Tietosuoja Aivie:ssä

Tällä sivulla kuvataan, miten Aivie käsittelee henkilötietoja asiakkaiden puolesta.
Se on tarkoitettu viitteeksi, jotta yritykset voivat helposti linkittää nämä tiedot omiin tietosuojakäytäntöihinsä.

Lyhyesti sanottuna: asiakkaat pysyvät rekisterinpitäjinä. Aivie on henkilötietojen käsittelijä ja käsittelee tietoja ainoastaan ohjeiden mukaisesti ja sovittuun tarkoitukseen.

Johdanto

Aivie on markkinoinnin automaatiotyökalu. Yritykset käyttävät Aivieta kontaktien hallintaan,
kohderyhmien segmentointiin ja automaattisen viestinnän lähettämiseen sähköpostin, tekstiviestien tai push-kanavien kautta.

Aivie on isännöity ratkaisu. Aivie käsittelee henkilötietoja asiakkaan puolesta. Asiakas on edelleen vastuussa yhteystietojensa sisällöstä, tarkoituksesta, laillisuudesta, säilyttämisvelvoitteista ja avoimuudesta.

Esimerkkejä käyttötapauksista

Aivieta käytetään tyypillisesti markkinoinnin ja asiakasviestinnän automatisointiin mitattavasti ja tehokkaasti.
Esimerkkejä:

  • Uutiskirjeet ja kampanjat: Segmentoidut sähköpostikampanjat, joiden avaukset ja klikkaukset ovat mitattavissa.
  • Liidien luominen: laskeutumissivut ja lomakkeet, jotka keräävät liidit ja muuttavat ne listoiksi tai segmenteiksi.
  • Lead nurturing: automatisoidut reitit kiinnostuksen, käyttäytymisen tai suppilovaiheen mukaan.
  • Tapahtumaviestintä: vahvistukset, jatkotoimenpiteet, tapahtumainformaatio.
  • Uudelleenaktivointi: Automaattiset kampanjat, jos matkoja ei ole tehty tai ne on peruutettu.
  • Suostumus ja mieltymykset: Suostumuksen ja viestintäasetusten hallinta

Mitä tietoja käsitellään Aivien kanssa

Aivie on suunniteltu siten, että asiakkaat voivat itse hallita tietojenkäsittelyä. Se, mitä tietoja kerätään,
riippuu kokoonpanosta, lomakkeista ja käytetyistä toiminnoista.

Tyypilliset tietoluokat

  • Tunnistetiedot: esim. nimi, sähköpostiosoite.
  • Analyyttiset tiedot: esim. reaktiot kampanjoihin, avaukset, klikkaukset, konversiot.
  • Tekniset tiedot: esim. IP-osoite, laite- ja selaintiedot, lokitiedot turvallista toimintaa varten.
  • Asiakkaan määrittelemät profiilitiedot: esim. yritys, rooli, kiinnostuksen kohteet, suostumuksen tila.

Asianomaiset henkilöt ovat tyypillisesti Aivien asiakkaiden yhteyshenkilöitä, johtohenkilöitä tai asiakkaita.

Roolit ja vastuualueet

Pääsääntöisesti:

  • Vastuuhenkilöt: Aivie-asiakkaat, jotka käyttävät Aivieta yrityksessään.
  • Prosessori: Aivie by Idea 2 Collective GmbH

Aivie käsittelee henkilötietoja ainoastaan rekisterinpitäjän dokumentoitujen ohjeiden mukaisesti.
Käsittely omiin tarkoituksiin on suljettu pois.

Ota yhteyttä

Idea 2 Collective GmbH
Wengistrasse 6
CH 8004 Zürich
legal@aivie.ch

Tietosuoja ja tietojen riippumattomuus

Asiakkaat pysyvät aina tietojensa omistajina. Aivie käsittelee henkilötietoja yksinomaan asiakkaan puolesta eikä siirrä käyttöoikeuksia kolmansille osapuolille. Tiedot voidaan viedä, siirtää tai poistaa kokonaan sopimuksen päättymisen jälkeen.

Tietosuoja ja tietoturva

Aivie suojaa tilaustiedot erittäin huolellisesti. Yritys on järjestäytynyt siten, että vain henkilöille, jotka tarvitsevat niitä ehdottomasti toiminnan ja tuen kannalta, myönnetään pääsy,
. Pääsy myönnetään need-to-know-periaatteella.

Luottamuksellisuus ja pääsy

  • Henkilöt, joilla on oikeus tutustua tietoihin, ovat velvollisia säilyttämään luottamuksellisuuden.
  • Jaettuja käyttäjätilejä vältetään
  • Oikeudet jaetaan roolipohjaisesti ja minimiperusteisesti.

Asiakastuki

Aivie tukee asiakkaita rekisteröityjen oikeuksien ja velvollisuuksien täyttämisessä.
Näihin kuuluvat tietojen antaminen, oikaiseminen, poistaminen, rajoittaminen ja tietojen siirrettävyys,
siltä osin kuin se on tarpeen tilausten käsittelyn yhteydessä.

Tietosuojatapahtumien käsittely

Jos henkilötietojen tietoturvaloukkaus tapahtuu, Aivie ilmoittaa siitä rekisterinpitäjälle välittömästi saatuaan siitä tiedon.
Ilmoituksen on sisällettävä ainakin tietoturvaloukkauksen luonne, mahdolliset seuraukset ja jo toteutetut tai suunnitellut vastatoimet.

