हस्तांतरण प्रभाव मूल्यांकन
स्थानांतरण प्रभाव आकलन
अंतिम अद्यतन: 19 मार्च 2026
यह स्थानांतरण प्रभाव आकलन ("TIA") Acira AI LLC ("Acira AI", "हम", "हमें") द्वारा यूरोपीय संघ के न्यायालय के निर्णय की आवश्यकताओं के अनुसार डेटा संरक्षण आयुक्त बनाम Facebook Ireland Limited और Maximillian Schrems (मामला C-311/18, "Schrems II") और यूरोपीय डेटा संरक्षण बोर्ड की सिफारिशों (EDPB अनुशंसाएं 01/2020 पूरक उपायों पर) के अनुपालन में तैयार किया गया है।
यह TIA यूरोपीय आर्थिक क्षेत्र ("EEA"), यूनाइटेड किंगडम, स्विट्जरलैंड और कनाडा से हमारी सेवाओं के प्रावधान के संबंध में संयुक्त राज्य अमेरिका और अन्य तृतीय देशों में स्थानांतरित व्यक्तिगत डेटा के लिए सुरक्षा की पर्याप्तता का मूल्यांकन करती है।
यह TIA आपकी सुविधा के लिए अन्य भाषाओं में अनुवादित की जा सकती है। अंग्रेजी संस्करण और किसी भी अनुवादित संस्करण के बीच किसी भी विवाद या असंगति की स्थिति में, अंग्रेजी संस्करण प्रमुख होगा।
विषय-सूची
- स्थानांतरणों का अवलोकन
- स्थानांतरित डेटा की प्रकृति
- स्थानांतरण तंत्र
- गंतव्य देश के कानूनों का आकलन
- सेवा प्रदाता द्वारा डेटा प्रवाह का आकलन
- पूरक उपाय
- जोखिम आकलन
- निष्कर्ष
- समीक्षा अनुसूची
- हमसे संपर्क करें
1. स्थानांतरणों का अवलोकन
1.1 संदर्भ
Acira AI एक सॉफ्टवेयर-एज-ए-सर्विस प्लेटफॉर्म है जो व्यवसायों और व्यक्तियों को AI-संचालित वेबसाइट बनाने, प्रबंधित करने और होस्ट करने में सक्षम बनाता है। जब उपयोगकर्ता ऐसी वेबसाइटें बनाते हैं जिन्हें EEA, यूनाइटेड किंगडम, स्विट्जरलैंड या कनाडा में स्थित आगंतुक एक्सेस करते हैं, तो उन आगंतुकों का व्यक्तिगत डेटा संयुक्त राज्य अमेरिका और अन्य स्थानों पर स्थानांतरित और संसाधित किया जा सकता है जहां हमारे बुनियादी ढांचा प्रदाता संचालित होते हैं।
1.2 पक्ष
- डेटा निर्यातक: वेबसाइट ऑपरेटर (हमारा ग्राहक, नियंत्रक के रूप में कार्य करता है) और, विश्लेषण डेटा के लिए, Acira AI संयुक्त नियंत्रक के रूप में।
- डेटा आयातक: Acira AI LLC, नेवादा, संयुक्त राज्य अमेरिका में निगमित, प्रोसेसर के रूप में कार्य करता है (और विश्लेषण के लिए संयुक्त नियंत्रक)।
- उप-प्रोसेसर: Acira AI द्वारा नियोजित तृतीय-पक्ष सेवा प्रदाता (धारा 5 में सूचीबद्ध)।
1.3 स्थानांतरण गंतव्य
| गंतव्य | प्रदाता | आधार |
|---|---|---|
| संयुक्त राज्य अमेरिका और यूरोपीय संघ (स्टॉकहोम) | AWS | SCCs + पूरक उपाय (US); EU निवासी स्वचालित आगंतुक-मुखी संचालन के लिए EEA-आंतरिक |
| संयुक्त राज्य अमेरिका | Stripe, Fireworks AI, xAI | SCCs + पूरक उपाय |
| वैश्विक (एज स्थान) | Cloudflare | SCC + पूरक उपाय |
| इज़राइल | BrightData (केवल उपयोगकर्ता-निर्देशित) | SCC + पूरक उपाय |
| यूरोपीय संघ | Black Forest Labs, ScreenshotOne, CloudConvert | इंट्रा-EEA (कोई स्थानांतरण तंत्र आवश्यक नहीं) |
2. स्थानांतरित डेटा की प्रकृति
2.1 व्यक्तिगत डेटा की श्रेणियां
स्थानांतरित व्यक्तिगत डेटा वेबसाइट ऑपरेटर द्वारा सक्षम सुविधाओं और वेबसाइट आगंतुकों की इंटरैक्शन पर निर्भर करता है। निम्नलिखित श्रेणियां स्थानांतरित की जा सकती हैं:
| डेटा श्रेणी | विवरण | संवेदनशीलता | मात्रा |
|---|---|---|---|
| विश्लेषण पहचानकर्ता | IP + यूजर-एजेंट + तारीख का दैनिक-रोटेटिंग क्रिप्टोग्राफ़िक हैश (स्यूडोनिमाइज्ड) | कम | उच्च (प्रत्येक पृष्ठ दृश्य) |
| आगंतुक मेटाडेटा | देश, क्षेत्र, भाषा, डिवाइस प्रकार, ब्राउज़र, OS, रेफरर डोमेन, UTM पैरामीटर | कम | उच्च (प्रत्येक पृष्ठ दृश्य) |
| IP पते | फॉर्म सबमिशन और चैटबॉट वार्तालापों के साथ मेटाडेटा के रूप में संग्रहीत; विश्लेषण के लिए हैश किया गया; बॉट चुनौती सत्यापन के लिए अस्थायी रूप से उपयोग किया गया; दर सीमित करने के लिए अस्थायी रूप से संग्रहीत (7 दिनों तक) | मध्यम | मध्यम |
| फॉर्म सबमिशन सामग्री | आगंतुकों द्वारा सबमिट किए गए फ्री-टेक्स्ट फ़ील्ड (नाम, ईमेल, संदेश आदि) | परिवर्तनशील (फॉर्म पर निर्भर) | कम से मध्यम |
