EBSCO许可协议

最后更新: 2023 年 10 月

通过使用本网站提供的服务或将服务提供给授权用户,授权用户和被许可人同意遵守以下条款和条件("协议")。 在本协议中,"EBSCO "是指EBSCO出版公司;“被许可方”是指提供EBSCO数据库和服务的实体或机构;“网站”是被许可方提供或运营的互联网网站,授权用户可通过该网站访问EBSCO的数据库和服务;"授权用户 "是指雇员、学生、注册用户、未经预约的顾客或与被许可方有关联的其他人员,或允许使用被许可方的设施并由被许可方授权访问数据库或服务的其他人员。 "授权用户 "不包括被许可方的校友。 "服务 "是指EBSCOhostEBSCO Discovery Service、EBSCO eBooks、Flipster以及被许可方已购买访问或订阅的相关产品。 "服务 "还包括被许可人购买访问或订阅的电子书以及被许可人购买订阅的期刊。 "数据库 "应指EBSCO提供的产品。 EBSCO对本文所包含的、所提及的或所链接的任何材料的准确性、完整性或功能不承担任何责任。 本内容中服务信息的公布并不意味着对所涉及产品的制造商的认可。 EBSCO对错误或遗漏不承担任何责任,也不对因使用此处包含的信息而造成的损害承担任何责任。 参与本文所述程序的人员完全自行承担风险。

I. 许可证

A. EBSCO特此授予被许可方根据本协议的条款和条件使用EBSCO提供的数据库和服务的不可转让和非排他性权利。 向授权用户提供的数据库和服务受版权保护,原版权所有者(EBSCO或其许可方)保留对数据库和服务及其所有部分的所有权。 EBSCO不转让任何所有权,未经EBSCO事先书面同意,被许可方和网站不得以任何形式或手段复制、分发、展示、修改、转让或传送任何数据库或服务或其任何部分,本协议特别授权的除外。

B. 被许可方有权通过网站向任何授权用户提供对数据库和服务的现场访问。 被许可方不得在任何公开索引的网站上公布数据库或服务的密码。 被许可方和网站有权仅向其客户提供数据库和服务的远程访问权限,前提是采取安全程序,防止机构、非订阅机构的员工或个人进行远程访问,这些机构、员工或个人不是本协议的当事方,也未获得EBSCO的明确和具体授权。 为免生疑问,如果被许可方向个人提供远程访问的范围比本协议开始时预期的范围更广,则EBSCO可认定被许可方违约并暂停对数据库或服务的访问。 允许订户机构的顾客从远程位置访问数据库或服务,用于个人的非商业用途。 然而,如果使用的目的是通过降低或避免非订阅机构的成本来获取商业利益,则不允许非订阅机构远程访问数据库或服务。

C. 被许可方和授权用户同意遵守1976年版权法以及出版商提供的和数据库或服务中规定的任何合同限制、版权限制或其他限制。 根据这些条款和条件,被许可方和授权用户可以下载或打印引文、摘要、全文或部分内容的有限副本,前提是这些信息的使用完全符合版权法。 被许可方和授权用户不得发布该信息。 被许可方和授权用户不得使用数据库或服务作为任何其他准备销售的出版物的组成部分或基础,也不得以任何方式复制或更改数据库或服务或其中的任何内容,也不得将其用于销售或分发。 被许可方和授权用户可以对通过数据库或服务检索到的材料进行在线打印、离线打印、传真或电子邮件。 所有复制和分发此类打印件,以及所有下载和电子存储通过数据库或服务检索到的材料,均应为内部或个人使用。 严格禁止以系统或定期的方式下载全部或部分数据库或服务,以创建包含全部或部分数据库或服务的材料集合,无论该集合是否为电子或打印形式。 尽管有上述限制,本段不应限制根据美国法律规定的 "合理使用 "原则使用这些材料。 出版商可以强加他们自己的使用条件,仅适用于他们的内容。 此类使用条件应显示在与此类内容相关的计算机屏幕显示器上。 被许可方应采取一切合理的预防措施,将数据库或服务的使用限制在本协议特别授权的范围内。

