Databehandlingsavtal

Detta AVTAL OM DATABEHANDLING (hädanefter “DPA”) inklusive dess bilagor beskriver parternas skyldigheter, inklusive enligt tillämpliga dataskyddslagar, gällande behandling av personuppgifter (som definieras nedan). DPA är införlivat i användaravtalet.

Detta DPA är mellan Organisation (hädanefter “Kontrollant”)

och 

Mollie B.V., ett aktiebolag (besloten vennootschap) med säte i Amsterdam, på Keizersgracht 126, 1015 CW Amsterdam, Nederländerna och registrerat hos Nederländernas handelskammare under nummer 30204462, (hädanefter “Mollie” eller “Processor”)

och 

Mollie UK Ltd., ett aktiebolag med säte i London, 7 Pancras Square, London N1C 4AG, Storbritannien och registrerat hos Companies House under nummer 14013554, (hädanefter “Mollie” eller “Processor”),

varje en “Part” och tillsammans “Parter”. 

Definitioner 

I detta DPA har följande termer den betydelse som anges nedan. Huvudstadade termer som används men ej definieras här ska ha den betydelse som anges i avtalet.

Avtal: Avtalet mellan kontrollant och processor för tillhandahållande av tjänster (“Användaravtal”).

Bindande företagsregler: Persondataskyddspolicys som följs av en kontrollant eller processor etablerad inom en medlemsstats territorium för överföringar eller ett sett med överföringar av personuppgifter till en kontrollant eller processor i ett eller flera tredjeländer inom en grupp av företag, eller grupp av företag engagerade i en gemensam ekonomisk aktivitet.

Kontrollant: Den fysiska eller juridiska person, offentliga myndighet, agentur eller annat organ som ensamt eller tillsammans med andra, bestämmer ändamålen med och medlen för behandlingen av personuppgifter.

Kund: Kunder till organisationen som vill betala för produkter och/eller tjänster som tillhandahålls av organisationen via Mollies betalmodul.

Informationssäkerhetsbrott: Ett brott mot säkerheten som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt avslöjande av eller tillgång till överförda, lagrade eller på annat sätt bearbetade personuppgifter. 

Avtalet om databehandling: Detta avtal, inklusive alla bilagor.

Övervakande myndighet: En oberoende statlig myndighet ansvarig för övervakning av efterlevnad av tillämpliga lagar relaterade till behandling av personuppgifter. I Nederländerna är detta Autoriteit Persoonsgegevens.

Konsekvensbedömning för dataskydd: En bedömning av påverkan av de föreslagna behandlingsoperationerna på skyddet av personuppgifter.

Dataskyddslagar: All tillämplig lagstiftning relaterad till dataskydd och integritet inklusive, utan begränsning, EU:s allmänna dataskyddsförordning, all lokal lagstiftning och förordningar som ändrar eller ersätter någon av dem, tillsammans med eventuella nationella implementeringslagar i någon medlemsstat av Europeiska ekonomiska samarbetsområdet (EES), i den mån det är tillämpligt, i något annat land, såsom dessa ändras, upphävs, konsolideras eller ersätts från tid till annan.

Registrerad person: Den naturliga person som personuppgifter avser (t.ex. kunder).

GDPR: Den allmänna dataskyddsförordningen (EU) 2016/679 från Europaparlamentet och rådet av den 27 april 2016 om skyddet för fysiska personer avseende behandlingen av personuppgifter och om det fria flödet av sådan data. 

Personuppgifter: Någon information som relaterar till en identifierad eller identifierbar fysisk person; en identifierbar fysisk person är en som kan identifieras, direkt eller indirekt, särskilt genom en referens till en identifierare som ett namn, ett identifikationsnummer, lokaliseringsdata, en online-identifierare eller till en eller flera faktorer specifika för den fysiska, fysiologiska, genetiska, mentala, ekonomiska, kulturella eller sociala identiteten hos den naturliga personen. 

