
Niniejszy regulamin opisuje zasady korzystania z usługi Private Cloud oferowanej przez firmę YetiForce S.A. na terenie Unii Europejskiej.
Dane rejestrowe:
YetiForce S.A. z siedzibą w Warszawie, adres: al. Aleja Jana Pawła II 22, 00-133 Warszawa, wpisaną do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla m. st. Warszawy w Warszawie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000385023, NIP: 118-000-24-25 reprezentowaną przez: Pana Bartosza Hermanna – Prezesa Zarządu, zwaną w dalszej treści Umowy “Dostawcą” lub”YetiForce S.A.”.
Informacje dotyczące infrastruktury
- Firma YetiForce S.A. zbudowała klaster oparty na serwerach dedykowanych zlokalizowanych w serwerowni OVH [zwaną w dalszej części “Serwerownią”]. Serwery należą do OVH Sp. z o.o. [ul. Karola Miarki 6-10 lok. 3-4 we Wrocławiu] a firma YetiForce S.A. dzierżawi je na potrzeby chmury prywatnej.
- Klaster składa się z wielu serwerów, a moc pojedynczego serwera jest zbliżona do parametrów serwera wzorcowego:
- Serwery na potrzeby wirtualizacji
- Procesor: Intel 2x Xeon Gold 6140, 36/72t - 2.3GHz /3.7GHz
- RAM: 768GB RAM ECC (2666 MHz DDR4) - 24x32GB
- Dyski:
- 3x PCIe - 375GB NVMe - Intel - Optane P4800X (30 DWPD)
- 3x 3,8TB SSD - Enterprise - Samsung - PM863a (0.8 DWPD)
- 9x 10TB SAS - 7,2K Enterprise - HGST - Ultrastar He10
- Serwery na potrzeby kopii zapasowych
- Procesor: Intel Xeon E5-2620v3 - 6/12t - 2.4GHz /3.2GHz
- RAM: 64GB DDR4 ECC 1866 MHz
- Dyski: HardRaid 12x4TB SAS
- Serwery na potrzeby wirtualizacji
- Wszystkie serwery są zlokalizowane w OVH Sp. z o.o. w różnych lokalizacjach Europy, w celu zapewnienia jak najwyższej dostępności do systemów w przypadku awarii jednego z centrum danych.
- Klient otrzymuje część serwera fizycznego w postaci serwera wirtualnego [VPS] zgodnie z zakupionym pakietem Private Cloud dostępnym na stroniehttps://yetiforce.com.
- YetiForce S.A. jest uprawniony do planowanych przerw w działaniu infrastruktury w celu wdrożenia niezbędnych zmian i aktualizacji, jeżeli okres przerwy jest dłuższy niż 6h, Klient ma prawo do bezpłatnego przedłużenia okresu działania usługi o okres w jakim usługa nie była dostępna. Każda planowana przerwa będzie wcześniej zgłaszana przez YetiForce S.A. na adres mailowy podany do kontaktu.
- YetiForce S.A. może wykorzystywać skrypty i narzędzia służące do centralnego monitorowania i zarządzania poszczególnych maszyn wirtualnych.
Bezpieczeństwo
- Bezpieczeństwo na poziomie serwerowni: OVH opierało się na normach ISO 27002 podczas wdrożenia dobrych praktyk z zakresu zarządzania bezpieczeństwem informacji oraz na ISO 27005 przy dokonywaniu oceny ryzyka i związanych z tym operacji. SOC 1 typ II zaświadcza, że OVH zdefiniowało i wdrożyło kontrole związane z ochroną danych swoich klientów. SOC 2 typ II ocenia te kontrole w stosunku do międzynarodowej normy utworzonej przez AICPA (American Institute of Certified Public Accountants) zgodnie z zasadami dla usług poufnych (« Trust Services Principles »).
- Bezpieczeństwo na poziomie klastra: Dostęp do klastra jest dostępny tylko dla pracowników YetiForce S.A. mających odpowiednie uprawnienia i kompetencje w zakresie zarządzania środowiskiem wirtualnym. Dostęp mogą uzyskać również firmy zewnętrzne wykonujące audyty bezpieczeństwa infrastruktury lub nadzorujące prawidłowość działania klastra zgodnie ze standardami.
