Databehandlingsaftale

Denne DATABEHANDLINGSAFTALE (herefter “DPA”) inklusive dens bilag beskriver Parternes forpligtelser, herunder under gældende databeskyttelseslove, i forhold til behandlingen af personlige data (som defineret nedenfor). DPA'en er indarbejdet i Bruger aftalen.

Denne DPA er mellem Organisation (herfter “Controller”)

og 

Mollie B.V., et selskab med begrænset ansvar (besloten vennootschap) med registreret sæde i Amsterdam, Keizersgracht 126, 1015 CW Amsterdam, Nederlandene og registreret hos det hollandske handelskammer under nummer 30204462, (herefter “Mollie” eller “Databehandler”)

og 

Mollie UK Ltd., et selskab med begrænset ansvar med registreret sæde i London, 7 Pancras Square, London N1C 4AG, Det Forenede Kongerige og registreret hos Companies House under nummer 14013554, (herefter “Mollie” eller “Databehandler”),

hver især en “Part” og samlet “Parter”. 

Definitioner 

I denne DPA har følgende termer den betydning, der er angivet nedenfor. Kapitaliserede termer brugt, men ikke defineret heri, har den betydning, der er angivet i Aftalen.

Aftale: Aftalen mellem Controller og Databehandler for levering af tjenester (“Bruger aftale”).

Bindende virksomhed: Regler for beskyttelse af personlige data, som overholdes af en controller eller databehandler etableret i en medlemsstat til overførsler eller et sæt overførsler af personlige data til en controller eller databehandler i et eller flere tredjelande inden for en gruppe af virksomheder eller virksomhedsenheder engageret i en fælles økonomisk aktivitet.

Controller: Den fysiske eller juridiske person, offentlig myndighed, agentur eller andet organ, der alene eller i fællesskab med andre bestemmer formålene med og midlerne til behandlingen af personlige data.

Kunde: Kunder til Organisationen, der ønsker at betale for produkter og/eller tjenester leveret af Organisationen gennem Mollie’s Betalingsmodul.

Databrud: Et brud på sikkerheden, der fører til utilsigtet eller ulovlig ødelæggelse, tab, ændring, uautoriseret videregivelse af eller adgang til Personlige Data, der er transmitteret, lagret eller på anden måde behandlet. 

Databehandlingsaftale: Denne aftale, inklusive alle bilag.

Tilsynsmyndighed: En uafhængig statslig myndighed, der er ansvarlig for at føre tilsyn med overholdelsen af de gældende love vedrørende behandlingen af personlige data. I Nederlandene er dette Autoriteit Persoonsgegevens.

Vurdering af konsekvenserne for databeskyttelsen: En vurdering af virkningen af de planlagte behandlingsaktiviteter på beskyttelsen af personlige data.

Databeskyttelseslove: Al gældende lovgivning vedrørende databeskyttelse og privatliv, inklusive, uden begrænsning, EU’s generelle databeskyttelsesforordning, alle lokale love og forskrifter, der ændrer eller erstatter nogen af dem, sammen med eventuelle nationale implementeringslove i en bestemt medlemsstat af Det Europæiske Økonomiske Samarbejdsområde (EØS), i det omfang det er gældende, i et hvilket som helst andet land, som ændret, ophævet, konsolideret eller erstattet fra tid til anden.

Registreret subjekt: Den fysiske person, som persondata vedrører (f.eks. kunder).

GDPR: Generel forordning om databeskyttelse (EU) 2016/679 fra Europa-Parlamentet og Rådet af 27. april 2016 om beskyttelsen af enkeltpersoner i forbindelse med behandling af persondata og om fri udveksling af sådanne data. 

Personoplysninger: Enhver oplysning, der vedrører en identificeret eller identificerbar fysisk person; en identificerbar fysisk person er en person, som direkte eller indirekte kan identificeres, især ved hjælp af et identifikationsnummer, lokaldata, et online-identifikationsnummer eller ved henvisning til en eller flere faktorer, der er specifikke for denne persons fysiske, fysiologiske, genetiske, mentale, økonomiske, kulturelle eller sociale identitet. 

