ટ્રાન્સફર ઇમ્પેક્ટ એસેસમેન્ટ
છેલ્લે અપડેટ કર્યું: માર્ચ 19, 2026
આ ટ્રાન્સફર ઇમ્પેક્ટ એસેસમેન્ટ ("TIA") Acira AI LLC ("Acira AI," "અમે," "અમને," "અમારો") દ્વારા યુરોપિયન યુનિયનના ન્યાયાલયના Data Protection Commissioner v. Facebook Ireland Limited and Maximillian Schrems (Case C-311/18, "Schrems II") નિર્ણયની આવશ્યકતાઓ તથા યુરોપિયન ડેટા પ્રોટેક્શન બોર્ડની ભલામણો (EDPB Recommendations 01/2020 on supplementary measures) અનુસાર તૈયાર કરવામાં આવ્યું છે.
આ TIA અમારી સેવાઓના પ્રદાન સાથે સંબંધિત રીતે યુરોપિયન આર્થિક વિસ્તાર ("EEA"), યુનાઇટેડ કિંગડમ ("UK"), સ્વિટ્ઝર્લૅન્ડ અને કેનેડાથી યુનાઇટેડ સ્ટેટ્સ અને અન્ય ત્રીજા દેશોમાં ટ્રાન્સફર થતી વ્યક્તિગત માહિતી માટે ઉપલબ્ધ સુરક્ષા પૂરતી છે કે નહીં તેનું મૂલ્યાંકન કરે છે.
આ TIA તમારી સગવડ માટે અન્ય ભાષાઓમાં અનુવાદિત થઈ શકે છે. અંગ્રેજી સંસ્કરણ અને કોઈપણ અનુવાદિત સંસ્કરણ વચ્ચે કોઈ વિરોધાભાસ અથવા અસંગતતા હોય, તો અંગ્રેજી સંસ્કરણ પ્રવર્તશે.
સામગ્રી કોષ્ટક
- ટ્રાન્સફરોની સમીક્ષા
- ટ્રાન્સફર થતી માહિતીનું સ્વરૂપ
- ટ્રાન્સફર મિકેનિઝમ્સ
- ગંતવ્ય દેશોના કાયદાઓનું મૂલ્યાંકન
- સેવા પ્રદાતા મુજબ ડેટા પ્રવાહોનું મૂલ્યાંકન
- પૂરક સુરક્ષા પગલાં
- જોખમ મૂલ્યાંકન
- નિષ્કર્ષ
- સમીક્ષા સમયપત્રક
- અમારી સાથે સંપર્ક કરો
1. ટ્રાન્સફરોની સમીક્ષા
1.1 પરિપ્રેક્ષ્ય
Acira AI એક software-as-a-service પ્લેટફોર્મ છે, જે વ્યવસાયો અને વ્યક્તિઓને AI આધારિત વેબસાઇટ્સ બનાવવા, સંચાલિત કરવા અને હોસ્ટ કરવાની સગવડ આપે છે. જ્યારે વપરાશકર્તાઓ એવી વેબસાઇટ્સ બનાવે છે જેને EEA, UK, સ્વિટ્ઝર્લૅન્ડ અથવા કેનેડામાં આવેલા મુલાકાતીઓ ઍક્સેસ કરે છે, ત્યારે એ મુલાકાતીઓની વ્યક્તિગત માહિતી યુનાઇટેડ સ્ટેટ્સ અને અમારા ઇન્ફ્રાસ્ટ્રક્ચર પ્રદાતાઓ કાર્યરત હોય તેવી અન્ય જગ્યાઓ પર ટ્રાન્સફર અને પ્રોસેસ થઈ શકે છે.
1.2 પક્ષકારો
- ડેટા નિકાસકર્તા: વેબસાઇટ ઓપરેટર (અમારો ગ્રાહક, નિયંત્રક તરીકે કાર્યરત) અને એનાલિટિક્સ ડેટા માટે Acira AI, સંયુક્ત નિયંત્રક તરીકે.
- ડેટા આયાતકર્તા: Acira AI LLC, નેવાડા, યુનાઇટેડ સ્ટેટ્સમાં સ્થાપિત, પ્રોસેસર તરીકે કાર્યરત (અને એનાલિટિક્સ માટે સંયુક્ત નિયંત્રક તરીકે).
- સબ-પ્રોસેસર્સ: Acira AI દ્વારા જોડાયેલા તૃતીય પક્ષના સેવા પ્રદાતાઓ (વિભાગ 5માં સૂચિબદ્ધ).
1.3 ટ્રાન્સફરના ગંતવ્ય
| ગંતવ્ય | પ્રદાતાઓ | આધાર |
|---|---|---|
| યુનાઇટેડ સ્ટેટ્સ અને યુરોપિયન યુનિયન (સ્ટોકહોમ) | AWS | SCCs + પૂરક પગલાં (US); EU નિવાસી ઓટોમેટેડ મુલાકાતી-લક્ષી કામગીરી માટે EEA-આંતરિક |
| યુનાઇટેડ સ્ટેટ્સ | Stripe, Fireworks AI, xAI | SCCs + પૂરક પગલાં |
| વૈશ્વિક (એજ સ્થાનોએ) | Cloudflare | SCCs + પૂરક સુરક્ષા પગલાં |
| ઇઝરાયેલ | BrightData (માત્ર વપરાશકર્તા-દિશાનિર્દેશિત) | SCCs + પૂરક સુરક્ષા પગલાં |
| યુરોપિયન યુનિયન | Black Forest Labs, ScreenshotOne, CloudConvert | EEAની અંદર (ટ્રાન્સફર મિકેનિઝમ જરૂરી નથી) |
2. ટ્રાન્સફર થતી માહિતીનું સ્વરૂપ
2.1 વ્યક્તિગત માહિતીની કેટેગરીઝ
ટ્રાન્સફર થતી વ્યક્તિગત માહિતી વેબસાઇટ ઓપરેટર દ્વારા સક્ષમ કરાયેલ સુવિધાઓ અને વેબસાઇટ મુલાકાતીઓની ક્રિયાપ્રતિક્રિયાઓ પર આધાર રાખે છે. નીચેની કેટેગરીઝ ટ્રાન્સફર થઈ શકે છે:
| ડેટા કેટેગરી | વર્ણન | સંવેદનશીલતા | વોલ્યુમ |
|---|---|---|---|
| એનલિટિક્સ ઓળખચિહ્નો | IP + User-Agent + તારીખનો દૈનિક-પરિવર્તિત ક્રિપ્ટોગ્રાફિક હૅશ (pseudonymized) | ઓછી | ઊંચી (દરેક પેજ વ્યૂ) |
| મુલાકાતી મેટાડેટા | દેશ, પ્રદેશ, ભાષા, ડિવાઇસ પ્રકાર, બ્રાઉઝર, OS, રેફરર ડોમેન, UTM પેરામીટર્સ | ઓછી | ઊંચી (દરેક પેજ વ્યૂ) |
| IP સરનામાંઓ | ફોર્મ સબમિશન અને ચેટબોટ વાતચીત સાથે મેટાડેટા તરીકે સંગ્રહિત; એનાલિટિક્સ માટે હૅશ થયેલ; બોટ ચેલેન્જ ચકાસણી માટે તાત્કાલિક ઉપયોગમાં લેવાતાં; રેટ લિમિટિંગ માટે તાત્કાલિક સંગ્રહિત (મહત્તમ 7 દિવસ) | મધ્યમ | મધ્યમ |
| ફોર્મ સબમિશન સામગ્રી | મુલાકાતીઓ દ્વારા સબમિટ કરાયેલ મુક્ત-લેખિત ફીલ્ડ્સ (નામ, ઇમેઇલ, સંદેશા વગેરે) | ચલ (ફોર્મ પર આધારિત) | ઓછીથી મધ્યમ |
