Тасымалдау әсерін бағалау
ДЕРЕКТЕРДІ ТАСЫМАЛДАУДЫҢ ЫҚПАЛЫН БАҒАЛАУ
Соңғы жаңарту: 2026 жылғы 19 наурыз
Бұл Деректерді тасымалдаудың ықпалын бағалауды («TIA») Acira AI LLC («Acira AI,» «біз,» «бізді») Еуропалық Одақ Сот Сотының Data Protection Commissioner v. Facebook Ireland Limited and Maximillian Schrems ісіндегі (C-311/18 іс, «Schrems II») шешімінің талаптарына және Еуропалық деректерді қорғау кеңесінің ұсыныстарына (EDPB 01/2020 ұсыныстары қосымша шаралар бойынша) сәйкес дайындаған.
Бұл TIA Еуропалық экономикалық аймақтан («ЕЭА»), Ұлыбританиядан («UK»), Швейцариядан және Канададан АҚШ-қа және Қызметтерімізді ұсынуға байланысты басқа үшінші елдерге берілетін жеке деректерді қорғаудың жеткіліктілігін бағалайды.
Бұл TIA ыңғайлылық үшін басқа тілдерге аударылуы мүмкін. Ағылшын нұсқасы мен кез келген аударылған нұсқа арасында қайшылық немесе сәйкессіздік болған жағдайда, ағылшын нұсқасы басым болады.
МАЗМҰНЫ
- ТАСЫМАЛДАУЛАРҒА ШОЛУ
- БЕРІЛЕТІН ДЕРЕКТЕРДІҢ СИПАТЫ
- ТАСЫМАЛДАУ МЕХАНИЗМДЕРІ
- ТАҒАЙЫНДАЛҒАН ЕЛДЕР ЗАҢНАМАСЫН БАҒАЛАУ
- ҚЫЗМЕТ ПРОВАЙДЕРІ БОЙЫНША ДЕРЕКТЕР АҒЫНЫН БАҒАЛАУ
- ҚОСЫМША ШАРАЛАР
- ТӘУЕКЕЛДІ БАҒАЛАУ
- ҚОРЫТЫНДЫ
- ТЕКСЕРУ КЕСТЕСІ
- БІЗБЕН БАЙЛАНЫС
1. ТАСЫМАЛДАУЛАРҒА ШОЛУ
1.1 Контекст
Acira AI — бизнеске және жеке тұлғаларға жасанды интеллектке негізделген веб-сайттар жасауға, басқаруға және орналастыруға мүмкіндік беретін қызмет ретіндегі бағдарламалық жасақтама (SaaS) платформасы. Пайдаланушылар ЕЭА-да, UK-та, Швейцарияда немесе Канадада орналасқан келушілер кіретін веб-сайттар жасаған кезде, осы келушілердің жеке деректері АҚШ-қа және біздің инфрақұрылым провайдерлері жұмыс істейтін басқа жерлерге берілуі және өңделуі мүмкін.
1.2 Тараптар
- Деректерді экспорттаушы: Веб-сайт операторы (Бақылаушы ретінде әрекет ететін біздің клиент) және аналитика деректері үшін Acira AI Бірлескен бақылаушы ретінде.
- Деректерді импорттаушы: Acira AI LLC, АҚШ-тың Невада штатында тіркелген, Өңдеуші ретінде (және аналитика үшін Бірлескен бақылаушы ретінде) әрекет ететін.
- Ішкі өңдеушілер: Acira AI тартқан үшінші тарап қызмет провайдерлері (5-бөлімде тізімделген).
1.3 Тасымалдау тағайындалымдары
| Тағайындалым | Провайдерлер | Негіз |
|---|---|---|
| АҚШ және Еуропалық Одақ (Стокгольм) | AWS | SCCs + Қосымша шаралар (АҚШ); ЕО тұрғындары үшін автоматтандырылған келушіге бағытталған операциялар үшін ЕЭА ішінде |
| АҚШ | Stripe, Fireworks AI, xAI | SCCs + Қосымша шаралар |
| Жаһандық (edge орындары) | Cloudflare | SCC + Қосымша шаралар |
| Израиль | BrightData (тек пайдаланушы нұсқауымен) | SCC + Қосымша шаралар |
| Еуропалық Одақ | Black Forest Labs, ScreenshotOne, CloudConvert | ЕЭА ішіндегі (тасымалдау механизмі қажет емес) |
2. БЕРІЛЕТІН ДЕРЕКТЕРДІҢ СИПАТЫ
2.1 Жеке деректер категориялары
Берілетін жеке деректер веб-сайт операторы қосқан функциялар мен веб-сайт келушілерінің өзара әрекетіне байланысты. Келесі категориялар берілуі мүмкін:
| Деректер категориясы | Сипаттама | Сезімталдық | Көлем |
|---|---|---|---|
| Аналитикалық идентификаторлар | IP + User-Agent + күн күнделікті айналатын криптографиялық хэш (псевдонимделген) | Төмен | Жоғары (әрбір бет көрінісі) |
| Келуші метадеректері | Ел, аймақ, тіл, құрылғы түрі, браузер, ОЖ, сілтеме домені, UTM параметрлері | Төмен | Жоғары (әрбір бет көрінісі) |
| IP мекенжайлары | Форма жіберулері мен чатбот сөйлесулерімен метадеректер ретінде сақталған; аналитика үшін хэшталған; бот сынағын тексеру үшін уақытша пайдаланылады; жылдамдықты шектеу үшін уақытша сақталады (7 күнге дейін) | Орташа | Орташа |