| चैटबॉट संदेश | आगंतुक संदेश और AI-जनित प्रतिक्रियाएं (प्रति संदेश अधिकतम 2,000 वर्ण) | कम से मध्यम | कम |
| फ़ाइल अपलोड | वेबसाइट फॉर्म के माध्यम से आगंतुकों द्वारा अपलोड की गई फ़ाइलें (चित्र, दस्तावेज़) | परिवर्तनशील | कम |
| सत्र पहचानकर्ता | सर्वर-साइड सत्र आईडी और क्लाइंट-साइड सत्र कुकीज़ | कम | उच्च |
| प्रमाणीकरण क्रेडेंशियल | वेबसाइट संरक्षित क्षेत्रों के लिए पासवर्ड (केवल हैश रूप में संग्रहीत) | उच्च (लेकिन हैश किया गया) | कम |
2.2 डेटा विषयों की श्रेणियां
- Acira AI प्लेटफॉर्म पर होस्ट की गई वेबसाइटों के आगंतुक
- उपयोगकर्ता जो प्लेटफॉर्म पर होस्ट की गई वेबसाइटों पर खाते बनाते हैं
- उपयोगकर्ता जो होस्ट की गई वेबसाइटों पर फॉर्म सबमिट करते हैं, चैटबॉट के साथ इंटरैक्ट करते हैं, या फ़ाइलें अपलोड करते हैं
2.3 डेटा जो स्थानांतरित नहीं किया जाता
- जियोलोकेशन डेटा: IP-से-स्थान लुकअप हमारे इंफ्रास्ट्रक्चर प्रदाता द्वारा नेटवर्क एज पर किए जाते हैं। कोई आगंतुक IP पता किसी बाहरी जियोलोकेशन सेवा को प्रेषित नहीं किया जाता है।
- कच्चे विश्लेषण IP पते: केवल एक दैनिक-रोटेटिंग क्रिप्टोग्राफ़िक हैश संग्रहीत किया जाता है; कच्चे IP विश्लेषण प्रणालियों में बने नहीं रहते।
- सादे पाठ में पासवर्ड: केवल क्रिप्टोग्राफ़िक हैश संग्रहीत और स्थानांतरित किए जाते हैं।
3. स्थानांतरण तंत्र
3.1 प्राथमिक तंत्र: मानक संविदात्मक खंड
हम आयोग के कार्यान्वयन निर्णय (EU) 2021/914 द्वारा अपनाए गए यूरोपीय आयोग के मानक संविदात्मक खंडों (SCC) पर निर्भर करते हैं, विशेष रूप से:
- मॉड्यूल एक (नियंत्रक से नियंत्रक): विश्लेषण डेटा के स्थानांतरण के लिए जहां Acira AI वेबसाइट ऑपरेटर के साथ संयुक्त नियंत्रक के रूप में कार्य करती है (DPA धारा 2.3 देखें)।
- मॉड्यूल दो (नियंत्रक से प्रोसेसर): वेबसाइट ऑपरेटर (नियंत्रक) से Acira AI (प्रोसेसर) को आगंतुक व्यक्तिगत डेटा के स्थानांतरण के लिए।
- मॉड्यूल तीन (प्रोसेसर से उप-प्रोसेसर): Acira AI से हमारे उप-प्रोसेसर को आगे के स्थानांतरण के लिए।
3.2 UK, स्विट्जरलैंड और कनाडा स्थानांतरण
- यूनाइटेड किंगडम: EU SCC में UK अंतर्राष्ट्रीय डेटा स्थानांतरण परिशिष्ट लागू होता है।
- स्विट्जरलैंड: SCC स्विस फेडरल एक्ट ऑन डेटा प्रोटेक्शन (FADP) द्वारा आवश्यक संशोधनों के साथ लागू होते हैं।
- कनाडा: स्थानांतरण प्रत्येक उप-प्रोसेसर के साथ संविदात्मक सुरक्षा पर निर्भर करते हैं जो PIPEDA और लागू प्रांतीय गोपनीयता कानून के साथ सुसंगत दायित्व लगाते हैं, धारा 6 में वर्णित पूरक तकनीकी और संगठनात्मक उपायों के साथ संयुक्त। विवरण के लिए DPA धारा 7.4 देखें।
3.3 उप-प्रोसेसर स्थानांतरण तंत्र
| उप-प्रोसेसर | स्थानांतरण तंत्र |
|---|---|
| Amazon Web Services | SCC (AWS DPA), ISO 27001/27017/27018 प्रमाणित |
| Cloudflare | SCC (Cloudflare DPA), ISO 27001 प्रमाणित |
| Stripe | SCC (Stripe DPA), PCI DSS स्तर 1 प्रमाणित |
| Fireworks AI | SCC (Fireworks AI DPA), SOC 2 प्रकार II, ISO 27001/27701/42001 प्रमाणित |
| xAI | SCC (xAI DPA EU SCC के साथ) |
| BrightData | SCC (BrightData DPA) |
4. गंतव्य देश के कानूनों का आकलन
4.1 संयुक्त राज्य अमेरिका
संयुक्त राज्य अमेरिका स्थानांतरित डेटा का प्राथमिक गंतव्य है। निम्नलिखित US कानून इस आकलन के लिए प्रासंगिक हैं:
4.1.1 विदेशी खुफिया निगरानी अधिनियम (FISA), धारा 702
FISA धारा 702 US सरकार को इलेक्ट्रॉनिक संचार सेवा प्रदाताओं को विदेशी खुफिया उद्देश्यों के लिए संयुक्त राज्य अमेरिका के बाहर स्थित गैर-US व्यक्तियों के संचार तक पहुंच प्रदान करने के लिए मजबूर करने के लिए अधिकृत करती है।
जोखिम आकलन:
- लागूता: FISA धारा 702 50 U.S.C. § 1881(b)(4) में परिभाषित "इलेक्ट्रॉनिक संचार सेवा प्रदाताओं" पर लागू होती है। Acira AI एक SaaS वेबसाइट होस्टिंग प्लेटफॉर्म है, एक पारंपरिक दूरसंचार प्रदाता नहीं। हमारे उप-प्रोसेसर (AWS, Cloudflare) धारा 702 निर्देशों के अधीन होने की अधिक संभावना है।