D. 经 EBSCO 和被许可人共同商定,可从本协议中增加或删除授权网站。

E. 被许可方同意遵守1976年版权法,并同意保护EBSCO免受被许可方不符合1976年版权法的任何行为的影响。

F. 通过EBSCO的数据库和服务使用的计算机软件受版权法和国际条约的保护。 未经授权,不得复制或分发本软件或其任何部分。 用户不得对本软件进行逆向工程、反编译、反汇编、修改、翻译,或试图发现本软件的源代码,或根据本软件创造衍生作品。

G. 数据库并非旨在取代被许可方对数据库中可用内容的现有订阅。

H. 被许可方同意不在数据库或服务中包含任何广告。

二、有限担保和责任限制

A. EBSCO及其许可方不承担任何明示或暗示的担保,包括但不限于对适销性、非侵权性或特定用途适用性的担保。 EBSCO及其许可方均不承担或授权任何其他人为EBSCO或其许可方承担与本协议项下数据库或服务的许可和/或被许可方和网站或授权用户对其的使用有关的任何其他责任。

B. EBSCO及其许可方(如有)在本协议项下或因与产品有关的任何索赔而产生的直接损害赔偿(无论是合同、侵权行为或其他)的最大责任应限于EBSCO在本协议项下从被许可方收到的费用总额,直至产生该责任的诉讼原因发生。 在任何情况下,EBSCO或其许可方均不对被许可方或任何授权用户承担与使用数据库或服务或本条款和条件有关的任何间接、附带、后果性、惩罚性或特殊损害赔偿,即使已被告知此类损害赔偿的可能性。

C. 被许可方负责维护配置为通过服务使用的第三方资源的有效许可证(如适用)。 EBSCO不对未经适当授权访问第三方资源的被许可人承担任何责任或义务。

D. 如果通过服务可访问的第三方资源无法正常运行,或者通过服务可访问的第三方资源导致被许可方出现问题,EBSCO不承担任何责任。 虽然EBSCO将尽最大努力帮助解决问题,但被许可方承认,功能的某些方面可能依赖于第三方资源提供商,可能需要直接联系第三方资源提供商以获得解决方案。

三、价格和付款

A. EBSCO和被许可方已就许可费达成一致,许可费包括产品的所有追溯性问题以及在本协议期限内提供的更新。 被许可方的付款义务应针对EBSCO或其受让人。 付款应在收到发票后支付,如果在三十(30)天内未收到,将被视为逾期。 逾期未付的发票须就未付余额收取每年12%的利息(如果该利率低于12%,则为法律允许的最高利率)。 被许可方将承担所有的收款费用。 根据本协议,未能或延迟支付本协议项下应付EBSCO的款项将构成对本协议的重大违约。 如果发生变更,导致对本协议中确定的授权网站、数据库、服务和定价列表进行修改,则EBSCO将按比例计算合同价格的调整,并自任何此类变更之日起向被许可方和/或网站开具发票。 付款将在收到任何额外的按比例发票后到期,如果在发票日期的三十(30)天内未收到,则将被视为拖欠。

B. 税费(如有)不包括在商定的价格中,可单独开具发票。 根据本协议,适用于数据库的任何税费,无论该等税费是否由EBSCO开具发票,均由被许可方和/或网站承担全部责任。

四、终止

A. 如果被许可方违反其在本协议项下的任何义务,被许可方有权在收到EBSCO的书面通知后三十(30)天内对违约行为进行补救。 在该通知期限内,被许可方应尽一切合理努力并记录所述努力,以补救该违约行为,并应制定任何合理的程序,以防止该违约行为再次发生。 如果被许可方未能在三十(30)天内纠正该违约行为,EBSCO可(自行选择)在向被许可方发出书面通知后终止本协议。