| Форма жіберу мазмұны | Келушілер жіберген еркін мәтін өрістері (аттар, электрондық пошта, хабарлар, т.б.) | Өзгермелі (формаға байланысты) | Төменнен ортаға дейін |
| Чатбот хабарлары | Келуші хабарлары мен AI жасаған жауаптар (хабар басына ең көп 2 000 таңба) | Төменнен ортаға дейін | Төмен |
| Файл жүктеулер | Веб-сайт пішіндері арқылы келушілер жүктеген файлдар (суреттер, құжаттар) | Өзгермелі | Төмен |
| Сессия идентификаторлары | Серверлік сессия идентификаторлары және клиенттік сессия cookie-лері | Төмен | Жоғары |
| Аутентификация тіркелгі деректері | Веб-сайттың қорғалған аймақтарының құпия сөздері (тек хэшталған түрде сақталады) | Жоғары (бірақ хэшталған) | Төмен |
2.2 Деректер субъектілерінің категориялары
- Acira AI платформасында орналасқан веб-сайттардың келушілері
- Платформада орналасқан веб-сайттарда тіркелгі жасаған пайдаланушылар
- Орналасқан веб-сайттарда пішіндер жіберген, чатботтармен өзара әрекет еткен немесе файлдар жүктеген пайдаланушылар
2.3 Берілмейтін деректер
- Геолокация деректері: IP-ден орынды іздеу желі шетінде біздің инфрақұрылым провайдері арқылы орындалады. Келуші IP мекенжайлары кез келген сыртқы геолокация қызметіне берілмейді.
- Аналитиканың шикі IP мекенжайлары: Тек күнделікті айналатын криптографиялық хэш сақталады; шикі IP аналитика жүйелерінде сақталмайды.
- Ашық мәтіндегі құпия сөздер: Тек криптографиялық хэштер сақталады және беріледі.
3. ТАСЫМАЛДАУ МЕХАНИЗМДЕРІ
3.1 Негізгі механизм: Стандартты келісімшарттық шарттар
Комиссияның (ЕО) 2021/914 іске асыру шешімімен қабылданған Еуропалық комиссияның Стандартты келісімшарттық шарттарына (SCC) сүйенеміз, атап айтқанда:
- 1-модуль (Бақылаушыдан бақылаушыға): Acira AI веб-сайт операторымен бірлескен бақылаушы ретінде әрекет ететін аналитика деректерін тасымалдау үшін (DPA 2.3-бөлімін қараңыз).
- 2-модуль (Бақылаушыдан өңдеушіге): Веб-сайт операторынан (Бақылаушыдан) Acira AI-ге (Өңдеушіге) келуші жеке деректерін тасымалдау үшін.
- 3-модуль (Өңдеушіден ішкі өңдеушіге): Acira AI-ден ішкі өңдеушілерге одан әрі тасымалдау үшін.
3.2 UK, Швейцария және Канададан тасымалдаулар
- UK: EU SCC-леріне UK халықаралық деректерді тасымалдау қосымшасы қолданылады.
- Швейцария: SCC-лер Швейцарияның Федералдық деректерді қорғау туралы заңы (FADP) талап ететін өзгертулермен қолданылады.
- Канада: Тасымалдаулар Жеке ақпаратты қорғау және электрондық құжаттар туралы заңмен (PIPEDA) және қолданылатын провинциялық құпиялылық заңнамасымен сәйкес міндеттемелер белгілейтін әрбір ішкі өңдеушімен жасалған шарттық қорғауға сүйенеді, 6-бөлімде сипатталған қосымша техникалық және ұйымдастырушылық шаралармен үйлестіріледі. Толығырақ DPA 7.4-бөлімін қараңыз.
3.3 Ішкі өңдеуші тасымалдау механизмдері
| Ішкі өңдеуші | Тасымалдау механизмі |
|---|---|
| Amazon Web Services | SCC (AWS DPA), ISO 27001/27017/27018 сертификатталған |
| Cloudflare | SCC (Cloudflare DPA), ISO 27001 сертификатталған |
| Stripe | SCC (Stripe DPA), PCI DSS 1-деңгей сертификатталған |
| Fireworks AI | SCC (Fireworks AI DPA), SOC 2 Type II, ISO 27001/27701/42001 сертификатталған |
| xAI | SCC (EU SCC бар xAI DPA) |
| BrightData | SCC (BrightData DPA) |
4. ТАҒАЙЫНДАЛҒАН ЕЛДЕР ЗАҢНАМАСЫН БАҒАЛАУ
4.1 АҚШ
АҚШ берілетін деректердің негізгі тағайындалымы болып табылады. Келесі АҚШ заңдары осы бағалауға қатысты:
4.1.1 Шетелдік барлауды бақылау туралы заң (FISA), 702-бөлім
FISA 702-бөлімі шетелдік барлау мақсатында АҚШ сыртында орналасқан АҚШ азаматы емес адамдардың байланыстарына қол жеткізуді қамтамасыз ету үшін электрондық байланыс қызметтерінің провайдерлерін мәжбүрлеу үшін АҚШ үкіметіне уәкілеттік береді.
