Regulamin usługi Private Cloud
ver. 2.0 z dnia 2019-09-17
 
bg_yetiforcekorzysci.jpg

Niniejszy regulamin opisuje zasady korzystania z usługi Private Cloud oferowanej przez firmę YetiForce Sp. z o.o. na terenie Unii Europejskiej.

Dane rejestrowe:
YetiForce Sp. z o.o.z siedzibą w Warszawie, adres: al. Aleja Jana Pawła II 22, 00-133 Warszawa, wpisaną do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla m. st. Warszawy w Warszawie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000385023, NIP: 118-000-24-25 reprezentowaną przez: Pana Błażeja Pabiszczaka – Prezesa Zarządu, zwaną w dalszej treści Umowy “Dostawcą” lub”YetiForce Sp. z o.o.”.

Informacje dotyczące infrastruktury

  1. Firma YetiForce Sp. z o.o. zbudowała klaster oparty na serwerach dedykowanych zlokalizowanych w serwerowni OVH [zwaną w dalszej części “Serwerownią”]. Serwery należą do OVH Sp. z o.o. [ul. Karola Miarki 6-10 lok. 3-4 we Wrocławiu] a firma YetiForce Sp. z o. o. dzierżawi je na potrzeby chmury prywatnej.
  2. Klaster składa się z wielu serwerów, a moc pojedynczego serwera jest zbliżona do parametrów serwera wzorcowego:
    1. Serwery na potrzeby wirtualizacji
      1. Procesor: Intel  2x Xeon Gold 6140, 36/72t - 2.3GHz /3.7GHz
      2. RAM: 768GB RAM ECC (2666 MHz DDR4) - 24x32GB
      3. Dyski
        • 3x PCIe - 375GB NVMe - Intel - Optane P4800X (30 DWPD)
        • 3x 3,8TB SSD - Enterprise - Samsung - PM863a (0.8 DWPD)
        • 9x 10TB SAS - 7,2K Enterprise - HGST - Ultrastar He10
    2. Serwery na potrzeby kopii zapasowych
      1. Procesor: Intel  Xeon E5-2620v3 - 6/12t - 2.4GHz /3.2GHz
      2. RAM: 64GB DDR4 ECC 1866 MHz
      3. Dyski: HardRaid 12x4TB SAS
  3. Wszystkie serwery są zlokalizowane w OVH Sp. z o.o. w różnych lokalizacjach Europy, w celu zapewnienia jak najwyższej dostępności do systemów w przypadku awarii jednego z centrum danych.
  4. Klient otrzymuje część serwera fizycznego w postaci serwera wirtualnego [VPS] zgodnie z zakupionym pakietem Private Cloud dostępnym na stronie https://yetiforce.shop oraz https://yetiforce.com
  5. YetiForce Sp. z o.o. jest uprawniony do planowanych przerw w działaniu infrastruktury w celu wdrożenia niezbędnych zmian i aktualizacji, jeżeli okres przerwy jest dłuższy niż 6h, Klient ma prawo do bezpłatnego przedłużenia okresu działania usługi o okres w jakim usługa nie była dostępna. Każda planowana przerwa będzie wcześniej zgłaszana przez YetiForce Sp. z o.o. na adres mailowy podany do kontaktu.
  6. YetiForce Sp. z o.o. może wykorzystywać skrypty i narzędzia służące do centralnego monitorowania i zarządzania poszczególnych maszyn wirtualnych.