B. 如果EBSCO发现被许可方严重违反其在本协议项下的义务,或被许可方或授权用户违反EBSCO或其许可方的权利,或侵犯EBSCO或其许可方的权利,EBSCO将立即以书面形式通知被许可方,并有权暂停被许可方对数据库或服务的访问。 被许可方应有机会在收到EBSCO的书面通知后三十(30)天内对违约或侵权行为进行补救。 一旦违约或侵权行为得到补救或违规活动停止,EBSCO应恢复对数据库或服务的访问。 如果被许可方未能在三十(30)天内对违规行为进行令人满意的补救,EBSCO可在向被许可方发出书面通知后终止本协议。

C. 本协议第一节、第二节和第五节规定的条款在本协议有效期内继续有效,并永久有效。

五、版权侵权声明

EBSCO已指定一名代理人接收有关在我们的服务上、通过我们的服务或与我们的服务有关的可用或可访问的材料的版权侵权索赔通知。 任何被授权代表版权所有者的人都可以通过联系以下代理人来通知我们此类索赔:Kim Stam, EBSCO Publishing, 10 Estes Street, Ipswich, MA 01938;电话:978-356-6500,传真:978-356-5191;电子邮件:Kstam@ebsco.com。 在与该代理人联系时,联系人必须提供所有相关信息,包括17 U.S.C. 512中规定的通知要素。

六、概况

A. EBSCO及其许可方均不对因超出其合理控制范围的任何原因或情况直接或间接导致的任何延迟或未能履行义务承担责任或被视为违约,包括但不限于天灾,战争,骚乱,禁运,民事或军事当局行为,雨,火灾,洪水,事故,地震, 罢工或劳动力短缺,运输设施短缺或设备故障,或互联网故障。

B. 未经EBSCO书面同意,被许可方不得将本协议和此处授予的许可转让给任何第三方。

C. 如果本协议的任何条款或条件被有管辖权的法院或行政机构认定为无效或不可执行,则只要有效协议有效,本协议的其余条款和条件仍应完全有效。

D. 如果被许可人和/或网站将采购订单与本协议一起使用,则被许可人和/或网站同意以下声明自动成为该采购订单的一部分:“EBSCO许可协议中规定的条款和条件是本采购订单的一部分,并取代本采购订单中明示或暗示的所有条款和条件,包括本协议的任何续订。”

E. 本协议和我们的隐私政策代表双方就本协议标的达成的完整协议和谅解,并取代任何及所有先前的书面和/或口头协议和谅解。 除本协议和我们的隐私政策中所述外,不存在任何陈述、保证、承诺、契约或保证。

F. EBSCO授予被许可方不可转让的权利,以使用EBSCO向被许可方提供的用于服务的任何IP地址。 EBSCO不会将其提供的IP地址的任何所有权转让给被许可方。 如果被许可方的服务许可终止,被许可方使用该等IP地址的权利将终止。

G. EBSCO在被许可方访问、使用或提供访问数据库和服务时收集的所有信息均受EBSCO隐私政策的约束,该政策通过引用并入本文。 访问或使用数据库和/或服务,即表示您同意EBSCO根据隐私政策对您的信息采取的所有行动。

 

数据处理附录

本数据处理附录("附录")是对客户("客户")与 EBSCO Publishing, Inc. ("EBSCO")之间签订的 EBSCO 许可协议("协议")的补充。

