ਟ੍ਰਾਂਸਫਰ ਪ੍ਰਭਾਵ ਮੁਲਾਂਕਣ
ਟ੍ਰਾਂਸਫਰ ਪ੍ਰਭਾਵ ਮੁਲਾਂਕਣ
ਆਖਰੀ ਵਾਰ ਅੱਪਡੇਟ ਕੀਤਾ ਗਿਆ: ਮਾਰਚ 19, 2026
ਇਹ ਟ੍ਰਾਂਸਫਰ ਪ੍ਰਭਾਵ ਮੁਲਾਂਕਣ ("TIA") Acira AI LLC ("Acira AI," "ਅਸੀਂ," "ਸਾਨੂੰ") ਵੱਲੋਂ ਯੂਰਪੀ ਸੰਘ ਦੇ ਨਿਆਂ ਅਦਾਲਤ ਦੇ ਫੈਸਲੇ Data Protection Commissioner v. Facebook Ireland Limited and Maximillian Schrems (Case C-311/18, "Schrems II") ਦੀਆਂ ਲੋੜਾਂ ਅਤੇ ਯੂਰਪੀ ਡਾਟਾ ਪ੍ਰੋਟੈਕਸ਼ਨ ਬੋਰਡ ਦੀਆਂ ਸਿਫਾਰਸ਼ਾਂ (EDPB Recommendations 01/2020 on supplementary measures) ਦੇ ਅਨੁਸਾਰ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ।
ਇਹ TIA ਯੂਰਪੀ ਆਰਥਿਕ ਖੇਤਰ ("EEA"), ਯੂਨਾਈਟਡ ਕਿੰਗਡਮ ("UK"), ਸਵਿਟਜ਼ਰਲੈਂਡ, ਅਤੇ ਕੈਨੇਡਾ ਤੋਂ ਸੰਯੁਕਤ ਰਾਜ ਅਮਰੀਕਾ ਅਤੇ ਹੋਰ ਤੀਜੇ ਦੇਸ਼ਾਂ ਵੱਲ ਸਾਡੇ ਸੇਵਾਵਾਂ ਦੇ ਪ੍ਰਦਾਨ ਕਰਨ ਨਾਲ ਸੰਬੰਧਿਤ ਤੌਰ 'ਤੇ ਟ੍ਰਾਂਸਫਰ ਕੀਤੇ ਜਾਣ ਵਾਲੇ ਨਿੱਜੀ ਡਾਟਾ ਲਈ ਸੁਰੱਖਿਆ ਦੀ ਯੋਗਤਾ ਦਾ ਮੁਲਾਂਕਣ ਕਰਦਾ ਹੈ।
ਤੁਹਾਡੀ ਸੁਵਿਧਾ ਲਈ ਇਸ TIA ਦਾ ਹੋਰ ਭਾਸ਼ਾਵਾਂ ਵਿੱਚ ਅਨੁਵਾਦ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ। ਜੇਕਰ ਅੰਗਰੇਜ਼ੀ ਸੰਸਕਰਣ ਅਤੇ ਕਿਸੇ ਅਨੁਵਾਦਿਤ ਸੰਸਕਰਣ ਵਿੱਚ ਕੋਈ ਟਕਰਾਅ ਜਾਂ ਅਸੰਗਤਤਾ ਹੋਵੇ, ਤਾਂ ਅੰਗਰੇਜ਼ੀ ਸੰਸਕਰਣ ਹੀ ਪ੍ਰਬਲ ਰਹੇਗਾ।
ਸਮੱਗਰੀ ਦੀ ਸੂਚੀ
- ਟ੍ਰਾਂਸਫਰਾਂ ਦੀ ਸੰਖੇਪ ਜਾਣਕਾਰੀ
- ਟ੍ਰਾਂਸਫਰ ਕੀਤੇ ਡਾਟਾ ਦੀ ਪ੍ਰਕਿਰਤੀ
- ਟ੍ਰਾਂਸਫਰ ਮਕੈਨਿਜ਼ਮ
- ਗੰਤਵ ਦੇਸ਼ਾਂ ਦੇ ਕਾਨੂੰਨਾਂ ਦਾ ਮੁਲਾਂਕਣ
- ਸੇਵਾ ਪ੍ਰਦਾਤਾ ਅਨੁਸਾਰ ਡਾਟਾ ਪ੍ਰਵਾਹਾਂ ਦਾ ਮੁਲਾਂਕਣ
- ਪੂਰਕ ਉਪਾਅ
- ਖਤਰਾ ਮੁਲਾਂਕਣ
- ਨਤੀਜਾ
- ਸਮੀਖਿਆ ਸਮਾਂ-ਸੂਚੀ
- ਸਾਡੇ ਨਾਲ ਸੰਪਰਕ ਕਰੋ
1. ਟ੍ਰਾਂਸਫਰਾਂ ਦੀ ਸੰਖੇਪ ਜਾਣਕਾਰੀ
1.1 ਪ੍ਰਸੰਗ
Acira AI ਇੱਕ software-as-a-service ਪਲੇਟਫਾਰਮ ਹੈ ਜੋ ਕਾਰੋਬਾਰਾਂ ਅਤੇ ਵਿਅਕਤੀਆਂ ਨੂੰ AI-ਚਲਿਤ ਵੈਬਸਾਈਟਾਂ ਬਣਾਉਣ, ਪ੍ਰਬੰਧਿਤ ਕਰਨ ਅਤੇ ਹੋਸਟ ਕਰਨ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ। ਜਦੋਂ ਯੂਜ਼ਰ ਉਹ ਵੈਬਸਾਈਟਾਂ ਬਣਾਉਂਦੇ ਹਨ ਜਿਨ੍ਹਾਂ ਨੂੰ EEA, UK, ਸਵਿਟਜ਼ਰਲੈਂਡ, ਜਾਂ ਕੈਨੇਡਾ ਵਿੱਚ ਸਥਿਤ ਵਿਜ਼ਿਟਰ ਐਕਸੈੱਸ ਕਰਦੇ ਹਨ, ਤਾਂ ਉਹਨਾਂ ਵਿਜ਼ਿਟਰਾਂ ਦਾ ਨਿੱਜੀ ਡਾਟਾ ਸੰਯੁਕਤ ਰਾਜ ਅਮਰੀਕਾ ਅਤੇ ਹੋਰ ਥਾਵਾਂ 'ਤੇ, ਜਿੱਥੇ ਸਾਡੇ ਇਨਫ੍ਰਾਸਟਰਕਚਰ ਪ੍ਰਦਾਤਾ ਕੰਮ ਕਰਦੇ ਹਨ, ਟ੍ਰਾਂਸਫਰ ਅਤੇ ਪ੍ਰੋਸੈਸ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ।
1.2 ਪੱਖਕਾਰ
- ਡਾਟਾ ਐਕਸਪੋਰਟਰ: ਵੈਬਸਾਈਟ ਓਪਰੇਟਰ (ਸਾਡਾ ਗਾਹਕ, ਜੋ Controller ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ) ਅਤੇ, ਐਨਾਲਿਟਿਕਸ ਡਾਟਾ ਲਈ, Acira AI ਇੱਕ Joint Controller ਵਜੋਂ।
- ਡਾਟਾ ਇੰਪੋਰਟਰ: Acira AI LLC, ਨੇਵਾਡਾ, ਸੰਯੁਕਤ ਰਾਜ ਅਮਰੀਕਾ ਵਿੱਚ ਰਜਿਸਟਰਡ, ਜੋ Processor ਵਜੋਂ ਕੰਮ ਕਰਦੀ ਹੈ (ਅਤੇ ਐਨਾਲਿਟਿਕਸ ਲਈ Joint Controller ਵਜੋਂ)।
- ਉਪ-ਪ੍ਰੋਸੈਸਰ: Acira AI ਵੱਲੋਂ ਨਿਯੁਕਤ ਤੀਜੀ-ਪੱਖੀ ਸੇਵਾ ਪ੍ਰਦਾਤਾ (ਸੈਕਸ਼ਨ 5 ਵਿੱਚ ਸੂਚੀਬੱਧ)।
1.3 ਟ੍ਰਾਂਸਫਰ ਦੇ ਗੰਤਵ ਸਥਾਨ
| ਗੰਤਵ | ਪ੍ਰਦਾਤਾ | ਆਧਾਰ |
|---|---|---|
| ਸੰਯੁਕਤ ਰਾਜ ਅਮਰੀਕਾ ਅਤੇ ਯੂਰਪੀ ਸੰਘ (ਸਟਾਕਹੋਮ) | AWS | SCCs + ਪੂਰਕ ਉਪਾਅ (US); EU ਨਿਵਾਸੀ ਆਟੋਮੈਟਿਕ ਸੈਲਾਨੀ-ਮੁਖੀ ਕਾਰਵਾਈਆਂ ਲਈ EEA-ਅੰਦਰੂਨੀ |
| ਸੰਯੁਕਤ ਰਾਜ ਅਮਰੀਕਾ | Stripe, Fireworks AI, xAI | SCCs + ਪੂਰਕ ਉਪਾਅ |
| ਗਲੋਬਲ (edge locations) | Cloudflare | SCCs + ਪੂਰਕ ਉਪਾਅ |
| ਇਸਰਾਇਲ | BrightData (ਕੇਵਲ ਯੂਜ਼ਰ-ਨਿਰਦੇਸ਼ਿਤ) | SCCs + ਪੂਰਕ ਉਪਾਅ |
| ਯੂਰਪੀ ਸੰਘ | Black Forest Labs, ScreenshotOne, CloudConvert | EEA ਦੇ ਅੰਦਰ (ਕਿਸੇ ਟ੍ਰਾਂਸਫਰ ਮਕੈਨਿਜ਼ਮ ਦੀ ਲੋੜ ਨਹੀਂ) |
2. ਟ੍ਰਾਂਸਫਰ ਕੀਤੇ ਡਾਟਾ ਦੀ ਪ੍ਰਕਿਰਤੀ
2.1 ਨਿੱਜੀ ਡਾਟਾ ਦੀਆਂ ਸ਼੍ਰੇਣੀਆਂ
ਟ੍ਰਾਂਸਫਰ ਕੀਤਾ ਜਾਣ ਵਾਲਾ ਨਿੱਜੀ ਡਾਟਾ ਵੈਬਸਾਈਟ ਓਪਰੇਟਰ ਦੁਆਰਾ ਯੋਗ ਕੀਤੀਆਂ ਗਈਆਂ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਅਤੇ ਵੈਬਸਾਈਟ ਵਿਜ਼ਿਟਰਾਂ ਦੀਆਂ ਪਰਸਪਰ ਕਿਰਿਆਵਾਂ 'ਤੇ ਨਿਰਭਰ ਕਰਦਾ ਹੈ। ਹੇਠ ਲਿਖੀਆਂ ਸ਼੍ਰੇਣੀਆਂ ਟ੍ਰਾਂਸਫਰ ਕੀਤੀਆਂ ਜਾ ਸਕਦੀਆਂ ਹਨ:
| ਡਾਟਾ ਸ਼੍ਰੇਣੀ | ਵਰਣਨ | ਸੰਵੇਦਨਸ਼ੀਲਤਾ | ਮਾਤਰਾ |
|---|---|---|---|
| ਵਿਸ਼ਲੇਸ਼ਣ ਪਛਾਣਕਰਤਾ | IP + User-Agent + ਮਿਤੀ ਦਾ ਰੋਜ਼ਾਨਾ-ਰੋਟੇਟਿੰਗ ਕ੍ਰਿਪਟੋਗ੍ਰਾਫਿਕ ਹੈਸ਼ (pseudonymized) | ਘੱਟ | ਵੱਧ (ਹਰ ਪੰਨਾ ਵਿਊ) |
| ਵਿਜ਼ਿਟਰ ਮੈਟਾਡੇਟਾ | ਦੇਸ਼, ਖੇਤਰ, ਭਾਸ਼ਾ, ਡਿਵਾਈਸ ਕਿਸਮ, ਬ੍ਰਾਊਜ਼ਰ, OS, referrer domain, UTM parameters | ਘੱਟ | ਉੱਚ (ਹਰ page view) |
| IP ਪਤੇ | ਫਾਰਮ submissions ਅਤੇ chatbot ਗੱਲਬਾਤਾਂ ਨਾਲ ਮੈਟਾਡੇਟਾ ਵਜੋਂ ਸਟੋਰ ਕੀਤੇ ਜਾਂਦੇ ਹਨ; ਐਨਾਲਿਟਿਕਸ ਲਈ hash ਕੀਤੇ ਜਾਂਦੇ ਹਨ; bot challenge verification ਲਈ ਅਸਥਾਈ ਤੌਰ 'ਤੇ ਵਰਤੇ ਜਾਂਦੇ ਹਨ; rate limiting ਲਈ ਅਸਥਾਈ ਤੌਰ 'ਤੇ ਸਟੋਰ ਕੀਤੇ ਜਾਂਦੇ ਹਨ (ਵੱਧ ਤੋਂ ਵੱਧ 7 ਦਿਨ) | ਦਰਮਿਆਨਾ | ਦਰਮਿਆਨਾ |
| ਫਾਰਮ submission ਸਮੱਗਰੀ | ਵਿਜ਼ਿਟਰਾਂ ਦੁਆਰਾ ਜਮ੍ਹਾਂ ਕੀਤੇ free-text fields (ਨਾਮ, ਈਮੇਲ, ਸੁਨੇਹੇ, ਆਦਿ) | ਬਦਲਣਯੋਗ (ਫਾਰਮ 'ਤੇ ਨਿਰਭਰ) | ਘੱਟ ਤੋਂ ਦਰਮਿਆਨਾ |
| ਚੈਟਬੋਟ ਸੁਨੇਹੇ | ਵਿਜ਼ਿਟਰਾਂ ਦੇ ਸੁਨੇਹੇ ਅਤੇ AI-ਤਿਆਰ ਕੀਤੇ ਜਵਾਬ (ਹਰ ਸੁਨੇਹੇ ਲਈ ਵੱਧ ਤੋਂ ਵੱਧ 2,000 ਅੱਖਰ) | ਘੱਟ ਤੋਂ ਦਰਮਿਆਨਾ | ਘੱਟ |