- जोखिम में डेटा का दायरा: हम जो व्यक्तिगत डेटा संसाधित करते हैं वह मुख्य रूप से वेबसाइट आगंतुक विश्लेषण (स्यूडोनिमाइज्ड), फॉर्म सबमिशन और चैटबॉट संदेशों से मिलकर बना है। यह डेटा विदेशी खुफिया रुचि का होने की संभावना नहीं है।
- व्यावहारिक संभावना: हमें कभी भी FISA धारा 702 निर्देश नहीं मिला है और हम एक प्राप्त करने की व्यावहारिक संभावना को हमारी सेवाओं की प्रकृति और हम जो डेटा संसाधित करते हैं उसे देखते हुए बहुत कम आंकते हैं।
4.1.2 कार्यकारी आदेश 12333
EO 12333 US खुफिया एजेंसियों को संकेत खुफिया के थोक संग्रह सहित निगरानी गतिविधियां संचालित करने के लिए अधिकृत करता है। यह पारगमन में डेटा पर लागू होता है और निजी कंपनियों को सहयोग करने के लिए बाध्य नहीं करता है।
जोखिम आकलन:
- शमन: पारगमन में सभी डेटा TLS का उपयोग करके एन्क्रिप्ट किया गया है। पारगमन में एन्क्रिप्टेड डेटा का थोक अवरोधन सादे पाठ व्यक्तिगत डेटा उत्पन्न नहीं करेगा।
- व्यावहारिक संभावना: कम। हमारी सेवाओं के माध्यम से संसाधित डेटा उस प्रकृति का नहीं है जिसे आमतौर पर सिग्नल इंटेलिजेंस द्वारा लक्षित किया जाता है।
4.1.3 कार्यकारी आदेश 14086 और EU-US डेटा गोपनीयता ढांचा
कार्यकारी आदेश 14086 (अक्टूबर 2022) ने संकेत खुफिया गतिविधियों के लिए अतिरिक्त सुरक्षा उपाय पेश किए, जिनमें शामिल हैं:
- खुफिया संग्रह के लिए आवश्यकता और आनुपातिकता आवश्यकताएं
- EU/UK/स्विस व्यक्तियों के लिए उपलब्ध दो-स्तरीय निवारण तंत्र (नागरिक स्वतंत्रता संरक्षण अधिकारी + डेटा संरक्षण समीक्षा न्यायालय)
- थोक संग्रह पर सीमाएं
यूरोपीय आयोग ने 10 जुलाई 2023 को EU-US डेटा गोपनीयता ढांचे (DPF) के लिए एक पर्याप्तता निर्णय अपनाया। हालांकि Acira AI वर्तमान में DPF के तहत स्व-प्रमाणित नहीं है, EO 14086 के तहत सुरक्षा संयुक्त राज्य अमेरिका में सभी डेटा स्थानांतरण पर व्यापक रूप से लागू होती है और उपयोग किए गए स्थानांतरण तंत्र की परवाह किए बिना सभी डेटा विषयों को लाभान्वित करती है।
4.1.4 CLOUD अधिनियम
Clarifying Lawful Overseas Use of Data (CLOUD Act) US कानून प्रवर्तन को वैध वारंट या अदालती आदेश के अधीन, डेटा कहीं भी संग्रहीत होने की परवाह किए बिना, US-आधारित प्रदाताओं को डेटा उत्पन्न करने के लिए मजबूर करने की अनुमति देता है।
जोखिम आकलन:
- सुरक्षा उपाय: CLOUD Act के लिए एक वैध कानूनी प्रक्रिया (वारंट, सम्मन या अदालती आदेश) की आवश्यकता होती है। यह वारंटलेस थोक पहुंच को अधिकृत नहीं करता है।
- सौजन्य प्रावधान: CLOUD Act में एक सौजन्य ढांचा शामिल है जो प्रदाताओं को विदेशी कानून के साथ संघर्ष करने वाले आदेशों को चुनौती देने की अनुमति देता है।
- व्यावहारिक संभावना: वेबसाइट आगंतुक डेटा के लिए कम। कानून प्रवर्तन अनुरोध अधिक संभावना से आपराधिक गतिविधि के संदिग्ध विशिष्ट खातों को लक्षित करेंगे, आगंतुक विश्लेषण या फॉर्म सबमिशन नहीं।
4.2 इज़राइल (BrightData)
BrightData इज़राइल में स्थित है। इज़राइल के पास यूरोपीय आयोग (2011/61/EU) से पर्याप्तता निर्णय है, जिसका अर्थ है कि इज़राइल में स्थानांतरण को इंट्रा-EEA स्थानांतरण के समान माना जाता है। हालांकि, BrightData अन्य वैश्विक स्थानों पर भी डेटा संसाधित करती है। हम ध्यान देते हैं कि:
- BrightData प्रसंस्करण केवल उपयोगकर्ता-निर्देशित (सामग्री आयात के लिए वेबसाइट निर्माण के दौरान) या निर्धारित SERP ट्रैकिंग के दौरान होती है।
- कोई वेबसाइट आगंतुक व्यक्तिगत डेटा BrightData को प्रेषित नहीं किया जाता है।
4.3 कनाडा (कनाडा से संयुक्त राज्य अमेरिका में स्थानांतरण)
कनाडा में स्थित वेबसाइट आगंतुकों का व्यक्तिगत डेटा प्रसंस्करण के लिए संयुक्त राज्य अमेरिका में स्थानांतरित किया जा सकता है। निम्नलिखित कनाडाई कानून इस आकलन के लिए प्रासंगिक हैं:
4.3.1 व्यक्तिगत सूचना संरक्षण और इलेक्ट्रॉनिक दस्तावेज़ अधिनियम (PIPEDA)
PIPEDA वाणिज्यिक गतिविधियों के दौरान निजी क्षेत्र के संगठनों द्वारा व्यक्तिगत जानकारी के संग्रह, उपयोग और प्रकटीकरण को नियंत्रित करता है। PIPEDA सिद्धांत 4.1.3 के लिए आवश्यक है कि संगठन संविदात्मक या अन्य साधनों का उपयोग करें जब व्यक्तिगत जानकारी प्रसंस्करण के लिए तृतीय पक्षों को स्थानांतरित की जाती है, जिसमें कनाडा के बाहर स्थानांतरण शामिल हैं।
