم، مکالمات چت‌بات، داده‌های جلسه، داده‌های جدول کاربر ذخیره‌سازی با وضعیت برای هر وب‌سایت
تحلیلیات هش بازدیدکننده مستعارسازی‌شده، کشور، دستگاه، مرورگر، ارجاع‌دهنده، UTM تحلیلیات بازدیدکننده دوستدار حریم خصوصی
استنتاج هوش مصنوعی پیام‌های چت‌بات، خلاصه‌های فیلد فرم پاسخ‌های چت‌بات هوش مصنوعی، تشخیص اسپم
ذخیره‌سازی دارایی دارایی‌های وب‌سایت (تصاویر، فایل‌ها) ذخیره‌سازی دارایی ایستا و تحویل CDN

تضمینات Cloudflare:

  • دارای گواهینامه ISO 27001، SOC 2 نوع II
  • TLS 1.2+ برای همه اتصالات
  • DPA Cloudflare با SCC در دسترس
  • پردازش لبه به این معناست که داده‌های بازدیدکننده اتحادیه اروپا معمولاً در مکان‌های لبه اتحادیه اروپا برای مدیریت درخواست پردازش می‌شوند
  • برای اپراتورهای وب‌سایتی که به عنوان مقیم اتحادیه اروپا شناسایی شده‌اند، ذخیره‌سازی دائمی (حاوی ارسال‌های فرم، مکالمات چت‌بات، داده‌های جلسه و داده‌های جداول کاربر) با استفاده از API حوزه قضایی Cloudflare به لحاظ قضایی به اتحادیه اروپا محدود شده است و اطمینان می‌دهد که این داده‌ها منحصراً در مراکز داده اتحادیه اروپا ذخیره و پردازش می‌شوند. فراخوانی‌های API پشتیبان از لبه (برای اعلان‌های ارسال محتوا و تحویل ایمیل تراکنشی) به زیرساخت AWS مستقر در اتحادیه اروپا هدایت می‌شوند.
  • استنتاج هوش مصنوعی داده‌های ورودی را برای آموزش نگه نمی‌دارد

۵.۳ Stripe (ایالات متحده)

جریان داده داده‌های شخصی مربوط هدف
پردازش پرداخت داده‌های صورت‌حساب اپراتور وب‌سایت (نام، ایمیل، روش پرداخت) پردازش پرداخت اشتراک و دامنه

توجه: Stripe داده‌های شخصی بازدیدکنندگان وب‌سایت را دریافت نمی‌کند. فقط اطلاعات صورت‌حساب اپراتور وب‌سایت (مشتری ما) توسط Stripe پردازش می‌شود.

تضمینات Stripe:

  • دارای گواهینامه PCI DSS سطح ۱
  • دارای گواهینامه ISO 27001
  • DPA Stripe با SCC در دسترس

۵.۴ ارائه‌دهندگان استنتاج هوش مصنوعی (ایالات متحده)

Fireworks AI و xAI خدمات استنتاج مدل هوش مصنوعی ارائه می‌دهند.

جریان داده داده‌های شخصی مربوط هدف
تولید متن (محتوای وب‌سایت) محتوای وب‌سایت (نه داده‌های بازدیدکننده) ایجاد و ویرایش محتوای وب‌سایت
تولید تصویر درخواست‌های متنی (نه داده‌های بازدیدکننده) ایجاد تصویر برای وب‌سایت‌ها
هوش مصنوعی مکالمه‌ای (عامل چت) نام کاربر پلتفرم، ایمیل، ترجیح زبان و تاریخچه مکالمه دستیار هوش مصنوعی برای کاربران پلتفرم (اپراتورهای وب‌سایت)

توجه: این ارائه‌دهندگان هوش مصنوعی داده‌های شخصی بازدیدکنندگان وب‌سایت را دریافت نمی‌کنند. ویژگی چت‌بات (که به بازدیدکنندگان وب‌سایت خدمت می‌کند) از Cloudflare Workers AI (ارزیابی‌شده در بخش ۵.۲) استفاده می‌کند، نه این ارائه‌دهندگان. با این حال، دستیار هوش مصنوعی مکالمه‌ای پلتفرم — که توسط اپراتورهای وب‌سایت برای مدیریت وب‌سایت‌هایشان استفاده می‌شود — داده‌های شخصی کاربران پلتفرم (نام، آدرس ایمیل و تاریخچه مکالمه) را به این ارائه‌دهندگان به عنوان بخشی از تولید پاسخ ارسال می‌کند. برای این پردازش، Acira AI به عنوان کنترلر (نه پردازنده) عمل می‌کند و موضوعات داده کاربران پلتفرم ما (اپراتورهای وب‌سایت) هستند، نه بازدیدکنندگان وب‌سایت‌هایشان. این جریان داده توسط سیاست حریم خصوصی ما و توافقنامه‌های ما با این ارائه‌دهندگان اداره می‌شود، نه چارچوب کنترلر-پردازنده DPA برای داده‌های بازدیدکننده.