Тәуекелді бағалау:
- Қолданылуы: FISA 702-бөлімі 50 U.S.C. § 1881(b)(4)-те анықталған «электрондық байланыс қызметтерінің провайдерлеріне» қолданылады. Acira AI — SaaS веб-сайт хостинг платформасы, дәстүрлі телекоммуникация провайдері емес. Біздің ішкі өңдеушілеріміз (AWS, Cloudflare) 702-бөлім директивалары бойынша объект болуы ықтималдылығы жоғарырақ.
- Қауіп астындағы деректер ауқымы: Өңдейтін жеке деректеріміз негізінен веб-сайт келушілерінің аналитикасынан (псевдонимделген), форма жіберулерінен және чатбот хабарларынан тұрады. Бұл деректер шетелдік барлаудың қызығушылығын туғызуы мүмкін емес.
- Практикалық ықтималдық: Біз ешқашан FISA 702-бөлімінің директивасын алған емеспіз және Қызметтеріміздің сипаты мен өңдейтін деректерімізді ескере отырып, мұндай директива алу практикалық ықтималдығын өте төмен деп бағалаймыз.
4.1.2 12333 Атқарушы бұйрық
EO 12333 АҚШ барлау агенттіктеріне сигналдық барлауды жаппай жинауды қоса алғанда, бақылау қызметтерін жүзеге асыруға уәкілеттік береді. Транзиттегі деректерге қолданылады және жеке компанияларды ынтымақтасуға мәжбүрлемейді.
Тәуекелді бағалау:
- Азайту: Транзиттегі барлық деректер TLS арқылы шифрланған. Транзиттегі шифрланған деректерді жаппай ұстап алу ашық мәтіндегі жеке деректер бермейді.
- Практикалық ықтималдық: Төмен. Біздің Қызметтеріміз арқылы өңделетін деректер әдетте сигналдық барлаудың нысаны болатын сипатта емес.
4.1.3 14086 Атқарушы бұйрық және ЕО-АҚШ деректерінің құпиялылық шеңбері
14086 Атқарушы бұйрық (2022 жылғы қазан) сигналдық барлау қызметтеріне қосымша кепілдіктер енгізді:
- Барлауды жинауға қажеттілік пен пропорционалдылық талаптары
- ЕО/UK/Швейцария азаматтары үшін қолжетімді екі деңгейлі құқықтық қорғау механизмі (Азаматтық бостандықтарды қорғаушы офицер + Деректерді қорғауды қарап шығу соты)
- Жаппай жинауды шектеу
Еуропалық комиссия 2023 жылғы 10 шілдеде ЕО-АҚШ деректерінің құпиялылық шеңбері (DPF) бойынша жеткіліктілік шешімін қабылдады. Acira AI қазіргі уақытта DPF бойынша өзін-өзі сертификаттамаса да, EO 14086 бойынша қорғау АҚШ-қа барлық деректер тасымалдауына жалпыға бірдей қолданылады және пайдаланылатын тасымалдау механизміне қарамастан барлық деректер субъектілеріне пайда береді.
4.1.4 CLOUD заңы
Деректерді шетелде заңды пайдалануды нақтылау (CLOUD) заңы АҚШ-тағы құқық қорғау органдарына жарамды ордер немесе сот бұйрығы негізінде деректер қай жерде сақталатынына қарамастан, АҚШ-та орналасқан провайдерлерді деректер ұсынуға мәжбүрлеуге мүмкіндік береді.
Тәуекелді бағалау:
- Кепілдіктер: CLOUD заңы жарамды заңды процедураны (ордер, шақыру немесе сот бұйрығы) талап етеді. Ордерсіз жаппай кіруге рұқсат бермейді.
- Comity ережелері: CLOUD заңы провайдерлерге шетелдік заңмен қайшылықты бұйрықтарға қарсу жасауға мүмкіндік беретін comity шеңберін қамтиды.
- Практикалық ықтималдық: Веб-сайт келушілерінің деректері үшін төмен. Құқық қорғау органдарының сұраулары келушілер аналитикасын немесе форма жіберулерін емес, қылмыстық қызметке күдікті нақты тіркелгілерді нысана алатын ықтималдығы жоғарырақ.
4.2 Израиль (BrightData)
BrightData Израильде орналасқан. Израильде Еуропалық комиссияның жеткіліктілік шешімі (2011/61/EU) бар, яғни Израильге тасымалдаулар ЕЭА ішіндегі тасымалдауларға ұқсас түрде қарастырылады. Алайда, BrightData деректерді басқа жаһандық орындарда да өңдейді. Мыналарды атап өтеміз:
- BrightData өңдеу тек пайдаланушы нұсқауымен (мазмұнды импорттау үшін веб-сайт жасау кезінде) немесе жоспарланған SERP бақылауы кезінде жүзеге асырылады.
- Веб-сайт келушісінің ешқандай жеке деректері BrightData-ға берілмейді.
4.3 Канада (Канададан АҚШ-қа тасымалдаулар)
Канадада орналасқан веб-сайт келушілерінің жеке деректері өңдеу үшін АҚШ-қа берілуі мүмкін. Келесі канадалық заңдар осы бағалауға қатысты:
4.3.1 Жеке ақпаратты қорғау және электрондық құжаттар туралы заң (PIPEDA)
PIPEDA коммерциялық қызмет барысында жеке сектор ұйымдарының жеке ақпаратты жинауын, пайдалануын және ашуын реттейді. PIPEDA 4.1.3 қағидасы ұйымдардан Канададан тыс тасымалдауларды қоса алғанда, жеке ақпаратты өңдеу үшін үшінші тараптарға берген кезде шарттық немесе басқа құралдарды пайдалану арқылы салыстырмалы деңгейдегі қорғауды қамтамасыз етуді талап етеді.