जोखिम आकलन:
- तुलनीय सुरक्षा: धारा 6 में वर्णित पूरक उपाय (एन्क्रिप्शन, स्यूडोनिमाइजेशन, एक्सेस नियंत्रण, डेटा न्यूनतमीकरण) PIPEDA के तहत आवश्यक के तुलनीय सुरक्षा का स्तर प्रदान करते हैं। सभी उप-प्रोसेसर के साथ लिखित डेटा प्रसंस्करण समझौते मौजूद हैं।
- कोई पर्याप्तता आवश्यकता नहीं: GDPR के विपरीत, PIPEDA "पर्याप्तता" निष्कर्ष के बिना देशों में स्थानांतरण पर प्रतिबंध नहीं लगाता है। संगठनों को संविदात्मक और अन्य साधनों के माध्यम से तुलनीय सुरक्षा सुनिश्चित करनी चाहिए, जिसे हमने लागू किया है।
4.3.2 प्रांतीय गोपनीयता कानून
अलबर्टा का व्यक्तिगत सूचना संरक्षण अधिनियम (PIPA), ब्रिटिश कोलंबिया का व्यक्तिगत सूचना संरक्षण अधिनियम (PIPA), और क्यूबेक का निजी क्षेत्र में व्यक्तिगत सूचना संरक्षण से संबंधित अधिनियम कुछ प्रांतों के लिए अतिरिक्त आवश्यकताएं लगाते हैं:
जोखिम आकलन:
- क्यूबेक कानून 25: क्यूबेक का आधुनिकीकृत गोपनीयता कानून (सितंबर 2023 से प्रभावी) क्यूबेक के बाहर व्यक्तिगत जानकारी स्थानांतरित करने से पहले गोपनीयता प्रभाव आकलन की आवश्यकता है, और स्थानांतरण करने वाले संगठन को संतुष्ट होना चाहिए कि जानकारी को पर्याप्त सुरक्षा मिलेगी।
- अलबर्टा और BC: अलबर्टा और BC के PIPA के लिए आवश्यक है कि संगठन स्थानांतरित डेटा के लिए तुलनीय सुरक्षा सुनिश्चित करें। हमारी संविदात्मक और तकनीकी सुरक्षा इस आवश्यकता को पूरा करती है।
4.3.3 कनाडाई दृष्टिकोण से US सरकारी पहुंच
धारा 4.1 में मूल्यांकन किए गए समान US सरकारी पहुंच जोखिम कनाडाई डेटा स्थानांतरण पर लागू होते हैं। सरकारी पहुंच की कम संभावना (डेटा की प्रकृति और हमारी कंपनी प्रोफ़ाइल को देखते हुए), धारा 6 के पूरक उपायों के साथ संयुक्त, यह सुनिश्चित करती है कि कनाडा से संयुक्त राज्य अमेरिका में स्थानांतरित व्यक्तिगत डेटा कनाडाई गोपनीयता कानून के तहत आवश्यक के तुलनीय सुरक्षा का स्तर प्राप्त करता है।
4.4 वैश्विक एज स्थान (Cloudflare)
Cloudflare एज स्थानों का एक वैश्विक नेटवर्क संचालित करता है। EU आगंतुक अनुरोधों को आमतौर पर निकटतम Cloudflare पॉइंट ऑफ प्रेजेंस पर संसाधित किया जाता है, जो EU आगंतुकों के लिए आमतौर पर एक EU स्थान होगा।
- अनुरोध रूटिंग, TLS समाप्ति, और बॉट सुरक्षा निकटतम एज स्थान पर होती है।
- EU निवासियों के रूप में पहचाने गए वेबसाइट ऑपरेटरों के लिए, स्थायी भंडारण (जिसमें फॉर्म सबमिशन, चैटबॉट वार्तालाप और सत्र डेटा शामिल हैं) Cloudflare के क्षेत्राधिकार API का उपयोग करके यूरोपीय संघ तक क्षेत्राधिकार-प्रतिबंधित है। गैर-EU वेबसाइट ऑपरेटरों के लिए, स्थायी भंडारण ऑपरेटर के भौगोलिक क्षेत्र के पास स्थित है लेकिन EU के बाहर स्थित हो सकता है।
- Analytics डेटा Cloudflare-प्रबंधित इंफ्रास्ट्रक्चर पर संसाधित किया जाता है।
5. सेवा प्रदाता द्वारा डेटा प्रवाह का आकलन
5.1 Amazon Web Services (US)
| डेटा प्रवाह | शामिल व्यक्तिगत डेटा | उद्देश्य |
|---|---|---|
| डेटाबेस भंडारण | फॉर्म सबमिशन मेटाडेटा (IP, देश, क्षेत्र), चैटबॉट वार्तालाप रिकॉर्ड, फ़ाइल मेटाडेटा, सत्र रिकॉर्ड | वेबसाइट आगंतुक डेटा का स्थायी भंडारण |
| फ़ाइल भंडारण | अपलोड की गई फ़ाइलें (चित्र, दस्तावेज़), परिनियोजन स्नैपशॉट | फ़ाइल भंडारण |
| AI अनुमान | फ़ाइल सामग्री (AI विवरण के लिए), ईमेल सामग्री (स्पैम पहचान के लिए) | AI-संचालित विवरण और स्पैम वर्गीकरण |
| सामग्री मॉडरेशन | अपलोड की गई छवियां | सामग्री मॉडरेशन (नग्नता/स्पष्ट सामग्री पहचान) |
| ईमेल डिलीवरी | ईमेल पते, संदेश सामग्री | ट्रांजेक्शनल ईमेल डिलीवरी और सामग्री सबमिशन सूचनाएं। EU-निवासी वेबसाइट ऑपरेटरों के लिए, ये संचालन यूरोपीय संघ (स्टॉकहोम) में संसाधित होते हैं। |
| भाषा पहचान | ईमेल संदेश पाठ | भाषा पहचान |
AWS सुरक्षा उपाय:
- ISO 27001, 27017, 27018 प्रमाणित
- SOC 1/2/3 रिपोर्ट उपलब्ध
- उद्योग-मानक एन्क्रिप्शन का उपयोग करके डेटा को आराम पर एन्क्रिप्ट किया गया