- Bezpieczeństwo na poziomie systemu operacyjnego: YetiForce S.A. wdraża dobre praktyki opisane przez Center of Internet Security zgodnie z zaleceniami dla poszczególnych systemów: https://www.cisecurity.org/cis-benchmarks/. Konfiguracja wynika również z doświadczenia i dobrych praktyk wypracowanych wewnątrz organizacji YetiForce S.A. Wszystkie serwery są regularnie aktualizowane w celu utrzymania jednolitego i bezpiecznego środowiska.
- Bezpieczeństwo na poziomie aplikacji: YetiForce S.A. tworzy oprogramowanie zgodnie ze standardami tj.:
- https://insight.sensiolabs.com/what-we-analyse
- https://www.owasp.org/index.php/OWASP_Proactive_Controls
- https://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project
- https://www.php-fig.org/psr/
- oraz przechodzi comiesięczne niezależne audyty bezpieczeństwa dla kolejnych nowych wersji systemu YetiForce.
- Kopie zapasowe: Klient otrzymuje dostęp do kopii zapasowych [tylko do odczytu] z ostatnich 7 dni za pomocą panelu kopii zapasowych dostępnych w aplikacji. Każda kopia zapasowa jest zaszyfrowana a klucz do kopii jest przesyłany mailem. Wszystkie kopie zapasowe w ramach pojedynczego serwera, są szyfrowane tym samym hasłem.
Wsparcie techniczne
- Na poziomie sprzętu i sieci [SLA na poziomie 99.95%] - problemy na tym poziomie, są realizowane bezpośrednio przez OVH Sp. z o.o., na podstawie wysłanych zgłoszeń przez YetiForce S.A. Warunki świadczenia usługi wsparcia, są opisane w regulaminie OVH dotyczącym serwerów dedykowanych: https://www.ovh.pl/pomoc/regulaminy/ a warunki SLA zostały opisane m.in na stronie:: https://www.ovh.pl/serwery_dedykowane/sla.xml?range=BIGDATA
- Na poziomie systemu operacyjnego [SLA na poziomie 99%] - problemy na tym poziomie, są realizowane bezpośrednio przez YetiForce S.A.
- Na poziomie aplikacji [SLA na poziomie 99%] - problemy na tym poziomie, są realizowane bezpośrednio przez YetiForce S.A. Wsparcie świadczone na tym poziomie, dotyczy tylko błędów w działaniu aplikacji YetiForce i nie służy do świadczenia na rzecz Klienta usług związanych ze szkoleniem i wsparciem w zakresie dostosowania i konfiguracji systemu YetiForce ponieważ tego typu wsparcie, wymaga odrębnej płatnej umowy SLA dostępnej pod adresem https://yetiforce.com.
Klient zobowiązuje się, nie korzystać ze wsparcia technicznego w sposób nadmierny, tak aby nie zakłócać normalnej pracy wsparcia technicznego [np. nie będzie wielokrotnie zgłaszał tego samego błędu o ile pierwszy zgłoszony błąd nie został jeszcze rozwiązany].
Klient może zgłaszać problemy techniczne tylko bezpośrednio do YetiForce S.A. na adres mailowy: SLA@yetiforce.com lub poprzez portal klienta dostępny pod adresem: https://portal.yetiforce.com lub bezpośrednio na numer telefonu dostępny na stronie https://yetiforce.com/.
YetiForce S.A. zobowiązuje się dochować należytej staranności w celu zapewnienia stabilności, działania bez przerw i wysokiej jakości oferowanych usług.
YetiForce nie ponosi odpowiedzialności za problemy techniczne bądź ograniczenia techniczne w sprzęcie komputerowym, z którego korzysta Klient, a które uniemożliwiają Klientowi korzystanie z Usługi.
Opłaty
- Usługa Private Cloud jest płatna zgodnie z cennikiem podanym na stroniehttps://yetiforce.com. Wyjątek stanowi bezpłatny okres próbny, który może trwać 30 dni od momentu instalacji YetiForce na życzenie Klienta.