خانواده‌های مدل: این ارائه‌دهندگان زیرساخت مدل‌های هوش مصنوعی توسعه‌یافته توسط اشخاص ثالث مختلف را میزبانی و اجرا می‌کنند. مدل‌ها و خانواده‌های مدل خاص مورد استفاده ممکن است با گذشت زمان تغییر کنند. توسعه‌دهندگان مدل هیچ داده کاربری دریافت نمی‌کنند یا به آن دسترسی ندارند — تمام پردازش داده به طور انحصاری در زیرساخت پردازنده‌های فرعی فهرست‌شده رخ می‌دهد، صرف نظر از اینکه یک مدل در ابتدا کجا توسعه یافته است. تمام پردازش استنتاج هوش مصنوعی در زیرساخت پردازنده‌های فرعی فهرست‌شده ما باقی می‌ماند. هیچ داده کاربری به توسعه‌دهندگان مدل یا به زیرساخت خارج از پردازنده‌های فرعی فهرست‌شده در این ارزیابی منتقل نمی‌شود. فهرست به‌روز خانواده‌های مدل مورد استفاده با درخواست از طریق تماس با legal@acira.ai در دسترس است.

۵.۵ BrightData (اسرائیل / جهانی)

جریان داده داده‌های شخصی مربوط هدف
جمع‌آوری داده وب محتوای وب در دسترس عموم (نه داده‌های بازدیدکننده) وارد کردن محتوا در حین ایجاد وب‌سایت (به دستور کاربر)
ردیابی SERP کلمات کلیدی جستجو (نه داده‌های بازدیدکننده) نظارت بر رتبه‌بندی کلمات کلیدی

توجه: BrightData داده‌های شخصی بازدیدکنندگان وب‌سایت را پردازش نمی‌کند. محتوای وب در دسترس عموم را هنگامی که کاربر هدایت می‌کند پردازش می‌کند و رتبه‌بندی موتور جستجو را برای کلمات کلیدی تعریف‌شده توسط کاربر ردیابی می‌کند.

۵.۶ ارائه‌دهندگان مستقر در اتحادیه اروپا (بدون انتقال)

ارائه‌دهنده مکان هدف
Black Forest Labs آلمان (اتحادیه اروپا) تولید تصویر هوش مصنوعی (مدل‌های Flux)
ScreenshotOne اتحادیه اروپا 캡چر اسکرین‌شات وب‌سایت
CloudConvert آلمان (اتحادیه اروپا) تبدیل فرمت فایل

این ارائه‌دهندگان داده‌ها را در داخل اتحادیه اروپا پردازش می‌کنند و انتقال بین‌المللی محسوب نمی‌شوند. Black Forest Labs فقط درخواست‌های متنی برای تولید تصویر دریافت می‌کند؛ هیچ داده شخصی مربوط نیست.

۶. اقدامات تکمیلی

علاوه بر SCC‌ها، اقدامات تکمیلی زیر را برای تضمین سطح حمایت اساساً معادل برای داده‌های شخصی منتقل‌شده پیاده‌سازی می‌کنیم:

۶.۱ اقدامات فنی

اقدام توضیحات
رمزگذاری در حال انتقال تمام داده‌های ارسال‌شده بین بازدیدکنندگان، شبکه لبه و خدمات پشتیبان با TLS (حداقل TLS 1.2) رمزگذاری شده‌اند. ارتباط داخلی سرویس به سرویس از کانال‌های رمزگذاری‌شده استفاده می‌کند.
رمزگذاری در حالت استراحت تمام سوابق پایگاه داده، ذخیره‌سازی فایل و ذخیره‌سازی دائمی میزبانی‌شده در لبه با استفاده از رمزگذاری استاندارد صنعت مدیریت‌شده توسط ارائه‌دهنده زیرساخت مربوطه در حالت استراحت رمزگذاری شده‌اند.
مستعارسازی تحلیلیات بازدیدکننده از یک هش رمزنگاری روزانه‌چرخشی (IP + کاربر-عامل + تاریخ) به جای ذخیره آدرس‌های IP خام استفاده می‌کند. این هش قابل برگشت نیست و هر ۲۴ ساعت می‌چرخد که از ردیابی بین روزها جلوگیری می‌کند.
به حداقل رساندن داده تحلیلیات فقط متادیتای سطح تجمیعی (کشور، نوع دستگاه، مرورگر) جمع‌آوری می‌کند. هیچ آدرس IP خامی در تحلیلیات ذخیره نمی‌شود. پیام‌های چت‌بات به ۲۰۰۰ کاراکتر محدود شده‌اند.
هش‌کردن گذرواژه‌ها همه گذرواژه‌های بازدیدکنندگان (برای بخش‌های محافظت‌شده وب‌سایت) پیش از ذخیره‌سازی با الگوریتم‌های رمزنگاری قوی و نمک‌های تصادفی منحصربه‌فرد برای هر کاربر هش می‌شوند. گذرواژه‌های متنی ساده هرگز ذخیره یا منتقل نمی‌شوند.
کنترل‌های دسترسی سیاست‌های دسترسی حداقل دسترسی هر مؤلفه سیستم را فقط به منابعی که نیاز دارد محدود می‌کنند. توکن‌های API به ازای هر وب‌سایت دسترسی به وب‌سایت‌های فردی را محدود می‌کنند.
انزوای شبکه خدمات پشتیبان از طریق شبکه‌های داخلی ارتباط برقرار می‌کنند. میزبانی وب‌سایت در سندباکس‌های اجرایی ایزوله‌شده اجرا می‌شود. اجرای کد سفارشی از سندباکسینگ مبتنی بر WebAssembly استفاده می‌کند.
اقامت داده‌های قضایی برای اپراتورهای وب‌سایتی که به عنوان مقیم اتحادیه اروپا شناسایی شده‌اند، ذخیره‌سازی دائمی حاوی داده‌های بازدیدکننده (ارسال‌های فرم، مکالمات چت‌بات، داده‌های جلسه و داده‌های جداول کاربر) به لحاظ قضایی به اتحادیه اروپا محدود شده است و اطمینان می‌دهد که این داده‌ها منحصراً در مراکز داده اتحادیه اروپا ذخیره و پردازش می‌شوند. عملیات خودکار رو به بازدیدکننده (اعلان‌های ارسال محتوا و تحویل ایمیل تراکنشی) نیز در زیرساخت مستقر در اتحادیه اروپا پردازش می‌شوند.
حذف خودکار داده‌های نشست پس از 30 روز عدم فعالیت منقضی می‌شوند. فایل‌های موقت ظرف 24 ساعت حذف می‌شوند. داده‌های چالش بات موقتی هستند و به‌صورت پایدار نگهداری نمی‌شوند.

۶.۲ اقدامات سازمانی

اقدام توضیحات
محرمانه بودن پرسنل همه پرسنل با دسترسی به داده‌های شخصی به تعهدات محرمانه‌بودن متعهد هستند.
بررسی دقیق پردازنده فرعی پردازنده‌های فرعی قبل از مشارکت برای شیوه‌های امنیتی و انطباق حفاظت از داده آنها ارزیابی می‌شوند. DPA‌های مکتوب با همه پردازنده‌های فرعی در جای خود هستند.
پاسخ به حوادث رویه‌های اطلاع‌رسانی نقض تضمین می‌کند که کنترلرها در عرض ۷۲ ساعت پس از تأیید نقض داده‌های شخصی مطلع می‌شوند.
سیاست‌های نگهداری داده دوره‌های نگهداری مستند با اجرای خودکار (حذف مبتنی بر TTL، سیاست‌های چرخه حیات).
نظارت امنیتی ورود به سیستم ساختاریافته، نظارت امنیتی خودکار و تشخیص نفوذ. گزارش‌های خطا و تشخیصی تا ۳۰ روز نگه داشته می‌شوند.

۶.۳ اقدامات قراردادی

اقدام توضیحات
بندهای قراردادی استاندارد SCC‌ها (ماژول یک، ماژول دو و ماژول سه) با ارجاع در DPA ما گنجانده شده‌اند.
SCC‌های پردازنده فرعی توافقنامه‌های مکتوب با هر پردازنده فرعی تعهدات حفاظت از داده‌ای تحمیل می‌کنند که کمتر از آنچه در DPA ما است نیستند.
اطلاع‌رسانی دسترسی دولتی ما متعهد می‌شویم که کنترلرها را از درخواست‌های دسترسی دولتی در جایی که قانوناً مجاز است مطلع کنیم، همان‌طور که در شرایط و ضوابط ما توضیح داده شده است.
تعهد به چالش کشیدن ما متعهد می‌شویم که درخواست‌های دسترسی دولتی را که معتقدیم بیش از حد گسترده یا غیرقانونی هستند به چالش بکشیم.