| ચેટબોટ સંદેશાઓ | મુલાકાતી સંદેશાઓ અને AI દ્વારા જનરેટ કરાયેલા પ્રતિભાવો (દરેક સંદેશા દીઠ મહત્તમ 2,000 અક્ષરો) | ઓછીથી મધ્યમ | ઓછી |
| ફાઇલ અપલોડ્સ | વેબસાઇટ ફોર્મ્સ દ્વારા મુલાકાતીઓ દ્વારા અપલોડ કરાયેલ ફાઇલો (છબીઓ, દસ્તાવેજો) | ચલ | ઓછી |
| સેશન ઓળખચિહ્નો | સર્વર-સાઇડ સેશન IDs અને ક્લાયન્ટ-સાઇડ સેશન કુકીઝ | ઓછી | ઊંચી |
| પ્રમાણીકરણ ઓળખપત્રો | વેબસાઇટના સુરક્ષિત ક્ષેત્રો માટેના પાસવર્ડ્સ (માત્ર હૅશ સ્વરૂપમાં સંગ્રહિત) | ઊંચી (પરંતુ હૅશ થયેલ) | ઓછી |
2.2 ડેટા વિષયોની કેટેગરીઝ
- Acira AI પ્લેટફોર્મ પર હોસ્ટ કરાયેલી વેબસાઇટોના મુલાકાતીઓ
- પ્લેટફોર્મ પર હોસ્ટ થયેલી વેબસાઇટ્સ પર એકાઉન્ટ બનાવતા વપરાશકર્તાઓ
- હોસ્ટ કરાયેલી વેબસાઇટ્સ પર ફોર્મ સબમિટ કરનાર, ચેટબોટ સાથે ક્રિયાપ્રતિક્રિયા કરનાર, અથવા ફાઇલ અપલોડ કરનાર વપરાશકર્તાઓ
2.3 ટ્રાન્સફર ન થતી માહિતી
- ભૂ-સ્થાન માહિતી: IP-થી-સ્થાન લુકઅપ્સ અમારા ઇન્ફ્રાસ્ટ્રક્ચર પ્રદાતા દ્વારા નેટવર્ક એજ પર કરવામાં આવે છે. કોઈપણ મુલાકાતી IP સરનામાંઓ કોઈ બાહ્ય ભૂ-સ્થાન સેવાએ મોકલવામાં આવતા નથી.
- રૉ એનાલિટિક્સ IP સરનામાંઓ: માત્ર દૈનિક-પરિવર્તિત ક્રિપ્ટોગ્રાફિક હૅશ સંગ્રહિત થાય છે; રૉ IPs એનાલિટિક્સ સિસ્ટમ્સમાં કાયમી સંગ્રહિત થતા નથી.
- સાદા-લેખિત પાસવર્ડ્સ: માત્ર ક્રિપ્ટોગ્રાફિક હૅશિસ સંગ્રહિત અને ટ્રાન્સફર થાય છે.
3. ટ્રાન્સફર મિકેનિઝમ્સ
3.1 મુખ્ય મિકેનિઝમ: સ્ટાન્ડર્ડ કોન્ટ્રાક્ચુઅલ કલોઝિસ
અમે યુરોપિયન કમિશન દ્વારા Commission Implementing Decision (EU) 2021/914 હેઠળ અપનાવવામાં આવેલા Standard Contractual Clauses (SCCs) પર આધાર રાખીએ છીએ, ખાસ કરીને:
- મોડ્યુલ એક (નિયંત્રકથી નિયંત્રક): જ્યાં Acira AI વેબસાઇટ ઓપરેટર સાથે સંયુક્ત નિયંત્રક તરીકે કાર્ય કરે છે તેવા એનાલિટિક્સ ડેટાના ટ્રાન્સફર માટે (DPA વિભાગ 2.3 જુઓ).
- મોડ્યુલ બે (નિયંત્રકથી પ્રોસેસર): વેબસાઇટ ઓપરેટર (નિયંત્રક) પાસેથી Acira AI (પ્રોસેસર) તરફ મુલાકાતીઓની વ્યક્તિગત માહિતીના ટ્રાન્સફર માટે.
- મોડ્યુલ ત્રણ (પ્રોસેસરથી સબ-પ્રોસેસર): Acira AI તરફથી અમારા સબ-પ્રોસેસર્સને આગળના ટ્રાન્સફરો માટે.
3.2 UK, સ્વિસ અને કેનેડિયન ટ્રાન્સફરો
- UK: EU SCCs માટેનો UK International Data Transfer Addendum લાગુ પડે છે.
- સ્વિટ્ઝર્લૅન્ડ: Swiss Federal Act on Data Protection (FADP) દ્વારા જરૂરી ફેરફારો સાથે SCCs લાગુ પડે છે.
- કેનેડા: ટ્રાન્સફરો માટે પ્રત્યેક સબ-પ્રોસેસર સાથે કરાર આધારિત સુરક્ષા અપનાવવામાં આવી છે, જે Personal Information Protection and Electronic Documents Act (PIPEDA) તથા લાગુ પડતા પ્રાંતીય ગોપનીયતા કાયદાઓ સાથે સુસંગત બાધ્યતાઓ લાદે છે, અને સાથે જ વિભાગ 6માં વર્ણવાયેલા પૂરક ટેકનિકલ અને સંગઠનાત્મક પગલાં લાગુ પડે છે. વિગતો માટે DPA વિભાગ 7.4 જુઓ.
3.3 સબ-પ્રોસેસર ટ્રાન્સફર મિકેનિઝમ્સ
| સબ-પ્રોસેસર | ટ્રાન્સફર મિકેનિઝમ |
|---|---|
| Amazon Web Services | SCCs (AWS DPA), ISO 27001/27017/27018 પ્રમાણિત |
| Cloudflare | SCCs (Cloudflare DPA), ISO 27001 પ્રમાણિત |
| Stripe | SCCs (Stripe DPA), PCI DSS Level 1 પ્રમાણિત |
| Fireworks AI | SCCs (Fireworks AI DPA), SOC 2 Type II, ISO 27001/27701/42001 પ્રમાણિત |
| xAI | SCCs (xAI DPA with EU SCCs) |
| BrightData | SCCs (BrightData DPA) |
4. ગંતવ્ય દેશોના કાયદાઓનું મૂલ્યાંકન
4.1 યુનાઇટેડ સ્ટેટ્સ
યુનાઇટેડ સ્ટેટ્સ ટ્રાન્સફર થતી માહિતીનું મુખ્ય ગંતવ્ય છે. આ મૂલ્યાંકન માટે નીચેના અમેરિકન કાયદાઓ સંબંધિત છે:
4.1.1 Foreign Intelligence Surveillance Act (FISA), Section 702
FISA Section 702 અમેરિકી સરકારે વિદેશી ગુપ્તચર હેતુઓ માટે યુનાઇટેડ સ્ટેટ્સ બહાર સ્થિત બિન-અમેરિકન વ્યક્તિઓની સંચાર માહિતી સુધી ઍક્સેસ આપવા માટે electronic communications service providers ને બાધ્ય કરવાની સત્તા આપે છે.
જોખમનું મૂલ્યાંકન:
- લાગુ પડતાપણું: FISA Section 702 50 U.S.C. § 1881(b)(4)માં વ્યાખ્યાયિત "electronic communication service providers" પર લાગુ પડે છે. Acira AI એક SaaS વેબસાઇટ હોસ્ટિંગ પ્લેટફોર્મ છે, પરંપરાગત ટેલિકોમ્યુનિકેશન પ્રદાતા નથી. અમારા સબ-પ્રોસેસર્સ (AWS, Cloudflare) પર Section 702ના નિર્દેશો લાગુ પડવાની શક્યતા વધુ છે.