  1. 定义
    1. 就本附录而言,术语"控制者"、"处理者"、"数据主体"、"个人数据"、"个人数据泄露"、 "处理"、"子处理者"和 "监管机构"的含义应与适用的数据保护立法中的含义相同,其相关术语应据此解释。
    2. 应根据适用的数据保护立法解释适当的技术和组织措施
    3. “客户个人数据”是指客户向EBSCO提供的或由EBSCO代表客户处理的与本协议有关的个人数据。
    4. 数据保护立法”是指EBSCO开展业务时不时生效的所有适用数据保护和隐私立法,包括《通用数据保护条例》、欧洲议会和理事会第2016/679号条例(欧盟)(“GDPR”)、隐私和电子通信指令2002/58/EC(由指令2009/136/EC更新)、2018年《加利福尼亚州消费者隐私法》(CAL)。 公民。 Code § 1798.100,et seq. (“CCPA”),以及与个人数据处理有关的所有其他适用法律和法规,包括实施或补充、替代、废除和/或取代上述任何内容的任何立法。
    5. 国际数据传输”是指将个人数据从欧洲经济区/英国(如适用)内传输(直接传输或通过转发传输)到欧盟委员会不认可的国家,该国家为个人数据提供充分的保护(如GDPR中所述)。
    6. 用户个人数据”是指客户的最终用户通过客户购买的产品和服务直接向EBSCO提供的个人数据。
  2. 数据处理:EBSCO作为客户的处理器
    1. 如果客户个人数据由EBSCO处理,EBSCO将作为处理方,而客户将作为控制方。 
      1. 主题事项。 处理的主题是客户个人数据。
      2. 持续时间。处理将在协议规定的期限内进行。
      3. 性质和目的。 处理的目的是向客户提供由客户不时购买的产品和服务。
      4. 客户个人数据的类型和数据对象。客户个人数据包括与以下类别的数据主体相关的以下类别的信息:
        1. 客户代表:姓名、地址;电子邮件地址;账单信息;登录凭证;地理位置数据;以及专业联系。
        2. 客户购买的EBSCO产品和服务的终端用户(如果客户向EBSCO提供个性化的账户信息):姓名;地址;和电子邮件地址。
    2. 除根据客户的书面指示(如本附录或协议中规定的或客户的书面指示)外,EBSCO不得处理客户的个人资料。 EBSCO不会出于任何目的(包括任何商业目的)处理客户的个人资料,除非是为了执行协议中规定的服务的具体目的。 如果EBSCO所适用的数据保护立法要求处理与本节上述规定不一致的客户个人数据,EBSCO应在适用的数据保护立法允许的范围内,在对客户个人数据进行相关处理之前通知客户该法律规定。
    3. 如果EBSCO认为处理客户个人数据的指令违反了适用的数据保护法规,EBSCO将及时通知客户。
    4. EBSCO应确保所有能够接触和/或处理客户个人资料的人员都受到保密承诺或专业或法定保密义务的约束。
    5. EBSCO应就客户的个人资料采取适当的技术和组织措施,以防止未经授权或非法处理客户的个人资料,并防止客户的个人资料意外丢失、毁坏或损坏。在考虑采取何种措施时,各方应考虑到良好做法的状况、技术发展和实施任何措施的成本,以确保安全水平与这种未经授权或非法处理或意外损失或破坏可能造成的损害相适应,并考虑到要保护的数据的性质。
    6. 考虑到处理的性质,EBSCO应协助客户(A)采取适当的技术和组织措施,并在可能的情况下,履行客户的义务,对数据主体根据适用的数据保护法律行使其权利的请求作出回应;(B)确保遵守GDPR第32条至第36条规定的义务,考虑处理的性质和EBSCO可获得的信息;以及(C)向客户提供客户合理要求的所有信息,以证明客户已履行GDPR第28条规定的与任命处理人有关的义务。
    7. EBSCO在发现任何影响客户个人数据的确认的个人数据泄露事件时,应及时通知客户。