Bezpieczeństwo

  1. Bezpieczeństwo na poziomie serwerowni: OVH opierało się na normach ISO 27002 podczas wdrożenia dobrych praktyk z zakresu zarządzania bezpieczeństwem informacji oraz na ISO 27005 przy dokonywaniu oceny ryzyka i związanych z tym operacji. SOC 1 typ II zaświadcza, że OVH zdefiniowało i wdrożyło kontrole związane z ochroną danych swoich klientów. SOC 2 typ II ocenia te kontrole w stosunku do międzynarodowej normy utworzonej przez AICPA (American Institute of Certified Public Accountants) zgodnie z zasadami dla usług poufnych (« Trust Services Principles »).
  2. Bezpieczeństwo na poziomie klastra: Dostęp do klastra jest dostępny tylko dla pracowników YetiForce sp. z o.o. mających odpowiednie uprawnienia i kompetencje w zakresie zarządzania środowiskiem wirtualnym. Dostęp mogą uzyskać również firmy zewnętrzne wykonujące audyty bezpieczeństwa infrastruktury lub nadzorujące prawidłowość działania klastra zgodnie ze standardami.
  3. Bezpieczeństwo na poziomie systemu operacyjnego: YetiForce Sp. z o.o. wdraża dobre praktyki opisane przez Center of Internet Security zgodnie z zaleceniami dla poszczególnych systemów: https://www.cisecurity.org/cis-benchmarks/. Konfiguracja wynika również z doświadczenia i dobrych praktyk wypracowanych wewnątrz organizacji YetiForce Sp. z o.o. Wszystkie serwery są regularnie aktualizowane w celu utrzymania jednolitego i bezpiecznego środowiska.
  4. Bezpieczeństwo na poziomie aplikacji: YetiForce Sp. z o.o. tworzy oprogramowanie zgodnie ze standardami tj.: 
    1. https://insight.sensiolabs.com/what-we-analyse
    2. https://www.owasp.org/index.php/OWASP_Proactive_Controls
    3. https://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project
    4. https://www.php-fig.org/psr/
    5. oraz przechodzi comiesięczne niezależne audyty bezpieczeństwa dla kolejnych nowych wersji systemu YetiForce.
  5. Kopie zapasowe: Klient otrzymuje dostęp do kopii zapasowych [tylko do odczytu] z ostatnich 7 dni za pomocą panelu kopii zapasowych dostępnych w aplikacji. Każda kopia zapasowa jest zaszyfrowana a klucz do kopii jest przesyłany mailem. Wszystkie kopie zapasowe w ramach pojedynczego serwera, są szyfrowane tym samym hasłem. 

Wsparcie techniczne

  1. Na poziomie sprzętu i sieci [SLA na poziomie 99.95%] - problemy na tym poziomie, są realizowane bezpośrednio przez OVH Sp. z o.o., na podstawie wysłanych zgłoszeń przez YetiForce Sp. z o.o. Warunki świadczenia usługi wsparcia, są opisane w regulaminie OVH dotyczącym serwerów dedykowanych: https://www.ovh.pl/pomoc/regulaminy/ a warunki SLA zostały opisane m.in na stronie:: https://www.ovh.pl/serwery_dedykowane/sla.xml?range=BIGDATA
  2. Na poziomie systemu operacyjnego [SLA na poziomie 99%] - problemy na tym poziomie, są realizowane bezpośrednio przez YetiForce Sp. z o.o.
  3. Na poziomie aplikacji [SLA na poziomie 99%]  - problemy na tym poziomie, są realizowane bezpośrednio przez YetiForce Sp. z o.o. Wsparcie świadczone na tym poziomie, dotyczy tylko błędów w działaniu aplikacji YetiForce i nie służy do  świadczenia na rzecz Klienta usług związanych ze szkoleniem i wsparciem w zakresie dostosowania i konfiguracji systemu YetiForce ponieważ tego typu wsparcie, wymaga odrębnej płatnej umowy SLA dostępnej pod adresem: https://yetiforce.shop/

Klient zobowiązuje się, nie korzystać ze wsparcia technicznego w sposób nadmierny, tak aby nie zakłócać normalnej pracy wsparcia technicznego [np. nie będzie wielokrotnie zgłaszał tego samego błędu o ile pierwszy zgłoszony błąd nie został jeszcze rozwiązany].

Klient może zgłaszać problemy techniczne tylko bezpośrednio do YetiForce Sp. z o.o. na adres mailowy: SLA@yetiforce.com lub poprzez portal klienta dostępny pod adresem: https://portal.yetiforce.com lub bezpośrednio na numer telefonu dostępny na stronie https://yetiforce.com/.

YetiForce Sp. z o.o. zobowiązuje się dochować należytej staranności w celu zapewnienia stabilności, działania bez przerw i wysokiej jakości oferowanych usług.

YetiForce nie ponosi odpowiedzialności za problemy techniczne bądź ograniczenia techniczne w sprzęcie komputerowym, z którego korzysta Klient, a które uniemożliwiają Klientowi korzystanie z Usługi.