| ਫਾਇਲ ਅੱਪਲੋਡ | ਵੈਬਸਾਈਟ ਫਾਰਮਾਂ ਰਾਹੀਂ ਵਿਜ਼ਿਟਰਾਂ ਦੁਆਰਾ ਅੱਪਲੋਡ ਕੀਤੀਆਂ ਫਾਇਲਾਂ (ਚਿੱਤਰ, ਦਸਤਾਵੇਜ਼) | ਬਦਲਣਯੋਗ | ਘੱਟ |
| ਸੈਸ਼ਨ ਪਛਾਣਕਰਤਾ | server-side session IDs ਅਤੇ client-side session cookies | ਘੱਟ | ਉੱਚ |
| ਪ੍ਰਮਾਣਿਕਤਾ ਪ੍ਰਮਾਣਪੱਤਰ | ਵੈਬਸਾਈਟ ਦੇ ਸੁਰੱਖਿਅਤ ਖੇਤਰਾਂ ਲਈ password (ਕੇਵਲ hashed ਰੂਪ ਵਿੱਚ ਸਟੋਰ ਕੀਤੇ ਜਾਂਦੇ ਹਨ) | ਉੱਚ (ਪਰ hashed) | ਘੱਟ |
2.2 ਡਾਟਾ ਵਿਸ਼ਿਆਂ ਦੀਆਂ ਸ਼੍ਰੇਣੀਆਂ
- Acira AI ਪਲੇਟਫਾਰਮ 'ਤੇ ਹੋਸਟ ਕੀਤੀਆਂ ਵੈਬਸਾਈਟਾਂ ਦੇ ਵਿਜ਼ਿਟਰ
- ਪਲੇਟਫਾਰਮ 'ਤੇ ਹੋਸਟ ਕੀਤੀਆਂ ਵੈਬਸਾਈਟਾਂ 'ਤੇ ਖਾਤੇ ਬਣਾਉਣ ਵਾਲੇ ਯੂਜ਼ਰ
- ਹੋਸਟ ਕੀਤੀਆਂ ਵੈਬਸਾਈਟਾਂ 'ਤੇ ਫਾਰਮ ਜਮ੍ਹਾਂ ਕਰਨ, ਚੈਟਬੋਟਾਂ ਨਾਲ ਸੰਪਰਕ ਕਰਨ, ਜਾਂ ਫਾਇਲਾਂ ਅੱਪਲੋਡ ਕਰਨ ਵਾਲੇ ਯੂਜ਼ਰ
2.3 ਟ੍ਰਾਂਸਫਰ ਨਾ ਕੀਤਾ ਜਾਣ ਵਾਲਾ ਡਾਟਾ
- ਭੂ-ਸਥਾਨ ਡੇਟਾ: IP-ਤੋਂ-ਸਥਾਨ ਖੋਜਾਂ ਸਾਡੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਪ੍ਰਦਾਤਾ ਦੁਆਰਾ ਨੈੱਟਵਰਕ ਕਿਨਾਰੇ ਕੀਤੀਆਂ ਜਾਂਦੀਆਂ ਹਨ। ਕੋਈ ਵੀ ਵਿਜ਼ਟਰ IP ਪਤੇ ਕਿਸੇ ਵੀ ਬਾਹਰੀ ਭੂ-ਸਥਾਨ ਸੇਵਾ ਨੂੰ ਨਹੀਂ ਭੇਜੇ ਜਾਂਦੇ।
- ਕੱਚੇ ਵਿਸ਼ਲੇਸ਼ਣ IP ਪਤੇ: ਸਿਰਫ ਇੱਕ ਰੋਜ਼ਾਨਾ-ਰੋਟੇਟਿੰਗ ਕ੍ਰਿਪਟੋਗ੍ਰਾਫਿਕ ਹੈਸ਼ ਸਟੋਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ; ਕੱਚੇ IPs ਵਿਸ਼ਲੇਸ਼ਣ ਪ੍ਰਣਾਲੀਆਂ ਵਿੱਚ ਸੁਰੱਖਿਅਤ ਨਹੀਂ ਕੀਤੇ ਜਾਂਦੇ।
- ਸਾਫ਼ ਟੈਕਸਟ ਵਿੱਚ passwords: ਕੇਵਲ cryptographic hashes ਹੀ ਸਟੋਰ ਅਤੇ ਟ੍ਰਾਂਸਫਰ ਕੀਤੇ ਜਾਂਦੇ ਹਨ।
3. ਟ੍ਰਾਂਸਫਰ ਮਕੈਨਿਜ਼ਮ
3.1 ਪ੍ਰਮੁੱਖ ਮਕੈਨਿਜ਼ਮ: Standard Contractual Clauses
ਅਸੀਂ ਯੂਰਪੀ ਕਮਿਸ਼ਨ ਦੀਆਂ Standard Contractual Clauses (SCCs) 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹਾਂ, ਜਿਨ੍ਹਾਂ ਨੂੰ Commission Implementing Decision (EU) 2021/914 ਤਹਿਤ ਅਪਣਾਇਆ ਗਿਆ ਸੀ, ਖ਼ਾਸ ਤੌਰ 'ਤੇ:
- Module One (Controller to Controller): ਐਨਾਲਿਟਿਕਸ ਡਾਟਾ ਦੇ ਟ੍ਰਾਂਸਫਰਾਂ ਲਈ ਜਿੱਥੇ Acira AI ਵੈਬਸਾਈਟ ਓਪਰੇਟਰ ਨਾਲ joint controller ਵਜੋਂ ਕੰਮ ਕਰਦੀ ਹੈ (DPA Section 2.3 ਵੇਖੋ)।
- Module Two (Controller to Processor): ਵੈਬਸਾਈਟ ਓਪਰੇਟਰ (Controller) ਤੋਂ Acira AI (Processor) ਵੱਲ ਵਿਜ਼ਿਟਰ ਨਿੱਜੀ ਡਾਟਾ ਦੇ ਟ੍ਰਾਂਸਫਰਾਂ ਲਈ।
- Module Three (Processor to Sub-processor): Acira AI ਤੋਂ ਸਾਡੇ ਉਪ-ਪ੍ਰੋਸੈਸਰਾਂ ਵੱਲ ਅੱਗੇ ਦੇ ਟ੍ਰਾਂਸਫਰਾਂ ਲਈ।
3.2 UK, ਸਵਿਸ, ਅਤੇ ਕੈਨੇਡੀਅਨ ਟ੍ਰਾਂਸਫਰ
- UK: EU SCCs ਲਈ UK International Data Transfer Addendum ਲਾਗੂ ਹੁੰਦਾ ਹੈ।
- ਸਵਿਟਜ਼ਰਲੈਂਡ: Swiss Federal Act on Data Protection (FADP) ਦੁਆਰਾ ਲੋੜੀਂਦੇ ਸੋਧਾਂ ਨਾਲ SCCs ਲਾਗੂ ਹੁੰਦੇ ਹਨ।
- ਕੈਨੇਡਾ: ਟ੍ਰਾਂਸਫਰ ਹਰ ਇਕ ਉਪ-ਪ੍ਰੋਸੈਸਰ ਨਾਲ ਐਸੀਆਂ ਕਰਾਰਾਤਮਕ ਸੁਰੱਖਿਆਵਾਂ 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹਨ ਜੋ Personal Information Protection and Electronic Documents Act (PIPEDA) ਅਤੇ ਲਾਗੂ ਸੂਬਾਈ ਗੋਪਨੀਯਤਾ ਕਾਨੂੰਨਾਂ ਨਾਲ ਸੰਗਤ ਬਾਧਿਆਵਾਂ ਲਗਾਉਂਦੀਆਂ ਹਨ, ਨਾਲ ਹੀ ਸੈਕਸ਼ਨ 6 ਵਿੱਚ ਵਰਣਿਤ ਪੂਰਕ ਤਕਨੀਕੀ ਅਤੇ ਸੰਗਠਨਾਤਮਕ ਉਪਾਅ। ਹੋਰ ਵੇਰਵਿਆਂ ਲਈ DPA Section 7.4 ਵੇਖੋ।
3.3 ਉਪ-ਪ੍ਰੋਸੈਸਰ ਟ੍ਰਾਂਸਫਰ ਮਕੈਨਿਜ਼ਮ
| ਉਪ-ਪ੍ਰੋਸੈਸਰ | ਟ੍ਰਾਂਸਫਰ ਮਕੈਨਿਜ਼ਮ |
|---|---|
| Amazon Web Services | SCCs (AWS DPA), ISO 27001/27017/27018 ਪ੍ਰਮਾਣਿਤ |
| Cloudflare | SCCs (Cloudflare DPA), ISO 27001 ਪ੍ਰਮਾਣਿਤ |
| Stripe | SCCs (Stripe DPA), PCI DSS Level 1 ਪ੍ਰਮਾਣਿਤ |
| Fireworks AI | SCCs (Fireworks AI DPA), SOC 2 Type II, ISO 27001/27701/42001 ਪ੍ਰਮਾਣਿਤ |
| xAI | SCCs (xAI DPA with EU SCCs) |
| BrightData | SCCs (BrightData DPA) |
4. ਗੰਤਵ ਦੇਸ਼ਾਂ ਦੇ ਕਾਨੂੰਨਾਂ ਦਾ ਮੁਲਾਂਕਣ
4.1 ਸੰਯੁਕਤ ਰਾਜ ਅਮਰੀਕਾ
ਸੰਯੁਕਤ ਰਾਜ ਅਮਰੀਕਾ ਟ੍ਰਾਂਸਫਰ ਕੀਤੇ ਡਾਟਾ ਲਈ ਪ੍ਰਮੁੱਖ ਗੰਤਵ ਹੈ। ਹੇਠ ਲਿਖੇ ਅਮਰੀਕੀ ਕਾਨੂੰਨ ਇਸ ਮੁਲਾਂਕਣ ਨਾਲ ਸੰਬੰਧਿਤ ਹਨ:
4.1.1 Foreign Intelligence Surveillance Act (FISA), Section 702
FISA Section 702 ਅਮਰੀਕੀ ਸਰਕਾਰ ਨੂੰ ਵਿਦੇਸ਼ੀ ਖੁਫੀਆ ਉਦੇਸ਼ਾਂ ਲਈ ਸੰਯੁਕਤ ਰਾਜ ਅਮਰੀਕਾ ਤੋਂ ਬਾਹਰ ਮੌਜੂਦ non-US persons ਦੀਆਂ communications ਤੱਕ ਪਹੁੰਚ ਦੇਣ ਲਈ electronic communications service providers ਨੂੰ ਬਾਧਿਆ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ।
ਖਤਰੇ ਦਾ ਮੁਲਾਂਕਣ:
- ਲਾਗੂਤਾ: FISA Section 702 "electronic communication service providers" 'ਤੇ ਲਾਗੂ ਹੁੰਦਾ ਹੈ ਜਿਵੇਂ ਕਿ 50 U.S.C. § 1881(b)(4) ਵਿੱਚ ਪਰਿਭਾਸ਼ਿਤ ਹੈ। Acira AI ਇੱਕ SaaS ਵੈਬਸਾਈਟ ਹੋਸਟਿੰਗ ਪਲੇਟਫਾਰਮ ਹੈ, ਰਵਾਇਤੀ ਟੈਲੀਕਮਿਊਨੀਕੇਸ਼ਨ ਪ੍ਰਦਾਤਾ ਨਹੀਂ। ਸਾਡੇ ਉਪ-ਪ੍ਰੋਸੈਸਰ (AWS, Cloudflare) Section 702 directives ਦੇ ਅਧੀਨ ਹੋਣ ਦੀ ਵੱਧ ਸੰਭਾਵਨਾ ਰੱਖਦੇ ਹਨ।
- ਖਤਰੇ ਵਾਲੇ ਡਾਟਾ ਦਾ ਦਾਇਰਾ: ਅਸੀਂ ਜੋ ਨਿੱਜੀ ਡਾਟਾ ਪ੍ਰੋਸੈਸ ਕਰਦੇ ਹਾਂ ਉਹ ਮੁੱਖ ਤੌਰ 'ਤੇ ਵੈਬਸਾਈਟ ਵਿਜ਼ਿਟਰ analytics (pseudonymized), form submissions, ਅਤੇ chatbot messages ਤੋਂ ਬਣਿਆ ਹੁੰਦਾ ਹੈ। ਇਹ ਡਾਟਾ ਵਿਦੇਸ਼ੀ ਖੁਫੀਆ ਰੁਚੀ ਦਾ ਹੋਣ ਦੀ ਸੰਭਾਵਨਾ ਘੱਟ ਹੈ।