Тәуекелді бағалау:
- Салыстырмалы қорғау: 6-бөлімде сипатталған қосымша шаралар (шифрлау, псевдонимдеу, қол жеткізуді басқару, деректерді барынша азайту) PIPEDA талап ететін қорғау деңгейіне салыстырмалы қорғау деңгейін қамтамасыз етеді. Жазбаша деректерді өңдеу келісімдері барлық ішкі өңдеушілермен жасалған.
- Жеткіліктілік талабы жоқ: GDPR-дан айырмашылығы, PIPEDA «жеткіліктілік» тұжырымы жоқ елдерге тасымалдауды тыймайды. Ұйымдар шарттық және басқа құралдар арқылы салыстырмалы қорғауды қамтамасыз етуі тиіс, мұны біз жүзеге асырдық.
4.3.2 Провинциялық құпиялылық заңнамасы
Альбертаның жеке ақпаратты қорғау туралы заңы (PIPA), Британдық Колумбияның жеке ақпаратты қорғау туралы заңы (PIPA) және Квебектің жеке секторда жеке ақпаратты қорғауға қатысты заңы белгілі провинциялар үшін қосымша талаптар белгілейді:
Тәуекелді бағалау:
- Квебек 25-заңы: Квебектің жаңартылған құпиялылық заңы (2023 жылғы қыркүйектен бастап қолданыста) Квебектен тыс жеке ақпаратты тасымалдаудан бұрын құпиялылыққа ықпал ету бағалауын талап етеді және тасымалдаушы ұйым ақпарат тиісті қорғауды алатынына сенімді болуы тиіс. Шарттық қорғауымыз, қосымша техникалық шараларымыз және деректер сипаты (негізінен псевдонимделген аналитика мен шағын бизнес веб-сайтының өзара әрекеттері) тиісті қорғаудың тұжырымын қолдайды.
- Альберта және BC: Альберта мен BC-тің PIPA ұйымдардан берілген деректерді салыстырмалы қорғауды қамтамасыз етуін талап етеді. Шарттық және техникалық кепілдіктеріміз осы талапты орындайды.
4.3.3 Канадалық тұрғыдан АҚШ үкіметінің қол жеткізуі
4.1-бөлімде бағаланған АҚШ үкіметінің қол жеткізу тәуекелдері канадалық деректер тасымалдауларына да қолданылады. Үкімет қол жеткізуінің төмен ықтималдығы (деректер сипаты мен компания профилімізді ескере отырып), 6-бөліміндегі қосымша шаралармен үйлестіре отырып, Канададан АҚШ-қа берілген жеке деректер Канада құпиялылық заңнамасы талап ететін қорғау деңгейіне салыстырмалы деңгейдегі қорғауды алатынын қамтамасыз етеді.
4.4 Жаһандық Edge орындары (Cloudflare)
Cloudflare шеткі орындардың жаһандық желісін басқарады. ЕО келушілерінің сұраулары әдетте ең жақын Cloudflare қатысу нүктесінде өңделеді, ЕО келушілері үшін бұл әдетте ЕО орны болады.
- Сұрауды маршруттау, TLS тоқтату және боттан қорғау ең жақын edge орнында жүзеге асырылады.
- ЕО тұрғындары ретінде анықталған веб-сайт операторлары үшін, тұрақты сақтау (пішін жіберулері, чатбот сөйлесулері және сессия деректерін қамтиды) Cloudflare юрисдикция API арқылы Еуропалық Одаққа юрисдикциялық тұрғыда шектелген. ЕО-дан тыс веб-сайт операторлары үшін, тұрақты сақтау оператордың географиялық аймағының жанында орналасқан, бірақ ЕО-дан тыс болуы мүмкін.
- Аналитикалық деректер Cloudflare-де басқарылатын инфрақұрылымда өңделеді.