- જોખમ હેઠળનું ડેટા ક્ષેત્ર: અમે જે વ્યક્તિગત માહિતી પ્રોસેસ કરીએ છીએ તે મુખ્યત્વે વેબસાઇટ મુલાકાતી એનાલિટિક્સ (pseudonymized), ફોર્મ સબમિશન્સ અને ચેટબોટ સંદેશાઓથી બનેલી છે. આ માહિતી વિદેશી ગુપ્તચર રસ માટે સંભવતઃ મહત્વપૂર્ણ નથી.
- વ્યવહારુ સંભાવના: અમને ક્યારેય FISA Section 702નો કોઈ નિર્દેશ મળ્યો નથી, અને અમારી સેવાઓ તથા અમે પ્રોસેસ કરતા ડેટાના સ્વરૂપને ધ્યાનમાં લેતાં આવો નિર્દેશ મળવાની વ્યવહારુ સંભાવના અત્યંત ઓછી છે.
4.1.2 Executive Order 12333
EO 12333 અમેરિકન ગુપ્તચર એજન્સીઓને દેખરેખ પ્રવૃત્તિઓ ચલાવવાની સત્તા આપે છે, જેમાં signals intelligence નું વ્યાપક સંગ્રહ પણ સામેલ છે. તે ટ્રાન્સિટમાં રહેલા ડેટા પર લાગુ પડે છે અને ખાનગી કંપનીઓને સહકાર માટે બાધ્ય કરતું નથી.
જોખમનું મૂલ્યાંકન:
- જોખમ ઘટાડવું: ટ્રાન્સિટમાં રહેલું તમામ ડેટા TLS નો ઉપયોગ કરીને એનક્રિપ્ટ થાય છે. ટ્રાન્સિટમાં એનક્રિપ્ટ થયેલ ડેટાનું વ્યાપક અવરોધન કરવામાં આવે તો પણ સાદા-લેખિત વ્યક્તિગત માહિતી પ્રાપ્ત થતી નથી.
- વ્યવહારુ સંભાવના: ઓછી. અમારી સેવાઓ મારફતે પ્રોસેસ થતું ડેટા signals intelligence દ્વારા સામાન્ય રીતે નિશાન બનાવાતી પ્રકારનું નથી.
4.1.3 Executive Order 14086 અને EU-US Data Privacy Framework
Executive Order 14086 (October 2022) એ signals intelligence પ્રવૃત્તિઓ માટે વધારાની સુરક્ષા વ્યવસ્થાઓ રજૂ કરી, જેમાં સામેલ છે:
- ગુપ્તચર સંગ્રહ માટે આવશ્યકતા અને સમપ્રમાણિકતા સંબંધિત આવશ્યકતાઓ
- EU/UK/Swiss વ્યક્તિઓ માટે ઉપલબ્ધ બે-સ્તરીય ન્યાયપ્રાપ્તિ મિકેનિઝમ (Civil Liberties Protection Officer + Data Protection Review Court)
- વ્યાપક સંગ્રહ પર મર્યાદાઓ
યુરોપિયન કમિશને July 10, 2023ના રોજ EU-US Data Privacy Framework (DPF) માટે adequacy decision અપનાવ્યો. Acira AI હાલમાં DPF હેઠળ self-certified નથી, છતાં EO 14086 હેઠળની સુરક્ષાઓ વ્યાપક રીતે યુનાઇટેડ સ્ટેટ્સમાં થતા તમામ ડેટા ટ્રાન્સફરો પર લાગુ પડે છે અને ઉપયોગમાં લેવાયેલા ટ્રાન્સફર મિકેનિઝમથી પરવા કર્યા વિના બધા ડેટા વિષયોને લાભ આપે છે.
4.1.4 CLOUD Act
Clarifying Lawful Overseas Use of Data (CLOUD) Act માન્ય વૉરન્ટ અથવા અદાલતી આદેશના આધારે, ડેટા જ્યાં સંગ્રહિત હોય તેની પરવા કર્યા વિના, અમેરિકન કાયદો અમલ એજન્સીઓને અમેરિકન આધારિત પ્રદાતાઓ પાસેથી ડેટા પ્રદાન કરવાની માંગ કરવાની પરવાનગી આપે છે.
જોખમનું મૂલ્યાંકન:
- સુરક્ષા વ્યવસ્થાઓ: CLOUD Act માટે માન્ય કાનૂની પ્રક્રિયા (વૉરન્ટ, સમન્સ અથવા અદાલતી આદેશ) જરૂરી છે. તે વૉરન્ટ વિના વ્યાપક ઍક્સેસની મંજૂરી આપતું નથી.
- Comity જોગવાઈઓ: CLOUD Actમાં એવો comity framework છે, જે પ્રદાતાઓને વિદેશી કાયદા સાથે ટકરાતા આદેશોને પડકારવાની મંજૂરી આપે છે.
- વ્યવહારુ સંભાવના: વેબસાઇટ મુલાકાતી ડેટા માટે ઓછી. કાયદો અમલ એજન્સીઓની વિનંતીઓ વધુ શક્યતા મુજબ ફોજદારી પ્રવૃત્તિમાં સંકળાયેલા શંકાસ્પદ ચોક્કસ એકાઉન્ટોને નિશાન બનાવશે, મુલાકાતી એનાલિટિક્સ અથવા ફોર્મ સબમિશન્સને નહીં.
4.2 ઇઝરાયેલ (BrightData)
BrightData ઇઝરાયેલમાં સ્થિત છે. ઇઝરાયેલ માટે યુરોપિયન કમિશનનું adequacy decision (2011/61/EU) ઉપલબ્ધ છે, એટલે ઇઝરાયેલ તરફના ટ્રાન્સફરોને EEAની અંદરના ટ્રાન્સફર જેવી જ રીતે જોવામાં આવે છે. તેમ છતાં, BrightData અન્ય વૈશ્વિક સ્થળોએ પણ ડેટા પ્રોસેસ કરે છે. અમે નોંધીએ છીએ કે:
- BrightData પ્રોસેસિંગ માત્ર વપરાશકર્તા-દિશાનિર્દેશિત પરિસ્થિતિઓમાં (વેબસાઇટ રચના દરમિયાન કન્ટેન્ટ ઇમ્પોર્ટ માટે) અથવા સુનિશ્ચિત SERP ટ્રેકિંગ દરમિયાન થાય છે.
- કોઈપણ વેબસાઇટ મુલાકાતીની વ્યક્તિગત માહિતી BrightDataને મોકલવામાં આવતી નથી.
4.3 કેનેડા (કેનેડાથી યુનાઇટેડ સ્ટેટ્સ તરફના ટ્રાન્સફરો)
કેનેડામાં સ્થિત વેબસાઇટ મુલાકાતીઓની વ્યક્તિગત માહિતી પ્રોસેસિંગ માટે યુનાઇટેડ સ્ટેટ્સમાં ટ્રાન્સફર થઈ શકે છે. આ મૂલ્યાંકન માટે નીચેના કેનેડિયન કાયદાઓ સંબંધિત છે:
4.3.1 Personal Information Protection and Electronic Documents Act (PIPEDA)
PIPEDA વ્યાવસાયિક પ્રવૃત્તિઓના સંદર્ભમાં ખાનગી ક્ષેત્રની સંસ્થાઓ દ્વારા વ્યક્તિગત માહિતીનું સંગ્રહ, ઉપયોગ અને જાહેર કરવાનું નિયંત્રિત કરે છે. PIPEDA Principle 4.1.3 અનુસાર, જ્યારે વ્યક્તિગત માહિતી પ્રોસેસિંગ માટે તૃતીય પક્ષોને ટ્રાન્સફર થાય, જેમાં કેનેડાની બહારના ટ્રાન્સફરો પણ સામેલ છે, ત્યારે સંસ્થાઓએ કરાર અથવા અન્ય માધ્યમો દ્વારા તુલનાત્મક સ્તરની સુરક્ષા સુનિશ્ચિત કરવી જરૂરી છે.