- पारगमन में डेटा एन्क्रिप्ट किया गया (TLS)
- प्रत्येक सिस्टम घटक के लिए न्यूनतम-विशेषाधिकार एक्सेस नियंत्रण
- प्राथमिक सेवाएं संयुक्त राज्य अमेरिका में होस्ट की जाती हैं; EU-निवासी वेबसाइट ऑपरेटरों के लिए स्वचालित आगंतुक-मुखी संचालन (सामग्री सबमिशन सूचनाएं और ट्रांजेक्शनल ईमेल डिलीवरी) यूरोपीय संघ (स्टॉकहोम) में संसाधित होते हैं
5.2 Cloudflare (वैश्विक)
| डेटा प्रवाह | शामिल व्यक्तिगत डेटा | उद्देश्य |
|---|---|---|
| एज रूटिंग | IP पते, HTTP हेडर, अनुरोध URL | अनुरोध रूटिंग, DDoS सुरक्षा, TLS समाप्ति |
| वेबसाइट होस्टिंग | पृष्ठ सामग्री, आगंतुक मेटाडेटा | वेबसाइट होस्टिंग और डिलीवरी |
| स्थायी भंडारण | फॉर्म सबमिशन, चैटबॉट वार्तालाप, सत्र डेटा, उपयोगकर्ता तालिका डेटा | प्रति-वेबसाइट स्टेटफुल स्टोरेज |
| एनालिटिक्स | स्यूडोनिमाइज्ड विजिटर हैश, देश, डिवाइस, ब्राउज़र, रेफरर, UTM | गोपनीयता-अनुकूल विजिटर एनालिटिक्स |
| AI अनुमान | चैटबॉट संदेश, फॉर्म फ़ील्ड सारांश | AI चैटबॉट प्रतिक्रियाएं, स्पैम पहचान |
| एसेट स्टोरेज | वेबसाइट एसेट (चित्र, फ़ाइलें) | स्टैटिक एसेट स्टोरेज और CDN डिलीवरी |
Cloudflare सुरक्षा उपाय:
- ISO 27001 प्रमाणित, SOC 2 प्रकार II
- सभी कनेक्शन के लिए TLS 1.2+
- SCC के साथ Cloudflare DPA उपलब्ध
- एज प्रसंस्करण का अर्थ है कि EU आगंतुक डेटा को आमतौर पर अनुरोध हैंडलिंग के लिए EU एज स्थानों पर संसाधित किया जाता है
- EU निवासियों के रूप में पहचाने गए वेबसाइट ऑपरेटरों के लिए, स्थायी स्टोरेज (फॉर्म सबमिशन, चैटबॉट वार्तालाप, सत्र डेटा और उपयोगकर्ता तालिका डेटा युक्त) Cloudflare के जुरिस्डिक्शन API का उपयोग करके यूरोपीय संघ में न्यायिक रूप से प्रतिबंधित है, यह सुनिश्चित करते हुए कि यह डेटा केवल EU डेटा केंद्रों में संग्रहीत और संसाधित होता है। एज से बैकएंड API कॉल (सामग्री सबमिशन सूचनाओं और ट्रांजेक्शनल ईमेल डिलीवरी के लिए) EU-आधारित AWS बुनियादी ढांचे पर रूट किए जाते हैं।
- AI अनुमान इनपुट डेटा को प्रशिक्षण के लिए बनाए नहीं रखता
5.3 Stripe (US)
| डेटा प्रवाह | शामिल व्यक्तिगत डेटा | उद्देश्य |
|---|---|---|
| भुगतान प्रसंस्करण | वेबसाइट ऑपरेटर बिलिंग डेटा (नाम, ईमेल, भुगतान विधि) | सदस्यता और डोमेन भुगतान प्रसंस्करण |
नोट: Stripe वेबसाइट आगंतुकों का व्यक्तिगत डेटा प्राप्त नहीं करता। केवल वेबसाइट ऑपरेटर (हमारे ग्राहक) की बिलिंग जानकारी Stripe द्वारा संसाधित की जाती है।
Stripe सुरक्षा उपाय:
- PCI DSS स्तर 1 प्रमाणित
- ISO 27001 प्रमाणित
- SCC के साथ Stripe DPA उपलब्ध
5.4 AI अनुमान प्रदाता (US)
Fireworks AI और xAI AI मॉडल अनुमान सेवाएं प्रदान करते हैं।
| डेटा प्रवाह | शामिल व्यक्तिगत डेटा | उद्देश्य |
|---|---|---|
| पाठ उत्पादन (वेबसाइट सामग्री) | वेबसाइट सामग्री (आगंतुक डेटा नहीं) | वेबसाइट सामग्री निर्माण और संपादन |
| छवि उत्पादन | पाठ प्रॉम्प्ट (आगंतुक डेटा नहीं) | वेबसाइटों के लिए छवि निर्माण |
| संवादात्मक AI (चैट एजेंट) | प्लेटफ़ॉर्म उपयोगकर्ता नाम, ईमेल, भाषा वरीयता और वार्तालाप इतिहास | प्लेटफ़ॉर्म उपयोगकर्ताओं के लिए AI-संचालित सहायक (वेबसाइट ऑपरेटर) |
नोट: ये AI प्रदाता वेबसाइट आगंतुकों का व्यक्तिगत डेटा प्राप्त नहीं करते। चैटबॉट सुविधा (वेबसाइट आगंतुकों की सेवा) Cloudflare Workers AI (धारा 5.2 में मूल्यांकन) का उपयोग करती है, इन प्रदाताओं का नहीं। हालांकि, प्लेटफ़ॉर्म का संवादात्मक AI सहायक — जिसका उपयोग वेबसाइट ऑपरेटर अपनी वेबसाइट प्रबंधित करने के लिए करते हैं — प्रतिक्रिया उत्पन्न करने के भाग के रूप में प्लेटफ़ॉर्म उपयोगकर्ता व्यक्तिगत डेटा (नाम, ईमेल पता और वार्तालाप इतिहास) इन प्रदाताओं को भेजता है। इस प्रसंस्करण के लिए, Acira AI नियंत्रक (प्रोसेसर नहीं) के रूप में कार्य करती है, और डेटा विषय हमारे प्लेटफ़ॉर्म उपयोगकर्ता (वेबसाइट ऑपरेटर) हैं, उनके वेबसाइट आगंतुक नहीं।