- ਵਿਹਾਰਕ ਸੰਭਾਵਨਾ: ਸਾਨੂੰ ਕਦੇ ਵੀ FISA Section 702 directive ਪ੍ਰਾਪਤ ਨਹੀਂ ਹੋਇਆ ਅਤੇ ਅਸੀਂ, ਸਾਡੀਆਂ ਸੇਵਾਵਾਂ ਅਤੇ ਅਸੀਂ ਜੋ ਡਾਟਾ ਪ੍ਰੋਸੈਸ ਕਰਦੇ ਹਾਂ ਉਸ ਦੀ ਪ੍ਰਕਿਰਤੀ ਨੂੰ ਦੇਖਦੇ ਹੋਏ, ਇਸ ਦੇ ਪ੍ਰਾਪਤ ਹੋਣ ਦੀ ਵਿਹਾਰਕ ਸੰਭਾਵਨਾ ਨੂੰ ਬਹੁਤ ਘੱਟ ਮੰਨਦੇ ਹਾਂ।
4.1.2 Executive Order 12333
EO 12333 ਅਮਰੀਕੀ ਖੁਫੀਆ ਏਜੰਸੀਆਂ ਨੂੰ surveillance activities, ਜਿਸ ਵਿੱਚ signals intelligence ਦਾ bulk collection ਸ਼ਾਮਲ ਹੈ, ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ। ਇਹ transit ਵਿੱਚ ਮੌਜੂਦ ਡਾਟਾ 'ਤੇ ਲਾਗੂ ਹੁੰਦਾ ਹੈ ਅਤੇ private companies ਨੂੰ ਸਹਿਯੋਗ ਲਈ ਬਾਧਿਆ ਨਹੀਂ ਕਰਦਾ।
ਖਤਰੇ ਦਾ ਮੁਲਾਂਕਣ:
- ਰੋਕਥਾਮ: transit ਵਿੱਚ ਸਾਰਾ ਡਾਟਾ TLS ਦੀ ਵਰਤੋਂ ਨਾਲ encrypted ਹੈ। transit ਵਿੱਚ encrypted ਡਾਟਾ ਦੀ bulk interception ਨਾਲ plaintext ਨਿੱਜੀ ਡਾਟਾ ਪ੍ਰਾਪਤ ਨਹੀਂ ਹੋਵੇਗਾ।
- ਵਿਹਾਰਕ ਸੰਭਾਵਨਾ: ਘੱਟ। ਸਾਡੀਆਂ ਸੇਵਾਵਾਂ ਰਾਹੀਂ ਪ੍ਰੋਸੈਸ ਕੀਤਾ ਗਿਆ ਡਾਟਾ ਆਮ ਤੌਰ 'ਤੇ signals intelligence ਦੁਆਰਾ ਨਿਸ਼ਾਨਾ ਬਣਾਏ ਜਾਣ ਵਾਲੀ ਕਿਸਮ ਦਾ ਨਹੀਂ ਹੈ।
4.1.3 Executive Order 14086 ਅਤੇ EU-US Data Privacy Framework
Executive Order 14086 (ਅਕਤੂਬਰ 2022) ਨੇ signals intelligence activities ਲਈ ਵਾਧੂ ਸੁਰੱਖਿਆ ਉਪਾਅ ਲਾਗੂ ਕੀਤੇ, ਜਿਨ੍ਹਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:
- intelligence collection ਲਈ necessity ਅਤੇ proportionality ਦੀਆਂ ਲੋੜਾਂ
- EU/UK/Swiss ਵਿਅਕਤੀਆਂ ਲਈ ਉਪਲਬਧ ਦੋ-ਪੜਾਅ ਵਾਲਾ redress mechanism (Civil Liberties Protection Officer + Data Protection Review Court)
- bulk collection ਉੱਤੇ ਸੀਮਾਵਾਂ
ਯੂਰਪੀ ਕਮਿਸ਼ਨ ਨੇ 10 ਜੁਲਾਈ 2023 ਨੂੰ EU-US Data Privacy Framework (DPF) ਲਈ adequacy decision ਅਪਣਾਇਆ। ਹਾਲਾਂਕਿ Acira AI ਇਸ ਵੇਲੇ DPF ਅਧੀਨ self-certified ਨਹੀਂ ਹੈ, EO 14086 ਅਧੀਨ ਸੁਰੱਖਿਆਵਾਂ ਆਮ ਤੌਰ 'ਤੇ ਸੰਯੁਕਤ ਰਾਜ ਅਮਰੀਕਾ ਵੱਲ ਸਾਰੇ ਡਾਟਾ ਟ੍ਰਾਂਸਫਰਾਂ 'ਤੇ ਲਾਗੂ ਹੁੰਦੀਆਂ ਹਨ ਅਤੇ ਵਰਤੇ ਗਏ ਟ੍ਰਾਂਸਫਰ ਮਕੈਨਿਜ਼ਮ ਤੋਂ ਬਿਨਾਂ ਸਾਰੇ data subjects ਨੂੰ ਲਾਭ ਪਹੁੰਚਾਉਂਦੀਆਂ ਹਨ।
4.1.4 CLOUD Act
Clarifying Lawful Overseas Use of Data (CLOUD) Act ਅਮਰੀਕਾ-ਅਧਾਰਿਤ ਪ੍ਰਦਾਤਾਵਾਂ ਨੂੰ, ਡਾਟਾ ਜਿੱਥੇ ਵੀ ਸਟੋਰ ਹੋਵੇ, ਇੱਕ ਵੈਧ warrant ਜਾਂ court order ਦੇ ਅਧੀਨ, ਡਾਟਾ ਪੇਸ਼ ਕਰਨ ਲਈ ਬਾਧਿਆ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ।
ਖਤਰੇ ਦਾ ਮੁਲਾਂਕਣ:
- ਸੁਰੱਖਿਆਵਾਂ: CLOUD Act ਇੱਕ ਵੈਧ ਕਾਨੂੰਨੀ ਪ੍ਰਕਿਰਿਆ (warrant, subpoena, ਜਾਂ court order) ਦੀ ਮੰਗ ਕਰਦਾ ਹੈ। ਇਹ ਬਿਨਾਂ warrant ਦੇ bulk access ਦੀ ਆਗਿਆ ਨਹੀਂ ਦਿੰਦਾ।
- Comity provisions: CLOUD Act ਵਿੱਚ ਇੱਕ comity framework ਸ਼ਾਮਲ ਹੈ ਜੋ ਪ੍ਰਦਾਤਾਵਾਂ ਨੂੰ ਉਹਨਾਂ ਆਦੇਸ਼ਾਂ ਨੂੰ ਚੁਣੌਤੀ ਦੇਣ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ ਜੋ ਵਿਦੇਸ਼ੀ ਕਾਨੂੰਨ ਨਾਲ ਟਕਰਾਉਂਦੇ ਹਨ।
- ਵਿਹਾਰਕ ਸੰਭਾਵਨਾ: ਵੈਬਸਾਈਟ ਵਿਜ਼ਿਟਰ ਡਾਟਾ ਲਈ ਘੱਟ। ਕਾਨੂੰਨ ਲਾਗੂ ਕਰਨ ਵਾਲਿਆਂ ਦੀਆਂ ਬੇਨਤੀਆਂ ਵਧੇਰੇ ਸੰਭਾਵਨਾ ਹੈ ਕਿ ਉਹ ਅਪਰਾਧਿਕ ਗਤੀਵਿਧੀ ਦੇ ਸ਼ੱਕ ਵਾਲੇ ਖਾਸ ਖਾਤਿਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ, ਨਾ ਕਿ visitor analytics ਜਾਂ form submissions ਨੂੰ।
4.2 ਇਸਰਾਇਲ (BrightData)
BrightData ਇਸਰਾਇਲ ਵਿੱਚ ਅਧਾਰਿਤ ਹੈ। ਇਸਰਾਇਲ ਲਈ ਯੂਰਪੀ ਕਮਿਸ਼ਨ ਵੱਲੋਂ adequacy decision (2011/61/EU) ਮੌਜੂਦ ਹੈ, ਜਿਸ ਦਾ ਅਰਥ ਹੈ ਕਿ ਇਸਰਾਇਲ ਵੱਲ ਟ੍ਰਾਂਸਫਰਾਂ ਨੂੰ EEA ਦੇ ਅੰਦਰਲੇ ਟ੍ਰਾਂਸਫਰਾਂ ਵਾਂਗ ਹੀ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ। ਫਿਰ ਵੀ, BrightData ਹੋਰ ਗਲੋਬਲ ਸਥਾਨਾਂ ਵਿੱਚ ਵੀ ਡਾਟਾ ਪ੍ਰੋਸੈਸ ਕਰਦਾ ਹੈ। ਅਸੀਂ ਨੋਟ ਕਰਦੇ ਹਾਂ ਕਿ:
- BrightData ਪ੍ਰੋਸੈਸਿੰਗ ਕੇਵਲ ਯੂਜ਼ਰ-ਨਿਰਦੇਸ਼ਿਤ ਹੋਣ 'ਤੇ (ਵੈਬਸਾਈਟ ਬਣਾਉਣ ਦੌਰਾਨ content import ਲਈ) ਜਾਂ scheduled SERP tracking ਦੌਰਾਨ ਹੁੰਦੀ ਹੈ।
- ਕੋਈ ਵੀ ਵੈਬਸਾਈਟ ਵਿਜ਼ਿਟਰ ਨਿੱਜੀ ਡਾਟਾ BrightData ਨੂੰ ਪ੍ਰਸਾਰਿਤ ਨਹੀਂ ਕੀਤਾ ਜਾਂਦਾ।
4.3 ਕੈਨੇਡਾ (ਕੈਨੇਡਾ ਤੋਂ ਸੰਯੁਕਤ ਰਾਜ ਅਮਰੀਕਾ ਵੱਲ ਟ੍ਰਾਂਸਫਰ)
ਕੈਨੇਡਾ ਵਿੱਚ ਸਥਿਤ ਵੈਬਸਾਈਟ ਵਿਜ਼ਿਟਰਾਂ ਦਾ ਨਿੱਜੀ ਡਾਟਾ ਪ੍ਰੋਸੈਸਿੰਗ ਲਈ ਸੰਯੁਕਤ ਰਾਜ ਅਮਰੀਕਾ ਵੱਲ ਟ੍ਰਾਂਸਫਰ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ। ਹੇਠ ਲਿਖੇ ਕੈਨੇਡੀਅਨ ਕਾਨੂੰਨ ਇਸ ਮੁਲਾਂਕਣ ਨਾਲ ਸੰਬੰਧਿਤ ਹਨ:
4.3.1 Personal Information Protection and Electronic Documents Act (PIPEDA)
PIPEDA ਵਪਾਰਕ ਗਤੀਵਿਧੀਆਂ ਦੇ ਸੰਦਰਭ ਵਿੱਚ ਨਿੱਜੀ ਖੇਤਰ ਦੀਆਂ ਸੰਸਥਾਵਾਂ ਦੁਆਰਾ ਨਿੱਜੀ ਜਾਣਕਾਰੀ ਦੀ collection, use, ਅਤੇ disclosure ਨੂੰ ਨਿਯੰਤਰਿਤ ਕਰਦਾ ਹੈ। PIPEDA Principle 4.1.3 ਮੰਗ ਕਰਦਾ ਹੈ ਕਿ ਜਦੋਂ ਨਿੱਜੀ ਜਾਣਕਾਰੀ ਪ੍ਰੋਸੈਸਿੰਗ ਲਈ ਤੀਜੀਆਂ ਪੱਖਾਂ ਨੂੰ, ਕੈਨੇਡਾ ਤੋਂ ਬਾਹਰ ਦੇ ਟ੍ਰਾਂਸਫਰਾਂ ਸਮੇਤ, ਟ੍ਰਾਂਸਫਰ ਕੀਤੀ ਜਾਂਦੀ ਹੈ, ਤਾਂ ਸੰਸਥਾਵਾਂ ਕਰਾਰਾਤਮਕ ਜਾਂ ਹੋਰ ਸਾਧਨਾਂ ਰਾਹੀਂ ਤੁਲਨਾਤਮਕ ਪੱਧਰ ਦੀ ਸੁਰੱਖਿਆ ਯਕੀਨੀ ਬਣਾਉਣ।