5. ҚЫЗМЕТ ПРОВАЙДЕРІ БОЙЫНША ДЕРЕКТЕР АҒЫНЫН БАҒАЛАУ
5.1 Amazon Web Services (АҚШ)
| Деректер ағыны | Қатысатын жеке деректер | Мақсат |
|---|---|---|
| Дерекқор сақтау | Пішін жіберу метадеректері (IP, ел, аймақ), чатбот сөйлесу жазбалары, файл метадеректері, сессия жазбалары | Веб-сайт келушілері деректерін тұрақты сақтау |
| Файл сақтау | Жүктелген файлдар (суреттер, құжаттар), орналастыру суреттері | Файл сақтау |
| ЖИ қорытындысы | Файл мазмұны (ЖИ сипаттамалары үшін), электрондық пошта мазмұны (спам анықтау үшін) | ЖИ негізіндегі сипаттамалар және спам жіктеу |
| Мазмұнды модерация | Жүктелген суреттер | Мазмұнды модерация (жалаңаштық/айқын мазмұнды анықтау) |
| Электрондық пошта жеткізілімі | Электрондық пошта мекенжайлары, хабарлама мазмұны | Транзакциялық электрондық пошта жеткізілімі және мазмұн жіберу хабарландырулары. ЕО-да тұратын веб-сайт операторлары үшін бұл операциялар Еуропалық Одақта (Стокгольм) өңделеді. |
| Тіл анықтау | Электрондық пошта хабар мәтіні | Тіл анықтау |
AWS кепілдіктері:
- ISO 27001, 27017, 27018 сертификатталған
- SOC 1/2/3 есептері қолжетімді
- Деректер тыныштықта индустрия стандартты шифрлауды пайдаланып шифрланған
- Транзиттегі деректер шифрланған (TLS)
- Жүйе компоненті бойынша ең аз артықшылық қатынас бақылаулары
- Негізгі қызметтер АҚШ-та орналастырылған; ЕО-да тұратын веб-сайт операторлары үшін автоматтандырылған келушіге бағытталған операциялар (мазмұн жіберу хабарландырулары және транзакциялық электрондық пошта жеткізілімі) Еуропалық Одақта (Стокгольм) өңделеді
5.2 Cloudflare (жаһандық)
| Деректер ағыны | Қатысатын жеке деректер | Мақсат |
|---|---|---|
| Edge маршруттау | IP мекенжайлары, HTTP тақырыптары, сұрау URL-дары | Сұрауды маршруттау, DDoS қорғанысы, TLS тоқтату |
| Веб-сайт хостингі | Бет мазмұны, келуші метадеректері | Веб-сайт хостингі және жеткізу |
| Тұрақты сақтау | Пішін жіберулері, чатбот сөйлесулері, сессия деректері, пайдаланушы кесте деректері | Веб-сайт бойынша күйлі сақтау |
| Аналитика | Псевдонимделген келуші хэші, ел, құрылғы, браузер, реферер, UTM | Құпиялылыққа қолайлы келуші аналитикасы |
| ЖИ қорытындысы | Чатбот хабарлары, пішін өрісі қысқашалары | ЖИ чатбот жауаптары, спам анықтау |
| Asset сақтау | Веб-сайт активтері (суреттер, файлдар) | Статикалық актив сақтау және CDN жеткізу |
Cloudflare кепілдіктері:
- ISO 27001 сертификатталған, SOC 2 Type II
- Барлық қосылымдар үшін TLS 1.2+
- SCC бар Cloudflare DPA қолжетімді
- Edge өңдеу ЕО келушілерінің деректері сұрауды өңдеу үшін әдетте ЕО edge орындарында өңделетінін білдіреді
- ЕО тұрғындары ретінде анықталған веб-сайт операторлары үшін тұрақты сақтау (формадан жіберілгендерді, чатбот әңгімелерін, сеанс деректерін және пайдаланушы кесте деректерін қамтитын) Cloudflare юрисдикция API-сін пайдаланып Еуропалық Одаққа юрисдикциялық түрде шектелген, бұл деректердің тек ЕО деректер орталықтарында сақталуын және өңделуін қамтамасыз етеді. Шетінен бэкенд API қоңыраулары (мазмұн жіберу хабарландырулары және транзакциялық электрондық пошта жеткізілімі үшін) ЕО-да орналасқан AWS инфрақұрылымына бағытталады.
- ЖИ қорытындысы оқыту үшін кіріс деректерін сақтамайды
5.3 Stripe (АҚШ)
| Деректер ағыны | Қатысатын жеке деректер | Мақсат |
|---|---|---|
| Төлемді өңдеу | Веб-сайт операторының есептеу деректері (аты, электрондық пошта, төлем әдісі) | Жазылым және домен төлемін өңдеу |
Ескертпе: Stripe веб-сайт келушісінің жеке деректерін алмайды. Stripe тек веб-сайт операторының (біздің клиентіміздің) есептеу ақпаратын өңдейді.
Stripe кепілдіктері:
- PCI DSS 1-деңгей сертификатталған
- ISO 27001 сертификатталған
- SCC бар Stripe DPA қолжетімді
5.4 AI inference провайдерлері (АҚШ)
Fireworks AI және xAI AI модель inference қызметтерін ұсынады.
| Деректер ағыны | Қатысатын жеке деректер | Мақсат |
|---|---|---|
| Мәтін жасау (веб-сайт мазмұны) | Веб-сайт мазмұны (келуші деректері емес) | Веб-сайт мазмұнын жасау және өңдеу |
| Кескін жасау | Мәтін нұсқаулары (келуші деректері емес) | Веб-сайттар үшін кескін жасау |
| Сөйлесу AI (чат агенті) | Платформа пайдаланушысының аты, электрондық поштасы, тіл таңдауы және сөйлесу тарихы | Платформа пайдаланушылары (веб-сайт операторлары) үшін AI-мен басқарылатын көмекші |
Ескертпе: Бұл AI провайдерлері веб-сайт келушісінің жеке деректерін алмайды. Чатбот функциясы (веб-сайт келушілеріне қызмет ететін) Cloudflare Workers AI-ді (5.2-бөлімде бағаланған) пайдаланады, бұл провайдерлерді емес. Алайда, платформаның сөйлесу AI көмекшісі — веб-сайт операторлары веб-сайттарын басқару үшін пайдаланатын — жауап беру бөлігі ретінде осы провайдерлерге платформа пайдаланушысының жеке деректерін (аты, электрондық пошта мекенжайы және сөйлесу тарихы) жібереді. Осы өңдеу үшін Acira AI бақылаушы (өңдеуші емес) ретінде әрекет етеді және деректер субъектілері біздің платформа пайдаланушыларымыз (веб-сайт операторлары) болып табылады, олардың веб-сайт келушілері емес. Бұл деректер ағыны келуші деректері үшін DPA бақылаушы-өңдеуші шеңберімен емес, Құпиялылық саясатымыз бен осы провайдерлермен жасалған келісімдерімізбен реттеледі.