    8. 协议终止后,EBSCO应根据客户的选择,安全地删除或归还客户的个人资料,并销毁现有的副本,除非EBSCO所遵守的任何适用法律要求保存或保留这些客户的个人资料。
    9. EBSCO应允许客户和客户的授权代表访问和审查独立机构(如外部审计员、数据保护审计员)的最新证明、报告或其摘要,或适当的认证,或进行审计或检查以确保遵守本附录的条款。 任何审计或检查必须在EBSCO的正常工作时间内进行,并合理提前通知EBSCO,并遵守合理的保密程序。 此外,审计或检查应限制在每年一次。
      如果第三方次处理受数据保护立法的约束,EBSCO应(A)通知客户并事先获得其书面同意(签署本附录应被视为客户对此类第三方次处理的事先书面同意);(B)应客户要求提供第三方次处理人名单;以及(C)通知客户对第三方次处理人的任何预期变更,并给予客户反对此类变更的合理机会。 如果EBSCO将个人数据提供给第三方分处理人,EBSCO将在与任何此类第三方分处理人的协议中加入条款,为客户的个人数据提供至少与本协议所载条款相同的保护水平,并符合适用的数据保护立法的要求。
  3. 数据处理:EBSCO作为客户的联合控制器者
    1. EBSCO和客户应作为用户个人数据的共同控制者行事。
    2. EBSCO应负责在处理用户个人数据之前,向客户的最终用户数据主体提供GDPR第13条和第14条所要求的信息(包括确定数据主体的联系人),并告知客户的最终用户EBSCO与客户安排的实质内容。
    3. EBSCO应向客户的终端用户数据对象提供在自助服务门户内行使其与用户个人数据有关的个人权利的能力。
  4. 国际数据传输
    1. 在任何客户个人数据受任何国际数据转移的情况下,双方同意受欧盟委员会采用的 "控制方对处理方标准合同条款"("处理方示范条款")的约束,并且其所有条款和规定应以提及方式纳入本附录,与本附录中的规定具有同等效力,其中。
      1. 客户是 "数据输出方",EBSCO International, Inc. 是 "数据输入方";以及
      2. 纳入模块二的规定;省略模块一、三和四的规定、脚注以及条款 9、11(a) 备选方案和 17 备选方案 1;条款应受爱尔兰法律管辖;主管监督机构为爱尔兰。
    2. 在任何用户个人数据受到任何国际数据传输的情况下,双方同意受欧盟委员会采用的 "控制方对控制方标准合同条款"("控制方示范条款")的约束,该条款和规定应通过提及纳入本附录,与在本附录中完全列出的条款和规定具有同等效力,其中:
      1. 客户是 "数据输出方",EBSCO 是 "数据输入方";以及
      2. 模块一的规定被纳入;模块二、三和四下的规定、脚注以及第9条、11(a)选项和17选项1被省略;这些条款应受爱尔兰法律管辖;主管监督机构是爱尔兰。
    3. 处理方示范条款和控制方示范条款应统称为“标准合同条款”。标准合同条款的适用版本为欧盟委员会于2021年6月4日批准的版本。 如果欧盟委员会在本附录有效期内更新、替换、修订或重新发布标准合同条款(更新后的标准合同条款称为“新合同条款”),新合同条款应被视为取代标准合同条款,双方承诺受自更新之日起生效的新合同条款的条款约束(除非任何一方反对该变更),且双方应签署一份新合同条款表。
    4. 标准合同条款附件所要求的说明由本附录附表1、附表2和附表3中的信息所取代。
    5. 在可能的范围内,英国信息专员办公室为在本附录期限内进行合法的国际数据传输而发布的任何标准合同条款将影响客户个人数据或用户个人数据的传输(此类条款称为“英国标准合同条款”),英国标准合同条款应被视为纳入本附录,双方承诺受自发布之日起生效的英国标准合同条款的约束(除非任何一方反对该变更),且双方应签署英国标准合同条款表。