۷. ارزیابی ریسک

۷.۱ احتمال دسترسی دولتی

عامل ارزیابی
ماهیت داده عمدتاً تحلیلیات مستعارسازی‌شده، ارسال‌های فرم و پیام‌های چت‌بات از وب‌سایت‌های کسب‌وکارهای کوچک. این داده‌ها ارزش اطلاعاتی پایینی دارند.
حجم داده کم تا متوسط. هر وب‌سایت پایگاه بازدیدکننده خاص خود را خدمت می‌کند؛ داده‌ها برای اهداف نظارتی در وب‌سایت‌ها تجمیع نمی‌شوند.
پروفایل شرکت Acira AI یک شرکت SaaS کوچک است که وب‌سایت‌های کسب‌وکارهای کوچک را میزبانی می‌کند. ما یک ارائه‌دهنده مخابرات یا هدف نظارتی با پروفایل بالا نیستیم.
درخواست‌های تاریخی تا تاریخ این ارزیابی، Acira AI هرگز دستورالعمل بخش ۷۰۲ FISA، نامه امنیت ملی یا درخواست دولتی برای دسترسی انبوه به داده‌های مشتری دریافت نکرده است.
پروفایل پردازنده فرعی AWS و Cloudflare ارائه‌دهندگان زیرساخت بزرگی هستند که گزارش‌های شفافیت منتشر می‌کنند. گزارش‌های شفافیت آنها نشان می‌دهد که درخواست‌های دولتی به حساب‌های خاص هدف می‌گیرد، نه دسترسی انبوه به محتوای میزبانی‌شده.

احتمال کلی: کم

۷.۲ تأثیر در صورت دسترسی

عامل ارزیابی
حساسیت داده اکثر داده‌های منتقل‌شده حساسیت پایینی دارند (تحلیلیات مستعارسازی‌شده، متادیتای بازدیدکننده وب‌سایت). ارسال‌های فرم ممکن است بسته به وب‌سایت حاوی داده‌های حساسیت متوسط (نام‌ها، آدرس‌های ایمیل، پیام‌ها) باشند.
اثربخشی مستعارسازی داده‌های تحلیلیات بدون دسترسی به اجزای هش روزانه‌چرخشی (IP + کاربر-عامل + تاریخ) که ذخیره نمی‌شوند نمی‌توانند به افراد مرتبط شوند.
دامنه مواجهه هر دسترسی دولتی به حساب‌ها یا وب‌سایت‌های خاص محدود می‌شود، نه کل پلتفرم. جداسازی داده‌ها به ازای هر وب‌سایت از طریق نمونه‌های ذخیره‌سازی اختصاصی دامنه هر گونه نقض احتمالی را محدود می‌کند. برای اپراتورهای وب‌سایت مقیم اتحادیه اروپا، ذخیره‌سازی دائمی و پردازش خودکار رو به بازدیدکننده (اعلان‌های ارسال محتوا و تحویل ایمیل تراکنشی) به اتحادیه اروپا محدود شده‌اند و مواجهه با دسترسی دولت ایالات متحده به این داده‌ها را بیشتر محدود می‌کنند.

تأثیر کلی: کم تا متوسط (بسته به حساسیت داده‌های جمع‌آوری‌شده توسط اپراتورهای وب‌سایت فردی)

۷.۳ ارزیابی ریسک باقیمانده

با در نظر گرفتن احتمال پایین دسترسی دولتی، اقدامات تکمیلی فنی (رمزگذاری، مستعارسازی، به حداقل رساندن داده) و تضمینات اضافی معرفی‌شده توسط EO 14086، ارزیابی می‌کنیم که ریسک باقیمانده برای موضوعات داده پایین است و اینکه اقدامات تکمیلی، همراه با SCC‌ها (برای انتقال‌های EEA/بریتانیا/سوئیس) و حمایت‌های قراردادی (برای انتقال‌های کانادا)، سطحی از حمایت ارائه می‌دهند که اساساً معادل با آنچه در داخل EEA تضمین شده و قابل مقایسه با آنچه تحت قانون حریم خصوصی کانادا مورد نیاز است.