Behandling: Enhver operation eller sætl af operationer udført på persondata eller sæt af persondata, uanset om det sker automatisk, som indsamling, registrering, organisering, strukturering, opbevaring, tilpasning eller ændring, fremhentning, konsultation, brug, videregivelse ved transmission, udbredelse eller på anden måde gørelse tilgængelig, justering eller kombination, begrænsning, sletning eller destruktion. Denne liste er ikke udtømmende. Termerne “behandle”, “behandler” og “behandlet” fortolkes i overensstemmelse hermed. 

Databehandler: En fysisk eller juridisk person, offentlig myndighed, agentur eller andet organ, der Behandler persondata på vegne af Controlleren.

Organisation: Organisationen, der bruger Mollies Betalingsmodul til formål, der inkluderer, men ikke er begrænset til, salg af produkter og/eller tjenester til kunder.

Standardkontraktbestemmelser: Det Europæiske Kommissions standardkontraktbestemmelser for databehandlere (2010/87/EU) eller kommissionens gennemførelsesbeslutning (EU) 2021/914 af 4. juni 2021 om standardkontraktbestemmelser for overførsel af persondata til tredjelande i henhold til forordning (EU) 2016/679 fra Europa-Parlamentet og Rådet (C/2021/3972).
Underdatabehandler: Enhver tredjeperson, enhed eller virksomhed engageret af Databehandler til at behandle persondata i forbindelse med servicerne under aftalen.

SEKTION A: FORMÅL 

Artikel A.1 Omfang

Databehandler har indgået aftale om at levere tjenester til Controller i overensstemmelse med betingelserne i Bruger aftalen. Ved at levere tjenester vil Databehandler behandle persondata på vegne af Controller som identificeret i denne DPA. Databehandler, som en finansiel institution, behandler også persondata ved at fungere som dataansvarlig. 

Parterne anerkender og er enige om, at i det omfang Mollie behandler persondata involveret i betalingstransaktioner for at: i) gennemføre Bruger aftalen med Controller; ii) overvåge, forhindre og opdage svigagtige betalingstransaktioner; iii) overholde juridiske eller regulatoriske forpligtelser gældende for behandlingen og opbevaringen af betalingsdata, som Mollie er underlagt, herunder relevant lovgivning om bekæmpelse af hvidvaskning af penge og overholdelsespligt af due diligence processer overfor kunder; og iv) forbedre Mollie’s produkter og tjenester, optræder Mollie som dataansvarlig og har den ene og eksklusive autoritet til at bestemme formålene med og midlerne til behandlingen af persondata, den modtager fra eller gennem (tilbyde tjenester til) Controller.

Behandlingsaktiviteterne, persondata og kategorierne af de registrerede, som Databehandler behandler persondata for på vegne af Controller, er identificeret i bilag A. 

SEKTION B: FORPLIGTELSER 

Artikel B.1 Controller forpligtelser 

Controller er ansvarlig for persondata, som Databehandler vil behandle, og skal sikre overholdelse af alle databeskyttelseslove, inklusive krav vedrørende overførsel af persondata i henhold til denne DPA og Bruger aftalen. Controller garanterer at have ret til at behandle persondata og besidder ret til at udnævne Databehandler til at behandle data på vegne af Controller.

Controller er enig i, at uden begrænsning af Databehandlers forpligtelser under denne DPA, er Controller udelukkende ansvarlig for sin brug af tjenesterne, inklusive (a) at gøre passende brug af tjenesterne for at sikre et sikkerhedsniveau, der er passende i forhold til risikoen i forbindelse med persondata; (b) at sikre kontogodkendelsesoplysninger, systemer og enheder, Controller bruger til at få adgang til tjenesterne; (c) at sikre Controllers systemer og enheder, der bruges med tjenesterne; og (d) at vedligeholde egne sikkerhedskopier af persondata.