- Płatność za Usługę jest wnoszona z góry, zgodnie z dokumentem wystawionym przez YetiForce S.A. lub na podstawie wbudowanego w YetiForce panelu płatności.
- Brak płatności przez okres 21 dni, powoduje wyłączenie serwera i poinformowanie o tym Klienta. Jeżeli płatność nie zostanie uiszczona w ciągu 30 dni, serwer zostanie usunięty. Usunięcie serwera jednocześnie wygasza niniejszą umowę pomiędzy Stronami.
- Klient może zażądać kopii zapasowej całej aplikacji przed usunięciem serwera czyli przez okres 30 dni oczekiwania na płatność za serwer. Kopia zapasowa jest bezpłatna a dostęp do niej jest przesyłany Klientowi w sposób elektroniczny.
- Klientowi przysługuje prawo do wydłużenia okresu działania usługi o czas w którym usługa nie była dostępna oraz do rabatu 5% za każdą godzinę niedziałania usługi [ale nie więcej niż 100% miesięcznej opłaty za Usługę] ponad czas opisany w punkcie Wsparcie techniczne.
Ochrona danych osobowych
- Klient w celu skorzystania z Usług, jak również w trakcie korzystania z nich, przykładowo wypełniając formularze i prowadząc korespondencję z YetiForce może podawać dane osobowe.
- Podanie danych osobowych jest dobrowolne, jednak konieczne do skorzystania z Usług. Bez podania danych osobowych świadczenie Usług nie będzie możliwe.
- Wszelkie dane osobowe, które zostaną podane przez Klienta lub będą zebrane przez YetiForce S.A. na temat Klienta są przetwarzane w sposób zgodny z wymogami określonymi w prawie polskim, a przede wszystkim zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwanego dalej „RODO”.
- Administratorem, wskazanych powyżej, danych osobowych jest YetiForce S.A..
- YetiForce S.A. może powierzyć przetwarzanie zebranych danych osobowych Klientów innemu podmiotowi na podstawie zawartej z nim umowy powierzenia przetwarzania danych osobowych o ile jest to konieczne, do realizacji Usługi na rzecz Klienta.
- Klient ma prawo dostępu do swoich danych osobowych i może dokonać ich weryfikacji lub poprawienia, a także usunięcia, poprzez skierowanie odpowiedniego żądania do YetiForce S.A..
- Klient ma również prawo ograniczenia przetwarzania i prawo przenoszenia danych osobowych. Jeżeli dane osobowe będą przetwarzane niezgodnie z wymogami prawnymi, wówczas Klient będzie miał prawo wniesienia skargi do organu nadzorczego.
- Klient ma również prawo wniesienia sprzeciwu wobec przetwarzania danych osobowych z przyczyn związanych ze szczególną sytuacją Klienta, jeżeli dane osobowe będą przetwarzane na podstawie prawnie uzasadnionych interesów. Klient jest także uprawniony do wniesienia sprzeciwu wobec przetwarzania jego danych osobowych w każdym przypadku, jeżeli będą one przetwarzane na potrzeby marketingu bezpośredniego.
- YetiForce przetwarza dane osobowe Klientów i wykorzystuje je w zakresie i w celu niezbędnym do realizacji Usług, w tym w celu informowania o działaniu narzędzia, możliwym sposobie jego wykorzystania przez Klienta oraz koniecznych czynnościach, takich jak płatności, faktury itp..
- Podstawą prawną przetwarzania danych osobowych są art. 6 ust. 1 lit. b oraz art. 6 ust. 1 lit. f, RODO. Prawnie uzasadnionym interesem YetiForce S.A. jest prowadzenie marketingu własnych usług.
- YetiForce S.A. na podstawie udzielonej przez Klienta dodatkowej i opcjonalnej zgody ma prawo do wysyłania do niego na podane adresy e-mail informacji marketingowych. Zgoda, o której mowa w zdaniu poprzedzającym może zostać w każdej chwili odwołana przez Klienta. W przypadku wyrażenia takiej zgody podstawą prawną przetwarzania danych osobowych będzie także art. 10 ustawy z dnia 18.07.2002 r. o świadczeniu usług drogą elektroniczną oraz art. 172 ustawy z dnia 16.07.2004 r. Prawo telekomunikacyjne.