ਖਤਰੇ ਦਾ ਮੁਲਾਂਕਣ:
- ਤੁਲਨਾਤਮਕ ਸੁਰੱਖਿਆ: ਸੈਕਸ਼ਨ 6 ਵਿੱਚ ਵਰਣਿਤ ਪੂਰਕ ਉਪਾਅ (encryption, pseudonymization, access controls, data minimization) PIPEDA ਅਧੀਨ ਲੋੜੀਂਦੀ ਸੁਰੱਖਿਆ ਦੇ ਤੁਲਨਾਤਮਕ ਪੱਧਰ ਨੂੰ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ। ਸਾਰੇ ਉਪ-ਪ੍ਰੋਸੈਸਰਾਂ ਨਾਲ ਲਿਖਤੀ data processing agreements ਮੌਜੂਦ ਹਨ।
- ਕਿਸੇ adequacy ਲੋੜ ਦਾ ਅਭਾਵ: GDPR ਤੋਂ ਵੱਖਰਾ, PIPEDA ਉਹਨਾਂ ਦੇਸ਼ਾਂ ਵੱਲ ਟ੍ਰਾਂਸਫਰਾਂ 'ਤੇ ਪਾਬੰਦੀ ਨਹੀਂ ਲਗਾਉਂਦਾ ਜਿਨ੍ਹਾਂ ਲਈ ਕੋਈ "adequacy" finding ਨਾ ਹੋਵੇ। ਸੰਸਥਾਵਾਂ ਨੂੰ ਕਰਾਰਾਤਮਕ ਅਤੇ ਹੋਰ ਸਾਧਨਾਂ ਰਾਹੀਂ ਤੁਲਨਾਤਮਕ ਸੁਰੱਖਿਆ ਯਕੀਨੀ ਬਣਾਉਣੀ ਹੁੰਦੀ ਹੈ, ਜੋ ਅਸੀਂ ਲਾਗੂ ਕਰ ਚੁੱਕੇ ਹਾਂ।
4.3.2 ਸੂਬਾਈ ਗੋਪਨੀਯਤਾ ਕਾਨੂੰਨ
Alberta ਦਾ Personal Information Protection Act (PIPA), British Columbia ਦਾ Personal Information Protection Act (PIPA), ਅਤੇ Quebec ਦਾ Act respecting the protection of personal information in the private sector ਕੁਝ ਸੂਬਿਆਂ ਲਈ ਵਾਧੂ ਲੋੜਾਂ ਲਗਾਉਂਦੇ ਹਨ:
ਖਤਰੇ ਦਾ ਮੁਲਾਂਕਣ:
- Quebec Law 25: Quebec ਦਾ ਆਧੁਨਿਕ ਗੋਪਨੀਯਤਾ ਕਾਨੂੰਨ (ਸਤੰਬਰ 2023 ਤੋਂ ਪ੍ਰਭਾਵੀ) Quebec ਤੋਂ ਬਾਹਰ ਨਿੱਜੀ ਜਾਣਕਾਰੀ ਟ੍ਰਾਂਸਫਰ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ privacy impact assessment ਦੀ ਮੰਗ ਕਰਦਾ ਹੈ, ਅਤੇ ਟ੍ਰਾਂਸਫਰ ਕਰਨ ਵਾਲੀ ਸੰਸਥਾ ਨੂੰ ਇਹ ਯਕੀਨ ਹੋਣਾ ਚਾਹੀਦਾ ਹੈ ਕਿ ਜਾਣਕਾਰੀ ਨੂੰ ਯਥੋਚਿਤ ਸੁਰੱਖਿਆ ਮਿਲੇਗੀ। ਸਾਡੀਆਂ ਕਰਾਰਾਤਮਕ ਸੁਰੱਖਿਆਵਾਂ, ਪੂਰਕ ਤਕਨੀਕੀ ਉਪਾਅ, ਅਤੇ ਡਾਟਾ ਦੀ ਪ੍ਰਕਿਰਤੀ (ਮੁੱਖ ਤੌਰ 'ਤੇ pseudonymized analytics ਅਤੇ ਛੋਟੇ ਕਾਰੋਬਾਰਾਂ ਦੀਆਂ ਵੈਬਸਾਈਟ ਇੰਟਰੈਕਸ਼ਨ) ਯਥੋਚਿਤ ਸੁਰੱਖਿਆ ਦੇ ਨਤੀਜੇ ਨੂੰ ਸਮਰਥਨ ਦਿੰਦੇ ਹਨ।
- Alberta ਅਤੇ BC: Alberta ਅਤੇ BC ਦੇ PIPA ਟ੍ਰਾਂਸਫਰ ਕੀਤੇ ਡਾਟਾ ਲਈ ਸੰਸਥਾਵਾਂ ਤੋਂ ਤੁਲਨਾਤਮਕ ਸੁਰੱਖਿਆ ਯਕੀਨੀ ਬਣਾਉਣ ਦੀ ਮੰਗ ਕਰਦੇ ਹਨ। ਸਾਡੀਆਂ ਕਰਾਰਾਤਮਕ ਅਤੇ ਤਕਨੀਕੀ ਸੁਰੱਖਿਆਵਾਂ ਇਸ ਲੋੜ ਨੂੰ ਪੂਰਾ ਕਰਦੀਆਂ ਹਨ।
4.3.3 ਕੈਨੇਡੀਅਨ ਦ੍ਰਿਸ਼ਟੀਕੋਣ ਤੋਂ US ਸਰਕਾਰੀ ਪਹੁੰਚ
ਸੈਕਸ਼ਨ 4.1 ਵਿੱਚ ਮੁਲਾਂਕਿਤ ਕੀਤੇ ਗਏ ਉਹੀ US ਸਰਕਾਰੀ ਪਹੁੰਚ ਦੇ ਖਤਰੇ ਕੈਨੇਡੀਅਨ ਡਾਟਾ ਟ੍ਰਾਂਸਫਰਾਂ 'ਤੇ ਲਾਗੂ ਹੁੰਦੇ ਹਨ। ਸਰਕਾਰੀ ਪਹੁੰਚ ਦੀ ਘੱਟ ਸੰਭਾਵਨਾ (ਡਾਟਾ ਦੀ ਪ੍ਰਕਿਰਤੀ ਅਤੇ ਸਾਡੀ ਕੰਪਨੀ ਦੇ ਪ੍ਰੋਫਾਈਲ ਨੂੰ ਦੇਖਦੇ ਹੋਏ), ਸੈਕਸ਼ਨ 6 ਵਿੱਚ ਦਰਸਾਏ ਪੂਰਕ ਉਪਾਅ ਨਾਲ ਮਿਲ ਕੇ, ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦੀ ਹੈ ਕਿ ਕੈਨੇਡਾ ਤੋਂ ਸੰਯੁਕਤ ਰਾਜ ਅਮਰੀਕਾ ਵੱਲ ਟ੍ਰਾਂਸਫਰ ਕੀਤਾ ਨਿੱਜੀ ਡਾਟਾ ਕੈਨੇਡੀਅਨ ਗੋਪਨੀਯਤਾ ਕਾਨੂੰਨ ਅਧੀਨ ਲੋੜੀਂਦੀ ਤੁਲਨਾਤਮਕ ਸੁਰੱਖਿਆ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ।
4.4 ਗਲੋਬਲ edge locations (Cloudflare)
Cloudflare ਕਿਨਾਰੇ ਸਥਾਨਾਂ ਦਾ ਇੱਕ ਗਲੋਬਲ ਨੈੱਟਵਰਕ ਚਲਾਉਂਦਾ ਹੈ। EU ਵਿਜ਼ਟਰ ਬੇਨਤੀਆਂ ਆਮ ਤੌਰ ਤੇ ਨਜ਼ਦੀਕੀ Cloudflare ਮੌਜੂਦਗੀ ਪੁਆਇੰਟ ਤੇ ਪ੍ਰੋਸੈੱਸ ਕੀਤੀਆਂ ਜਾਂਦੀਆਂ ਹਨ, ਜੋ EU ਵਿਜ਼ਟਰਾਂ ਲਈ ਆਮ ਤੌਰ ਤੇ ਇੱਕ EU ਸਥਾਨ ਹੋਵੇਗਾ।
- ਬੇਨਤੀ ਰੂਟਿੰਗ, TLS ਸਮਾਪਤੀ, ਅਤੇ ਬੋਟ ਸੁਰੱਖਿਆ ਨਜ਼ਦੀਕੀ ਕਿਨਾਰੇ ਸਥਾਨ ਤੇ ਹੁੰਦੀ ਹੈ।
- EU ਨਿਵਾਸੀਆਂ ਵਜੋਂ ਪਛਾਣੇ ਗਏ ਵੈੱਬਸਾਈਟ ਆਪਰੇਟਰਾਂ ਲਈ, ਸਥਾਈ ਸਟੋਰੇਜ (ਫਾਰਮ ਸਬਮਿਸ਼ਨ, ਚੈਟਬੋਟ ਗੱਲਬਾਤ, ਅਤੇ ਸੈਸ਼ਨ ਡੇਟਾ ਸਮੇਤ) Cloudflare ਦੇ ਅਧਿਕਾਰਖੇਤਰ API ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਯੂਰਪੀਅਨ ਯੂਨੀਅਨ ਤੱਕ ਸੀਮਤ ਕੀਤੀ ਗਈ ਹੈ। ਗੈਰ-EU ਵੈੱਬਸਾਈਟ ਆਪਰੇਟਰਾਂ ਲਈ, ਸਥਾਈ ਸਟੋਰੇਜ ਆਪਰੇਟਰ ਦੇ ਭੂਗੋਲਿਕ ਖੇਤਰ ਦੇ ਨੇੜੇ ਸਥਿਤ ਹੈ ਪਰ EU ਤੋਂ ਬਾਹਰ ਹੋ ਸਕਦੀ ਹੈ।
- ਵਿਸ਼ਲੇਸ਼ਣ ਡੇਟਾ Cloudflare-ਪ੍ਰਬੰਧਿਤ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਤੇ ਪ੍ਰੋਸੈੱਸ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।
5. ਸੇਵਾ ਪ੍ਰਦਾਤਾ ਅਨੁਸਾਰ ਡਾਟਾ ਪ੍ਰਵਾਹਾਂ ਦਾ ਮੁਲਾਂਕਣ
5.1 Amazon Web Services (US)
| ਡਾਟਾ ਪ੍ਰਵਾਹ | ਸੰਬੰਧਿਤ ਨਿੱਜੀ ਡਾਟਾ | ਉਦੇਸ਼ |
|---|---|---|
| ਡੇਟਾਬੇਸ ਸਟੋਰੇਜ | ਫਾਰਮ ਸਬਮਿਸ਼ਨ ਮੈਟਾਡੇਟਾ (IP, ਦੇਸ਼, ਖੇਤਰ), ਚੈਟਬੋਟ ਗੱਲਬਾਤ ਰਿਕਾਰਡ, ਫਾਈਲ ਮੈਟਾਡੇਟਾ, ਸੈਸ਼ਨ ਰਿਕਾਰਡ | ਵੈੱਬਸਾਈਟ ਵਿਜ਼ਟਰ ਡੇਟਾ ਦੀ ਸਥਾਈ ਸਟੋਰੇਜ |
| ਫਾਈਲ ਸਟੋਰੇਜ | ਅੱਪਲੋਡ ਕੀਤੀਆਂ ਫਾਈਲਾਂ (ਤਸਵੀਰਾਂ, ਦਸਤਾਵੇਜ਼), ਡਿਪਲੋਇਮੈਂਟ ਸਨੈਪਸ਼ਾਟ | ਫਾਈਲ ਸਟੋਰੇਜ |
| AI ਅਨੁਮਾਨ | ਫਾਈਲ ਸਮੱਗਰੀ (AI ਵੇਰਵਿਆਂ ਲਈ), ਈਮੇਲ ਸਮੱਗਰੀ (ਸਪੈਮ ਖੋਜ ਲਈ) | AI-ਸੰਚਾਲਿਤ ਵੇਰਵੇ ਅਤੇ ਸਪੈਮ ਵਰਗੀਕਰਨ |
| ਸਮੱਗਰੀ ਸੰਚਾਲਨ | ਅੱਪਲੋਡ ਕੀਤੀਆਂ ਤਸਵੀਰਾਂ | ਸਮੱਗਰੀ ਸੰਚਾਲਨ (ਨਗਨਤਾ/ਸਪਸ਼ਟ ਸਮੱਗਰੀ ਖੋਜ) |
| ਈਮੇਲ ਡਿਲੀਵਰੀ | ਈਮੇਲ ਪਤੇ, ਸੁਨੇਹੇ ਦੀ ਸਮੱਗਰੀ | ਲੈਣ-ਦੇਣ ਈਮੇਲ ਡਿਲੀਵਰੀ ਅਤੇ ਸਮੱਗਰੀ ਜਮ੍ਹਾਂ ਕਰਨ ਦੀਆਂ ਸੂਚਨਾਵਾਂ। EU ਨਿਵਾਸੀ ਵੈੱਬਸਾਈਟ ਓਪਰੇਟਰਾਂ ਲਈ, ਇਹ ਕਾਰਵਾਈਆਂ ਯੂਰਪੀ ਸੰਘ (ਸਟਾਕਹੋਮ) ਵਿੱਚ ਪ੍ਰੋਸੈਸ ਕੀਤੀਆਂ ਜਾਂਦੀਆਂ ਹਨ। |
| ਭਾਸ਼ਾ ਖੋਜ | ਈਮੇਲ ਸੁਨੇਹਾ ਪਾਠ | ਭਾਸ਼ਾ ਖੋਜ |
AWS ਸੁਰੱਖਿਆਵਾਂ:
- ISO 27001, 27017, 27018 ਪ੍ਰਮਾਣਿਤ
- SOC 1/2/3 ਰਿਪੋਰਟਾਂ ਉਪਲਬਧ