Модель отбасылары: Бұл инфрақұрылым провайдерлері әртүрлі үшінші тараптар әзірлеген ЖИ модельдерін орналастырады және орындайды. Пайдаланылатын нақты модельдер мен модель отбасылары уақыт өте өзгеруі мүмкін. Модель әзірлеушілері пайдаланушы деректерін алмайды немесе оларға қол жеткізбейді — барлық деректер өңдеу тек тізімделген ішкі өңдеушілердің инфрақұрылымында жүргізіледі, модель бастапқыда қайда әзірленгеніне қарамастан. Барлық ЖИ қорытындысы өңдеу тізімделген ішкі өңдеушілеріміздің инфрақұрылымында қалады. Пайдаланушы деректері модель әзірлеушілеріне немесе осы бағалауда тізімделген ішкі өңдеушілерден тыс инфрақұрылымға берілмейді. Қазіргі уақытта пайдаланылатын модель отбасыларының ағымдағы тізімі legal@acira.ai арқылы хабарласу арқылы сұраныс бойынша қол жетімді.
5.5 BrightData (Израиль / жаһандық)
| Деректер ағыны | Қатысатын жеке деректер | Мақсат |
|---|---|---|
| Веб деректерін жинау | Жалпыға қолжетімді веб мазмұн (келуші деректері емес) | Веб-сайт жасау кезінде мазмұнды импорттау (пайдаланушы нұсқауымен) |
| SERP бақылау | Іздеу кілт сөздері (келуші деректері емес) | Кілт сөз рейтингін бақылау |
Ескертпе: BrightData веб-сайт келушісінің жеке деректерін өңдемейді. Пайдаланушы нұсқаулары бойынша жалпыға қолжетімді веб мазмұнды өңдейді және пайдаланушы анықтаған кілт сөздер үшін іздеу жүйесінің рейтингін қадағалайды.
5.6 ЕО-да орналасқан провайдерлер (тасымалдаусыз)
| Провайдер | Орналасқан жері | Мақсат |
|---|---|---|
| Black Forest Labs | Германия (ЕО) | AI кескін жасау (Flux модельдері) |
| ScreenshotOne | Еуропалық Одақ | Веб-сайт скриншотын түсіру |
| CloudConvert | Германия (ЕО) | Файл форматын түрлендіру |
Бұл провайдерлер ЕО ішінде деректерді өңдейді және халықаралық тасымалдауды білдірмейді. Black Forest Labs тек кескін жасау үшін мәтін нұсқауларын алады; жеке деректер қатыспайды.
6. ҚОСЫМША ШАРАЛАР
SCC-лерден басқа, берілетін жеке деректер үшін мәні бойынша баламалы қорғау деңгейін қамтамасыз ету үшін келесі қосымша шараларды жүзеге асырамыз:
6.1 Техникалық шаралар
| Шара | Сипаттама |
|---|---|
| Транзиттегі шифрлау | Келушілер, шеткі желі және бэкенд қызметтері арасында берілетін барлық деректер TLS арқылы шифрланған (ең аз TLS 1.2). Ішкі қызметтер арасындағы байланыс шифрланған арналарды пайдаланады. |
| Тыныштықтағы шифрлау | Барлық дерекқор жазбалары, файл сақтау және шеткі орналасқан тұрақты сақтау тиісті инфрақұрылым провайдері басқаратын индустрия стандартты шифрлауды пайдаланып тыныштықта шифрланған. |
| Псевдонимдеу | Келуші аналитикасы шикі IP мекенжайларын сақтаудың орнына күнделікті айналатын криптографиялық хэшті (IP + User-Agent + күн) пайдаланады. Бұл хэшті кері айналдыру мүмкін емес және 24 сағат сайын айналады, күндер бойынша қадағалауды болдырмайды. |
| Деректерді минимизациялау | Аналитика тек жинақтама деңгейдегі метадеректерді жинайды (ел, құрылғы түрі, браузер). Аналитикада шикі IP мекенжайлары сақталмайды. Чатбот хабарлары 2 000 таңбамен шектелген. |
| Құпия сөзді хэштеу | Барлық келуші құпия сөздері (веб-сайттың қорғалған аймақтары үшін) сақтаудан бұрын пайдаланушы бойынша кездейсоқ тұздарды пайдаланатын күшті криптографиялық алгоритмдер арқылы хэшталған. Ашық мәтіндегі құпия сөздер ешқашан сақталмайды немесе берілмейді. |
| Қатынас бақылаулары | Ең аз артықшылық қатынас саясаттары жүйенің әрбір компонентін тек қажетті ресурстармен шектейді. Веб-сайт бойынша API токендері жеке веб-сайттарға қатынасты белгілейді. |
| Желі оқшаулау | Бэкенд қызметтері ішкі желілер арқылы байланысады. Веб-сайт хостингі оқшауланған орындау sandboxтарында жұмыс істейді. Пайдаланушы кодын орындау WebAssembly негізіндегі sandboxingті пайдаланады. |
| Юрисдикциялық деректер резиденциясы | ЕО тұрғындары ретінде анықталған веб-сайт операторлары үшін келушілер деректерін (формадан жіберілгендер, чатбот әңгімелері, сеанс деректері және пайдаланушы кесте деректері) қамтитын тұрақты сақтау Еуропалық Одаққа юрисдикциялық түрде шектелген, бұл деректердің тек ЕО деректер орталықтарында сақталуын және өңделуін қамтамасыз етеді. Автоматтандырылған келушіге бағытталған операциялар (мазмұн жіберу хабарландырулары және транзакциялық электрондық пошта жеткізілімі) да ЕО-да орналасқан инфрақұрылымда өңделеді. |
| Автоматты жою | Сессия деректері 30 күн белсенсіздіктен кейін мерзімі өтеді. Уақытша файлдар 24 сағат ішінде жойылады. Бот сынағы деректері эфемерлік болып табылады және сақталмайды. |