Behandling: Någon operation eller uppsättning operationer som utförs på personuppgifter eller uppsättningar av personuppgifter, oavsett om det sker med automatiserade medel, såsom insamling, registrering, organisation, strukturering, lagring, anpassning eller ändring, återvinning, konsultation, användning, avslöjande genom överföring, spridning eller på annat sätt göras tillgängligt, överensstämelse eller kombination, begränsning, radering eller förstörelse. Denna lista är inte uttömmande. Termerna “behandla”, “behandlar” och “behandlades” kommer att tolkas i enlighet därmed. 

Processor: En fysisk eller juridisk person, offentlig myndighet, agentur eller annat organ som behandlar (person)uppgifter för kontrollantens räkning.

Organisation: Organisationen som använder betalmodulen för syften inklusive, men inte begränsat till, försäljning av produkter och/eller tjänster till kunder.

Standardavtalsklausuler: Europeiska kommissionens standardavtalsklausuler för dataprocessorer (2010/87/EU) eller kommissionens genomförandebeslut (EU) 2021/914 av den 4 juni 2021 om standardavtalsklausuler för överföring av personuppgifter till tredjeländer enligt förordning (EU) 2016/679 från Europaparlamentet och rådet (C/2021/3972).
Underprocessornågon tredje person, enhet eller företag som engageras av processorn för att behandla personuppgifter i tillhandahållandet av tjänsterna under avtalet.

AVSNITT A: SYFTE 

Artikel A.1 Omfattning

Processor har kommit överens om att tillhandahålla tjänster till kontrollanten i enlighet med användaravtalets villkor. Vid tillhandahållandet av tjänster kommer processorn att behandla personuppgifter för kontrollantens räkning som identifierats i detta DPA. Processorn, som en finansiell institution, bearbetar också personuppgifter och agerar som datakontrollant. 

Parterna erkänner och är överens om att i den mån Mollie bearbetar personuppgifter involverade i betalningstransaktioner för att: i) genomföra användaravtalet med kontrollanten; ii) övervaka, förhindra och upptäcka bedrägliga betalningstransaktioner; iii) uppfylla juridiska eller regulatoriska skyldigheter gällande bearbetning och lagring av betaluppgifter som Mollie är underkastad, inklusive tillämplig antimoney laundering screening och uppfyllande av know-your-customer skyldigheter; och iv) förbättra Mollies produkter och tjänster, agerar Mollie som datakontrollant och har den enda och exklusiva myndigheten att bestämma syften och medel för behandlingen av personuppgifter som den får från eller genom (tillhandahållande av tjänster till) kontrollanten.

De behandlingsaktiviteter, personuppgifter och kategorier av registrerade personer för vilka processorn behandlar personuppgifter för kontrollantens räkning identifieras i bilaga A. 

AVSNITT B: SKYLDIGHETER 

Artikel B.1 Kontrollantens skyldigheter 

Kontrollanten ansvarar för de personuppgifter som processorn kommer att behandla och ska säkerställa efterlevnad av alla dataskyddslagar, inklusive krav gällande överföring av personuppgifter enligt detta DPA och användaravtalet. Kontrollanten garanterar att ha rätt att behandla personuppgifterna och att ha rätt att utse processorn att behandla uppgifterna för kontrollantens räkning.

Kontrollanten är överens om att, utan begränsning av processorens skyldigheter enligt detta DPA, är kontrollanten ensamt ansvarig för sin användning av tjänsterna, inklusive (a) att göra lämplig användning av tjänsterna för att säkerställa en säkerhetsnivå som är lämplig för risken i förhållande till personuppgifterna; (b) säkra kontouppgifterna, system och enheter kontrollanten använder för att få tillgång till tjänsterna; (c) säkra kontrollantens system och enheter som används med tjänsterna; och (d) hålla egna säkerhetskopior av personuppgifter.