Opłaty

  1. Usługa Private Cloud jest płatna zgodnie z cennikiem podanym na stronie https://yetiforce.shop oraz https://yetiforce.com. Wyjątek stanowi bezpłatny okres próbny, który może trwać 30 dni od momentu instalacji YetiForce na życzenie Klienta.
  2. Płatność za Usługę jest wnoszona z góry, zgodnie z dokumentem wystawionym przez YetiForce Sp. z o.o. lub na podstawie wbudowanego w YetiForce panelu płatności.
  3. Brak płatności przez okres 21 dni, powoduje wyłączenie serwera i poinformowanie o tym Klienta. Jeżeli płatność nie zostanie uiszczona w ciągu 30 dni, serwer zostanie usunięty. Usunięcie serwera jednocześnie wygasza niniejszą umowę pomiędzy Stronami.
  4. Klient może zażądać kopii zapasowej całej aplikacji przed usunięciem serwera czyli przez okres 30 dni oczekiwania na płatność za serwer. Kopia zapasowa jest bezpłatna a dostęp do niej jest przesyłany Klientowi w sposób elektroniczny.
  5. Klientowi przysługuje prawo do wydłużenia okresu działania usługi o czas w którym usługa nie była dostępna oraz do rabatu 5% za każdą godzinę niedziałania usługi [ale nie więcej niż 100% miesięcznej opłaty za Usługę] ponad czas opisany w punkcie Wsparcie techniczne.

Ochrona danych osobowych

  1. Klient w celu skorzystania z Usług, jak również w trakcie korzystania z nich, przykładowo wypełniając formularze i prowadząc korespondencję z YetiForce może podawać dane osobowe.
  2. Podanie danych osobowych jest dobrowolne, jednak konieczne do skorzystania z Usług. Bez podania danych osobowych świadczenie Usług nie będzie możliwe.
  3. Wszelkie dane osobowe, które zostaną podane przez Klienta lub będą zebrane przez YetiForce Sp. z o.o. na temat Klienta są przetwarzane w sposób zgodny z wymogami określonymi w prawie polskim, a przede wszystkim zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwanego dalej „RODO”.
  4. Administratorem, wskazanych powyżej, danych osobowych jest YetiForce Sp. z o.o..
  5. YetiForce Sp. z o.o. może powierzyć przetwarzanie zebranych danych osobowych Klientów innemu podmiotowi na podstawie zawartej z nim umowy powierzenia przetwarzania danych osobowych o ile jest to konieczne, do realizacji Usługi na rzecz Klienta.
  6. Klient ma prawo dostępu do swoich danych osobowych i może dokonać ich weryfikacji lub poprawienia, a także usunięcia, poprzez skierowanie odpowiedniego żądania do YetiForce Sp. z o.o..
  7. Klient ma również prawo ograniczenia przetwarzania i prawo przenoszenia danych osobowych. Jeżeli dane osobowe będą przetwarzane niezgodnie z wymogami prawnymi, wówczas Klient będzie miał prawo wniesienia skargi do organu nadzorczego.
  8. Klient ma również prawo wniesienia sprzeciwu wobec przetwarzania danych osobowych z przyczyn związanych ze szczególną sytuacją Klienta, jeżeli dane osobowe będą przetwarzane na podstawie prawnie uzasadnionych interesów. Klient jest także uprawniony do wniesienia sprzeciwu wobec przetwarzania jego danych osobowych w każdym przypadku, jeżeli będą one przetwarzane na potrzeby marketingu bezpośredniego.
  9. YetiForce przetwarza dane osobowe Klientów i wykorzystuje je w zakresie i w celu niezbędnym do realizacji Usług, w tym w celu informowania o działaniu narzędzia, możliwym sposobie jego wykorzystania przez Klienta oraz koniecznych czynnościach, takich jak płatności, faktury itp..
  10. Podstawą prawną przetwarzania danych osobowych są art. 6 ust. 1 lit. b oraz art. 6 ust. 1 lit. f, RODO. Prawnie uzasadnionym interesem YetiForce Sp. z o.o. jest prowadzenie marketingu własnych usług.
  11. YetiForce Sp. z o.o. na podstawie udzielonej przez Klienta dodatkowej i opcjonalnej zgody ma prawo do wysyłania do niego na podane adresy e-mail informacji marketingowych. Zgoda, o której mowa w zdaniu poprzedzającym może zostać w każdej chwili odwołana przez Klienta. W przypadku wyrażenia takiej zgody podstawą prawną przetwarzania danych osobowych będzie także art. 10 ustawy z dnia 18.07.2002 r. o świadczeniu usług drogą elektroniczną oraz art. 172 ustawy z dnia 16.07.2004 r. Prawo telekomunikacyjne.
  12. Dane osobowe będą przetwarzane przez czas potrzebny na realizację Usług na rzecz Klienta, a po zakończeniu ich świadczenia przez czas potrzebny na wykazanie prawidłowości wykonania obowiązków YetiForce Sp. z o.o. na rzecz Klienta. Okres ten odpowiada długości okresu przedawnienia roszczeń. Dane osobowe przetwarzane w zakresie prowadzenia działań marketingowych będą przetwarzane przez czas ich prowadzenia przez YetiForce Sp. z o.o. lub wyrażenia przez Klienta sprzeciwu wobec dalszego przetwarzania danych osobowych w celach marketingowych lub odwołania zgody na wysyłanie informacji marketingowych na adres e-mail. Odwołanie zgody nie wpływa na zgodność z prawem przetwarzania przed wycofaniem zgody.
  13. YetiForce stosuje wymagane aktualnymi przepisami o ochronie danych osobowych środki techniczne zapobiegające pozyskiwaniu i modyfikowaniu przez osoby nieuprawnione danych osobowych przesyłanych drogą elektroniczną.
  14. Klient nie ma możliwość korzystania z Usług anonimowo lub pod pseudonimem.
  15. Dane osobowe Klientów nie będą przekazywane do państw poza Europejskim Obszarem Gospodarczym.
  16. Klient ma prawo do otrzymania kopii swoich danych osobowych.