6.2 Ұйымдастырушылық шаралар
| Шара | Сипаттама |
|---|---|
| Персоналдың құпиялылығы | Жеке деректерге қол жеткізуі бар барлық персонал құпиялылық міндеттемелерімен байланған. |
| Ішкі өңдеушілерге тиісті тексеру жүргізу | Ішкі өңдеушілер тартылғанға дейін олардың қауіпсіздік тәжірибелері мен деректерді қорғауға сәйкестігі бағаланады. Жазбаша ДОК-лар барлық ішкі өңдеушілермен жасалған. |
| Инциденттерге жауап беру | Бұзушылық туралы хабарлау рәсімдері жеке деректер бұзушылығын растаудан 72 сағат ішінде бақылаушыларды хабарлауды қамтамасыз етеді. |
| Деректерді сақтау саясаттары | Автоматты орындаумен (TTL негізіндегі жою, өмірлік цикл саясаттары) құжатталған сақтау мерзімдері. |
| Қауіпсіздікті бақылау | Құрылымдық журналдау, автоматтандырылған қауіпсіздікті бақылау және басып кіруді анықтау. Қате және диагностика журналдары 30 күнге дейін сақталады. |
6.3 Шарттық шаралар
| Шара | Сипаттама |
|---|---|
| Стандартты келісімшарттық шарттар | SCC-лер (1-модуль, 2-модуль және 3-модуль) сілтеме арқылы ДОК-тарымызға енгізілген. |
| Ішкі өңдеуші SCC-лері | Әрбір ішкі өңдеушімен жазбаша келісімдер ДОК-тардағыдан кем қорғайтын емес деректерді қорғау міндеттемелерін белгілейді. |
| Үкімет қол жеткізуі туралы хабарлама | Шарттары мен Шарттарымызда сипатталғандай, заңды жол берілетін жерлерде үкімет қол жеткізу сұраулары туралы бақылаушыларды хабарлауға міндеттенеміз. |
| Даулауға міндеттеме | Тым кең немесе заңсыз деп есептейтін үкімет қол жеткізу сұраулары бойынша дауласуға міндеттенеміз. |
7. ТӘУЕКЕЛДІ БАҒАЛАУ
7.1 Үкімет қол жеткізуінің ықтималдығы
| Фактор | Бағалау |
|---|---|
| Деректер сипаты | Негізінен шағын бизнес веб-сайттарынан псевдонимделген аналитика, форма жіберулері және чатбот хабарлары. Бұл деректердің барлау мәні төмен. |
| Деректер көлемі | Төменнен ортаға дейін. Әрбір веб-сайт өз келушілер базасына қызмет етеді; деректер бақылау мақсаттары үшін веб-сайттар арасында жинақталмайды. |
| Компания профилі | Acira AI шағын бизнес веб-сайттарын орналастыратын шағын SaaS компаниясы. Біз телекоммуникация провайдері немесе жоғары профильді бақылау нысаны емеспіз. |
| Тарихи сұраулар | Осы бағалау күнінен бастап Acira AI ешқашан FISA 702-бөлімінің директивасын, ұлттық қауіпсіздік хатын немесе клиент деректеріне жаппай қол жеткізу бойынша үкімет сұрауын алған жоқ. |
| Ішкі өңдеуші профилі | AWS және Cloudflare ашықтық есептерін жариялайтын ірі инфрақұрылым провайдерлері. Олардың ашықтық есептері үкімет сұраулары орналасқан мазмұнға жаппай қол жеткізуге емес, нақты тіркелгілерге бағытталғанын көрсетеді. |
Жалпы ықтималдық: ТӨМЕН
7.2 Қол жеткізу болған жағдайдағы ықпал
| Фактор | Бағалау |
|---|---|
| Деректер сезімталдығы | Берілетін деректердің көп бөлігі төмен сезімталдықта (псевдонимделген аналитика, веб-сайт келушісінің метадеректері). Форма жіберулері веб-сайтқа байланысты орташа сезімталдықтағы деректерді (аттар, электрондық пошта мекенжайлары, хабарлар) қамтуы мүмкін. |
| Псевдонимдеу тиімділігі | Аналитика деректерін сақталмайтын күнделікті айналатын хэш компоненттеріне (IP + User-Agent + күн) қол жеткізусіз жеке тұлғаларға байланыстыру мүмкін емес. |
| Ашықтық ауқымы | Кез келген мемлекеттік қол жеткізу бүкіл платформаға емес, нақты тіркелгілерге немесе веб-сайттарға бағытталады. Арнайы сақтау даналары арқылы веб-сайт бойынша деректерді оқшаулау кез келген ықтимал бұзушылықтың ауқымын шектейді. ЕО-да тұратын веб-сайт операторлары үшін тұрақты сақтау және автоматтандырылған келушіге бағытталған өңдеу (мазмұн жіберу хабарландырулары және транзакциялық электрондық пошта жеткізілімі) ЕО-мен шектелген, бұл деректерге АҚШ үкіметінің қол жеткізу ашықтығын одан әрі шектейді. |
Жалпы ықпал: ТӨМЕННЕН ОРТАҒА ДЕЙІН (жеке веб-сайт операторлары жинайтын деректердің сезімталдығына байланысты)
7.3 Қалдық тәуекелді бағалау
Үкімет қол жеткізуінің төмен ықтималдығын, қосымша техникалық шараларды (шифрлау, псевдонимдеу, деректерді барынша азайту) және EO 14086 енгізген қосымша кепілдіктерді ескере отырып, деректер субъектілеріне қалдық тәуекел төмен деп бағалаймыз және қосымша шаралар SCC-лермен (ЕЭА/UK/Швейцариядан тасымалдаулар үшін) және шарттық қорғаулармен (канадалық тасымалдаулар үшін) бірге ЕЭА-да кепілдік берілген деңгейге мәні бойынша баламалы қорғау деңгейін және Канада құпиялылық заңнамасы талап ететіндей салыстырмалы қорғау деңгейін қамтамасыз етеді.