 

附表 I:当事方名单和数据传输说明

A. 缔约方名单

数据输出者: [数据输出者的身份和联系方式,以及(如适用)其/它们在欧盟的数据保护官和/或代表的身份和联系方式

  1. 姓名:
    地址:
    联系人姓名、职位和联系方式:
    与根据本条款转让的数据有关的活动:
    签名和日期:
    角色(控制者/处理者):
    控制者和联合控制者

  2. 附加信息: EBSCO 和客户应作为用户个人数据(定义见本协议)的联合控制方。 联合控制员应履行以下职责:

客户 EBSCO

个性化:客户决定是否在产品中启用个性化账户功能

通过双方协议授权 EBSCO 处理最终用户数据

  • 提供处理最终用户数据的法律依据
  • 确定处理的目的和范围

实施技术和组织措施,确保网络安全

  • 访问控制 - 向 EBSCO 提供指导,授权谁可以访问客户订购的产品

资料当事人查阅请求

  • 如果客户收到最终用户的请求,则根据需要向 EBSCO 提供请求的详细信息(如果最终用户通过客户而不是 EBSCO 提交请求)。

 

 

 

 

 

 

 

 

 

实施组织和技术措施

  • 详见附件 II 和安全白皮书

维护和支持产品

  • 安全补丁
  • 功能更新
  • 技术支持
  • 可用性和正常运行时间

数据存储,包括备份

通过双方协议确定处理目的和范围

资料当事人查阅请求

  • 接收和处理数据主体访问请求,并尊重数据主体的知情权、访问权、更正权、删除权、限制处理权、数据可移植性、反对权和避免自动决策的权利
  • 管理接收隐私请求的联系表、电子邮件地址和电话号码
  • 应要求将数据主体的要求通知客户

提供处理最终用户数据的法律依据

  • 双方达成协议,订立提供服务的合同
  • 收集最终用户对使用条款、隐私政策等的个人同意和接受程度

事件响应

  • 实施流程
  • 通知客户

分处理器--审查新的分处理器并通知客户

隐私风险评估——根据需要为处理个人信息的供应商、功能、产品等进行PRA/DPIA评估

 

数据输入方:
对于客户个人数据:

  1. 名称: EBSCO Publishing, Inc.
    地址: 10 Estes Street, Ipswich, MA 01938
    联系人姓名、职位和联系方式:
    与根据本条款转移的数据有关的活动:
    学术和学术研究、创建和定制用户配置文件
    签名和日期:
    角色(控制者/处理者):
    联合控制者、处理者

  2. 其他信息:在 EBSCO 处理客户个人数据的情况下,客户将作为客户个人数据的控制方。 EBSCO 将作为客户个人数据的处理方。
    "客户个人数据"是指由客户提供给 EBSCO 或由 EBSCO 代表客户处理的与本协议有关的个人数据。

对于用户个人数据:

  1. 名称: EBSCO International, Inc.
    地址: 10 Estes Street, Ipswich, MA 01938
    联系人姓名、职位和联系方式:
    与根据本条款转让的数据有关的活动: 学术和学术研究、创建和创建用户配置文件
    签名和日期
    角色(控制者/处理者): 联合控制者和处理者
  2. 其他信息: 当用户个人数据由 EBSCO 处理时,客户将作为用户个人数据的控制方。 EBSCO 将作为用户个人数据的联合控制方。

    "用户个人数据"是指客户的最终用户通过客户购买的产品和服务直接提供给 EBSCO 的个人数据。

B. 转让的描述

个人数据被转移的数据主体类别:处理应用程序订阅和用户所需的实体信息,包括但不限于学生、教师、雇员、作者

传输的个人数据类别:姓名、电子邮件地址、认证信息、搜索信息、研究笔记

转让的敏感数据(如适用),以及充分考虑到数据性质和所涉及风险的限制或保障措施:不适用

传输频率(例如,数据是一次性传输还是连续传输):连续传输

处理的性质:提供对 EBSCO 数据库的访问;将用户信息存储在定制的档案中;为检索用户搜索历史提供便利;

数据传输和进一步处理的目的:根据协议履行双方之间的义务、提供研究工具、个性化体验以及防止数据被采集。 个人数据的保留期限,如果无法保留,则说明用于确定保留期限的标准:在合理必要的情况下,某些个性化信息将一直保留到客户或用户要求删除为止。

对于转让给(次级)处理者,也要说明处理的主题、性质和期限:

  • 主题事项:名、姓、电子邮件地址、认证信息、搜索信息、研究笔记
  • 处理性质:处理性质包括:数据存储和软件交付、同意管理、满足数据主体的权利要求。 另请参阅附表III《分处理器列表》,以获取有关特定分处理器如何处理数据的全面信息。
  • 持续时间: 连续

c.主管监督机构

根据第 13 条规定,主管监管机构为爱尔兰监管局。


附表 II:技术和组织措施,包括确保数据安全的技术和组织措施

EBSCO应维护和使用适当的保障措施,以防止未经授权访问或使用客户的个人数据,并实施行政、物理和技术保障措施,以保护客户的个人数据。 这种保障措施应包括:

  1. 网络和应用程序安全与漏洞管理:
    1. 个人数据的化名化和加密措施:个人数据在静态时使用 256 位高级加密标准 (AES-256) 加密,在传输过程中使用传输层安全 (TLS) 加密。 按照美国国家科学技术研究所 (NIST) 标准 800-57 的规定进行加密密钥管理。
    2. 确保处理系统和服务的持续保密性、完整性、可用性和复原力的措施: EBSCO 持续致力于根据国际标准化组织 (ISO) 的相关标准进行认证,包括内部和亚马逊网络服务 (AWS) 管理数据中心的 ISO 标准 27001、27017、27018 和 27701。 EBSCO 由亚马逊网络服务平台和位于马萨诸塞州伊普斯维奇和波士顿的传统数据中心托管。 为了实现高可用性和弹性,应用程序和数据是分布式的。 实现了自动恢复和自动缩放等功能。 如有必要,应用程序及其容器配置可在几分钟内重新部署。
    3. 确保在发生物理或技术事故时能够及时恢复个人数据的可用性和访问的措施: 所有应用程序和数据都分布在多个节点上,节点分布在亚马逊网络服务的多个可用区内,以确保服务的高可用性。 使用基于容器的架构有助于进一步确保服务的高可用性。 例如,如果应用程序遇到问题,它们会自动重新启动,如果某个特定节点发生故障,它将被移出服务,并将流量定向到剩余的“健康”节点。 在适当的情况下,节点设置为自动扩展,以处理意外的流量高峰。 期的服务管理会议会对服务的性能和未来的容量需求进行评估。 与物理基础设施相比,该基础设施可实现横向和纵向扩展,大大缩短准备时间。

      对于我们传统的内部部署,EIS采用两个并发数据中心,并具备故障切换能力,以防其中一个站点发生故障。 EBSCO的本地数据中心配备了不间断电源、灭火系统,并限制只有数据中心日常运营所需的人员才能进入。

      EBSCO 持续监控服务的可用性。 当前状态可在这里找到: https://status.ebsco.com/

    4. 为了确保处理过程的安全性,对技术和组织措施的有效性进行定期测试、评估和评价的程序为:EBSCO每年与第三方签订渗透测试合同。 此外,还通过自动代码部署管道进行漏洞扫描。 我们对网络作业环境进行持续扫描。 我们聘用了一支全天候管理的安全运营团队,持续监控我们的网络环境。 EBSCO 按照我们全面的漏洞管理程序,定期对我们的环境进行安全更新。 这些更新是基于滚动的方式,通过使用企业规模化敏捷框架 (SAFe) 来完成的。

      每年通过内部审计和外部审计对组织措施进行两次审查,外部审计由经认可的第三方审计机构每年进行一次。 此外,还定期对敏感数据和系统进行访问审查。

      EBSCO持续评估其网络和相关服务的安全性,以确定是否需要额外的或不同的安全措施来应对由定期审查产生的安全风险或发现。

    5. 传输过程中的数据保护措施:所有数据在传输过程中都使用 TLS 加密,包括从用户浏览器到应用程序的数据,以及在 EBSCO 系统和分处理器之间传输的数据。
    6. 存储期间的数据保护措施:个人数据在静态时使用 256 位高级加密标准 (AES-256) 进行加密。 所有数据存储都通过专用防火墙与公共互联网隔离,确保只有 EBSCO 人员才能访问数据库。
    7. 确保系统配置(包括默认配置)的措施: 在适当情况下,通过自动代码部署管道执行标准化的系统配置。
    8. 内部 IT 和 IT 安全治理与管理措施: EBSCO 的治理、风险与合规 (GRC) 团队负责维护 EBSCO 信息安全与隐私管理系统 (ISPMS)。 ISPMS 不断得到监控和改进,以符合或超过 ISO 27001、ISO 27701、ISO 27017 和 ISO 27108 所要求的标准。 EBSCO ISPMS 由 ISMS--信息安全管理系统和 PIMS--隐私信息管理系统组成。 每年都会对 ISPMS 进行外部和内部审计。 持续监控安全日志。
    9. 流程和产品的认证/保证措施: 除了上述内部 IT 管理和 IT 安全治理措施外,还通过在线学习平台定期提供强制性培训,以确保所有员工熟悉其职责并了解最新的政策和程序。 制定了明确的程序来管理与安全有关的事件,并在必要时与执法部门联络。
    10. 确保数据最小化的措施: EBSCO 遵循最佳实践,将数据属性最小化到仅为执行所需功能所需的属性,并允许其客户和用户在需要时扩展最小默认数据集。
    11. 确保数据质量的措施: 机构和最终用户可以通过自助服务模块或根据隐私政策与 EBSCO 联系,审查和更新他们的信息。 在适用的情况下,在我们的环境中实施数据验证控制。
       