Artikel B.2 Databehandler forpligtelser 

Databehandler forpligter sig til: 

1. at behandle persondata kun i overensstemmelse med dokumenterede instruktioner fra Controller og tage nødvendige skridt for at sikre, at enhver fysisk person, der handler under dets myndighed, og som har adgang til persondata, ikke behandler persondata undtagen efter instruktioner fra Controller;

2. straks informere Controller, hvis nogen af instruktionerne vedrørende behandlingen af persondata, der leveres til Databehandler af Controller, er i strid med gældende databeskyttelseslove eller de bestemmelser, der er anført i denne DPA;

3. implementere passende tekniske og organisatoriske procedurer for at beskytte persondata, i betragtning af kunstens tilstand, omkostningerne ved implementering og behandlingens natur, omfang, kontekst og formål samt risikoen ved varierende sandsynlighed og alvorlighed for de naturlige personers rettigheder og friheder; og

4. uden unødig forsinkelse informere Controller, hvis det modtager en klage eller anmodning vedrørende nogen af parternes forpligtelser under databeskyttelseslove relevante for denne DPA, inklusive enhver erstatningskrav fra en registreret eller enhver meddelelse, undersøgelse eller anden handling fra en tilsynsmyndighed og give Controller fulde detaljer om sådan undersøgelse, klage eller anmodning, medmindre det ikke tillades ved lov eller anmodning fra tilsynsmyndigheden.

SEKTION C: OVERFØRSLER OG UNDERDATABEHANDLERE

Artikel C.1 Overførsel af persondata 

Hvor persondata vedrørende en EU-registreret overføres uden for EØS, skal det behandles af en enhed: (i) beliggende i et tredjeland eller område, der er anerkendt af EU-Kommissionen som havende et tilstrækkeligt beskyttelsesniveau; eller (ii) der er underlagt EU's standardkontraktbestemmelser og/eller UK International Data Transfer Agreement eller UK SCC’s tillæg; eller (iii) der har andre juridisk anerkendte passende garantier på plads, såsom bindende virksomhed integrerede regler, der garanterer det samme beskyttelsesniveau og garantier som denne DPA. 

Artikel C.2 Underdatabehandlere 

Controller giver her sin samtykke til, at Databehandler kan anvende underdatabehandlere specificeret i bilag B. Denne liste kan opdateres af Databehandler fra tid til anden i overensstemmelse med denne DPA.

Databehandler vil give Controller mulighed for at gøre indsigelse mod hver ny underdatabehandler, der vil være involveret udelukkende i omfanget af de databehandlingsaktiviteter, der er identificeret i bilag A. 

Inden ansættelsen af en ny underdatabehandler, skal databehandler underrette Controller herom og give Controller mindst ti (10) kalenderdage til at gøre indsigelse, undtagen hvor Databehandler med rimelighed mener, at ansættelse af en ny underdatabehandler på en ekspeditionsmyndighed nødvendig for at beskytte fortroligheden, integriteten eller tilgængeligheden af persondata eller undgå væsentlige afbrydelser i de leverede tjenester. I så fald vil databehandler give sådan meddelelse så hurtigt som rimeligt muligt. Hvis Controller inden fem (5) kalenderdage efter en sådan meddelelse skriftligt underretter Databehandler om, at Controller gør indsigelse mod Databehandlers udpegning af en ny underdatabehandler baseret på rimelige databeskyttelsesproblemer, vil parterne diskutere disse bekymringer i god tro, og om de kan løses. Indvendinger mod nye underdatabehandlere skal indsendes til privacy@mollie.com. 

Controller anerkender, at underdatabehandlere er vigtige for at levere tjenesterne, og at indvending mod brugen af en underdatabehandler kan forhindre Databehandler i at tilbyde tjenesterne til Controller. Hvis parterne ikke er i stand til gensidigt at blive enige om en løsning på sådanne bekymringer, kan Controller som sin eneste og eksklusive erstatning opsige DPA til bekvemmelighed.