જોખમનું મૂલ્યાંકન:
- તુલનાત્મક સુરક્ષા: વિભાગ 6માં વર્ણવાયેલા પૂરક પગલાં (એનક્રિપ્શન, pseudonymization, access controls, data minimization) PIPEDA હેઠળ જરૂરી સુરક્ષા સમકક્ષ સ્તર પૂરી પાડે છે. બધા સબ-પ્રોસેસર્સ સાથે લખિત data processing agreements અમલમાં છે.
- Adequacy આવશ્યકતા નથી: GDPRથી વિપરીત, PIPEDA એવો પ્રતિબંધ મૂકતું નથી કે ટ્રાન્સફર ફક્ત "adequacy" નિષ્કર્ષ ધરાવતા દેશોમાં જ થઈ શકે. સંસ્થાઓએ કરાર અને અન્ય ઉપાયો દ્વારા તુલનાત્મક સુરક્ષા સુનિશ્ચિત કરવી પડે છે, જે અમે અમલમાં મૂકી છે.
4.3.2 પ્રાંતીય ગોપનીયતા કાયદાકીય માળખું
Alberta નો Personal Information Protection Act (PIPA), British Columbia નો Personal Information Protection Act (PIPA), અને Quebec નો Act respecting the protection of personal information in the private sector ચોક્કસ પ્રાંતો માટે વધારાની આવશ્યકતાઓ લાદે છે:
જોખમનું મૂલ્યાંકન:
- Quebec Law 25: Quebec નો આધુનિક ગોપનીયતા કાયદો (September 2023થી અમલમાં) Quebecની બહાર વ્યક્તિગત માહિતી ટ્રાન્સફર કરતા પહેલાં privacy impact assessment જરૂરી બનાવે છે, અને ટ્રાન્સફર કરતી સંસ્થાએ સંતોષ માનવો જોઈએ કે માહિતી માટે પૂરતી સુરક્ષા મળશે. અમારી કરાર આધારિત સુરક્ષા, પૂરક ટેકનિકલ પગલાં અને ડેટાનું સ્વરૂપ (મુખ્યત્વે pseudonymized analytics તથા નાના વ્યવસાયોની વેબસાઇટ ક્રિયાપ્રતિક્રિયાઓ) પૂરતી સુરક્ષાનો નિષ્કર્ષ સમર્થિત કરે છે.
- Alberta અને BC: Alberta અને BCના PIPA કાયદાઓ ટ્રાન્સફર થયેલા ડેટા માટે સંસ્થાઓને તુલનાત્મક સુરક્ષા સુનિશ્ચિત કરવાની માંગ કરે છે. અમારી કરાર આધારિત અને ટેકનિકલ સુરક્ષા વ્યવસ્થાઓ આ આવશ્યકતાને પૂર્ણ કરે છે.
4.3.3 કેનેડિયન દૃષ્ટિકોણથી અમેરિકી સરકારી ઍક્સેસ
વિભાગ 4.1માં મૂલ્યાંકિત સમાન અમેરિકન સરકારી ઍક્સેસ જોખમો કેનેડિયન ડેટા ટ્રાન્સફરો પર પણ લાગુ પડે છે. સરકારી ઍક્સેસની ઓછી સંભાવના (ડેટાના સ્વરૂપ અને અમારી કંપનીના પ્રોફાઇલને ધ્યાનમાં લેતાં), તેમજ વિભાગ 6માં વર્ણવાયેલા પૂરક પગલાં, સાથે મળી એ સુનિશ્ચિત કરે છે કે કેનેડાથી યુનાઇટેડ સ્ટેટ્સમાં ટ્રાન્સફર થતી વ્યક્તિગત માહિતી કેનેડિયન ગોપનીયતા કાયદા હેઠળ જરૂરી તુલનાત્મક સ્તરની સુરક્ષા પ્રાપ્ત કરે છે.
4.4 વૈશ્વિક એજ સ્થાનો (Cloudflare)
Cloudflare વૈશ્વિક એજ સ્થાનોનું નેટવર્ક સંચાલિત કરે છે. EU મુલાકાતીઓની વિનંતીઓ સામાન્ય રીતે સૌથી નજીકના Cloudflare point of presence પર પ્રોસેસ થાય છે, જે EU મુલાકાતીઓ માટે સામાન્ય રીતે EUની અંદરનું સ્થાન હશે.
- વિનંતી રાઉટિંગ, TLS termination અને બોટ સુરક્ષા સૌથી નજીકના એજ સ્થાને થાય છે.
- EU નિવાસી તરીકે ઓળખાયેલા વેબસાઇટ ઓપરેટરો માટે, કાયમી સંગ્રહ (જેમાં ફોર્મ સબમિશન, ચેટબોટ વાતચીત અને સેશન ડેટા સામેલ છે) Cloudflareની jurisdiction API નો ઉપયોગ કરીને ન્યાયક્ષેત્રીય રીતે યુરોપિયન યુનિયન સુધી મર્યાદિત રાખવામાં આવે છે. ગેર-EU વેબસાઇટ ઓપરેટરો માટે, કાયમી સંગ્રહ ઓપરેટરના ભૌગોલિક વિસ્તાર નજીક સ્થિત હોય છે, પરંતુ EUની બહાર પણ હોઈ શકે છે.
- એનાલિટિક્સ ડેટા Cloudflare દ્વારા સંચાલિત ઇન્ફ્રાસ્ટ્રક્ચર પર પ્રોસેસ થાય છે.