Artikel B.2 Processorens skyldigheter 

Processorn åtar sig att: 

1. behandla personuppgifterna endast i enlighet med dokumenterade instruktioner från kontrollanten och ska vidta nödvändiga åtgärder för att säkerställa att någon fysisk person som agerar under dess myndighet och har tillgång till personuppgifter inte behandlar personuppgifterna förutom instruktioner från kontrollanten;

2. omedelbart informera kontrollanten om någon av instruktionerna angående behandlingen av personuppgifter som tillhandahålls till processorn av kontrollanten, bryter mot någon tillämplig dataskyddslag eller bestämmelser som anges i detta DPA;

3. implementera lämpliga tekniska och organisatoriska förfaranden för att skydda personuppgifterna med tanke på den tekniska utvecklingen, kostnaderna för genomförande och naturen, omfattningen, kontexten och ändamålen med behandlingen samt risken av varierande sannolikhet och svårighetsgrad för rättigheter och friheter hos naturliga personer; och

4. utan obefogat dröjsmål informera kontrollanten om den får ett klagomål eller begäran relaterad till endera partens skyldigheter under gällande dataskyddslagar relevant för detta DPA, inklusive något ersättningsanspråk från en registrerad person eller något meddelande, undersökning eller annan åtgärd från en övervakande myndighet och tillhandahålla kontrollanten med fullständiga detaljer om sådan undersökning, klagomål eller begäran om inte förbjuden av lag eller av begäran av den övervakande myndigheten.

AVSNITT C: ÖVERFÖRINGAR OCH UNDERPROCESSORER

Artikel C.1 Överföring av personuppgifter 

Där personuppgifter relaterade till en EU-registrerad person överförs utanför EES, ska de behandlas av en enhet: (i) belägen i ett tredjeland eller territorium som erkänts av EU-kommissionen som har en adekvat skydds-nivå; eller (ii) som är underkastad EU:s standardavtalsklausuler och/eller det brittiska internationella dataöverföringsavtalet eller tillägget till det brittiska SCC; eller (iii) som har andra lagligt erkända lämpliga skyddsåtgärder på plats, såsom bindande företagsregler, som garanterar samma skyddsnivå och skyddsåtgärder som detta DPA. 

Artikel C.2 Underprocessorer 

Kontrollanten ger härmed sitt medgivande till processorens användning av underprocessorer specificerade i bilaga B. Denna lista kan uppdateras av processorn från tid till annan i enlighet med detta DPA.

Processorn kommer att ge kontrollanten möjlighet att göra invändningar mot varje ny underprocessor som kommer att vara inblandade enbart inom ramen för de databehandlingsaktiviteter som identifierats i bilaga A. 

Innan en ny underprocessor engageras ska processorn meddela kontrollanten om detta och ge kontrollanten minst tio (10) kalenderdagar för att göra invändningar, utom där processorn rimligen tror att engagera en ny underprocessor på ett snabbt sätt är nödvändigt för att skydda konfidentialitet, integritet eller tillgänglighet för personuppgifterna eller undvika materiell störning av de tjänster som tillhandahålls. I så fall kommer processorn att ge ett sådant meddelande så snart det rimligen är möjligt. Om, inom fem (5) kalenderdagar efter sådant meddelande, kontrollanten skriftligen meddelar processorn att kontrollanten motsätter sig processorens utnämning av en ny underprocessor baserad på rimliga dataskyddsproblem, kommer parterna att diskutera sådana bekymmer i god tro och huruvida de kan lösas. Invändningar mot nya underprocessorer ska skickas till privacy@mollie.com. 

Kontrollanten erkänner att underprocessorer är väsentliga för att tillhandahålla tjänsterna och att göra invändningar mot användningen av en underprocessor kan förhindra processorn från att erbjuda tjänsterna till kontrollanten. Om parterna inte kan komma överens om en lösning på sådana bekymmer, kan kontrollanten, som sin enda och exklusiva åtgärd, säga upp DPA för en bekvämlighet.