Powierzenie przetwarzania danych osobowych

  1. Administrator danych osobowych: Klient
  2. Procesor Danych osobowych: Dostawca
  3. Dalsze podmioty przetwarzające dane osobowe: Zaufani Partnerzy
    1. OVH Sp. z o.o., ul. Swobodna 1, 50-088 Wrocław, NIP: 8992520556 [Infrastruktura chmury]
    2. Follow You Piotr Kujawka, ul. Ogrodowa 4B, 72-006 Mierzyn, NIP: 558-17-08-765 [Audyt i utrzymanie infrastruktury chmury].

Zakres umowy

  1. Umowa powierzenia zostaje zawarta w związku z uruchomieniem usługi w chmurze Dostawcy dla Zleceniodawcy. Przetwarzanie danych osobowych w związku z wykonywaniem umowy podlega przepisom Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE („RODO”).
  2. Na podstawie Umowy powierzenia Klient powierza Dostawcy [Procesorowi] oraz Partnerom Dostawcy do przetwarzania dane osobowe określone poniżej. Zmiana zakresu powierzenia przetwarzania nie wymaga aneksu, a jedynie zgody obu Stron wyrażonej w formie pisemnej lub elektronicznej (w tym e-mailowej) przez osoby uprawnione do reprezentowania Stron. 
    1. Zakres i cel powierzenia danych osobowych
      1. Dane osobowe zawarte w systemie YetiForce Klienta dotyczą przede wszystkim danych firm, partnerów, dostawców, kontaktów, umów, zamówień, faktur oraz danych pracowników Klienta.
    2. Lista dalszych podmiotów przetwarzających
      1. Zaufani Partnerzy
  3. Procesor przetwarza Dane osobowe wyłącznie w celu realizacji Umowy i w zakresie niezbędnym do jej wykonania oraz jedynie w czasie jej obowiązywania. 
  4. Procesor zobowiązany jest przetwarzać dane osobowe zgodnie z RODO, innymi obowiązującymi przepisami prawa oraz Umową.