5. સેવા પ્રદાતા મુજબ ડેટા પ્રવાહોનું મૂલ્યાંકન
5.1 Amazon Web Services (US)
| ડેટા પ્રવાહ | સામેલ વ્યક્તિગત માહિતી | હેતુ |
|---|---|---|
| ડેટાબેઝ સંગ્રહ | ફોર્મ સબમિશન મેટાડેટા (IP, દેશ, પ્રદેશ), ચેટબોટ વાર્તાલાપ રેકોર્ડ્સ, ફાઇલ મેટાડેટા, સેશન રેકોર્ડ્સ | વેબસાઇટ મુલાકાતી ડેટાનો કાયમી સંગ્રહ |
| ફાઇલ સંગ્રહ | અપલોડ કરાયેલી ફાઇલો (છબીઓ, દસ્તાવેજો), deployment snapshots | ફાઇલ સંગ્રહ |
| AI inference | ફાઇલ સામગ્રી (AI વર્ણનો માટે), ઇમેઇલ સામગ્રી (સ્પામ શોધ માટે) | AI આધારિત વર્ણનો અને સ્પામ વર્ગીકરણ |
| સામગ્રી moderation | અપલોડ કરાયેલી છબીઓ | સામગ્રી moderation (નગ્નતા/અશ્લીલ સામગ્રી શોધ) |
| ઈમેલ ડિલિવરી | ઈમેલ સરનામાં, સંદેશ સામગ્રી | ટ્રાન્ઝેક્શનલ ઈમેલ ડિલિવરી અને કન્ટેન્ટ સબમિશન સૂચનાઓ. EU નિવાસી વેબસાઇટ ઓપરેટરો માટે, આ કામગીરીઓ યુરોપિયન યુનિયન (સ્ટોકહોમ)માં પ્રક્રિયા થાય છે. |
| ભાષા શોધ | ઇમેઇલ સંદેશા લખાણ | ભાષા શોધ |
AWS સુરક્ષા વ્યવસ્થાઓ:
- ISO 27001, 27017, 27018 પ્રમાણિત
- SOC 1/2/3 અહેવાલો ઉપલબ્ધ
- ઉદ્યોગ ધોરણ મુજબની એનક્રિપ્શન દ્વારા સ્થિર અવસ્થામાં ડેટા એનક્રિપ્ટ થયેલ
- ટ્રાન્સિટમાં ડેટા એનક્રિપ્ટ થયેલ (TLS)
- દરેક સિસ્ટમ ઘટક માટે least-privilege access controls
- મુખ્ય સેવાઓ યુનાઇટેડ સ્ટેટ્સમાં હોસ્ટ છે; EU નિવાસી વેબસાઇટ ઓપરેટરો માટે ઓટોમેટેડ મુલાકાતી-લક્ષી કામગીરીઓ (કન્ટેન્ટ સબમિશન સૂચનાઓ અને ટ્રાન્ઝેક્શનલ ઈમેલ ડિલિવરી) યુરોપિયન યુનિયન (સ્ટોકહોમ)માં પ્રક્રિયા થાય છે
5.2 Cloudflare (વૈશ્વિક)
| ડેટા પ્રવાહ | સામેલ વ્યક્તિગત માહિતી | હેતુ |
|---|---|---|
| એજ રાઉટિંગ | IP સરનામાંઓ, HTTP headers, request URLs | વિનંતી રાઉટિંગ, DDoS સુરક્ષા, TLS termination |
| વેબસાઇટ હોસ્ટિંગ | પેજ સામગ્રી, મુલાકાતી મેટાડેટા | વેબસાઇટ હોસ્ટિંગ અને ડિલિવરી |
| કાયમી સંગ્રહ | ફોર્મ સબમિશન્સ, ચેટબોટ વાતચીત, સેશન ડેટા, user table data | stateful per-website storage |
| એનાલિટિક્સ | pseudonymized visitor hash, દેશ, ડિવાઇસ, બ્રાઉઝર, રેફરર, UTM | ગોપનીયતા-મૈત્રીપૂર્ણ મુલાકાતી એનાલિટિક્સ |
| AI inference | ચેટબોટ સંદેશાઓ, form field summaries | AI ચેટબોટ પ્રતિભાવો, સ્પામ શોધ |
| asset storage | વેબસાઇટ assets (છબીઓ, ફાઇલો) | static asset storage અને CDN ડિલિવરી |
Cloudflare સુરક્ષા વ્યવસ્થાઓ:
- ISO 27001 પ્રમાણિત, SOC 2 Type II
- તમામ કનેક્શન્સ માટે TLS 1.2+
- SCCs સાથે Cloudflare DPA ઉપલબ્ધ
- એજ પ્રોસેસિંગનો અર્થ એ છે કે EU મુલાકાતી ડેટા વિનંતી સંભાળ માટે સામાન્ય રીતે EU એજ સ્થાનો પર જ પ્રોસેસ થાય છે
- EU નિવાસી તરીકે ઓળખાયેલ વેબસાઇટ ઓપરેટરો માટે, કાયમી સ્ટોરેજ (ફોર્મ સબમિશન, ચેટબોટ વાતચીત, સેશન ડેટા અને વપરાશકર્તા ટેબલ ડેટા ધરાવતું) Cloudflare ના જ્યુરિસ્ડિક્શન API નો ઉપયોગ કરીને યુરોપિયન યુનિયનમાં ન્યાયિક રીતે પ્રતિબંધિત છે, જે સુનિશ્ચિત કરે છે કે આ ડેટા ફક્ત EU ડેટા સેન્ટરોમાં સ્ટોર અને પ્રક્રિયા થાય છે. એજ તરફથી બેકએન્ડ API કૉલ્સ (કન્ટેન્ટ સબમિશન સૂચનાઓ અને ટ્રાન્ઝેક્શનલ ઈમેલ ડિલિવરી માટે) EU-આધારિત AWS ઇન્ફ્રાસ્ટ્રક્ચર પર રૂટ થાય છે.
- AI inference તાલીમ માટે input data જાળવી રાખતું નથી
5.3 Stripe (US)
| ડેટા પ્રવાહ | સામેલ વ્યક્તિગત માહિતી | હેતુ |
|---|---|---|
| ચુકવણી પ્રોસેસિંગ | વેબસાઇટ ઓપરેટરની billing માહિતી (નામ, ઇમેઇલ, ચુકવણી પદ્ધતિ) | subscription અને domain ચુકવણી પ્રોસેસિંગ |
નોંધ: Stripe ને વેબસાઇટ મુલાકાતીઓની વ્યક્તિગત માહિતી મળતી નથી. Stripe ફક્ત વેબસાઇટ ઓપરેટર (અમારા ગ્રાહક) ની billing માહિતી પ્રોસેસ કરે છે.
Stripe સુરક્ષા વ્યવસ્થાઓ:
- PCI DSS Level 1 પ્રમાણિત
- ISO 27001 પ્રમાણિત
- SCCs સાથે Stripe DPA ઉપલબ્ધ
5.4 AI inference પ્રદાતાઓ (US)
Fireworks AI અને xAI AI model inference સેવાઓ પ્રદાન કરે છે.
| ડેટા પ્રવાહ | સામેલ વ્યક્તિગત માહિતી | હેતુ |
|---|---|---|
| ટેક્સ્ટ જનરેશન (વેબસાઇટ સામગ્રી) | વેબસાઇટ સામગ્રી (મુલાકાતી ડેટા નથી) | વેબસાઇટ સામગ્રી રચના અને સંપાદન |
| છબી જનરેશન | ટેક્સ્ટ prompts (મુલાકાતી ડેટા નથી) | વેબસાઇટો માટે છબી રચના |
| conversational AI (ચેટ એજન્ટ) | પ્લેટફોર્મ વપરાશકર્તાનું નામ, ઇમેઇલ, ભાષા પસંદગી અને વાતચીત ઇતિહાસ | પ્લેટફોર્મ વપરાશકર્તાઓ (વેબસાઇટ ઓપરેટરો) માટે AI આધારિત સહાયક |
નોંધ: આ AI પ્રદાતાઓને વેબસાઇટ મુલાકાતીઓની વ્યક્તિગત માહિતી મળતી નથી. વેબસાઇટ મુલાકાતીઓને સેવા આપતી ચેટબોટ સુવિધા Cloudflare Workers AI નો ઉપયોગ કરે છે (જેનું મૂલ્યાંકન વિભાગ 5.2માં થયું છે), આ પ્રદાતાઓનો નહીં. પરંતુ વેબસાઇટ ઓપરેટરો દ્વારા પોતાની વેબસાઇટ સંચાલિત કરવા માટે ઉપયોગમાં લેવાતો પ્લેટફોર્મનો conversational AI assistant પ્રતિભાવો જનરેટ કરતી વખતે આ પ્રદાતાઓને પ્લેટફોર્મ વપરાશકર્તાની વ્યક્તિગત માહિતી (નામ, ઇમેઇલ સરનામું અને વાતચીત ઇતિહાસ) મોકલે છે. આ પ્રોસેસિંગ માટે Acira AI નિયંત્રક તરીકે કાર્ય કરે છે (પ્રોસેસર તરીકે નહીં), અને ડેટા વિષયો અમારા પ્લેટફોર્મ વપરાશકર્તાઓ (વેબસાઇટ ઓપરેટરો) છે, તેમના વેબસાઇટ મુલાકાતીઓ નહીં. આ ડેટા પ્રવાહ DPAના મુલાકાતી ડેટા માટેના controller-processor માળખા કરતાં અમારી Privacy Policy અને આ પ્રદાતાઓ સાથેના અમારા કરારો દ્વારા નિયંત્રિત થાય છે.