मॉडल परिवार: ये इंफ्रास्ट्रक्चर प्रदाता विभिन्न तृतीय पक्षों द्वारा विकसित AI मॉडल को होस्ट और निष्पादित करते हैं। उपयोग किए जाने वाले विशिष्ट मॉडल और मॉडल परिवार समय के साथ बदल सकते हैं। मॉडल डेवलपर किसी भी उपयोगकर्ता डेटा को प्राप्त नहीं करते या उस तक पहुंच नहीं रखते — सभी डेटा प्रसंस्करण विशेष रूप से सूचीबद्ध उप-प्रोसेसरों के बुनियादी ढांचे के भीतर होता है, चाहे मॉडल मूल रूप से जहां भी विकसित किया गया हो। सभी AI अनुमान प्रसंस्करण हमारे सूचीबद्ध उप-प्रोसेसरों के बुनियादी ढांचे पर बना रहता है। कोई भी उपयोगकर्ता डेटा मॉडल डेवलपर्स को या इस मूल्यांकन में सूचीबद्ध उप-प्रोसेसरों के बाहर के बुनियादी ढांचे को प्रेषित नहीं किया जाता है। उपयोग में मॉडल परिवारों की एक वर्तमान सूची legal@acira.ai से संपर्क करके अनुरोध पर उपलब्ध है।
5.5 BrightData (इज़राइल / वैश्विक)
| डेटा प्रवाह | शामिल व्यक्तिगत डेटा | उद्देश्य |
|---|---|---|
| वेब डेटा संग्रह | सार्वजनिक रूप से उपलब्ध वेब सामग्री (आगंतुक डेटा नहीं) | वेबसाइट निर्माण के दौरान सामग्री आयात (उपयोगकर्ता-निर्देशित) |
| SERP ट्रैकिंग | खोज कीवर्ड (आगंतुक डेटा नहीं) | कीवर्ड रैंकिंग निगरानी |
नोट: BrightData वेबसाइट आगंतुकों का व्यक्तिगत डेटा संसाधित नहीं करता। यह उपयोगकर्ता के निर्देश पर सार्वजनिक रूप से उपलब्ध वेब सामग्री संसाधित करता है और उपयोगकर्ता-परिभाषित कीवर्ड के लिए खोज इंजन रैंकिंग ट्रैक करता है।
5.6 EU-आधारित प्रदाता (कोई स्थानांतरण नहीं)
| प्रदाता | स्थान | उद्देश्य |
|---|---|---|
| Black Forest Labs | जर्मनी (EU) | AI छवि उत्पादन (Flux मॉडल) |
| ScreenshotOne | यूरोपीय संघ | वेबसाइट स्क्रीनशॉट कैप्चर |
| CloudConvert | जर्मनी (EU) | फ़ाइल प्रारूप रूपांतरण |
ये प्रदाता EU के भीतर डेटा संसाधित करते हैं और अंतर्राष्ट्रीय स्थानांतरण का गठन नहीं करते। Black Forest Labs केवल छवि उत्पादन के लिए पाठ प्रॉम्प्ट प्राप्त करता है; कोई व्यक्तिगत डेटा शामिल नहीं है।
6. पूरक उपाय
SCC के अलावा, हम स्थानांतरित व्यक्तिगत डेटा के लिए अनिवार्य रूप से समकक्ष सुरक्षा का स्तर सुनिश्चित करने के लिए निम्नलिखित पूरक उपाय लागू करते हैं:
6.1 तकनीकी उपाय
| उपाय | विवरण |
|---|---|
| ट्रांजिट में एन्क्रिप्शन | आगंतुकों, एज नेटवर्क और बैकएंड सेवाओं के बीच प्रसारित सभी डेटा TLS (न्यूनतम TLS 1.2) का उपयोग करके एन्क्रिप्ट किया गया है। आंतरिक सेवा-से-सेवा संचार एन्क्रिप्टेड चैनलों का उपयोग करता है। |
| आराम पर एन्क्रिप्शन | सभी डेटाबेस रिकॉर्ड, फ़ाइल स्टोरेज और एज-होस्टेड स्थायी स्टोरेज संबंधित इंफ्रास्ट्रक्चर प्रदाता द्वारा प्रबंधित उद्योग-मानक एन्क्रिप्शन का उपयोग करके आराम पर एन्क्रिप्ट किए गए हैं। |
| स्यूडोनिमाइज़ेशन | आगंतुक एनालिटिक्स कच्चे IP पते संग्रहीत करने के बजाय दैनिक-रोटेटिंग क्रिप्टोग्राफ़िक हैश (IP + यूजर-एजेंट + तारीख) का उपयोग करता है। इस हैश को उलटा नहीं किया जा सकता और यह हर 24 घंटे में बदलता है, क्रॉस-डे ट्रैकिंग को रोकता है। |
| डेटा न्यूनीकरण | एनालिटिक्स केवल समग्र-स्तर के मेटाडेटा (देश, डिवाइस प्रकार, ब्राउज़र) एकत्र करता है। एनालिटिक्स में कोई कच्चे IP पते संग्रहीत नहीं हैं। चैटबॉट संदेश 2,000 वर्णों तक सीमित हैं। |
| पासवर्ड हैशिंग | सभी आगंतुक पासवर्ड (वेबसाइट संरक्षित क्षेत्रों के लिए) भंडारण से पहले प्रति-उपयोगकर्ता यादृच्छिक नमक के साथ मजबूत क्रिप्टोग्राफिक एल्गोरिदम का उपयोग करके हैश किए जाते हैं। सादे पाठ पासवर्ड कभी संग्रहीत या प्रेषित नहीं होते। |
| एक्सेस नियंत्रण | न्यूनतम-विशेषाधिकार एक्सेस नीतियां प्रत्येक सिस्टम घटक को केवल उन संसाधनों तक प्रतिबंधित करती हैं जिनकी उसे आवश्यकता है। प्रति-वेबसाइट API टोकन व्यक्तिगत वेबसाइटों तक पहुंच को सीमित करते हैं। |
| नेटवर्क अलगाव | बैकएंड सेवाएं आंतरिक नेटवर्क पर संचार करती हैं। वेबसाइट होस्टिंग अलग-थलग निष्पादन सैंडबॉक्स में चलती है। कस्टम कोड निष्पादन WebAssembly-आधारित सैंडबॉक्सिंग का उपयोग करता है। |