- ਉਦਯੋਗ-ਮਿਆਰੀ ਇਨਕ੍ਰਿਪਸ਼ਨ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਬਾਕੀ ਡੇਟਾ ਇਨਕ੍ਰਿਪਟ ਕੀਤਾ ਗਿਆ
- transit ਵਿੱਚ ਡਾਟਾ encrypted (TLS)
- ਪ੍ਰਤੀ ਸਿਸਟਮ ਕੰਪੋਨੈਂਟ ਘੱਟੋ-ਘੱਟ-ਅਧਿਕਾਰ ਪਹੁੰਚ ਨਿਯੰਤਰਣ
- ਮੁੱਖ ਸੇਵਾਵਾਂ ਸੰਯੁਕਤ ਰਾਜ ਅਮਰੀਕਾ ਵਿੱਚ ਹੋਸਟ ਕੀਤੀਆਂ ਜਾਂਦੀਆਂ ਹਨ; EU ਨਿਵਾਸੀ ਵੈੱਬਸਾਈਟ ਓਪਰੇਟਰਾਂ ਲਈ ਆਟੋਮੈਟਿਕ ਸੈਲਾਨੀ-ਮੁਖੀ ਕਾਰਵਾਈਆਂ (ਸਮੱਗਰੀ ਜਮ੍ਹਾਂ ਕਰਨ ਦੀਆਂ ਸੂਚਨਾਵਾਂ ਅਤੇ ਲੈਣ-ਦੇਣ ਈਮੇਲ ਡਿਲੀਵਰੀ) ਯੂਰਪੀ ਸੰਘ (ਸਟਾਕਹੋਮ) ਵਿੱਚ ਪ੍ਰੋਸੈਸ ਕੀਤੀਆਂ ਜਾਂਦੀਆਂ ਹਨ
5.2 Cloudflare (Global)
| ਡਾਟਾ ਪ੍ਰਵਾਹ | ਸੰਬੰਧਿਤ ਨਿੱਜੀ ਡਾਟਾ | ਉਦੇਸ਼ |
|---|---|---|
| Edge routing | IP ਪਤੇ, HTTP headers, request URLs | request routing, DDoS protection, TLS termination |
| ਵੈੱਬਸਾਈਟ ਹੋਸਟਿੰਗ | ਪੰਨੇ ਦੀ ਸਮੱਗਰੀ, ਵਿਜ਼ਟਰ ਮੈਟਾਡੇਟਾ | ਵੈੱਬਸਾਈਟ ਹੋਸਟਿੰਗ ਅਤੇ ਡਿਲੀਵਰੀ |
| ਸਥਾਈ ਸਟੋਰੇਜ | ਫਾਰਮ ਸਬਮਿਸ਼ਨ, ਚੈਟਬੋਟ ਗੱਲਬਾਤ, ਸੈਸ਼ਨ ਡੇਟਾ, ਉਪਭੋਗਤਾ ਟੇਬਲ ਡੇਟਾ | ਪ੍ਰਤੀ-ਵੈੱਬਸਾਈਟ ਸਟੇਟਫੁਲ ਸਟੋਰੇਜ |
| ਵਿਸ਼ਲੇਸ਼ਣ | Pseudonymized ਵਿਜ਼ਟਰ ਹੈਸ਼, ਦੇਸ਼, ਡਿਵਾਈਸ, ਬ੍ਰਾਊਜ਼ਰ, ਰੈਫਰਰ, UTM | ਗੋਪਨੀਯਤਾ-ਅਨੁਕੂਲ ਵਿਜ਼ਟਰ ਵਿਸ਼ਲੇਸ਼ਣ |
| AI ਅਨੁਮਾਨ | ਚੈਟਬੋਟ ਸੁਨੇਹੇ, ਫਾਰਮ ਫੀਲਡ ਸੰਖੇਪ | AI ਚੈਟਬੋਟ ਜਵਾਬ, ਸਪੈਮ ਖੋਜ |
| ਸੰਪਤੀ ਸਟੋਰੇਜ | ਵੈੱਬਸਾਈਟ ਸੰਪਤੀਆਂ (ਤਸਵੀਰਾਂ, ਫਾਈਲਾਂ) | ਸਥਿਰ ਸੰਪਤੀ ਸਟੋਰੇਜ ਅਤੇ CDN ਡਿਲੀਵਰੀ |
Cloudflare ਸੁਰੱਖਿਆਵਾਂ:
- ISO 27001 ਪ੍ਰਮਾਣਿਤ, SOC 2 Type II
- ਸਾਰੇ connections ਲਈ TLS 1.2+
- SCCs ਨਾਲ Cloudflare DPA ਉਪਲਬਧ
- edge processing ਦਾ ਅਰਥ ਹੈ ਕਿ request handling ਲਈ EU ਵਿਜ਼ਿਟਰ ਡਾਟਾ ਆਮ ਤੌਰ 'ਤੇ EU edge locations 'ਤੇ ਪ੍ਰੋਸੈਸ ਹੁੰਦਾ ਹੈ
- EU ਨਿਵਾਸੀ ਵਜੋਂ ਪਛਾਣੇ ਗਏ ਵੈੱਬਸਾਈਟ ਓਪਰੇਟਰਾਂ ਲਈ, ਸਥਾਈ ਸਟੋਰੇਜ (ਫਾਰਮ ਜਮ੍ਹਾਂ, ਚੈਟਬੋਟ ਗੱਲਬਾਤ, ਸੈਸ਼ਨ ਡੇਟਾ ਅਤੇ ਉਪਭੋਗਤਾ ਟੇਬਲ ਡੇਟਾ ਸ਼ਾਮਲ) Cloudflare ਦੇ ਅਧਿਕਾਰ ਖੇਤਰ API ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਯੂਰਪੀ ਸੰਘ ਤੱਕ ਅਧਿਕਾਰ ਖੇਤਰ ਅਨੁਸਾਰ ਸੀਮਤ ਹੈ, ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ ਕਿ ਇਹ ਡੇਟਾ ਸਿਰਫ਼ EU ਡੇਟਾ ਸੈਂਟਰਾਂ ਵਿੱਚ ਸਟੋਰ ਅਤੇ ਪ੍ਰੋਸੈਸ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਕਿਨਾਰੇ ਤੋਂ ਬੈਕਐਂਡ API ਕਾਲਾਂ (ਸਮੱਗਰੀ ਜਮ੍ਹਾਂ ਕਰਨ ਦੀਆਂ ਸੂਚਨਾਵਾਂ ਅਤੇ ਲੈਣ-ਦੇਣ ਈਮੇਲ ਡਿਲੀਵਰੀ ਲਈ) EU-ਅਧਾਰਤ AWS ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਵੱਲ ਰੂਟ ਕੀਤੀਆਂ ਜਾਂਦੀਆਂ ਹਨ।
- AI ਅਨੁਮਾਨ ਸਿਖਲਾਈ ਲਈ ਇਨਪੁੱਟ ਡੇਟਾ ਨਹੀਂ ਰੱਖਦਾ
5.3 Stripe (US)
| ਡਾਟਾ ਪ੍ਰਵਾਹ | ਸੰਬੰਧਿਤ ਨਿੱਜੀ ਡਾਟਾ | ਉਦੇਸ਼ |
|---|---|---|
| Payment processing | ਵੈਬਸਾਈਟ ਓਪਰੇਟਰ billing data (ਨਾਮ, ਈਮੇਲ, payment method) | subscription ਅਤੇ domain payment processing |
ਨੋਟ: Stripe ਨੂੰ ਵੈਬਸਾਈਟ ਵਿਜ਼ਿਟਰਾਂ ਦਾ ਨਿੱਜੀ ਡਾਟਾ ਨਹੀਂ ਮਿਲਦਾ। Stripe ਕੇਵਲ ਵੈਬਸਾਈਟ ਓਪਰੇਟਰ (ਸਾਡੇ ਗਾਹਕ) ਦੀ billing ਜਾਣਕਾਰੀ ਪ੍ਰੋਸੈਸ ਕਰਦਾ ਹੈ।
Stripe ਸੁਰੱਖਿਆਵਾਂ:
- PCI DSS Level 1 ਪ੍ਰਮਾਣਿਤ
- ISO 27001 ਪ੍ਰਮਾਣਿਤ
- SCCs ਨਾਲ Stripe DPA ਉਪਲਬਧ
5.4 AI inference ਪ੍ਰਦਾਤਾ (US)
Fireworks AI ਅਤੇ xAI AI model inference services ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ।
| ਡਾਟਾ ਪ੍ਰਵਾਹ | ਸੰਬੰਧਿਤ ਨਿੱਜੀ ਡਾਟਾ | ਉਦੇਸ਼ |
|---|---|---|
| Text generation (website content) | ਵੈਬਸਾਈਟ ਸਮੱਗਰੀ (visitor data ਨਹੀਂ) | ਵੈਬਸਾਈਟ ਸਮੱਗਰੀ ਦੀ ਰਚਨਾ ਅਤੇ ਸੰਪਾਦਨ |
| Image generation | text prompts (visitor data ਨਹੀਂ) | ਵੈਬਸਾਈਟਾਂ ਲਈ ਚਿੱਤਰ ਬਣਾਉਣਾ |
| Conversational AI (chat agent) | ਪਲੇਟਫਾਰਮ ਯੂਜ਼ਰ ਦਾ ਨਾਮ, ਈਮੇਲ, ਭਾਸ਼ਾਈ ਪਸੰਦ, ਅਤੇ conversation history | ਪਲੇਟਫਾਰਮ ਯੂਜ਼ਰਾਂ (ਵੈਬਸਾਈਟ ਓਪਰੇਟਰਾਂ) ਲਈ AI-ਚਲਿਤ assistant |
ਨੋਟ: ਇਹ AI ਪ੍ਰਦਾਤਾ ਵੈਬਸਾਈਟ ਵਿਜ਼ਿਟਰਾਂ ਦਾ ਨਿੱਜੀ ਡਾਟਾ ਨਹੀਂ ਲੈਂਦੇ। ਵੈਬਸਾਈਟ ਵਿਜ਼ਿਟਰਾਂ ਦੀ ਸੇਵਾ ਕਰਨ ਵਾਲੀ chatbot ਵਿਸ਼ੇਸ਼ਤਾ ਇਹਨਾਂ ਪ੍ਰਦਾਤਾਵਾਂ ਦੀ ਬਜਾਏ Cloudflare Workers AI (Section 5.2 ਵਿੱਚ ਮੁਲਾਂਕਿਤ) ਦੀ ਵਰਤੋਂ ਕਰਦੀ ਹੈ। ਹਾਲਾਂਕਿ, ਵੈਬਸਾਈਟ ਓਪਰੇਟਰਾਂ ਦੁਆਰਾ ਆਪਣੀਆਂ ਵੈਬਸਾਈਟਾਂ ਨੂੰ ਪ੍ਰਬੰਧਿਤ ਕਰਨ ਲਈ ਵਰਤੇ ਜਾਣ ਵਾਲਾ ਪਲੇਟਫਾਰਮ conversational AI assistant ਜਵਾਬ ਤਿਆਰ ਕਰਨ ਦੇ ਹਿੱਸੇ ਵਜੋਂ ਇਹਨਾਂ ਪ੍ਰਦਾਤਾਵਾਂ ਨੂੰ ਪਲੇਟਫਾਰਮ ਯੂਜ਼ਰ ਨਿੱਜੀ ਡਾਟਾ (ਨਾਮ, ਈਮੇਲ ਪਤਾ, ਅਤੇ conversation history) ਭੇਜਦਾ ਹੈ। ਇਸ ਪ੍ਰੋਸੈਸਿੰਗ ਲਈ Acira AI controller ਵਜੋਂ ਕੰਮ ਕਰਦੀ ਹੈ (processor ਨਹੀਂ), ਅਤੇ data subjects ਸਾਡੇ platform users (ਵੈਬਸਾਈਟ ਓਪਰੇਟਰ) ਹਨ, ਉਹਨਾਂ ਦੇ ਵੈਬਸਾਈਟ ਵਿਜ਼ਿਟਰ ਨਹੀਂ। ਇਹ ਡਾਟਾ ਪ੍ਰਵਾਹ visitor data ਲਈ DPA ਦੇ controller-processor framework ਦੀ ਬਜਾਏ ਸਾਡੀ Privacy Policy ਅਤੇ ਇਹਨਾਂ ਪ੍ਰਦਾਤਾਵਾਂ ਨਾਲ ਸਾਡੇ ਕਰਾਰਾਂ ਦੁਆਰਾ ਸ਼ਾਸਿਤ ਹੈ।