Model Families: આ ઇન્ફ્રાસ્ટ્રક્ચર પ્રદાતાઓ વિવિધ તૃતીય પક્ષો દ્વારા વિકસાવવામાં આવેલા AI models હોસ્ટ કરે છે અને અમલમાં મૂકે છે. ઉપયોગમાં લેવાતા ચોક્કસ models અને model families સમયાંતરે બદલાઈ શકે છે. model developers ને કોઈ વપરાશકર્તા ડેટા મળતું નથી કે તેની ઍક્સેસ મળતી નથી; બધા ડેટા પ્રોસેસિંગ માત્ર સૂચિબદ્ધ subprocessor ના ઇન્ફ્રાસ્ટ્રક્ચર અંદર જ થાય છે, ભલે model મૂળ ક્યાં વિકસાવવામાં આવ્યો હોય. તમામ AI inference પ્રોસેસિંગ અમારા સૂચિબદ્ધ subprocessors ના ઇન્ફ્રાસ્ટ્રક્ચર પર જ રહે છે. આ મૂલ્યાંકનમાં સૂચિબદ્ધ subprocessors ની બહાર model developers અથવા અન્ય ઇન્ફ્રાસ્ટ્રક્ચરને કોઈ વપરાશકર્તા ડેટા મોકલાતું નથી. હાલમાં ઉપયોગમાં રહેલી model families ની યાદી માટે legal@acira.ai પર સંપર્ક કરીને વિનંતી કરી શકાય છે.
5.5 BrightData (ઇઝરાયેલ / વૈશ્વિક)
| ડેટા પ્રવાહ | સામેલ વ્યક્તિગત માહિતી | હેતુ |
|---|---|---|
| વેબ ડેટા સંગ્રહ | જાહેરમાં ઉપલબ્ધ વેબ સામગ્રી (મુલાકાતી ડેટા નથી) | વેબસાઇટ રચના દરમિયાન સામગ્રી આયાત (વપરાશકર્તા-દિશાનિર્દેશિત) |
| SERP ટ્રેકિંગ | શોધ કીવર્ડ્સ (મુલાકાતી ડેટા નથી) | કીવર્ડ રેન્કિંગ મોનિટરિંગ |
નોંધ: BrightData વેબસાઇટ મુલાકાતીઓની વ્યક્તિગત માહિતી પ્રોસેસ કરતું નથી. તે વપરાશકર્તાની દિશા મુજબ જાહેરમાં ઉપલબ્ધ વેબ સામગ્રી પ્રોસેસ કરે છે અને વપરાશકર્તા-નિર્ધારિત કીવર્ડ્સ માટે search engine rankings ટ્રૅક કરે છે.
5.6 EU આધારિત પ્રદાતાઓ (કોઈ ટ્રાન્સફર નથી)
| પ્રદાતા | સ્થાન | હેતુ |
|---|---|---|
| Black Forest Labs | Germany (EU) | AI image generation (Flux models) |
| ScreenshotOne | European Union | વેબસાઇટ screenshot capture |
| CloudConvert | Germany (EU) | ફાઇલ ફોર્મેટ રૂપાંતર |
આ પ્રદાતાઓ EUની અંદર ડેટા પ્રોસેસ કરે છે અને આંતરરાષ્ટ્રીય ટ્રાન્સફર ગણાતા નથી. Black Forest Labs ને image generation માટે માત્ર ટેક્સ્ટ prompts મળે છે; તેમાં કોઈ વ્યક્તિગત માહિતી સામેલ નથી.
6. પૂરક સુરક્ષા પગલાં
SCCs ઉપરાંત, ટ્રાન્સફર થતી વ્યક્તિગત માહિતી માટે મૂળભૂત રીતે સમકક્ષ સ્તરની સુરક્ષા સુનિશ્ચિત કરવા અમે નીચેના પૂરક પગલાં અમલમાં મૂકીએ છીએ:
6.1 ટેકનિકલ પગલાં
| પગલું | વર્ણન |
|---|---|
| ટ્રાન્સિટમાં એનક્રિપ્શન | મુલાકાતીઓ, એજ નેટવર્ક અને બેકએન્ડ સેવાઓ વચ્ચે ટ્રાન્સમિટ થતું તમામ ડેટા TLS (ન્યૂનતમ TLS 1.2) નો ઉપયોગ કરીને એનક્રિપ્ટ થાય છે. આંતરિક service-to-service communication એનક્રિપ્ટેડ ચૅનલ્સનો ઉપયોગ કરે છે. |
| સ્થિર અવસ્થામાં એનક્રિપ્શન | તમામ database records, file storage અને edge-hosted persistent storage સંબંધિત ઇન્ફ્રાસ્ટ્રક્ચર પ્રદાતા દ્વારા સંચાલિત ઉદ્યોગ ધોરણ મુજબની એનક્રિપ્શનથી સ્થિર અવસ્થામાં એનક્રિપ્ટ થાય છે. |
| Pseudonymization | મુલાકાતી એનાલિટિક્સમાં raw IP સરનામાંઓ સંગ્રહિત કરવાને બદલે દૈનિક-પરિવર્તિત ક્રિપ્ટોગ્રાફિક હૅશ (IP + User-Agent + date) નો ઉપયોગ થાય છે. આ હૅશ પાછું ફેરવી શકાય એવું નથી અને દર 24 કલાકે બદલાય છે, જેથી દિવસો વચ્ચેનું ટ્રેકિંગ અટકે છે. |
| ડેટા મિનિમાઇઝેશન | એનાલિટિક્સ ફક્ત સમૂહ-સ્તરની મેટાડેટા (દેશ, ડિવાઇસ પ્રકાર, બ્રાઉઝર) એકત્ર કરે છે. રૉ IP સરનામાંઓ એનાલિટિક્સમાં સંગ્રહિત થતા નથી. ચેટબોટ સંદેશાઓ 2,000 અક્ષર સુધી મર્યાદિત છે. |
| પાસવર્ડ હૅશિંગ | વેબસાઇટના સુરક્ષિત ક્ષેત્રો માટેના તમામ મુલાકાતી પાસવર્ડ્સ સંગ્રહિત કરતા પહેલાં દરેક વપરાશકર્તા માટે અલગ રૅન્ડમ salts સાથે મજબૂત ક્રિપ્ટોગ્રાફિક એલ્ગોરિધમ્સથી હૅશ થાય છે. સાદા-લેખિત પાસવર્ડ્સ ક્યારેય સંગ્રહિત કે ટ્રાન્સમિટ થતા નથી. |
| ઍક્સેસ નિયંત્રણો | least-privilege access policies દરેક સિસ્ટમ ઘટકની ઍક્સેસને ફક્ત તેને જરૂરી સંસાધનો સુધી મર્યાદિત રાખે છે. per-website API tokens ઍક્સેસને અલગ-અલગ વેબસાઇટ સુધી મર્યાદિત રાખે છે. |
| નેટવર્ક અલગાવ | બેકએન્ડ સેવાઓ આંતરિક નેટવર્ક્સ પર સંચાર કરે છે. વેબસાઇટ હોસ્ટિંગ અલગ execution sandboxes માં ચાલે છે. custom code execution WebAssembly આધારિત sandboxing નો ઉપયોગ કરે છે. |
| ન્યાયિક ડેટા નિવાસ | EU નિવાસી તરીકે ઓળખાયેલ વેબસાઇટ ઓપરેટરો માટે, મુલાકાતી ડેટા (ફોર્મ સબમિશન, ચેટબોટ વાતચીત, સેશન ડેટા અને વપરાશકર્તા ટેબલ ડેટા) ધરાવતું કાયમી સ્ટોરેજ યુરોપિયન યુનિયનમાં ન્યાયિક રીતે પ્રતિબંધિત છે, જે સુનિશ્ચિત કરે છે કે આ ડેટા ફક્ત EU ડેટા સેન્ટરોમાં સ્ટોર અને પ્રક્રિયા થાય છે. ઓટોમેટેડ મુલાકાતી-લક્ષી કામગીરીઓ (કન્ટેન્ટ સબમિશન સૂચનાઓ અને ટ્રાન્ઝેક્શનલ ઈમેલ ડિલિવરી) EU-આધારિત ઇન્ફ્રાસ્ટ્રક્ચરમાં પ્રક્રિયા થાય છે. |
| સ્વચાલિત ડિલીટેશન | સેશન ડેટા 30 દિવસની નિષ્ક્રિયતા પછી સમાપ્ત થાય છે. તાત્કાલિક ફાઇલો 24 કલાકમાં કાઢી નાખવામાં આવે છે. બોટ ચેલેન્જ ડેટા અલ્પકાળીન છે અને કાયમી સંગ્રહિત થતું નથી. |