Alle underdatabehandlere, der behandler persondata i forbindelse med tjenester leveret til Controller, skal overholde de forpligtelser, der er fastsat i denne DPA. Databehandler skal, inden videregivelse af persondata til en vilkårlig underdatabehandler, udføre tilstrækkelig due diligence for at sikre, at underdatabehandler er i stand til at yde det beskyttelsesniveau for Controllers 

Persondata krævet af denne DPA og indgå en aftale med den pågældende underdatabehandler, hvor underdatabehandleren er enig i at overholde forpligtelser svarende til dem, der er fastsat i denne DPA. 

SEKTION D: SIKKERHED

Artikel D.1 Sikkerhedsforanstaltninger

Databehandler skal implementere passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til risikoen, herunder som passende:

1. pseudonymisering og kryptering af persondata; 

2. evnen til at sikre den vedvarende fortrolighed, integritet, tilgængelighed og modstandskraft af behandlingssystemer og -tjenester; 

3. evnen til at gendanne tilgængeligheden og adgang til persondata i rette tid i tilfælde af en fysisk eller teknisk hændelse; og 

4. en proces til regelmæssigt at teste, vurdere og evaluere effektiviteten af tekniske og organisatoriske foranstaltninger for at sikre sikkerheden ved behandlingen. Ved vurdering af det passende 

   sikkerhedsniveau skal der tages hensyn til de risici, der præsenteres ved behandling, særligt fra utilsigtet eller ulovlig ødelæggelse, tab, ændring, uautoriseret videregivelse af eller adgang til persondata, der er transmitteret, lagret eller på anden måde behandlet.

   
   

Artikel D.2 Meddelelse om databrud

Databehandler skal uden unødig forsinkelse meddele Controller om eventuel utilsigtet eller ulovlig ødelæggelse, tab, ændring eller uautoriseret videregivelse eller adgang til persondata efter opdagelse, for så vidt som databrudet kun er relateret til behandlingen af persondata af Databehandler i dets kapacitet som databehandler. Hvis og hvor databruddet vedrører persondata, for hvilke Databehandler anses som dataansvarlig som beskrevet i Databehandlers Privatlivserklæring, forbeholder Databehandler sig retten til at behandle databruddet som en dataansvarlig. 

En forsinkelse i en databrudmeddelelse, der er anmodet af retshåndhævelse og/eller i lyset af Databehandlers legitime behov for at undersøge eller afhjælpe sagen, før der gives meddelelse, skal ikke udgøre en unødig forsinkelse. Sådanne meddelelser vil omfatte, så vidt muligt, detaljer om databruddet, inklusive skridt taget for at mindske de potentielle risici. Uden at det påvirker Databehandlers forpligtelser i henhold til denne Sektion D.1, er Controller udelukkende ansvarlig for at overholde databrudmeldingslove, der gælder for Controller, og opfylde eventuelle tredjepartsmeddelelsesforpligtelser i forbindelse med eventuelle databrud. Databehandlers meddelelse af eller reaktion på et databrud under denne Sektion D.1 vil ikke blive fortolket som en anerkendelse af Databehandler af nogen fejl eller ansvar i forhold til databruddet.

Eventuelle omkostninger, der er afholdt ved at løse databruddet og implementering af nødvendige foranstaltninger for at forhindre et sådant databrud i fremtiden, vil blive båret af den part, der afholder omkostningerne.

SEKTION E: REVISION

Artikel E.1 Ret til revision 

Controller skal have ret til at anmode, med rimelig varsel, om revisionsrapporter fra Databehandler vedrørende behandlingen af persondata inden for omfanget af de leverede tjenester under denne DPA.

Revisionsrapporter, der refereres til i denne klausul, skal omfatte, men ikke begrænses til, rapporter relateret til de sikkerhed, fortrolighed og databeskyttelsesforanstaltninger implementeret af Databehandler i forbindelse med behandlingen af persondata. Disse rapporter kan også dække overholdelse af relevante databeskyttelseslove.