ਮਾਡਲ ਪਰਿਵਾਰ: ਇਹ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਪ੍ਰਦਾਤਾ ਵੱਖ-ਵੱਖ ਤੀਜੀਆਂ ਧਿਰਾਂ ਦੁਆਰਾ ਵਿਕਸਤ AI ਮਾਡਲਾਂ ਨੂੰ ਹੋਸਟ ਅਤੇ ਚਲਾਉਂਦੇ ਹਨ। ਵਰਤੇ ਗਏ ਖਾਸ ਮਾਡਲ ਅਤੇ ਮਾਡਲ ਪਰਿਵਾਰ ਸਮੇਂ ਦੇ ਨਾਲ ਬਦਲ ਸਕਦੇ ਹਨ। ਮਾਡਲ ਡਿਵੈਲਪਰ ਕਿਸੇ ਵੀ ਉਪਭੋਗਤਾ ਡੇਟਾ ਨੂੰ ਪ੍ਰਾਪਤ ਨਹੀਂ ਕਰਦੇ ਜਾਂ ਇਸ ਤੱਕ ਪਹੁੰਚ ਨਹੀਂ ਕਰਦੇ — ਸਾਰੀ ਡੇਟਾ ਪ੍ਰੋਸੈਸਿੰਗ ਸੂਚੀਬੱਧ ਉਪ-ਪ੍ਰੋਸੈਸਰਾਂ ਦੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਵਿੱਚ ਵਿਸ਼ੇਸ਼ ਤੌਰ ਤੇ ਹੁੰਦੀ ਹੈ, ਭਾਵੇਂ ਕੋਈ ਮਾਡਲ ਅਸਲ ਵਿੱਚ ਕਿੱਥੇ ਵਿਕਸਤ ਕੀਤਾ ਗਿਆ ਸੀ। ਸਾਰੀ AI ਅਨੁਮਾਨ ਪ੍ਰੋਸੈਸਿੰਗ ਸਾਡੇ ਸੂਚੀਬੱਧ ਉਪ-ਪ੍ਰੋਸੈਸਰਾਂ ਦੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਤੇ ਰਹਿੰਦੀ ਹੈ। ਕੋਈ ਵੀ ਉਪਭੋਗਤਾ ਡੇਟਾ ਮਾਡਲ ਡਿਵੈਲਪਰਾਂ ਜਾਂ ਇਸ ਮੁਲਾਂਕਣ ਵਿੱਚ ਸੂਚੀਬੱਧ ਉਪ-ਪ੍ਰੋਸੈਸਰਾਂ ਤੋਂ ਬਾਹਰ ਦੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨੂੰ ਨਹੀਂ ਭੇਜਿਆ ਜਾਂਦਾ। ਵਰਤੋਂ ਵਿੱਚ ਮਾਡਲ ਪਰਿਵਾਰਾਂ ਦੀ ਮੌਜੂਦਾ ਸੂਚੀ legal@acira.ai ਤੇ ਸੰਪਰਕ ਕਰਕੇ ਬੇਨਤੀ ਤੇ ਉਪਲਬਧ ਹੈ।
5.5 BrightData (Israel / Global)
| ਡਾਟਾ ਪ੍ਰਵਾਹ | ਸੰਬੰਧਿਤ ਨਿੱਜੀ ਡਾਟਾ | ਉਦੇਸ਼ |
|---|---|---|
| Web data collection | ਸਰਵਜਨਿਕ ਤੌਰ 'ਤੇ ਉਪਲਬਧ ਵੈਬ ਸਮੱਗਰੀ (visitor data ਨਹੀਂ) | ਵੈਬਸਾਈਟ ਬਣਾਉਣ ਦੌਰਾਨ ਸਮੱਗਰੀ import (ਯੂਜ਼ਰ-ਨਿਰਦੇਸ਼ਿਤ) |
| SERP tracking | search keywords (visitor data ਨਹੀਂ) | keyword ranking monitoring |
ਨੋਟ: BrightData ਵੈਬਸਾਈਟ ਵਿਜ਼ਿਟਰਾਂ ਦਾ ਨਿੱਜੀ ਡਾਟਾ ਪ੍ਰੋਸੈਸ ਨਹੀਂ ਕਰਦਾ। ਇਹ ਯੂਜ਼ਰ ਦੇ ਨਿਰਦੇਸ਼ 'ਤੇ ਸਰਵਜਨਿਕ ਤੌਰ 'ਤੇ ਉਪਲਬਧ ਵੈਬ ਸਮੱਗਰੀ ਪ੍ਰੋਸੈਸ ਕਰਦਾ ਹੈ ਅਤੇ ਯੂਜ਼ਰ-ਨਿਰਧਾਰਿਤ keywords ਲਈ search engine rankings ਨੂੰ track ਕਰਦਾ ਹੈ।
5.6 EU-ਅਧਾਰਿਤ ਪ੍ਰਦਾਤਾ (ਕੋਈ ਟ੍ਰਾਂਸਫਰ ਨਹੀਂ)
| ਪ੍ਰਦਾਤਾ | ਸਥਾਨ | ਉਦੇਸ਼ |
|---|---|---|
| Black Forest Labs | ਜਰਮਨੀ (EU) | AI image generation (Flux models) |
| ScreenshotOne | ਯੂਰਪੀ ਸੰਘ | ਵੈਬਸਾਈਟ screenshot capture |
| CloudConvert | ਜਰਮਨੀ (EU) | ਫਾਇਲ format conversion |
ਇਹ ਪ੍ਰਦਾਤਾ EU ਦੇ ਅੰਦਰ ਡਾਟਾ ਪ੍ਰੋਸੈਸ ਕਰਦੇ ਹਨ ਅਤੇ ਇਹ ਅੰਤਰਰਾਸ਼ਟਰੀ ਟ੍ਰਾਂਸਫਰ ਨਹੀਂ ਬਣਾਉਂਦਾ। Black Forest Labs ਨੂੰ ਕੇਵਲ image generation ਲਈ text prompts ਮਿਲਦੇ ਹਨ; ਕੋਈ ਨਿੱਜੀ ਡਾਟਾ ਸ਼ਾਮਲ ਨਹੀਂ ਹੁੰਦਾ।
6. ਪੂਰਕ ਉਪਾਅ
SCCs ਤੋਂ ਇਲਾਵਾ, ਅਸੀਂ ਟ੍ਰਾਂਸਫਰ ਕੀਤੇ ਨਿੱਜੀ ਡਾਟਾ ਲਈ ਮੂਲ ਰੂਪ ਵਿੱਚ ਸਮਕੱਖੀ ਪੱਧਰ ਦੀ ਸੁਰੱਖਿਆ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਹੇਠ ਲਿਖੇ ਪੂਰਕ ਉਪਾਅ ਲਾਗੂ ਕਰਦੇ ਹਾਂ:
6.1 ਤਕਨੀਕੀ ਉਪਾਅ
| ਉਪਾਅ | ਵਰਣਨ |
|---|---|
| ਆਵਾਜਾਈ ਵਿੱਚ ਇਨਕ੍ਰਿਪਸ਼ਨ | ਵਿਜ਼ਟਰਾਂ, ਐੱਜ ਨੈੱਟਵਰਕ, ਅਤੇ ਬੈਕਐਂਡ ਸੇਵਾਵਾਂ ਵਿਚਕਾਰ ਸਾਰਾ ਡੇਟਾ TLS (ਘੱਟੋ-ਘੱਟ TLS 1.2) ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਇਨਕ੍ਰਿਪਟ ਕੀਤਾ ਗਿਆ ਹੈ। ਅੰਦਰੂਨੀ ਸੇਵਾ-ਤੋਂ-ਸੇਵਾ ਸੰਚਾਰ ਇਨਕ੍ਰਿਪਟਡ ਚੈਨਲਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। |
| ਬਾਕੀ ਵਿੱਚ ਇਨਕ੍ਰਿਪਸ਼ਨ | ਸਾਰੇ ਡੇਟਾਬੇਸ ਰਿਕਾਰਡ, ਫਾਈਲ ਸਟੋਰੇਜ, ਅਤੇ ਐੱਜ-ਹੋਸਟਡ ਸਥਾਈ ਸਟੋਰੇਜ ਸੰਬੰਧਿਤ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਪ੍ਰਦਾਤਾ ਦੁਆਰਾ ਪ੍ਰਬੰਧਿਤ ਉਦਯੋਗ-ਮਿਆਰੀ ਇਨਕ੍ਰਿਪਸ਼ਨ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਬਾਕੀ ਵਿੱਚ ਇਨਕ੍ਰਿਪਟ ਕੀਤੀਆਂ ਗਈਆਂ ਹਨ। |
| Pseudonymization | ਵਿਜ਼ਟਰ ਵਿਸ਼ਲੇਸ਼ਣ ਕੱਚੇ IP ਪਤੇ ਸਟੋਰ ਕਰਨ ਦੀ ਬਜਾਏ ਰੋਜ਼ਾਨਾ-ਰੋਟੇਟਿੰਗ ਕ੍ਰਿਪਟੋਗ੍ਰਾਫਿਕ ਹੈਸ਼ (IP + User-Agent + ਮਿਤੀ) ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਇਹ ਹੈਸ਼ ਉਲਟਾਇਆ ਨਹੀਂ ਜਾ ਸਕਦਾ ਅਤੇ ਹਰ 24 ਘੰਟਿਆਂ ਵਿੱਚ ਰੋਟੇਟ ਹੁੰਦਾ ਹੈ, ਕਰਾਸ-ਦਿਨ ਟ੍ਰੈਕਿੰਗ ਨੂੰ ਰੋਕਦਾ ਹੈ। |
| ਡੇਟਾ ਘੱਟੋ-ਘੱਟੀਕਰਨ | ਵਿਸ਼ਲੇਸ਼ਣ ਕੇਵਲ ਕੁੱਲ-ਪੱਧਰ ਮੈਟਾਡੇਟਾ (ਦੇਸ਼, ਡਿਵਾਈਸ ਕਿਸਮ, ਬ੍ਰਾਊਜ਼ਰ) ਇਕੱਠਾ ਕਰਦਾ ਹੈ। ਵਿਸ਼ਲੇਸ਼ਣ ਵਿੱਚ ਕੋਈ ਕੱਚੇ IP ਪਤੇ ਸਟੋਰ ਨਹੀਂ ਕੀਤੇ ਜਾਂਦੇ। ਚੈਟਬੋਟ ਸੁਨੇਹੇ 2,000 ਅੱਖਰਾਂ ਤੱਕ ਸੀਮਤ ਹਨ। |
| Password hashing | ਸਾਰੇ visitor passwords (ਵੈਬਸਾਈਟ ਦੇ ਸੁਰੱਖਿਅਤ ਖੇਤਰਾਂ ਲਈ) ਸਟੋਰੇਜ ਤੋਂ ਪਹਿਲਾਂ ਮਜ਼ਬੂਤ cryptographic algorithms ਅਤੇ ਪ੍ਰਤੀ-ਯੂਜ਼ਰ random salts ਦੀ ਵਰਤੋਂ ਨਾਲ hash ਕੀਤੇ ਜਾਂਦੇ ਹਨ। plaintext passwords ਕਦੇ ਵੀ ਸਟੋਰ ਜਾਂ ਪ੍ਰਸਾਰਿਤ ਨਹੀਂ ਕੀਤੇ ਜਾਂਦੇ। |
| ਪਹੁੰਚ ਨਿਯੰਤਰਣ | ਘੱਟੋ-ਘੱਟ-ਅਧਿਕਾਰ ਪਹੁੰਚ ਨੀਤੀਆਂ ਹਰੇਕ ਸਿਸਟਮ ਕੰਪੋਨੈਂਟ ਨੂੰ ਕੇਵਲ ਲੋੜੀਂਦੇ ਸਰੋਤਾਂ ਤੱਕ ਸੀਮਤ ਕਰਦੀਆਂ ਹਨ। ਪ੍ਰਤੀ-ਵੈੱਬਸਾਈਟ API ਟੋਕਨ ਵਿਅਕਤੀਗਤ ਵੈੱਬਸਾਈਟਾਂ ਤੱਕ ਪਹੁੰਚ ਸੀਮਤ ਕਰਦੇ ਹਨ। |
| ਨੈੱਟਵਰਕ ਅਲੱਗਤਾ | ਬੈਕਐਂਡ ਸੇਵਾਵਾਂ ਅੰਦਰੂਨੀ ਨੈੱਟਵਰਕਾਂ ਤੇ ਸੰਚਾਰ ਕਰਦੀਆਂ ਹਨ। ਵੈੱਬਸਾਈਟ ਹੋਸਟਿੰਗ ਅਲੱਗ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਸੈਂਡਬਾਕਸਾਂ ਵਿੱਚ ਚੱਲਦੀ ਹੈ। ਕਸਟਮ ਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ WebAssembly-ਆਧਾਰਿਤ ਸੈਂਡਬਾਕਸਿੰਗ ਦੀ ਵਰਤੋਂ ਕਰਦੀ ਹੈ। |