- Dane osobowe będą przetwarzane przez czas potrzebny na realizację Usług na rzecz Klienta, a po zakończeniu ich świadczenia przez czas potrzebny na wykazanie prawidłowości wykonania obowiązków YetiForce S.A. na rzecz Klienta. Okres ten odpowiada długości okresu przedawnienia roszczeń. Dane osobowe przetwarzane w zakresie prowadzenia działań marketingowych będą przetwarzane przez czas ich prowadzenia przez YetiForce S.A. lub wyrażenia przez Klienta sprzeciwu wobec dalszego przetwarzania danych osobowych w celach marketingowych lub odwołania zgody na wysyłanie informacji marketingowych na adres e-mail. Odwołanie zgody nie wpływa na zgodność z prawem przetwarzania przed wycofaniem zgody.
- YetiForce stosuje wymagane aktualnymi przepisami o ochronie danych osobowych środki techniczne zapobiegające pozyskiwaniu i modyfikowaniu przez osoby nieuprawnione danych osobowych przesyłanych drogą elektroniczną.
- Klient nie ma możliwość korzystania z Usług anonimowo lub pod pseudonimem.
- Dane osobowe Klientów nie będą przekazywane do państw poza Europejskim Obszarem Gospodarczym.
- Klient ma prawo do otrzymania kopii swoich danych osobowych.
Powierzenie przetwarzania danych osobowych
- Administrator danych osobowych: Klient
- Procesor Danych osobowych: Dostawca
- Dalsze podmioty przetwarzające dane osobowe: Zaufani Partnerzy
- OVH Sp. z o.o., ul. Swobodna 1, 50-088 Wrocław, NIP: 8992520556 [Infrastruktura chmury]
- Follow You Piotr Kujawka, ul. Ogrodowa 4B, 72-006 Mierzyn, NIP: 558-17-08-765 [Audyt i utrzymanie infrastruktury chmury].
Zakres umowy
- Umowa powierzenia zostaje zawarta w związku z uruchomieniem usługi w chmurze Dostawcy dla Zleceniodawcy. Przetwarzanie danych osobowych w związku z wykonywaniem umowy podlega przepisom Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE („RODO”).
- Na podstawie Umowy powierzenia Klient powierza Dostawcy [Procesorowi] oraz Partnerom Dostawcy do przetwarzania dane osobowe określone poniżej. Zmiana zakresu powierzenia przetwarzania nie wymaga aneksu, a jedynie zgody obu Stron wyrażonej w formie pisemnej lub elektronicznej (w tym e-mailowej) przez osoby uprawnione do reprezentowania Stron.
- Zakres i cel powierzenia danych osobowych
- Dane osobowe zawarte w systemie YetiForce Klienta dotyczą przede wszystkim danych firm, partnerów, dostawców, kontaktów, umów, zamówień, faktur oraz danych pracowników Klienta.
- Lista dalszych podmiotów przetwarzających
- Zaufani Partnerzy
- Zakres i cel powierzenia danych osobowych
- Procesor przetwarza Dane osobowe wyłącznie w celu realizacji Umowy i w zakresie niezbędnym do jej wykonania oraz jedynie w czasie jej obowiązywania.
- Procesor zobowiązany jest przetwarzać dane osobowe zgodnie z RODO, innymi obowiązującymi przepisami prawa oraz Umową.