Anmodninger om revisionsrapporter skal fremsættes skriftligt og sendes til privacy@mollie.com, hvor anmodningens omfang og formål specificeres. Databehandler skal bekræfte modtagelsen af sådanne anmodninger rettidigt.

Modtagelsen af revisionsrapporter vil være underlagt professionel tavshedspligt. Controller kan kun bruge revisionsrapporterne til formål, der overholde Controllers regulatoriske revisionskrav og til at bekræfte, at Databehandlers behandling af persondata overholder denne DPA. Revisionsrapporterne må ikke deles eksternt.

SEKTION F: VURDERINGER AF KONSEKVENSER FOR DATABESKYTTELSE OG FORUDGÅENDE RÅDGIVNINGER

Artikel F.1 Bistand

Databehandler skal bistå Controller med at foretage en vurdering af konsekvenserne ved behandling af persondata (artikel 35 GDPR) og med alle konsultationer med en tilsynsmyndighed (artikel 36 GDPR), hvis og i det omfang en vurdering eller konsultation skal udføres i henhold til databeskyttelseslove, og hvor Databehandler er tilladt og/eller forpligtet til at samarbejde.

SEKTION G: REGISTREREDE PERSONERS RETTIGHEDER

Artikel G.1 Bistand

Hvis Databehandler modtager en anmodning fra en registreret person i forhold til Controllers persondata, vil Databehandler rådgive den registrerede om at indsende deres anmodning til Controller og/eller videresende anmodningen til Controller, og Controller vil være ansvarlig for at besvare enhver sådan anmodning.

Efter Controllers anmodning og for Controllers regning, vil Databehandler give Controller den bistand, den med rimelighed kan kræve for at overholde forpligtelser i henhold til databeskyttelseslove til at svare på anmodninger fra registrerede personer om at udøve deres rettigheder under databeskyttelseslove (f.eks. rettigheder til dataadgang, retting, sletning, begrænsning, bærbarhed og indsigelse) i tilfælde, hvor Controller ikke med rimelighed kan opfylde sådanne anmodninger uafhængigt via adgang til Databehandlers produkter og tjenester.

SEKTION H: DIVERSE 

Artikel H.1 Fortrolighed 

Databehandler skal holde alle persondata fortrolige og sikre, at alle ansatte, agenter, officerer og entreprenører, der har adgang til eller er involveret i behandlingen af persondata, er opmærksomme på den fortrolige karakter af persondata og er kontraktligt forpligtede til at holde persondata fortrolige og informeres om og overholder forpligtelserne i denne DPA.

Artikel H.2 Ansvar

Enhver og alle ansvarsforhold, der opstår på baggrund af denne DPA, vil blive styret af de relevante bestemmelser i Bruger aftalen, inklusive begrænsninger af ansvar. 

Under forudsætning af bestemmelserne i Bruger aftalen, vil hver part kun være ansvarlig overfor den anden part for eventuelle skader, den forårsager den anden part ved enhver overtrædelse af denne DPA. Disse skader skal være klart demonstrerede. Databehandler vil kun være ansvarlig for skaden forårsaget af behandlingen, hvis den ikke har overholdt databeskyttelseslove specifikt rettet mod databehandlere, eller hvis den har handlet uden for eller i strid med Controllers lovlige instruktioner som beskrevet i denne DPA. I den kontekst vil Databehandler kun være ansvarlig, hvis Controller beviser, at Databehandler er ansvarlig for den begivenhed, der giver anledning til skaden.

Controller skal være udelukkende ansvarlig overfor den registrerede, og den registrerede har ret til at modtage erstatning for enhver materiel eller ikke-materiel skade, som Controller eller Databehandler (eller dens underdatabehandlere) forårsager den registrerede ved at overtræde denne DPA.