| ਅਧਿਕਾਰ ਖੇਤਰੀ ਡੇਟਾ ਨਿਵਾਸ | EU ਨਿਵਾਸੀ ਵਜੋਂ ਪਛਾਣੇ ਗਏ ਵੈੱਬਸਾਈਟ ਓਪਰੇਟਰਾਂ ਲਈ, ਸੈਲਾਨੀ ਡੇਟਾ (ਫਾਰਮ ਜਮ੍ਹਾਂ, ਚੈਟਬੋਟ ਗੱਲਬਾਤ, ਸੈਸ਼ਨ ਡੇਟਾ ਅਤੇ ਉਪਭੋਗਤਾ ਟੇਬਲ ਡੇਟਾ) ਵਾਲਾ ਸਥਾਈ ਸਟੋਰੇਜ ਯੂਰਪੀ ਸੰਘ ਤੱਕ ਅਧਿਕਾਰ ਖੇਤਰ ਅਨੁਸਾਰ ਸੀਮਤ ਹੈ, ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ ਕਿ ਇਹ ਡੇਟਾ ਸਿਰਫ਼ EU ਡੇਟਾ ਸੈਂਟਰਾਂ ਵਿੱਚ ਸਟੋਰ ਅਤੇ ਪ੍ਰੋਸੈਸ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਆਟੋਮੈਟਿਕ ਸੈਲਾਨੀ-ਮੁਖੀ ਕਾਰਵਾਈਆਂ (ਸਮੱਗਰੀ ਜਮ੍ਹਾਂ ਕਰਨ ਦੀਆਂ ਸੂਚਨਾਵਾਂ ਅਤੇ ਲੈਣ-ਦੇਣ ਈਮੇਲ ਡਿਲੀਵਰੀ) EU-ਅਧਾਰਤ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਵਿੱਚ ਵੀ ਪ੍ਰੋਸੈਸ ਕੀਤੀਆਂ ਜਾਂਦੀਆਂ ਹਨ। |
| Automated deletion | session data 30 ਦਿਨ ਦੀ inactivity ਤੋਂ ਬਾਅਦ expire ਹੋ ਜਾਂਦਾ ਹੈ। temporary files 24 ਘੰਟਿਆਂ ਦੇ ਅੰਦਰ ਮਿਟਾ ਦਿੱਤੀਆਂ ਜਾਂਦੀਆਂ ਹਨ। bot challenge data ਛਣਭੰਗੁਰ ਹੁੰਦਾ ਹੈ ਅਤੇ persist ਨਹੀਂ ਕੀਤਾ ਜਾਂਦਾ। |
6.2 ਸੰਗਠਨਾਤਮਕ ਉਪਾਅ
| ਉਪਾਅ | ਵਰਣਨ |
|---|---|
| ਕਰਮਚਾਰੀ ਗੋਪਨੀਯਤਾ | ਨਿੱਜੀ ਡਾਟਾ ਤੱਕ ਪਹੁੰਚ ਵਾਲਾ ਸਾਰਾ ਕਰਮਚਾਰੀ ਗੋਪਨੀਯਤਾ ਬਾਧਿਆਵਾਂ ਨਾਲ ਬੰਨ੍ਹਿਆ ਹੋਇਆ ਹੈ। |
| ਉਪ-ਪ੍ਰੋਸੈਸਰ due diligence | ਉਪ-ਪ੍ਰੋਸੈਸਰਾਂ ਨਾਲ ਸਹਿਯੋਗ ਤੋਂ ਪਹਿਲਾਂ ਉਹਨਾਂ ਦੀਆਂ security practices ਅਤੇ data protection compliance ਦਾ ਮੁਲਾਂਕਣ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਸਾਰੇ ਉਪ-ਪ੍ਰੋਸੈਸਰਾਂ ਨਾਲ ਲਿਖਤੀ DPA ਮੌਜੂਦ ਹਨ। |
| Incident response | breach notification procedures ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦੀਆਂ ਹਨ ਕਿ ਨਿੱਜੀ ਡਾਟਾ breach ਦੀ ਪੁਸ਼ਟੀ ਤੋਂ 72 ਘੰਟਿਆਂ ਦੇ ਅੰਦਰ Controllers ਨੂੰ ਸੂਚਿਤ ਕੀਤਾ ਜਾਵੇ। |
| ਡੇਟਾ ਰਿਟੈਨਸ਼ਨ ਨੀਤੀਆਂ | ਆਟੋਮੈਟਿਕ ਲਾਗੂਕਰਨ ਨਾਲ ਦਸਤਾਵੇਜ਼ੀ ਰਿਟੈਨਸ਼ਨ ਪੀਰੀਅਡ (TTL-ਆਧਾਰਿਤ ਮਿਟਾਉਣਾ, ਜੀਵਨਚੱਕਰ ਨੀਤੀਆਂ)। |
| ਸੁਰੱਖਿਆ ਨਿਗਰਾਨੀ | ਸੰਰਚਿਤ ਲੌਗਿੰਗ, ਆਟੋਮੈਟਿਕ ਸੁਰੱਖਿਆ ਨਿਗਰਾਨੀ, ਅਤੇ ਘੁਸਪੈਠ ਖੋਜ। ਗਲਤੀ ਅਤੇ ਡਾਇਗਨੌਸਟਿਕ ਲੌਗ 30 ਦਿਨਾਂ ਤੱਕ ਰੱਖੇ ਜਾਂਦੇ ਹਨ। |
6.3 ਕਰਾਰਾਤਮਕ ਉਪਾਅ
| ਉਪਾਅ | ਵਰਣਨ |
|---|---|
| Standard Contractual Clauses | SCCs (Module One, Module Two, ਅਤੇ Module Three) ਸੰਦਰਭ ਰਾਹੀਂ ਸਾਡੇ DPA ਵਿੱਚ ਸ਼ਾਮਲ ਕੀਤੇ ਗਏ ਹਨ। |
| ਉਪ-ਪ੍ਰੋਸੈਸਰ SCCs | ਹਰ ਉਪ-ਪ੍ਰੋਸੈਸਰ ਨਾਲ ਲਿਖਤੀ agreements ਐਸੀਆਂ data protection obligations ਲਗਾਉਂਦੀਆਂ ਹਨ ਜੋ ਸਾਡੇ DPA ਵਾਲੀਆਂ obligations ਨਾਲੋਂ ਘੱਟ ਸੁਰੱਖਿਆਕਾਰੀ ਨਹੀਂ ਹਨ। |
| ਸਰਕਾਰੀ ਪਹੁੰਚ ਸੂਚਨਾ | ਜਿੱਥੇ ਕਾਨੂੰਨੀ ਤੌਰ 'ਤੇ ਇਜਾਜ਼ਤ ਹੋਵੇ, ਅਸੀਂ ਆਪਣੇ Terms and Conditions ਵਿੱਚ ਵਰਣਿਤ ਤਰੀਕੇ ਅਨੁਸਾਰ Controllers ਨੂੰ ਸਰਕਾਰੀ ਪਹੁੰਚ ਬੇਨਤੀਆਂ ਬਾਰੇ ਸੂਚਿਤ ਕਰਨ ਦਾ ਵਾਅਦਾ ਕਰਦੇ ਹਾਂ। |
| ਚੁਣੌਤੀ ਦੇਣ ਦੀ ਵਚਨਬੱਧਤਾ | ਜਿਨ੍ਹਾਂ ਸਰਕਾਰੀ ਪਹੁੰਚ ਬੇਨਤੀਆਂ ਨੂੰ ਅਸੀਂ ਹੱਦ ਤੋਂ ਵੱਧ ਵਿਸਤ੍ਰਿਤ ਜਾਂ ਗੈਰਕਾਨੂੰਨੀ ਮੰਨਦੇ ਹਾਂ, ਉਹਨਾਂ ਨੂੰ ਚੁਣੌਤੀ ਦੇਣ ਦੀ ਅਸੀਂ ਵਚਨਬੱਧਤਾ ਕਰਦੇ ਹਾਂ। |
7. ਖਤਰਾ ਮੁਲਾਂਕਣ
7.1 ਸਰਕਾਰੀ ਪਹੁੰਚ ਦੀ ਸੰਭਾਵਨਾ
| ਕਾਰਕ | ਮੁਲਾਂਕਣ |
|---|---|
| ਡਾਟਾ ਦੀ ਪ੍ਰਕਿਰਤੀ | ਮੁੱਖ ਤੌਰ 'ਤੇ ਛੋਟੇ ਕਾਰੋਬਾਰੀ ਵੈਬਸਾਈਟਾਂ ਤੋਂ pseudonymized analytics, form submissions, ਅਤੇ chatbot messages। ਇਸ ਡਾਟਾ ਦੀ intelligence value ਘੱਟ ਹੈ। |
| ਡਾਟਾ ਦੀ ਮਾਤਰਾ | ਘੱਟ ਤੋਂ ਦਰਮਿਆਨੀ। ਹਰ ਵੈਬਸਾਈਟ ਆਪਣੀ visitor base ਨੂੰ ਸੇਵਾ ਦਿੰਦੀ ਹੈ; surveillance ਉਦੇਸ਼ਾਂ ਲਈ ਡਾਟਾ ਵੈਬਸਾਈਟਾਂ ਦੇ ਪਾਰ aggregate ਨਹੀਂ ਕੀਤਾ ਜਾਂਦਾ। |
| ਕੰਪਨੀ ਪ੍ਰੋਫਾਈਲ | Acira AI ਇੱਕ ਛੋਟੀ SaaS ਕੰਪਨੀ ਹੈ ਜੋ ਛੋਟੇ ਕਾਰੋਬਾਰਾਂ ਦੀਆਂ ਵੈਬਸਾਈਟਾਂ ਹੋਸਟ ਕਰਦੀ ਹੈ। ਅਸੀਂ ਟੈਲੀਕਮਿਊਨੀਕੇਸ਼ਨ ਪ੍ਰਦਾਤਾ ਜਾਂ ਉੱਚ-ਪ੍ਰੋਫਾਈਲ surveillance target ਨਹੀਂ ਹਾਂ। |
| ਇਤਿਹਾਸਕ ਬੇਨਤੀਆਂ | ਇਸ ਮੁਲਾਂਕਣ ਦੀ ਤਾਰੀਖ ਤੱਕ, Acira AI ਨੂੰ ਕਦੇ ਵੀ FISA Section 702 directive, National Security Letter, ਜਾਂ ਗਾਹਕ ਡਾਟਾ ਲਈ ਕਿਸੇ ਵੀ bulk access ਸੰਬੰਧੀ ਸਰਕਾਰੀ ਬੇਨਤੀ ਪ੍ਰਾਪਤ ਨਹੀਂ ਹੋਈ। |
| ਉਪ-ਪ੍ਰੋਸੈਸਰ ਪ੍ਰੋਫਾਈਲ | AWS ਅਤੇ Cloudflare ਵੱਡੇ infrastructure providers ਹਨ ਜੋ transparency reports ਪ੍ਰਕਾਸ਼ਿਤ ਕਰਦੇ ਹਨ। ਉਹਨਾਂ ਦੀਆਂ transparency reports ਦਿਖਾਉਂਦੀਆਂ ਹਨ ਕਿ ਸਰਕਾਰੀ ਬੇਨਤੀਆਂ specific accounts ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੀਆਂ ਹਨ, ਨਾ ਕਿ ਹੋਸਟ ਕੀਤੀ ਸਮੱਗਰੀ ਲਈ bulk access ਨੂੰ। |
ਸਮੁੱਚੀ ਸੰਭਾਵਨਾ: ਘੱਟ
7.2 ਜੇਕਰ ਪਹੁੰਚ ਹੋਵੇ ਤਾਂ ਪ੍ਰਭਾਵ
| ਕਾਰਕ | ਮੁਲਾਂਕਣ |
|---|---|
| ਡਾਟਾ ਸੰਵੇਦਨਸ਼ੀਲਤਾ | ਟ੍ਰਾਂਸਫਰ ਕੀਤੇ ਡਾਟਾ ਦਾ ਵੱਡਾ ਹਿੱਸਾ ਘੱਟ ਸੰਵੇਦਨਸ਼ੀਲਤਾ ਵਾਲਾ ਹੈ (pseudonymized analytics, website visitor metadata)। form submissions ਵੈਬਸਾਈਟ 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹੋਏ ਦਰਮਿਆਨੀ ਸੰਵੇਦਨਸ਼ੀਲ ਡਾਟਾ (ਨਾਮ, ਈਮੇਲ ਪਤੇ, ਸੁਨੇਹੇ) ਸ਼ਾਮਲ ਕਰ ਸਕਦੇ ਹਨ। |
| Pseudonymization ਦੀ ਪ੍ਰਭਾਵਸ਼ੀਲਤਾ | analytics ਡਾਟਾ ਨੂੰ individuals ਨਾਲ ਨਹੀਂ ਜੋੜਿਆ ਜਾ ਸਕਦਾ ਜਦ ਤੱਕ ਰੋਜ਼ਾਨਾ-ਬਦਲਣ ਵਾਲੇ hash ਦੇ ਘਟਕ (IP + User-Agent + date) ਉਪਲਬਧ ਨਾ ਹੋਣ, ਜੋ ਸਟੋਰ ਨਹੀਂ ਕੀਤੇ ਜਾਂਦੇ। |