Obowiązki Stron
- Procesor zobowiązany jest do:
- stosowania wszelkich adekwatnych do poziomu ryzyka środków technicznych i organizacyjnych zabezpieczających Dane osobowe na zasadach określonych w art. 32 RODO;
- pomagania Administratorowi w wywiązywaniu się z obowiązków określonych w art. 32–36 RODO, przy uwzględnieniu charakteru przetwarzania i informacji dostępnych dla Procesora;
- przetwarzania Danych osobowych wyłącznie na udokumentowane polecenie Administratora, chyba że obowiązek taki nakłada na niego obowiązujące prawo krajowe lub unijne; w takim przypadku przed rozpoczęciem przetwarzania Procesor informuje Administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny; za udokumentowane polecenie administratora uważa się w szczególności świadczenie wsparcia technicznego.;
- w miarę możliwości, pomagania Administratorowi poprzez odpowiednie środki techniczne i organizacyjne w wywiązywaniu się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO;
- zapewnienia, by osoby upoważnione do przetwarzania Danych osobowych zobowiązywały się do zachowania tajemnicy, chyba że będą to osoby zobowiązane do zachowania tajemnicy na podstawie ustawy;
- po zakończeniu Umowy, w zależności od żądania Administratora, usunięcia lub zwrotu Danych osobowych i usunięcia ich kopii, chyba że przepisy prawa bezwzględnie obowiązującego przewidują inaczej;
- Procesor jest uprawniony do dalszego powierzenia przetwarzania Danych osobowych dalszym podmiotom przetwarzającym [Zaufani Partnerzy]. Procesor poinformuje Administratora o każdej zamierzonej zmianie na liście dalszych podmiotów przetwarzających w sposób przyjęty dla komunikacji w zakresie umowy. Administrator ma możliwość sprzeciwienia się takiej zmianie w ciągu kolejnych 14 dni. Procesor zapewnia, że będzie korzystał wyłącznie z usług takich dalszych podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO, a także chroniło prawa osób, których dane dotyczą. Procesor zobowiązany jest zapewnić, by na dalsze podmioty przetwarzające zostały nałożone co najmniej takie same obowiązki co nałożone na Procesora w Umowie. Administrator przyjmuje do wiadomości, że brak zgody na zmianę na liście dalszych podmiotów przetwarzających może skutkować niemożliwością dalszego wykonywania Umowy przez Procesora, o czym Procesor poinformuje Administratora niezwłocznie.
- Procesor udostępni Administratorowi informacje niezbędne do wykonywania jego obowiązków związanych z powierzeniem przetwarzania Danych osobowych. Procesor umożliwi Administratorowi przeprowadzenie audytów, w tym inspekcji, w terminie uzgodnionym przez Strony, w zakresie dotyczącym powierzenia przetwarzania Danych osobowych przez Procesora i zapewni współpracę w tym zakresie. Koszty audytu ponosi każda ze Stron we własnym zakresie, niezależnie od jego wyniku. Administrator zobowiązany jest do zachowania w poufności wszelkich informacji uzyskanych w związku z przeprowadzanym audytem, w tym wyników audytu, a także do zapewnienia, że osoby, którymi posługuje się przy przeprowadzeniu audytu, również zobowiązały się do poufności w tym zakresie. Zobowiązanie do poufności obowiązuje przez okres obowiązywania Umowy oraz bezterminowo po jej zakończeniu. W razie, gdyby zdanie poprzedzające okazało się nieważne lub bezskuteczne, zobowiązanie do poufności będzie obowiązywać przez okres obowiązywania Umowy oraz przez okres 10 lat po jej zakończeniu.
- Procesor zobowiązany jest zapewnić, że każda osoba przetwarzająca Dane osobowe na jego rzecz przetwarza je wyłącznie na polecenie Administratora.
Transfer danych
- Procesor nie będzie przekazywał Danych osobowych poza terytorium Europejskiego Obszaru Gospodarczego, chyba że uzyska w tym zakresie odrębne zezwolenie Administratora, którego Administrator nie odmówi bez uzasadnionych przyczyn, a taki transfer będzie odbywać się w zgodzie z przepisami RODO. W każdym wypadku przekazanie odbywać się będzie wyłącznie w celu realizacji Umowy.
Odpowiedzialność
- Niezależnie od postanowień Umowy łączna odpowiedzialność kontraktowa i deliktowa Procesora w związku z przetwarzaniem Danych osobowych na podstawie Umowy ograniczona jest do miesięcznej kwoty świadczenia usługi Private Cloud, którą wykupił Klient, chyba że bezwzględnie obowiązujące przepisy prawa stanowią inaczej.