Artikel H.3 Varighed og Opsigelse 

Varigheden af denne DPA skal falde sammen med begyndelsen af Bruger aftalen og/eller brugen af det specifikke produkt eller tjeneste som indgår i bilag A.

Denne DPA skal automatisk ophøre samtidig med ophør af Bruger aftalen og/eller brugen af det specifikke produkt eller tjeneste som inkluderet i bilag A, uanset hvilket der opsiges først.

Ved opsigelsen af denne DPA skal Databehandler, efter Controllers anmodning, returnere persondataene til Controller eller til en databehandler udnævnt af Controller, eller slette persondataene, medmindre Databehandler er forpligtet til at beholde en kopi i overensstemmelse med enhver lov i den Europæiske Union eller en hvilken som helst medlemsstat af Den Europæiske Union.

SEKTION I: ENDELIGE BESTEMMELSER 

Artikel I.1 Hele Aftalen 

Denne DPA udgør en del af Bruger aftalen. Alle rettigheder og forpligtelser, der stammer fra Bruger aftalen, gælder også for denne DPA. Bilag A udgør en integreret del af denne DPA.

Artikel I.2 Ændring kun ved aftale 

Ingen ændringer til denne DPA er gyldige, medmindre de er skriftlige og underskrevet af autoriserede repræsentanter for hver part. 

Artikel I.3 Delbarhed 

Hver bestemmelse i denne DPA er særskilt og kan afgrænses, og hvis nogen bestemmelse, eller en del af en bestemmelse, holdes uhåndhævelig, ulovlig eller ugyldig i sin helhed eller delvist af en hvilken som helst ret, reguleringsmyndighed eller anden kompetent myndighed, skal den i det omfang anses for ikke at være en del af denne DPA, og det øvrige af denne DPA vil ikke blive påvirket. Parterne er enige om at forsøge at erstatte enhver ugyldig eller uhåndhævelig bestemmelse med en gyldig eller håndhævelig bestemmelse, der i størst mulig grad opnår den samme effekt, som ville være blevet opnået af den ugyldige eller uhåndhævelige bestemmelse. Bortset fra ændringer implementeret af denne DPA, forbliver Bruger aftalen uændret og i fuld kraft og virkning.

Artikel I.4 Ret til Overdragelse 

Parterne kan kun overføre denne DPA i overensstemmelse med Bruger aftalen (klausul 8.9). 

Artikel I.5 Lovvalg 

Denne DPA skal være underlagt og fortolkes i overensstemmelse med lovene i Nederlandene. Hver Part accepterer eksklusiv jurisdiktion hos domstolene i Amsterdam til at bilægge eventuelle tvister, der opstår på grund af denne DPA. Skulle nogen domstol eller administrativt organ med kompetent jurisdiktion finde nogen bestemmelse i denne DPA ugyldig, uhåndhævelig eller ulovlig, forbliver de øvrige bestemmelser i denne DPA i fuld kraft og virkning.

BILAG A - SPECIFIKATION AF BEHANDLING AF PERSONDATA 

1. FORMÅL MED BEHANDLINGEN

Behandlingen af persondata er direkte relateret til leveringen af de tjenester, der er leveret under Bruger aftalen.

Formålene med behandlingen er:

• Facilitere sending af fakturaer til Controllers kunder via Mollies produkter og tjenester 

2. KATEGORIER AF DATAREGISTREREDE 

Databehandler vil behandle persondata for følgende kategorier af dataregistrerede for Controller:

• Controllers kunder (f.eks. betaleren (forbrugere, erhvervskunder))

3. TYPER AF PERSONDATA 

Databehandler vil behandle følgende typer af persondata for Controller:

• Basale kontaktoplysninger (inkluderer fulde navn, (arbejds)telefonnummer, (forretnings) emailadresse, bolig/firmaadresse)

• Fakturadetaljer (som angivet af Controller)

Ingen specielle kategorier af persondata (som defineret af artikel 9 i GDPR) vil blive behandlet af Databehandler. 