| न्यायिक डेटा निवास | EU निवासियों के रूप में पहचाने गए वेबसाइट ऑपरेटरों के लिए, आगंतुक डेटा (फॉर्म सबमिशन, चैटबॉट वार्तालाप, सत्र डेटा और उपयोगकर्ता तालिका डेटा) युक्त स्थायी स्टोरेज यूरोपीय संघ में न्यायिक रूप से प्रतिबंधित है, यह सुनिश्चित करते हुए कि यह डेटा केवल EU डेटा केंद्रों में संग्रहीत और संसाधित होता है। स्वचालित आगंतुक-मुखी संचालन (सामग्री सबमिशन सूचनाएं और ट्रांजेक्शनल ईमेल डिलीवरी) EU-आधारित बुनियादी ढांचे में भी संसाधित होते हैं। |
| स्वचालित विलोपन | सत्र डेटा 30 दिनों की निष्क्रियता के बाद समाप्त हो जाता है। अस्थायी फ़ाइलें 24 घंटों के भीतर हटा दी जाती हैं। बॉट चुनौती डेटा क्षणभंगुर है और बने नहीं रहती। |
6.2 संगठनात्मक उपाय
| उपाय | विवरण |
|---|---|
| कर्मियों की गोपनीयता | व्यक्तिगत डेटा तक पहुंच वाले सभी कर्मचारी गोपनीयता दायित्वों से बंधे हैं। |
| उप-प्रोसेसर उचित परिश्रम | उप-प्रोसेसर संलग्नता से पहले उनकी सुरक्षा प्रथाओं और डेटा सुरक्षा अनुपालन के लिए मूल्यांकन किए जाते हैं। सभी उप-प्रोसेसर के साथ लिखित DPA मौजूद हैं। |
| घटना प्रतिक्रिया | उल्लंघन अधिसूचना प्रक्रियाएं सुनिश्चित करती हैं कि नियंत्रकों को व्यक्तिगत डेटा उल्लंघन की पुष्टि के 72 घंटों के भीतर सूचित किया जाए। |
| डेटा प्रतिधारण नीतियां | स्वचालित प्रवर्तन (TTL-आधारित विलोपन, जीवनचक्र नीतियां) के साथ प्रलेखित प्रतिधारण अवधि। |
| सुरक्षा निगरानी | संरचित लॉगिंग, स्वचालित सुरक्षा निगरानी और घुसपैठ का पता लगाना। त्रुटि और नैदानिक लॉग 30 दिनों तक बनाए रखे जाते हैं। |
6.3 संविदात्मक उपाय
| उपाय | विवरण |
|---|---|
| मानक संविदात्मक खंड | SCC (मॉड्यूल एक, मॉड्यूल दो और मॉड्यूल तीन) संदर्भ द्वारा हमारे DPA में शामिल किए गए हैं। |
| उप-प्रोसेसर SCC | प्रत्येक उप-प्रोसेसर के साथ लिखित समझौते हमारे DPA में उन लोगों की तुलना में कम सुरक्षात्मक डेटा सुरक्षा दायित्व लगाते हैं। |
| सरकारी पहुंच अधिसूचना | हम जहां कानूनी रूप से अनुमत है वहां सरकारी पहुंच अनुरोधों की नियंत्रकों को सूचित करने के लिए प्रतिबद्ध हैं, जैसा कि हमारी नियम और शर्तों में वर्णित है। |
| चुनौती प्रतिबद्धता | हम उन सरकारी पहुंच अनुरोधों को चुनौती देने के लिए प्रतिबद्ध हैं जिन्हें हम अत्यधिक व्यापक या गैरकानूनी मानते हैं। |
7. जोखिम आकलन
7.1 सरकारी पहुंच की संभावना
| कारक | आकलन |
|---|---|
| डेटा की प्रकृति | मुख्य रूप से स्यूडोनिमाइज्ड विश्लेषण, फॉर्म सबमिशन और छोटे व्यवसाय वेबसाइटों से चैटबॉट संदेश। इस डेटा में कम खुफिया मूल्य है। |
| डेटा की मात्रा | कम से मध्यम। प्रत्येक वेबसाइट अपने आगंतुक आधार की सेवा करती है; डेटा निगरानी उद्देश्यों के लिए वेबसाइटों में एकत्रित नहीं किया जाता है। |
| कंपनी प्रोफ़ाइल | Acira AI एक छोटी SaaS कंपनी है जो छोटे व्यवसाय वेबसाइटों को होस्ट करती है। हम एक दूरसंचार प्रदाता या उच्च-प्रोफ़ाइल निगरानी लक्ष्य नहीं हैं। |
| ऐतिहासिक अनुरोध | इस आकलन की तारीख तक, Acira AI को कभी भी FISA धारा 702 निर्देश, राष्ट्रीय सुरक्षा पत्र, या ग्राहक डेटा तक थोक पहुंच के लिए कोई सरकारी अनुरोध नहीं मिला है। |
| उप-प्रोसेसर प्रोफ़ाइल | AWS और Cloudflare बड़े बुनियादी ढांचा प्रदाता हैं जो पारदर्शिता रिपोर्ट प्रकाशित करते हैं। उनकी पारदर्शिता रिपोर्ट दर्शाती है कि सरकारी अनुरोध विशिष्ट खातों पर लक्षित हैं, होस्ट की गई सामग्री तक थोक पहुंच नहीं। |
समग्र संभावना: कम
7.2 पहुंच होने पर प्रभाव
| कारक | आकलन |
|---|---|
| डेटा संवेदनशीलता | स्थानांतरित अधिकांश डेटा कम संवेदनशीलता का है (स्यूडोनिमाइज्ड विश्लेषण, वेबसाइट आगंतुक मेटाडेटा)। फॉर्म सबमिशन में वेबसाइट के आधार पर मध्यम-संवेदनशीलता डेटा (नाम, ईमेल पते, संदेश) हो सकते हैं। |
| स्यूडोनिमाइजेशन प्रभावशीलता | विश्लेषण डेटा को दैनिक-रोटेटिंग हैश घटकों (IP + यूजर-एजेंट + तारीख) तक पहुंच के बिना व्यक्तियों से नहीं जोड़ा जा सकता, जो संग्रहीत नहीं हैं। |