Alla underprocessorer som behandlar personuppgifter i tillhandahållandet av tjänster till kontrollanten ska följa de skyldigheter som anges i detta DPA. Processorn ska, före utlämning av personuppgifter till någon underprocessor, genomföra adekvat due diligence för att säkerställa att underprocessorn är kapabel att tillhandahålla den skyddsnivå för kontrollantens 

personuppgifter som krävs av detta DPA och ingå ett avtal med den underprocessor där underprocessorn samtycker till att följa förpliktelser som är likvärdiga med dem som anges i detta DPA. 

AVSNITT D: SÄKERHET

Artikel D.1 Säkerhetsåtgärder

Processorn ska implementera lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för risken, inklusive bland annat:

1. pseudonymisering och kryptering av personuppgifter; 

2. möjligheten att säkerställa den fortsatta konfidentialiteten, integriteten, tillgängligheten och motståndskraften hos behandlingssystem och tjänster; 

3. förmågan att återställa tillgång och tillgång till personuppgifter i tid vid en fysisk eller teknisk incident; och 

4. en process för regelbundet testande, bedömning och utvärdering av effektiviteten av tekniska och organisatoriska åtgärder för att säkerställa säkerheten vid behandlingen. Vid bedömning av den lämpliga 

   säkerhetsnivån bör särskilt hänsyn tas till de risker som presenteras genom behandlingen, särskilt genom oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt avslöjande av, eller åtkomst till personuppgifter som överförs, lagras eller på annat sätt bearbetas.

   
   

Artikel D.2 Informationssäkerhetsbrottsrapportering

Processorn ska utan obefogat dröjsmål meddela kontrollanten om någon oavsiktlig eller olaglig förstörelse, förlust, ändring eller obehörig avslöjande eller åtkomst av personuppgifter efter upptäckten, i den mån informationssäkerhetsbrottet endast är relaterat till behandlingen av personuppgifter av processorn i dess kapacitet som en processor. Om och där informationssäkerhetsbrottet rör personuppgifter för vilka processorn anses som kontrollant enligt processorens integritetspolicy, förbehåller sig processorn rätten att behandla informationssäkerhetsbrottet som en kontrollant. 

En fördröjning i att ge en informationssäkerhetsbrottsrapport som begärs av brottsbekämpande myndigheter och/eller i ljuset av processorens legitima behov av att undersöka eller åtgärda saken innan de lämnar rapporten ska inte utgöra en obefogad fördröjning. Sådana meddelanden kommer att beskriva, i den mån det är möjligt, detaljer om informationssäkerhetsbrottet, inklusive åtgärder som vidtagits för att minska potentiella risker. Utan att det påverkar processorens skyldigheter enligt detta avsnitt D.1 är kontrollanten ensam ansvarig för att följa informationssäkerhetsbrottsrapportering lagar tillämpliga för kontrollanten och uppfyller alla tredje parts anmälningsskyldigheter relaterade till några informationssäkerhetsbrott. Processorens anmälningar om eller svar på ett informationssäkerhetsbrott enligt detta avsnitt D.1. kommer inte att tolkas som en bekräftelse från processorens sida av något fel eller ansvar med avseende på informationssäkerhetsbrottet.

Alla kostnader som uppkommer vid lösning av informationssäkerhetsbrottet och vid genomförandet av åtgärder som är nödvändiga för att förhindra ett sådant informationssäkerhetsbrott i framtiden kommer att bäras av den part som orsakar kostnaderna.

AVSNITT E: GRANSKNING

Artikel E.1 Rätt till granskning 

Kontrollanten ska ha rätt att begära, efter rimligt meddelande, granskningar från processorn gällande behandlingen av personuppgifter inom ramen för de tjänster som tillhandahålls enligt detta DPA.