6.2 સંગઠનાત્મક પગલાં
| પગલું | વર્ણન |
|---|---|
| કર્મચારીઓની ગોપનીયતા | વ્યક્તિગત માહિતીની ઍક્સેસ ધરાવતા તમામ કર્મચારીઓ ગોપનીયતા સંબંધિત બાધ્યતાઓ હેઠળ બંધાયેલા છે. |
| સબ-પ્રોસેસર due diligence | સબ-પ્રોસેસર્સને જોડતા પહેલાં તેમની સુરક્ષા પદ્ધતિઓ અને ડેટા પ્રોટેક્શન અનુરૂપતાનું મૂલ્યાંકન થાય છે. બધા સબ-પ્રોસેસર્સ સાથે લખિત DPAs અમલમાં છે. |
| ઘટના પ્રતિસાદ | breach notification procedures ખાતરી કરે છે કે વ્યક્તિગત માહિતી ભંગની પુષ્ટિ થયા પછી 72 કલાકની અંદર Controllers ને જાણ કરવામાં આવે છે. |
| ડેટા રિટેન્શન નીતિઓ | દસ્તાવેજીકૃત retention periods સાથે automated enforcement (TTL આધારિત ડિલીટેશન, lifecycle policies). |
| સુરક્ષા મોનિટરિંગ | સંરચિત logging, automated security monitoring અને intrusion detection. error અને diagnostic logs મહત્તમ 30 દિવસ સુધી જાળવવામાં આવે છે. |
6.3 કરાર આધારિત પગલાં
| પગલું | વર્ણન |
|---|---|
| સ્ટાન્ડર્ડ કોન્ટ્રાક્ચુઅલ કલોઝિસ | SCCs (મોડ્યુલ એક, મોડ્યુલ બે અને મોડ્યુલ ત્રણ) અમારી DPAમાં સંદર્ભ દ્વારા સમાવિષ્ટ છે. |
| સબ-પ્રોસેસર SCCs | દરેક સબ-પ્રોસેસર સાથેના લખિત કરારોમાં એવી ડેટા પ્રોટેક્શન બાધ્યતાઓ મૂકવામાં આવે છે, જે અમારી DPA કરતાં ઓછી સુરક્ષિત નથી. |
| સરકારી ઍક્સેસ અંગે સૂચના | કાનૂની રીતે મંજૂરી હોય ત્યાં સરકારની ઍક્સેસ વિનંતિઓ અંગે Controllers ને સૂચિત કરવાની અમારી પ્રતિબદ્ધતા છે, જેમ અમારા Terms and Conditions માં વર્ણવાયું છે. |
| પડકારવાની પ્રતિબદ્ધતા | અમને અતિ વ્યાપક અથવા ગેરકાનૂની લાગતી સરકારી ઍક્સેસ વિનંતિઓને પડકારવાની અમારી પ્રતિબદ્ધતા છે. |
7. જોખમ મૂલ્યાંકન
7.1 સરકારી ઍક્સેસની સંભાવના
| પરિબળ | મૂલ્યાંકન |
|---|---|
| ડેટાનું સ્વરૂપ | મુખ્યત્વે pseudonymized analytics, ફોર્મ સબમિશન્સ અને નાના વ્યવસાયોની વેબસાઇટ્સ પરથી મળતા ચેટબોટ સંદેશાઓ. આ ડેટાની ગુપ્તચર કિંમત ઓછી છે. |
| ડેટાનું પ્રમાણ | ઓછુંથી મધ્યમ. દરેક વેબસાઇટ પોતાની મુલાકાતી બેઝને સેવા આપે છે; દેખરેખ હેતુઓ માટે વેબસાઇટો વચ્ચે ડેટા એકત્રિત કરવામાં આવતું નથી. |
| કંપની પ્રોફાઇલ | Acira AI એક નાની SaaS કંપની છે, જે નાના વ્યવસાયોની વેબસાઇટ્સ હોસ્ટ કરે છે. અમે ટેલિકોમ્યુનિકેશન પ્રદાતા નથી કે ઉચ્ચ-પ્રોફાઇલ દેખરેખ લક્ષ્ય નથી. |
| ઇતિહાસિક વિનંતીઓ | આ મૂલ્યાંકનની તારીખ સુધી, Acira AI ને ક્યારેય FISA Section 702 directive, National Security Letter, અથવા ગ્રાહક ડેટા પર વ્યાપક ઍક્સેસ માટેની કોઈ સરકારી વિનંતી મળી નથી. |
| સબ-પ્રોસેસર પ્રોફાઇલ | AWS અને Cloudflare મોટા ઇન્ફ્રાસ્ટ્રક્ચર પ્રદાતાઓ છે, જે transparency reports પ્રકાશિત કરે છે. તેમની transparency reports દર્શાવે છે કે સરકારી વિનંતીઓ ચોક્કસ એકાઉન્ટોને નિશાન બનાવે છે, હોસ્ટ કરાયેલી સામગ્રી પર વ્યાપક ઍક્સેસ નહીં. |
કુલ સંભાવના: ઓછી
7.2 જો ઍક્સેસ થાય તો અસર
| પરિબળ | મૂલ્યાંકન |
|---|---|
| ડેટાની સંવેદનશીલતા | ટ્રાન્સફર થતી માહિતીનો મોટો ભાગ ઓછી સંવેદનશીલતા ધરાવે છે (pseudonymized analytics, વેબસાઇટ મુલાકાતી મેટાડેટા). ફોર્મ સબમિશન્સમાં વેબસાઇટ મુજબ મધ્યમ-સંવેદનશીલતા ધરાવતું ડેટા (નામ, ઇમેઇલ સરનામાંઓ, સંદેશાઓ) હોઈ શકે છે. |
| Pseudonymization ની અસરકારકતા | દૈનિક-પરિવર્તિત હૅશ માટે જરૂરી ઘટકો (IP + User-Agent + date), જે સંગ્રહિત નથી, સુધી ઍક્સેસ વિના એનાલિટિક્સ ડેટાને વ્યક્તિઓ સાથે જોડવામાં આવી શકતું નથી. |
| એક્સ્પોઝરની વ્યાપ | કોઈ પણ સરકારી ઍક્સેસ સમગ્ર પ્લેટફોર્મ નહીં, ચોક્કસ ખાતા અથવા વેબસાઇટ્સ સુધી સીમિત રહેશે. ડેડિકેટેડ સ્ટોરેજ ઇન્સ્ટન્સ દ્વારા પ્રતિ-વેબસાઇટ ડેટા આઇસોલેશન કોઈ પણ સંભવિત સમાધાનની વ્યાપ મર્યાદિત કરે છે. EU નિવાસી વેબસાઇટ ઓપરેટરો માટે, કાયમી સ્ટોરેજ અને ઓટોમેટેડ મુલાકાતી-લક્ષી પ્રક્રિયા (કન્ટેન્ટ સબમિશન સૂચનાઓ અને ટ્રાન્ઝેક્શનલ ઈમેલ ડિલિવરી) EU સુધી પ્રતિબંધિત છે, આ ડેટા માટે US સરકારી ઍક્સેસ પ્રત્યેના એક્સ્પોઝરને વધુ મર્યાદિત કરે છે. |
કુલ અસર: ઓછીથી મધ્યમ (વ્યક્તિગત વેબસાઇટ ઓપરેટરો દ્વારા એકત્રિત ડેટાની સંવેદનશીલતા પર આધારિત)
7.3 અવશેષ જોખમનું મૂલ્યાંકન
સરકારી ઍક્સેસની ઓછી સંભાવના, પૂરક ટેકનિકલ પગલાં (એનક્રિપ્શન, pseudonymization, data minimization), તથા EO 14086 દ્વારા રજૂ કરાયેલ વધારાની સુરક્ષાને ધ્યાનમાં લેતાં, અમે મૂલ્યાંકન કરીએ છીએ કે ડેટા વિષયો માટેનો અવશેષ જોખમ ઓછી સ્તરે છે અને SCCs (EEA/UK/Swiss ટ્રાન્સફરો માટે) તથા કરાર આધારિત સુરક્ષા (કેનેડિયન ટ્રાન્સફરો માટે) સાથેના પૂરક પગલાં મળીને EEAની અંદર ગેરંટી કરાયેલા સુરક્ષા સ્તર સાથે મૂળભૂત રીતે સમકક્ષ અને કેનેડિયન ગોપનીયતા કાયદા હેઠળ જરૂરી સ્તર સાથે તુલનાત્મક સુરક્ષા પૂરી પાડે છે.