۸. نتیجه‌گیری

بر اساس این ارزیابی، نتیجه می‌گیریم که:

۱. داده‌های شخصی منتقل‌شده از EEA/بریتانیا/سوئیس/کانادا به ایالات متحده در ارتباط با ارائه خدمات ما از سطح حمایت اساساً معادل با آنچه تحت قانون حفاظت از داده اتحادیه اروپا تضمین شده و سطح حمایت قابل مقایسه با آنچه تحت قانون حریم خصوصی کانادا مورد نیاز است بهره‌مند می‌شوند.

۲. بندهای قراردادی استاندارد، همراه با اقدامات تکمیلی فنی، سازمانی و قراردادی توصیف‌شده در بخش ۶، به طور کافی خطرات شناسایی‌شده در این ارزیابی را برطرف می‌کنند.

۳. ماهیت داده‌ها (عمدتاً تحلیلیات مستعارسازی‌شده و تعاملات بازدیدکننده وب‌سایت کسب‌وکارهای کوچک) و پروفایل واردکننده داده (یک شرکت SaaS کوچک، نه ارائه‌دهنده مخابرات) ریسک عملی نظارت دولتی را به طور قابل توجهی کاهش می‌دهند.

۴. حمایت‌های معرفی‌شده توسط دستور اجرایی ۱۴۰۸۶ و مکانیزم جبران خسارت مرتبط تضمینات اضافی ارائه می‌دهند که صرف نظر از مکانیزم انتقال خاص استفاده‌شده به همه موضوعان داده سود می‌رسانند.

۵. برای انتقال‌های کانادا، حمایت‌های قراردادی و اقدامات تکمیلی توصیف‌شده در اینجا سطح قابل مقایسه‌ای از حمایت با آنچه تحت PIPEDA و قانون‌گذاری حریم خصوصی استانی قابل اجرا، از جمله قانون حریم خصوصی نوین‌شده کبک، مورد نیاز است تضمین می‌کنند.

۶. ما به نظارت بر تحولات در قانون و رویه نظارت آمریکا و همچنین تحولات در قانون حریم خصوصی کانادا (از جمله پیشنهاد قانون حفاظت از حریم خصوصی مصرف‌کننده) ادامه خواهیم داد و اگر شرایط به طور قابل توجهی تغییر کند این TIA را مجدداً ارزیابی خواهیم کرد.

انتقال‌ها ممکن است با اعمال مستمر SCC‌ها و اقدامات تکمیلی توصیف‌شده در اینجا ادامه یابند.

۹. برنامه بازبینی

این TIA بازبینی و به‌روزرسانی خواهد شد:

  • سالانه، حداقل، یا
  • در صورت تغییرات اساسی در قوانین یا مقررات قابل اجرا (از جمله تغییرات در FISA، قانون CLOUD، EO 14086، PIPEDA یا قانون‌گذاری حریم خصوصی استانی کانادا)،
  • در صورت تغییر در پردازنده‌های فرعی ما یا ماهیت داده‌های منتقل‌شده،
  • در صورت هر حکم دادگاهی که به طور اساسی بر اعتبار SCC‌ها یا کفایت حفاظت از داده آمریکا تأثیر بگذارد.

۱۰. تماس با ما

اگر سؤالی درباره این ارزیابی تأثیر انتقال دارید، لطفاً با ما تماس بگیرید:

Acira AI LLC
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
United States

تلفن: 888-389-1189
ایمیل: legal@acira.ai

حریم خصوصی شما، اولویت ما

ما داده‌های شما را نمی‌فروشیم، از کوکی‌های ردیابی استفاده نمی‌کنیم — به همین دلیل بنر کوکی اینجا نمی‌بینید. ما Global Privacy Control را رعایت می‌کنیم و برای مشتریان اتحادیه اروپا، داده‌های بازدیدکنندگان منحصراً در اتحادیه اروپا ذخیره و پردازش می‌شود.

ببینید چگونه از داده‌های شما محافظت می‌کنیم
GDPR Art 27 representationUK-GDPR Art 27 representationDSA representation
Acira AI

با هوش مصنوعی وب‌سایت‌های زیبا بسازید. بدون نیاز به کدنویسی.

با افتخار در ایالات متحده ساخته شده است

شرکت
قیمت‌گذاریویژگی‌هادرباره مامقایسهاعتماد و حریم خصوصی
حقوقی
سیاست حفظ حریم خصوصیشرایط و ضوابطاستفاده قابل قبولپردازش دادهتأثیر انتقال
پردازش دادهتأثیر انتقال

© 2026 Acira AI LLC. تمامی حقوق محفوظ است.