Gränsksrapporter, som hänvisas i denna klausul, ska inkludera men inte begränsas till, rapporter relaterade till säkerheten, konfidentialiteten och dataskyddsåtgärder som implementerats av processorn i samband med behandlingen av personuppgifter. Dessa rapporter kan också omfatta efterlevnad av relevanta dataskyddslagar.

Förfrågningar om granskningar ska göras skriftligen och skickas till privacy@mollie.com, med angivande av omfattningen och syftet med förfrågan. Processorn ska erkänna mottagandet av sådana förfrågningar i rätt tid.

Mottagandet av granskningar ska vara föremål för yrkesmässig konfidentialitetsplikt. Kontrollanten kan endast använda granskrapporterna för syftet att uppfylla kontrollantens regulatoriska granskningskrav och bekräfta att processorens behandling av personuppgifter överensstämmer med detta DPA. Granskrapporterna får inte delas externt.

AVSNITT F: KONSEKVENSBEDÖMNINGAR FÖR DATASKYDD OCH FÖRHANDSRÅDGIVNINGAR

Artikel F.1 Assistans

Processorn ska bistå kontrollanten med att utföra en bedömning av påverkan av databehandling (artikel 35 GDPR) och med eventuella konsultationer med en övervakande myndighet (artikel 36 GDPR), om och i den mån en bedömning eller konsultation är nödvändig att genomföras enligt dataskyddslagar och där processorn är tillåten och/eller skyldig att samarbeta.

AVSNITT G: RÄTTIGHETER FÖR DEN REGISTRERADE 

Artikel G.1 Assistans

Om processorn får en begäran från en registrerad person avseende kontrollantens personuppgifter, kommer processorn att råda den registrerade att skicka sin begäran till kontrollanten och/eller vidarebefordra begäran till kontrollanten, och kontrollanten kommer att vara ansvarig för att svara på någon sådan begäran.

På kontrollantens begäran och på kontrollantens kostnad kommer processorn att ge kontrollanten sådan assistans som den rimligen kan kräva för att uppfylla skyldigheter enligt dataskyddslagar för att svara på förfrågningar från registrerade personer att utöva sina rättigheter enligt dataskyddslagar (t.ex. rättigheter till dataåtkomst, rättelse, radering, begränsning, portabilitet och invändning) i fall där kontrollanten inte rimligen kan uppfylla sådana begäranden självständigt via sin åtkomst till processorens produkter och tjänster.

AVSNITT H: DIVERSE 

Artikel H.1 Konfidentialitet 

Processorn ska hålla alla personuppgifter konfidentiella och ska se till att alla anställda, agenter, tjänstemän och entreprenörer som har tillgång till eller är involverade i behandlingen av personuppgifter är medvetna om den konfidentiella naturen hos personuppgifterna och är kontraktsbundet att hålla personuppgifterna konfidentiella och är informerad om och följer de skyldigheter som anges i detta DPA.

Artikel H.2 Ansvar

Allt ansvar som uppstår ur detta DPA kommer att styras av de relevanta bestämmelserna i användaravtalet, inklusive ansvarsbegränsningar. 

Oaktat bestämmelserna i användaravtalet, ska varje part endast vara ansvarig för den skada den orsakar den andra parten genom eventuellt brott mot detta DPA. Dessa skador ska klart uppvisas. Processorn kommer bara att vara ansvarig för den skada som orsakas genom behandling där den inte har följt skyldigheter enligt dataskyddslagar specifikt riktade till dataprocessorer eller där den har agerat utanför eller i strid med kontrollantens lagliga instruktioner som beskrivet i detta DPA. I det sammanhanget kommer processorn endast att vara ansvarig om kontrollanten bevisar att processorn är ansvarig för händelsen som gav upphov till skadan.

Kontrollanten ska vara ensam ansvarig gentemot den registrerade personen, och den registrerade personen ska ha rätt att få ersättning, för eventuella materiella eller icke-materiella skador kontrollanten eller processorn (eller dess underprocessorer) orsakar den registrerade genom att bryta mot detta DPA.