4. SIKKERHEDSFORANSTALTNINGER 

Kontekst 

Som en finansiel institution er de sikkerhedskontroller og driftsprocedurer, Mollie har skabt for vores applikationer, systemer og IT-processer, underlagt kontrol fra den hollandske centralbank (DNB), hvilken bruger vejledning fra Den Europæiske Banktilsynsmyndighed (EBA) til tekniske standarder, som licenshavere skal overholde. 

Derudover er Mollie (også) en databehandler af persondata og reguleres af anden lovgivning, der sætter standarder for sikkerhed og databeskyttelse, som håndhæves af yderligere myndigheder - især GDPR og dens regulator i Nederlandene (Autoriteit Persoonsgegevens). 

Derudover er de systemer, der specifikt behandler kortdata, niveau 1 PCI DSS kompatible systemer, hvilket betyder, at denne specifikke applikation og procedurerne til udvikling og vedligeholdelse af den er underlagt de databeskyttelsesforanstaltninger, der er beskrevet af PCI rådet, til hvilken Mollie’s overholdelse vurderes af en ekstern part årligt.

Generelle Foranstaltninger

Alle applikationer, systemer og procedurer relateret til dem er underlagt Mollie Information Security Policy. Højdepunkter fra denne og andre politikker, der er relevante for omfanget af de leverede tjenester, er:

• Medarbejderscreening

• Udviklerens sikkerhedstræningsprogram

• Sikkerhedsbevidsthedsprogram

• Adskillelse af ansvar

• Ændringsstyring

• Sårbarhedsstyring

• Hændelseshåndtering

• Modstandsdygtighed og backupstyring

• Stærk adgangskontrol håndhævelse (IAM og IGA)

• Brugergodkendelsesanmeldelser

• Systemklassifikationsstandarder

• Data klassifikationsstandarder og datapolitik

• Sikre konfigurationsstandarder baseret på industribedste praksis, politikhåndhævelse (hærdning)

• Fysisk og logisk netværksmiljø adskillelse

• Sikre krypteringsstandarder

• Krypteringsnøgle styring

• Kryptering (under transit, i hvile for delte infrastrukturmiljøer såsom skyen)

• Tredjeparts risikostyring

• Tilgængelighed og fejlovervågning

• Sikker udviklings livscyklus

  • Trussel modellering ved betydelige ændringer og nye funktioner

  • Afhængighedsstyring og kendt sårbarhedsscanning

  • Statisk kode sikkerhedsanalyse

  • Intern og ekstern sårbarhedsscanning

• Koordineret sårbarhedsoplysninger (CVD) og bug bounty program

• Trussel intelligens program (f.eks. deltagelse i den hollandske PI-ISAC, betalingsinstitutionsinformationsdeling og analysecenter, mørkt webovervågning)

• Administreret sikkerhedstjenesteudbyder (MSSP) samarbejde til sikkerhedsoperationer, analyse og retsmedicinske undersøgelser

• Sikkerhedsinformation og hændelsestyring (SIEM)

• Personales slutpunkt sikkerhed

• Email sikkerhed

Mollie Platform

Ud over de generelle sikkerhedsforanstaltninger, der er nævnt ovenfor, er Mollie Platform-applikationen dækket af følgende sikkerhedsforanstaltninger - enten som resultat af implementeringen af vores generelle sikkerhedspolitikker eller som en afhjælpningsforanstaltning til adressering af en risiko anerkendt i den applikationsspecifikke risikovurdering:

• 2-faktor adgangskontrol

• Tredjeparts penetrationstests

• Sikkerhedshændelse eventhåndtering

• DDoS-afværgning

• Sikkerhedshændelsesrespons

• Tilgængelighedsovervågning

• Sikker legitimationslagre

• Overflødig infrastruktur

• Nødgendannelse fejlover

• Ratebegrænsning og låsning

• Streng indholds sikkerhedspolitik

• Captcha

• Web applikations firewall

BILAG B - OVERSIGT OVER UNDERDATABEHANDLERE