| ਐਕਸਪੋਜ਼ਰ ਦਾ ਦਾਇਰਾ | ਕੋਈ ਵੀ ਸਰਕਾਰੀ ਪਹੁੰਚ ਪੂਰੇ ਪਲੇਟਫਾਰਮ ਦੀ ਬਜਾਏ ਖਾਸ ਖਾਤਿਆਂ ਜਾਂ ਵੈੱਬਸਾਈਟਾਂ ਤੱਕ ਸੀਮਤ ਹੋਵੇਗੀ। ਸਮਰਪਿਤ ਸਟੋਰੇਜ ਉਦਾਹਰਣਾਂ ਰਾਹੀਂ ਪ੍ਰਤੀ-ਵੈੱਬਸਾਈਟ ਡੇਟਾ ਅਲੱਗ-ਥਲੱਗ ਕਿਸੇ ਵੀ ਸੰਭਾਵੀ ਸਮਝੌਤੇ ਦੇ ਦਾਇਰੇ ਨੂੰ ਸੀਮਤ ਕਰਦਾ ਹੈ। EU ਨਿਵਾਸੀ ਵੈੱਬਸਾਈਟ ਓਪਰੇਟਰਾਂ ਲਈ, ਸਥਾਈ ਸਟੋਰੇਜ ਅਤੇ ਆਟੋਮੈਟਿਕ ਸੈਲਾਨੀ-ਮੁਖੀ ਪ੍ਰੋਸੈਸਿੰਗ (ਸਮੱਗਰੀ ਜਮ੍ਹਾਂ ਕਰਨ ਦੀਆਂ ਸੂਚਨਾਵਾਂ ਅਤੇ ਲੈਣ-ਦੇਣ ਈਮੇਲ ਡਿਲੀਵਰੀ) EU ਤੱਕ ਸੀਮਤ ਹੈ, ਇਸ ਡੇਟਾ ਲਈ US ਸਰਕਾਰ ਦੀ ਪਹੁੰਚ ਦੇ ਐਕਸਪੋਜ਼ਰ ਨੂੰ ਹੋਰ ਸੀਮਤ ਕਰਦਾ ਹੈ। |
ਸਮੁੱਚਾ ਪ੍ਰਭਾਵ: ਘੱਟ ਤੋਂ ਦਰਮਿਆਨਾ (ਵਿਅਕਤੀਗਤ ਵੈਬਸਾਈਟ ਓਪਰੇਟਰਾਂ ਦੁਆਰਾ ਇਕੱਠੇ ਕੀਤੇ ਡਾਟਾ ਦੀ ਸੰਵੇਦਨਸ਼ੀਲਤਾ 'ਤੇ ਨਿਰਭਰ)
7.3 ਬਾਕੀ ਰਹਿ ਜਾਂਦਾ ਖਤਰਾ ਮੁਲਾਂਕਣ
ਸਰਕਾਰੀ ਪਹੁੰਚ ਦੀ ਘੱਟ ਸੰਭਾਵਨਾ, ਪੂਰਕ ਤਕਨੀਕੀ ਉਪਾਅ (encryption, pseudonymization, data minimization), ਅਤੇ EO 14086 ਦੁਆਰਾ ਲਿਆਂਦੀਆਂ ਵਾਧੂ ਸੁਰੱਖਿਆਵਾਂ ਨੂੰ ਧਿਆਨ ਵਿੱਚ ਰੱਖਦਿਆਂ, ਅਸੀਂ ਮੁਲਾਂਕਣ ਕਰਦੇ ਹਾਂ ਕਿ data subjects ਲਈ ਬਾਕੀ ਰਹਿ ਜਾਂਦਾ ਖਤਰਾ ਘੱਟ ਹੈ ਅਤੇ ਇਹ ਕਿ ਪੂਰਕ ਉਪਾਅ, SCCs (EEA/UK/Swiss ਟ੍ਰਾਂਸਫਰਾਂ ਲਈ) ਅਤੇ ਕਰਾਰਾਤਮਕ ਸੁਰੱਖਿਆਵਾਂ (ਕੈਨੇਡੀਅਨ ਟ੍ਰਾਂਸਫਰਾਂ ਲਈ) ਨਾਲ ਮਿਲ ਕੇ, EEA ਦੇ ਅੰਦਰ ਗਾਰੰਟੀ ਕੀਤੀ ਸੁਰੱਖਿਆ ਦੇ ਮੂਲ ਰੂਪ ਵਿੱਚ ਸਮਕੱਖੀ ਅਤੇ ਕੈਨੇਡੀਅਨ ਗੋਪਨੀਯਤਾ ਕਾਨੂੰਨ ਅਧੀਨ ਲੋੜੀਂਦੀ ਸੁਰੱਖਿਆ ਦੇ ਤੁਲਨਾਤਮਕ ਪੱਧਰ ਨੂੰ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ।
8. ਨਤੀਜਾ
ਇਸ ਮੁਲਾਂਕਣ ਦੇ ਆਧਾਰ 'ਤੇ, ਅਸੀਂ ਇਹ ਨਤੀਜਾ ਕੱਢਦੇ ਹਾਂ ਕਿ:
ਸਾਡੀਆਂ ਸੇਵਾਵਾਂ ਦੇ ਪ੍ਰਦਾਨ ਕਰਨ ਨਾਲ ਸੰਬੰਧਿਤ EEA/UK/ਸਵਿਟਜ਼ਰਲੈਂਡ/ਕੈਨੇਡਾ ਤੋਂ ਸੰਯੁਕਤ ਰਾਜ ਅਮਰੀਕਾ ਵੱਲ ਟ੍ਰਾਂਸਫਰ ਕੀਤਾ ਜਾਣ ਵਾਲਾ ਨਿੱਜੀ ਡਾਟਾ EU ਡਾਟਾ ਸੁਰੱਖਿਆ ਕਾਨੂੰਨ ਅਧੀਨ ਗਾਰੰਟੀ ਕੀਤੀ ਸੁਰੱਖਿਆ ਦੇ ਮੂਲ ਰੂਪ ਵਿੱਚ ਸਮਕੱਖੀ ਪੱਧਰ ਅਤੇ ਕੈਨੇਡੀਅਨ ਗੋਪਨੀਯਤਾ ਕਾਨੂੰਨ ਅਧੀਨ ਲੋੜੀਂਦੀ ਸੁਰੱਖਿਆ ਦੇ ਤੁਲਨਾਤਮਕ ਪੱਧਰ ਤੋਂ ਲਾਭ ਲੈਂਦਾ ਹੈ।
Standard Contractual Clauses, ਸੈਕਸ਼ਨ 6 ਵਿੱਚ ਵਰਣਿਤ ਪੂਰਕ ਤਕਨੀਕੀ, ਸੰਗਠਨਾਤਮਕ, ਅਤੇ ਕਰਾਰਾਤਮਕ ਉਪਾਅ ਨਾਲ ਮਿਲ ਕੇ, ਇਸ ਮੁਲਾਂਕਣ ਵਿੱਚ ਪਛਾਣੇ ਗਏ ਖਤਰਿਆਂ ਨੂੰ ਯਥੋਚਿਤ ਢੰਗ ਨਾਲ ਸੰਬੋਧਦੇ ਹਨ।
ਡਾਟਾ ਦੀ ਪ੍ਰਕਿਰਤੀ (ਮੁੱਖ ਤੌਰ 'ਤੇ pseudonymized analytics ਅਤੇ ਛੋਟੇ ਕਾਰੋਬਾਰਾਂ ਦੀਆਂ ਵੈਬਸਾਈਟਾਂ ਨਾਲ ਸੰਬੰਧਿਤ visitor interactions) ਅਤੇ ਡਾਟਾ ਇੰਪੋਰਟਰ ਦਾ ਪ੍ਰੋਫਾਈਲ (ਇੱਕ ਛੋਟੀ SaaS ਕੰਪਨੀ, ਟੈਲੀਕਮਿਊਨੀਕੇਸ਼ਨ ਪ੍ਰਦਾਤਾ ਨਹੀਂ) ਸਰਕਾਰੀ ਨਿਗਰਾਨੀ ਦੇ ਵਿਹਾਰਕ ਖਤਰੇ ਨੂੰ ਕਾਫ਼ੀ ਘਟਾਉਂਦੇ ਹਨ।
Executive Order 14086 ਅਤੇ ਇਸ ਨਾਲ ਸੰਬੰਧਿਤ redress mechanism ਦੁਆਰਾ ਲਿਆਂਦੀਆਂ ਸੁਰੱਖਿਆਵਾਂ ਵਰਤੇ ਗਏ ਖ਼ਾਸ ਟ੍ਰਾਂਸਫਰ ਮਕੈਨਿਜ਼ਮ ਤੋਂ ਬਿਨਾਂ ਸਾਰੇ data subjects ਲਈ ਵਾਧੂ ਸੁਰੱਖਿਆ ਪ੍ਰਦਾਨ ਕਰਦੀਆਂ ਹਨ।
ਕੈਨੇਡੀਅਨ ਟ੍ਰਾਂਸਫਰਾਂ ਲਈ, ਇੱਥੇ ਵਰਣਿਤ ਕਰਾਰਾਤਮਕ ਸੁਰੱਖਿਆਵਾਂ ਅਤੇ ਪੂਰਕ ਉਪਾਅ PIPEDA ਅਤੇ ਲਾਗੂ ਸੂਬਾਈ ਗੋਪਨੀਯਤਾ ਕਾਨੂੰਨਾਂ, ਜਿਸ ਵਿੱਚ Quebec ਦਾ ਆਧੁਨਿਕ ਗੋਪਨੀਯਤਾ ਕਾਨੂੰਨ ਵੀ ਸ਼ਾਮਲ ਹੈ, ਅਧੀਨ ਲੋੜੀਂਦੀ ਸੁਰੱਖਿਆ ਦੇ ਤੁਲਨਾਤਮਕ ਪੱਧਰ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਂਦੇ ਹਨ।
ਅਸੀਂ US surveillance law ਅਤੇ practice ਵਿੱਚ ਹੋਣ ਵਾਲੀਆਂ ਤਰੱਕੀਆਂ, ਅਤੇ ਕੈਨੇਡੀਅਨ ਗੋਪਨੀਯਤਾ ਕਾਨੂੰਨ (proposed Consumer Privacy Protection Act ਸਮੇਤ) ਵਿੱਚ ਹੋਣ ਵਾਲੀਆਂ ਤਰੱਕੀਆਂ ਦੀ ਨਿਗਰਾਨੀ ਜਾਰੀ ਰੱਖਾਂਗੇ, ਅਤੇ ਜੇ ਹਾਲਾਤ ਮਹੱਤਵਪੂਰਣ ਤੌਰ 'ਤੇ ਬਦਲਦੇ ਹਨ ਤਾਂ ਇਸ TIA ਦਾ ਮੁੜ ਮੁਲਾਂਕਣ ਕਰਾਂਗੇ।
ਇੱਥੇ ਵਰਣਿਤ SCCs ਅਤੇ ਪੂਰਕ ਉਪਾਅ ਦੀ ਲਗਾਤਾਰ ਲਾਗੂਤਾ ਦੇ ਅਧੀਨ ਟ੍ਰਾਂਸਫਰ ਜਾਰੀ ਰਹਿ ਸਕਦੇ ਹਨ।
9. ਸਮੀਖਿਆ ਸਮਾਂ-ਸੂਚੀ
ਇਸ TIA ਦੀ ਸਮੀਖਿਆ ਅਤੇ ਅਪਡੇਟ ਕੀਤਾ ਜਾਵੇਗਾ:
- ਹਰ ਸਾਲ, ਘੱਟੋ-ਘੱਟ, ਜਾਂ
- ਲਾਗੂ ਕਾਨੂੰਨਾਂ ਜਾਂ ਨਿਯਮਾਂ ਵਿੱਚ ਮਹੱਤਵਪੂਰਣ ਤਬਦੀਲੀਆਂ ਹੋਣ 'ਤੇ (ਜਿਸ ਵਿੱਚ FISA, CLOUD Act, EO 14086, PIPEDA, ਜਾਂ ਕੈਨੇਡੀਅਨ ਸੂਬਾਈ ਗੋਪਨੀਯਤਾ ਕਾਨੂੰਨਾਂ ਵਿੱਚ ਤਬਦੀਲੀਆਂ ਸ਼ਾਮਲ ਹਨ),
- ਸਾਡੇ ਉਪ-ਪ੍ਰੋਸੈਸਰਾਂ ਜਾਂ ਟ੍ਰਾਂਸਫਰ ਕੀਤੇ ਡਾਟਾ ਦੀ ਪ੍ਰਕਿਰਤੀ ਵਿੱਚ ਤਬਦੀਲੀਆਂ ਹੋਣ 'ਤੇ,
- ਕਿਸੇ ਵੀ ਅਦਾਲਤੀ ਫੈਸਲੇ ਹੋਣ 'ਤੇ ਜੋ SCCs ਦੀ ਵੈਧਤਾ ਜਾਂ US data protection ਦੀ adequacy ਨੂੰ ਮਹੱਤਵਪੂਰਣ ਤੌਰ 'ਤੇ ਪ੍ਰਭਾਵਿਤ ਕਰਦਾ ਹੋਵੇ।
10. ਸਾਡੇ ਨਾਲ ਸੰਪਰਕ ਕਰੋ
ਜੇ ਤੁਹਾਡੇ ਕੋਲ ਇਸ ਟ੍ਰਾਂਸਫਰ ਪ੍ਰਭਾਵ ਮੁਲਾਂਕਣ ਬਾਰੇ ਕੋਈ ਸਵਾਲ ਹਨ, ਤਾਂ ਕਿਰਪਾ ਕਰਕੇ ਸਾਡੇ ਨਾਲ ਇੱਥੇ ਸੰਪਰਕ ਕਰੋ:
Acira AI LLC
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
United States
ਫੋਨ: 888-389-1189
ਈਮੇਲ: legal@acira.ai
ਤੁਹਾਡੀ ਗੋਪਨੀਯਤਾ, ਸਾਡੀ ਤਰਜੀਹ
ਅਸੀਂ ਤੁਹਾਡਾ ਡੇਟਾ ਨਹੀਂ ਵੇਚਦੇ, ਟ੍ਰੈਕਿੰਗ ਕੁਕੀਜ਼ ਨਹੀਂ ਵਰਤਦੇ — ਇਸ ਲਈ ਤੁਸੀਂ ਇੱਥੇ ਕੁਕੀ ਬੈਨਰ ਨਹੀਂ ਦੇਖੋਗੇ। ਅਸੀਂ Global Privacy Control ਦਾ ਸਨਮਾਨ ਕਰਦੇ ਹਾਂ, ਅਤੇ EU ਗਾਹਕਾਂ ਲਈ, ਵਿਜ਼ਟਰ ਡੇਟਾ ਸਿਰਫ਼ ਯੂਰਪੀਅਨ ਯੂਨੀਅਨ ਵਿੱਚ ਸਟੋਰ ਅਤੇ ਪ੍ਰੋਸੈਸ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।
Acira AI
AI ਨਾਲ ਸੁੰਦਰ ਵੈੱਬਸਾਈਟਾਂ ਬਣਾਓ। ਕੋਡਿੰਗ ਦੀ ਲੋੜ ਨਹੀਂ।
ਮਾਣ ਨਾਲ ਸੰਯੁਕਤ ਰਾਜ ਅਮਰੀਕਾ ਵਿੱਚ ਬਣਾਇਆ ਗਿਆ
© 2026 Acira AI LLC. ਸਾਰੇ ਹੱਕ ਰਾਖਵੇਂ ਹਨ।