Artikel H.3 Löptid och uppsägning 

Giltigheten för detta DPA ska sammanfalla med inledandet av användaravtalet och/eller användningen av den specifika produkt eller tjänst som ingår i bilaga A.

Detta DPA ska automatiskt upphöra tillsammans med avslutande av användaravtalet och/eller användningen av den specifika produkt eller tjänst som anges i bilaga A, beroende på vad som upphör först.

Vid avslutningen av detta DPA ska processorn, på kontrollantens begäran, återlämna personuppgifterna till kontrollanten eller till en processor som utses av kontrollanten, eller radera personuppgifterna, utom där processorn är skyldig att behålla en kopia i enlighet med någon lag inom Europeiska unionen eller någon medlemsstat i Europeiska unionen.

AVSNITT I: SLUTBESTÄMMELSER 

Artikel I.1 Hela avtalet 

Detta DPA utgör en del av användaravtalet. Alla rättigheter och skyldigheter som härrör från användaravtalet är också tillämpliga på detta DPA. Bilaga A utgör en integrerad del av detta DPA.

Artikel I.2 Ändring endast genom överenskommelse 

Ingen förändring av detta DPA ska vara giltig om det inte är skriftligt och undertecknat av behöriga representanter för varje part. 

Artikel I.3 Avskiljbarhet 

Var och en av bestämmelserna i detta DPA är distinkta och separerbara, och om någon bestämmelse, eller del av en bestämmelse, hålls ogiltig, olaglig eller ogiltig i sin helhet eller delvis av någon domstol, regulatorisk myndighet eller annan kompetent myndighet, ska det i den utsträckningen anses vara icke-del av detta DPA och verkställbarheten, legaliteten och giltigheten av det återstående DPA:t påverkas inte. Parterna är överens om att försöka ersätta eventuell ogiltig eller icke-verkställbar bestämmelse med en giltig eller verkställbar bestämmelse som uppnår i största möjliga utsträckning samma effekt som skulle ha uppnåtts av den ogiltiga eller icke-verkställbara bestämmelsen. Förutom ändringar implementerade enligt detta DPA, förblir användaravtalet oförändrat och i full kraft och verkan.

Artikel I.4 Rätt till överlåtelse 

Parterna får endast överföra detta DPA i linje med användaravtalet (klausul 8.9). 

Artikel I.5 Tillämplig lag 

Detta DPA ska styras av och tolkas i enlighet med lagarna i Nederländerna. Varje part samtycker till den exklusiva jurisdiktionen för domstolar i Amsterdam för att lösa eventuella tvister som uppstår ur detta DPA. Om någon domstol eller administrativ myndighet av behörig jurisdiktion finner någon bestämmelse i detta DPA ogiltig, icke verkställbar eller olaglig, ska resten av detta DPA fortfarande vara i full kraft och verkan.

BILAGA A - SPECIFIKATION AV BEHANDLING AV PERSONUPPGIFTER 

1. SYFTE MED BEHANDLINGEN

Behandling av personuppgifter är direkt relaterad till tillhandahållandet av tjänsterna som anges i användaravtalet.

Syftena med behandlingen är:

• Underlätta att skicka fakturor till kontrollantens kunder via Mollies produkter och tjänster 

2. KATEGORIER AV REGISTRERADE PERSONER 

Processorn kommer att behandla personuppgifter av följande kategorier av registrerade personer för kontrollantens räkning:

• Kunder till kontrollanten (dvs. den betalande (konsumenter, affärskunder))

3. TYPER AV PERSONUPPGIFTER 

Processorn kommer att behandla följande typer av personuppgifter för kontrollantens räkning:

• Grundläggande kontaktuppgifter (inkluderar fullständigt namn, (kontors) telefonnummer, (affärs) e-postadress, bostads-/företagsadress)

• Fakturauppgifter (som inkluderas av kontrollanten)

Inga speciella kategorier av personuppgifter (enligt definitionen i artikel 9 i GDPR) kommer att behandlas av processorn. 