8. ҚОРЫТЫНДЫ
Осы бағалау негізінде мынаны тұжырымдаймыз:
ЕЭА/UK/Швейцария/Канadadан АҚШ-қа Қызметтерімізді ұсынуға байланысты берілетін жеке деректер ЕО деректерін қорғау заңнамасы бойынша кепілдік берілген мәні бойынша баламалы қорғау деңгейінен және Канада құпиялылық заңнамасы талап ететін салыстырмалы қорғау деңгейінен пайда алады.
6-бөлімде сипатталған қосымша техникалық, ұйымдастырушылық және шарттық шаралармен үйлескен Стандартты келісімшарттық шарттар осы бағалауда анықталған тәуекелдерді тиісті түрде шешеді.
Деректер сипаты (негізінен псевдонимделген аналитика мен шағын бизнес веб-сайтының келушілер өзара әрекеттері) және деректерді импорттаушы профилі (шағын SaaS компаниясы, телекоммуникация провайдері емес) үкімет бақылауының практикалық тәуекелін айтарлықтай төмендетеді.
14086 Атқарушы бұйрық пен байланысты құқықтық қорғау механизмі енгізген қорғаулар пайдаланылатын нақты тасымалдау механизміне қарамастан барлық деректер субъектілеріне пайда беретін қосымша кепілдіктерді қамтамасыз етеді.
Канадалық тасымалдаулар үшін осы жерде сипатталған шарттық қорғаулар мен қосымша шаралар PIPEDA мен Квебектің жаңартылған құпиялылық заңын қоса алғанда қолданылатын провинциялық құпиялылық заңнамасы талап ететін салыстырмалы қорғау деңгейін қамтамасыз етеді.
АҚШ бақылау заңы мен тәжірибесінің дамуын, сондай-ақ Канада құпиялылық заңнамасының (ұсынылған тұтынушы құпиялылығын қорғау туралы заңды қоса алғанда) дамуын бақылауды жалғастырамыз және жағдайлар маңызды өзгерген жағдайда осы TIA-ны қайта бағалаймыз.
Тасымалдаулар осы жерде сипатталған SCC-лер мен қосымша шараларды қолданудың жалғасуына сәйкес жалғасуы мүмкін.
9. ТЕКСЕРУ КЕСТЕСІ
Бұл TIA тексерілетін және жаңартылатын:
- Кемінде жыл сайын немесе
- Қолданылатын заңдар немесе ережелерге маңызды өзгерістер болған жағдайда (FISA, CLOUD заңы, EO 14086, PIPEDA немесе Канаданың провинциялық құпиялылық заңнамасындағы өзгерістерді қоса алғанда),
- Ішкі өңдеушілерімізге өзгерістер немесе берілетін деректер сипатына өзгерістер болған жағдайда,
- Кез келген сот шешімі SCC-лердің жарамдылығына немесе АҚШ деректерін қорғаудың жеткіліктілігіне маңызды ықпал еткен жағдайда.
10. БІЗБЕН БАЙЛАНЫС
Бұл Деректерді тасымалдаудың ықпалын бағалау туралы сұрақтарыңыз болса, бізбен хабарласыңыз:
Acira AI LLC
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
United States
Телефон: 888-389-1189
Электрондық пошта: legal@acira.ai
Сіздің құпиялылығыңыз, біздің басымдығымыз
Біз деректеріңізді сатпаймыз, бақылау cookie файлдарын пайдаланбаймыз — сондықтан мұнда cookie баннерін көрмейсіз. Біз Global Privacy Control құрметтейміз, ал ЕО тұтынушылары үшін келушілер деректері тек Еуропалық Одақта сақталады және өңделеді.
Acira AI
AI арқылы әдемі веб-сайттар құрыңыз. Кодтау қажет емес.
Америка Құрама Штаттарында мақтанышпен жасалған
© 2026 Acira AI LLC. Барлық құқықтар қорғалған.