HelloSign 和 GDPR 合规
在 HelloSign,客户数据的安全和隐私是我们的第一要务。
HelloSign 和 GDPR 合规
我们对您和保护您的数据的承诺
从 2018 年 5 月 25 日开始,《通用数据保护条例》(GDPR) 在所有欧盟成员国实施。该合规条例统一了有关个人数据使用和管理的法律,为所有人提供更加标准化的保护。根据 GDPR,消费者的个人数据隐私可以得到更好的保护。
培训和隐私意识
在我们的现场合规团队监督下,所有 HelloSign 员工都接受了 GDPR 培训。所有新员工一经录用即接受培训,此后每年都要接受培训。
数据映射和隐私影响评估
为了验证我们的隐私实践是否合适,HelloSign 进行了首次数据映射演习。演习内容包括隐私影响评估 (PIA),以评估我们收集、处理和存储个人数据的方式,并确定潜在的隐私影响。
信息安全政策
HelloSign 制定了信息安全和数据保护政策,约束员工和承包商如何以及何时可以访问您的数据。
数据传输
HelloSign 加入了欧盟美国隐私护盾框架和瑞士美国隐私护盾框架,并已通过认证。HelloSign 在每个隐私保护框架下负责处理收到的个人数据,并随后将数据传输给作为其代理的第三方。对于来自欧盟和瑞士的个人数据的所有后续传输,HelloSign 符合隐私护盾框架,包括后续传输责任条款。
事件响应
我们设计的事件响应程序已经通过测试,旨在确保识别潜在的安全事件并报告给适当的人员进行处理,相关人员遵循制定的处理规程,安全团队定期记录和审查处理措施。此外,我们的政策和程序还包括在安全事件涉及个人可识别信息 (PII) 丢失或未经授权使用时的违规通知。
产品审查
我们的软件开发生命周期 (“SDLC”) 确保系统变更按照 GDPR 的要求进行,包括以下方面的隐私考虑:
- 规划
- 变更文件
- 测试计划制定
- 变更测试和结果记录
- 质量保证 ("QA") 审查和批准
- 第三方审查和认证
- 定期审查和更新
供应商审查
我们每年对所有现有的子处理者进行审查,确保他们符合安全和隐私要求。
认证
在 HelloSign,我们了解合规的重要意义,并努力构建流程,促使我们的服务符合约束您的业务的标准。
HelloSign 符合以下要求:
- SOC 2 Type II
- ISO 27001 和 ISO 27018
- 使用 HelloSign 产品支持 HIPAA 实施
- 2000 年美国《电子签名法案》
- 1999 年《统一电子交易法案》
- 欧盟 2016 年新的 eIDAS 条例(欧盟条例 910/2014),取代其上一版
- 欧洲 EC/1999/93 指令
- 隐私护盾
- 《通用数据保护条例》(GDPR)
产品安全
加密
默认情况下,与我们服务的通信使用传输层安全协议 (TLS),它会定期更新,使用最新的密码套件和 TLS 配置。 此外,我们还使用 AES 256-T 加密所有静态客户数据。
数据删除和访问
GDPR 赋予了消费者要求访问和删除公司存储的个人数据的合法权利。
只要处理完成,符合具有法律约束力的保留要求,并且与相关项目产生物相关的所有各方都同意删除,我们即允许客户从我们的产品中删除他们的数据。
要提出数据删除请求,请发送邮件至 support@hellosign.com。
Cookie 合规
在 HelloSign,我们主要使用“会话 Cookie”,每次访问后都会自动删除。这些 Cookie 允许我们识别用户,并避免重复请求相同的信息。
但是,Cookie 可以唯一归属于一个设备,因此它们能够识别个人的身份。因此,我们审查了我们所有的 Cookie,以确保获得所需的同意,并在适当的时候将这些 Cookie 视为 PII。