4. SÄKERHETSÅTGÄRDER 

Sammanhang 

Som en finansiell institution är de säkerhetskontroller och operativa procedurer som Mollie har skapat för våra applikationer, system och IT-processer föremål för granskning av den nederländska centralbanken (DNB), som i sin tur använder vägledning från European Banking Authority (EBA) för tekniska standarder som licenshållare ska följa. 

Vidare, eftersom Mollie (också) verkar som en kontrollant av personuppgifter, regleras Mollie av annan lagstiftning som ställer krav på säkerhet och dataskydd, vilket övervakas av ytterligare myndigheter - framförallt GDPR och dess tillsynsmyndighet inom Nederländerna (Autoriteit Persoonsgegevens). 

Dessutom är de system som behandlar kortdata specifikt nivå 1 PCI DSS-kompatibla system, vilket innebär att denna specifika applikation och procedurerna för utveckling och underhåll av den är föremål för de dataskyddsåtgärder som PCI-rådet föreskriver, vilket Mollie granskas av en extern part årligen.

Allmänna åtgärder

Alla applikationer, system och procedurer relaterade till dem är föremål för Mollies informationssäkerhetspolicy. Höjdpunkter från denna och andra policyer som är relevanta för omfattningen av tillhandahållna tjänster är:

• Personalgranskning

• Utvecklares säkerhetsutbildningsprogram

• Säkerhetsmedvetenhetsprogram

• Utskilda arbetsuppgifter

• Förändringshantering

• Sårbarhetshantering

• Incidenthantering

• Resiliens och backuphantering

• Stark åtkomstkontroll (IAM och IGA)

• Användargodkännanderevisioner

• Systemklassificeringsstandarder

• Dataklassificeringsstandarder och datapolicy

• Säkra konfigurationsstandarder baserade på branschens bästa praxis, policyuppföljning (härdning)

• Fysisk och logisk nätverksmiljö separering

• Säkra krypteringsstandarder

• Krypteringsnyckelhantering

• Kryptering (i transit, i vila för delade infrastrukturområden som moln)

• Tredjepartsriskhantering

• Tillgänglighets- och felövervakning

• Säker utvecklingslivscykel

  • Hotmodellering vid betydande förändringar och nya funktioner

  • Beroendehantering och känd sårbarhetsskanning

  • Statisk kodsäkerhetsanalys

  • Intern och extern sårbarhetsskanning

• Koordinerad sårbarhetsrapportering (CVD) och bugg belöningsprogram

• Hotunderrättelseprogram (t.ex. deltagande i den nederländska PI-ISAC, betalningsinstitutions informationsdelning och analyscentrum, mörk webbd-övervakning)

• Managed security service provider (MSSP) samarbete för säkerhetsoperationer, analys och forensiska undersökningar

• Säkerhetsinformation och händelsehantering (SIEM)

• Säkerhet på medarbetarnas slutenheter

• E-postsäkerhet

Mollie-plattform

Utöver de allmänna säkerhetsåtgärder som redogörs för ovan, täcker även säkerhetsåtgärder för Mollie-plattformsapplikationen - antingen efter att våra allmänna säkerhetspolicyer implementerats eller som en mildrande åtgärd för att hantera en risk som identifierats i den applikationsspecifika riskbedömningen:

• 2-faktors åtkomstkontroll

• Tredjepartspenetrationstester

• Säkerhetsincidenthändelsehantering

• DDoS-mitigering

• Säkerhetsincidentrespons

• Tillgänglighetsövervakning

• Säker lagring av autentiseringsuppgifter

• Redundant infrastruktur

• Katastrofåterställningsövergång

• Taktbegränsning och låsning

• Strikt innehållssäkerhetspolicy

• Captcha

• Webbapplikationsbrandvägg

BILAGA B - ÖVERSIKT ÖVER UNDERPROCESSORER