Obowiązki Stron

  1. Procesor zobowiązany jest do:
    1. stosowania wszelkich adekwatnych do poziomu ryzyka środków technicznych i organizacyjnych zabezpieczających Dane osobowe na zasadach określonych w art. 32 RODO; 
    2. pomagania Administratorowi w wywiązywaniu się z obowiązków określonych w art. 32–36 RODO, przy uwzględnieniu charakteru przetwarzania i informacji dostępnych dla Procesora;
    3. przetwarzania Danych osobowych wyłącznie na udokumentowane polecenie Administratora, chyba że obowiązek taki nakłada na niego obowiązujące prawo krajowe lub unijne; w takim przypadku przed rozpoczęciem przetwarzania Procesor informuje Administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny; za udokumentowane polecenie administratora uważa się w szczególności świadczenie wsparcia technicznego.;
    4. w miarę możliwości, pomagania Administratorowi poprzez odpowiednie środki techniczne i organizacyjne w wywiązywaniu się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO;
    5. zapewnienia, by osoby upoważnione do przetwarzania Danych osobowych zobowiązywały się do zachowania tajemnicy, chyba że będą to osoby zobowiązane do zachowania tajemnicy na podstawie ustawy;
    6. po zakończeniu Umowy, w zależności od żądania Administratora, usunięcia lub zwrotu Danych osobowych i usunięcia ich kopii, chyba że przepisy prawa bezwzględnie obowiązującego przewidują inaczej; 
  2. Procesor jest uprawniony do dalszego powierzenia przetwarzania Danych osobowych dalszym podmiotom przetwarzającym [Zaufani Partnerzy]. Procesor poinformuje Administratora o każdej zamierzonej zmianie na liście dalszych podmiotów przetwarzających w sposób przyjęty dla komunikacji w zakresie umowy. Administrator ma możliwość sprzeciwienia się takiej zmianie w ciągu kolejnych 14 dni. Procesor zapewnia, że będzie korzystał wyłącznie z usług takich dalszych podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO, a także chroniło prawa osób, których dane dotyczą. Procesor zobowiązany jest zapewnić, by na dalsze podmioty przetwarzające zostały nałożone co najmniej takie same obowiązki co nałożone na Procesora w Umowie. Administrator przyjmuje do wiadomości, że brak zgody na zmianę na liście dalszych podmiotów przetwarzających może skutkować niemożliwością dalszego wykonywania Umowy przez Procesora, o czym Procesor poinformuje Administratora niezwłocznie.
  3. Procesor udostępni Administratorowi informacje niezbędne do wykonywania jego obowiązków związanych z powierzeniem przetwarzania Danych osobowych. Procesor umożliwi Administratorowi przeprowadzenie audytów, w tym inspekcji, w terminie uzgodnionym przez Strony, w zakresie dotyczącym powierzenia przetwarzania Danych osobowych przez Procesora i zapewni współpracę w tym zakresie. Koszty audytu ponosi każda ze Stron we własnym zakresie, niezależnie od jego wyniku. Administrator zobowiązany jest do zachowania w poufności wszelkich informacji uzyskanych w związku z przeprowadzanym audytem, w tym wyników audytu, a także do zapewnienia, że osoby, którymi posługuje się przy przeprowadzeniu audytu, również zobowiązały się do poufności w tym zakresie. Zobowiązanie do poufności obowiązuje przez okres obowiązywania Umowy oraz bezterminowo po jej zakończeniu. W razie, gdyby zdanie poprzedzające okazało się nieważne lub bezskuteczne, zobowiązanie do poufności będzie obowiązywać przez okres obowiązywania Umowy oraz przez okres 10 lat po jej zakończeniu.
  4. Procesor zobowiązany jest zapewnić, że każda osoba przetwarzająca Dane osobowe na jego rzecz przetwarza je wyłącznie na polecenie Administratora. 

Transfer danych

  1. Procesor nie będzie przekazywał Danych osobowych poza terytorium Europejskiego Obszaru Gospodarczego, chyba że uzyska w tym zakresie odrębne zezwolenie Administratora, którego Administrator nie odmówi bez uzasadnionych przyczyn, a taki transfer będzie odbywać się w zgodzie z przepisami RODO. W każdym wypadku przekazanie odbywać się będzie wyłącznie w celu realizacji Umowy. 

Odpowiedzialność

  1. Niezależnie od postanowień Umowy łączna odpowiedzialność kontraktowa i deliktowa Procesora w związku z przetwarzaniem Danych osobowych na podstawie Umowy ograniczona jest do miesięcznej kwoty świadczenia usługi Private Cloud, którą wykupił Klient, chyba że bezwzględnie obowiązujące przepisy prawa stanowią inaczej.