  2. 逻辑访问控制:
    1. 用户识别和授权措施: EBSCO 团队中负责管理和支持系统的少数人员可以进入生产环境和数据库。 这受到角色的严格控制,并且需要双重身份验证才能获得访问权限。

      客户管理员只有通过使用 EBSCOadmin 管理员账户才能访问最终用户数据。 只有客户指定的人员和 EBSCO 的少数特权用户才能访问这些信息。

      客户可以设置不同的验证选项。 选项包括但不限于通过使用 SAML 2.0 的单点登录 (SSO)、用户名和密码、IP 白名单验证、赞助人 ID、谷歌校园激活用户访问 (CASA)、通用 CASA 和 Cookies 进行集成。

  3. 安全介质处置控制:
    1. 确保有限数据保留的措施: 在 EBSCO 系统中存储的个人数据必须符合数据隐私和保护的要求,其中的一部分就是确保个人数据的保留不超过规定目的所需的范围。

      在许多情况下,EBSCO 允许客户通过假名化 SSO 配置或取消用户客户个性化选项来匿名化最终用户数据。
    2. 允许数据可移植性和确保删除的措施: 根据要求或通过自助服务模块,EBSCO 客户可提取数据库使用报告、界面使用报告、链接活动报告、登录使用报告和标题使用报告。 您也可以在合同终止时提出申请,或随时通过 EBSCOadmin 获取这些数据。
       
  4. 日志控制:
    1. 确保事件记录的措施: EBSCO 允许客户通过 EBSCOadmin 查看数据库使用报告、界面 使用报告、链接活动报告、登录使用报告和标题使用报告。

      EBSCO 在我们的资源中采用了安全信息和事件管理 (SIEM) 日志。 这些日志由我们的信息安全团队和全天候管理的安全运营中心 (SOC) 进行内部监控。 客户无需采取任何行动,也无法访问这些内部日志。

  5. 人员控制: 新员工合同和入职程序强调个人对信息安全的责任以及滥用信息安全可能受到的惩罚。 员工辞职会触发一个自动程序,以确保及时取消 EBSCO 系统的访问权。

    《信息技术可接受使用协议》涵盖了EBSCO信息资产的可接受使用范围。 该手册既发给长期员工,也发给合同员工,是新员工入职培训的一部分。

    安全意识培训通过 EBSCO 的在线培训平台进行。 至少每年一次,所有员工都必须参加。
     
  6. 实体安全和环境控制:
    1. 确保个人数据处理地点实体安全的措施: EBSCO 致力于确保其员工、承包商和资产的安全,并非常重视实体安全问题。 EBSCO 有一套全面的实体安全控制措施,确保其数据中心和办公室得到充分保护。 对数据中心的访问仅限于必要的人员,所有访问都有日志记录,并对异常情况进行审查

      EBSCO 还与 AWS 签订了处理客户数据的合同。 AWS 在其托管的数据中心内提供世界一流的安全保障。 有关 AWS 托管环境物理安全的更多信息,请浏览:https://aws.amazon.com/compliance/data-center/controls/。
       

附表 III:分处理器列表

模块二:将控制器传输到处理器

控制器已被告知在合同执行时可能会使用以下分处理程序