8. નિષ્કર્ષ
આ મૂલ્યાંકનના આધારે, અમે આ નિષ્કર્ષ પર પહોંચીએ છીએ કે:
અમારી સેવાઓના પ્રદાન સાથે સંબંધિત રીતે EEA/UK/સ્વિટ્ઝર્લૅન્ડ/કેનેડાથી યુનાઇટેડ સ્ટેટ્સ તરફ ટ્રાન્સફર થતી વ્યક્તિગત માહિતી EU ડેટા પ્રોટેક્શન કાયદા હેઠળ ગેરંટી કરાયેલા સ્તર સાથે મૂળભૂત રીતે સમકક્ષ સુરક્ષા અને કેનેડિયન ગોપનીયતા કાયદા હેઠળ જરૂરી સ્તર સાથે તુલનાત્મક સુરક્ષા પ્રાપ્ત કરે છે.
સ્ટાન્ડર્ડ કોન્ટ્રાક્ચુઅલ કલોઝિસ, વિભાગ 6માં વર્ણવાયેલા પૂરક ટેકનિકલ, સંગઠનાત્મક અને કરાર આધારિત પગલાંઓ સાથે મળીને, આ મૂલ્યાંકનમાં ઓળખાયેલ જોખમોને પૂરતા પ્રમાણમાં ઉકેલે છે.
ડેટાનું સ્વરૂપ (મુખ્યત્વે pseudonymized analytics અને નાના વ્યવસાયોની વેબસાઇટ મુલાકાતી ક્રિયાપ્રતિક્રિયાઓ) અને ડેટા આયાતકર્તાનું પ્રોફાઇલ (નાની SaaS કંપની, ટેલિકોમ્યુનિકેશન પ્રદાતા નહીં) સરકારી દેખરેખના વ્યવહારુ જોખમને નોંધપાત્ર રીતે ઘટાડે છે.
Executive Order 14086 દ્વારા રજૂ કરાયેલ સુરક્ષાઓ અને સંબંધિત ન્યાયપ્રાપ્તિ મિકેનિઝમ, ઉપયોગમાં લેવાયેલા ચોક્કસ ટ્રાન્સફર મિકેનિઝમથી પરવા કર્યા વિના, બધા ડેટા વિષયો માટે વધારાની સુરક્ષા પૂરી પાડે છે.
કેનેડિયન ટ્રાન્સફરો માટે, અહીં વર્ણવાયેલ કરાર આધારિત સુરક્ષા અને પૂરક પગલાં PIPEDA તથા લાગુ પડતા પ્રાંતીય ગોપનીયતા કાયદાઓ, જેમાં Quebec નો આધુનિક ગોપનીયતા કાયદો પણ સામેલ છે, હેઠળ જરૂરી તુલનાત્મક સુરક્ષા સ્તર સુનિશ્ચિત કરે છે.
અમે અમેરિકી દેખરેખ કાયદા અને પ્રથાઓમાં થતા વિકાસ, તેમજ કેનેડિયન ગોપનીયતા કાયદામાં થતા વિકાસ (પ્રસ્તાવિત Consumer Privacy Protection Act સહિત) પર નજર રાખતા રહીશું, અને પરિસ્થિતિઓમાં મહત્વપૂર્ણ ફેરફાર થાય તો આ TIA નું પુનર્મૂલ્યાંકન કરીશું.
અહીં વર્ણવાયેલા SCCs અને પૂરક પગલાંઓના સતત અમલને આધિન રહીને આ ટ્રાન્સફરો આગળ વધી શકે છે.
9. સમીક્ષા સમયપત્રક
આ TIA ની સમીક્ષા અને અપડેટ કરવામાં આવશે:
- ઓછામાં ઓછું દર વર્ષે, અથવા
- લાગુ પડતા કાયદા અથવા નિયમોમાં મહત્વપૂર્ણ ફેરફારો થાય ત્યારે (FISA, CLOUD Act, EO 14086, PIPEDA, અથવા કેનેડિયન પ્રાંતીય ગોપનીયતા કાયદાકીય માળખામાં ફેરફારો સહિત),
- અમારા સબ-પ્રોસેસર્સમાં અથવા ટ્રાન્સફર થતી માહિતીના સ્વરૂપમાં ફેરફારો થાય ત્યારે,
- કોઈપણ એવા અદાલતી નિર્ણય પછી જે SCCs ની માન્યતા અથવા અમેરિકન ડેટા સુરક્ષાની પૂરતાપણાને મહત્વપૂર્ણ રીતે અસર કરે.
10. અમારી સાથે સંપર્ક કરો
જો તમને આ ટ્રાન્સફર ઇમ્પેક્ટ એસેસમેન્ટ વિશે પ્રશ્નો હોય, તો કૃપા કરીને અમારો સંપર્ક કરો:
Acira AI LLC
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
United States
ફોન: 888-389-1189
ઇમેઇલ: legal@acira.ai
તમારી ગોપનીયતા, અમારી પ્રાથમિકતા
અમે તમારા ડેટા વેચતા નથી, ટ્રેકિંગ કૂકીઝ વાપરતા નથી — એટલે જ તમે અહીં કૂકી બેનર જોશો નહીં. અમે Global Privacy Control નું સન્માન કરીએ છીએ, અને EU ગ્રાહકો માટે, વિઝિટર ડેટા ફક્ત યુરોપીયન યુનિયનમાં જ સંગ્રહિત અને પ્રક્રિયા થાય છે.
Acira AI
AI સાથે સુંદર વેબસાઇટ્સ બનાવો. કોડિંગ જરૂરી નથી.
ગર્વથી યુનાઇટેડ સ્ટેટ્સમાં બનાવેલ
© 2026 Acira AI LLC. સર્વ હક્કો અમારી પાસે રાખેલ છે.