| एक्सपोज़र का दायरा | किसी भी सरकारी पहुंच को पूरे प्लेटफॉर्म के बजाय विशिष्ट खातों या वेबसाइटों तक सीमित किया जाएगा। समर्पित स्टोरेज इंस्टेंस के माध्यम से प्रति-वेबसाइट डेटा अलगाव किसी भी संभावित समझौते के दायरे को सीमित करता है। EU-निवासी वेबसाइट ऑपरेटरों के लिए, स्थायी स्टोरेज और स्वचालित आगंतुक-मुखी प्रसंस्करण (सामग्री सबमिशन सूचनाएं और ट्रांजेक्शनल ईमेल डिलीवरी) EU तक प्रतिबंधित हैं, इस डेटा के लिए US सरकारी पहुंच के एक्सपोज़र को और सीमित करते हैं। |
समग्र प्रभाव: निम्न से मध्यम (व्यक्तिगत वेबसाइट ऑपरेटरों द्वारा एकत्र किए गए डेटा की संवेदनशीलता पर निर्भर)
7.3 अवशिष्ट जोखिम आकलन
सरकारी पहुंच की कम संभावना, पूरक तकनीकी उपायों (एन्क्रिप्शन, स्यूडोनिमाइजेशन, डेटा न्यूनतमीकरण) और EO 14086 द्वारा पेश किए गए अतिरिक्त सुरक्षा उपायों को ध्यान में रखते हुए, हम मूल्यांकन करते हैं कि डेटा विषयों के लिए अवशिष्ट जोखिम कम है और पूरक उपाय, SCC (EEA/UK/स्विट्जरलैंड स्थानांतरण के लिए) और संविदात्मक सुरक्षा (कनाडाई स्थानांतरण के लिए) के साथ मिलकर, EEA के भीतर गारंटीकृत के अनिवार्य रूप से समकक्ष और कनाडाई गोपनीयता कानून के तहत आवश्यक के तुलनीय सुरक्षा का स्तर प्रदान करते हैं।
8. निष्कर्ष
इस आकलन के आधार पर, हम निष्कर्ष निकालते हैं कि:
हमारी सेवाओं के प्रावधान के संबंध में EEA/UK/स्विट्जरलैंड/कनाडा से संयुक्त राज्य अमेरिका में स्थानांतरित व्यक्तिगत डेटा EU डेटा संरक्षण कानून के तहत गारंटीकृत के अनिवार्य रूप से समकक्ष सुरक्षा के स्तर और कनाडाई गोपनीयता कानून के तहत आवश्यक के तुलनीय सुरक्षा के स्तर से लाभान्वित होता है।
मानक संविदात्मक खंड, धारा 6 में वर्णित पूरक तकनीकी, संगठनात्मक और संविदात्मक उपायों के साथ संयुक्त, इस आकलन में पहचाने गए जोखिमों को पर्याप्त रूप से संबोधित करते हैं।
डेटा की प्रकृति (मुख्य रूप से स्यूडोनिमाइज्ड विश्लेषण और छोटे व्यवसाय वेबसाइट आगंतुक इंटरैक्शन) और डेटा आयातक का प्रोफ़ाइल (एक छोटी SaaS कंपनी, दूरसंचार प्रदाता नहीं) सरकारी निगरानी के व्यावहारिक जोखिम को काफी कम करते हैं।
कार्यकारी आदेश 14086 और संबंधित निवारण तंत्र द्वारा पेश की गई सुरक्षा अतिरिक्त सुरक्षा उपाय प्रदान करती है जो उपयोग किए गए विशिष्ट स्थानांतरण तंत्र की परवाह किए बिना सभी डेटा विषयों को लाभान्वित करती है।
कनाडाई स्थानांतरण के लिए, यहां वर्णित संविदात्मक सुरक्षा और पूरक उपाय PIPEDA और लागू प्रांतीय गोपनीयता कानून के तहत आवश्यक के तुलनीय सुरक्षा के स्तर को सुनिश्चित करते हैं, जिसमें क्यूबेक का आधुनिकीकृत गोपनीयता कानून शामिल है।
हम US निगरानी कानून और अभ्यास में विकास की निगरानी जारी रखेंगे, साथ ही कनाडाई गोपनीयता कानून में विकास (प्रस्तावित उपभोक्ता गोपनीयता संरक्षण अधिनियम सहित), और इस TIA का पुनर्मूल्यांकन करेंगे यदि परिस्थितियां महत्वपूर्ण रूप से बदलती हैं।
SCC और यहां वर्णित पूरक उपायों के निरंतर आवेदन के अधीन स्थानांतरण आगे बढ़ सकते हैं।
9. समीक्षा अनुसूची
इस TIA की समीक्षा और अद्यतन किया जाएगा:
- वार्षिक रूप से, न्यूनतम, या
- लागू कानूनों या विनियमों में सामग्री परिवर्तन पर (FISA, CLOUD Act, EO 14086, PIPEDA, या कनाडाई प्रांतीय गोपनीयता कानून में परिवर्तन सहित),
- हमारे उप-प्रोसेसर में परिवर्तन या स्थानांतरित डेटा की प्रकृति पर,
- किसी भी न्यायालय निर्णय पर जो SCC की वैधता या US डेटा सुरक्षा की पर्याप्तता को महत्वपूर्ण रूप से प्रभावित करता है।
10. हमसे संपर्क करें
यदि आपके इस स्थानांतरण प्रभाव आकलन के बारे में प्रश्न हैं, तो कृपया हमसे संपर्क करें:
Acira AI LLC
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
United States
फोन: 888-389-1189
ईमेल: legal@acira.ai
आपकी गोपनीयता, हमारी प्राथमिकता
हम आपका डेटा नहीं बेचते, ट्रैकिंग कुकीज़ का उपयोग नहीं करते — इसीलिए आपको यहाँ कुकी बैनर नहीं दिखेगा। हम Global Privacy Control का सम्मान करते हैं, और EU ग्राहकों के लिए, विज़िटर डेटा विशेष रूप से यूरोपीय संघ के भीतर संग्रहीत और संसाधित किया जाता है।
Acira AI
AI के साथ सुंदर वेबसाइट बनाएं। कोडिंग की जरूरत नहीं।
गर्व से संयुक्त राज्य अमेरिका में निर्मित
© 2026 Acira AI LLC. सभी अधिकार सुरक्षित।