Infrastruktuuri ja turvallisuusarkkitehtuuri

Alusta on suunniteltu varmistamaan turvallisuus, skaalautuvuus ja jäljitettävyys infrastruktuuri- ja sovellustasolla. Seuraavassa on yleiskatsaus keskeisiin turvamekanismeihin.

Pilvi-infrastruktuuri

  • Hosting pilvipalvelualustalla ja sijainnit asetusten mukaan (esim. Sveitsi).
  • Maailmanlaajuinen, erittäin käytettävissä oleva verkkoarkkitehtuuri, jossa on redundantteja komponentteja.
  • Sovelluksen, tiedostojärjestelmän, tietokannan, välimuistin ja sähköposti-infrastruktuurin erottaminen toisistaan.
  • Erillisprojektit asiakkaiden erityisvaatimuksia varten mahdollisia

Salaus

  • Kaikkien tietojen salaus TLS :llä siirron aikana.
  • Kaiken levossa olevan tiedon salaus infrastruktuurin ja tallennuksen tasolla.
  • Tuki asiakkaan hallinnoimille salausavaimille lisääntyneitä vaatimuksia varten.
  • Erillinen avaintenhallinta ja selkeästi määritellyt käyttöoikeudet.

Pääsynvalvonta ja identiteetinhallinta

  • roolipohjainen pääsynvalvonta need-to-know-periaatteen mukaisesti
  • Yksityiskohtainen oikeuksien jakaminen projekti- ja järjestelmätasolla
  • Jaettujen käyttäjätilien välttäminen
  • Lupien säännöllinen tarkistaminen ja mukauttaminen

Audit-lokit ja -seuranta

  • Merkityksellisten järjestelmä- ja datakäyntien kirjaaminen
  • Infrastruktuurin ja sovellusten mittareiden seuranta
  • Muutosten jäljitettävyys konfiguraatioon ja valtuutuksiin.
  • Tarvittaessa tekninen perusta rikosteknistä analyysia varten

Verkon turvallisuus

  • Segmentoitu verkkoarkkitehtuuri
  • Palomuuri ja liikenteen valvontamekanismit
  • Tunkeutumisen havaitseminen ja uhkien havaitseminen pilvitasolla
  • Zero Trust -periaate pääsynvalvonnassa

Varmuuskopiot ja palauttaminen

  • Tietokannan, tiedostojen ja asiaankuuluvien järjestelmäkomponenttien säännölliset varmuuskopiot.
  • Määritellyt palautusprosessit
  • Fyysisesti ja loogisesti erilliset varmuuskopiointitallennuspaikat (sama laillinen tila).

Turvallinen ohjelmistokehitys

  • Hyväksi havaittujen kehitysstandardien käyttö
  • Säännölliset päivitykset ja tietoturvakorjaukset
  • Valvotut käyttöönotot määritellyillä julkaisuprosesseilla
  • Kehitys-, testi- ja tuotantoympäristöjen erottaminen toisistaan

Tietokeskusten fyysinen turvallisuus

  • Monikerroksinen pääsynvalvonta
  • 24/7 valvonta
  • Biometriset pääsyjärjestelmät
  • Sivuston redundanssi korkean käytettävyyden varmistamiseksi

Tietojen eristäminen säännellyillä toimialoilla

Asiakkaille, joilla on tiukempia sääntelyvaatimuksia esimerkiksi rahoitus- tai viranomaisympäristössä,
-tietoja voidaan käyttää erillisissä projekteissa. Näin asiakkaat voidaan erottaa selkeästi loogisesti ja organisatorisesti toisistaan ja toteuttaa yksilöllisiä käyttöoikeuskonsepteja.

Organisaation turvallisuustoimenpiteet

  • Dokumentoitu turvallisuuskonsepti
  • Määritellyt roolit ja vastuualueet
  • Toiminnan jatkuvuutta ja uudelleenkäynnistämistä koskevat prosessit
  • Säännöllinen koulutus ja työntekijöiden valistaminen
  • Hallittu muutoksenhallinta

Tietojen varastointi: Sveitsi, Saksa tai valitsemasi paikka.

Ymmärrämme, että tietojesi sijaintipaikka ei ole vain tekninen vaan myös oikeudellinen päätös. Siksi Aivie mukautuu compliance-strategiaasi.

Infrastruktuurimme on suunniteltu pitämään tietosi sinun lainkäyttöalueellasi:

Sveitsistä tuleville asiakkaille:

  • Sijainti: Zürich.
  • Etu: Tietosi pysyvät taatusti Sveitsin maaperällä. Ihanteellinen nDSG:n noudattamiseen ja toimialoille, joilla on tiukat vaatimukset (rahoitus, terveydenhuolto, viranomaiset).

Asiakkaat Saksasta ja EU:sta:

  • Sijainti: Frankfurt.
  • Etu: Tietojasi säilytetään yksinomaan Saksassa sijaitsevilla palvelimilla. Tämä takaa GDPR:n täydellisen noudattamisen ja varmistaa, että tietoja ei tallenneta kolmansiin maihin.

Huomautus: Käytämme AWS:n erikoistunutta infrastruktuuria sähköpostien tekniseen toimittamiseen. Koska sähköpostiviestit maailmanlaajuisena välineenä ylittävät joka tapauksessa kansalliset rajat (esim. heti kun vastaanottaja käyttää kansainvälistä palveluntarjoajaa, kuten Gmailia tai Outlookia), asetamme tässä yhteydessä etusijalle toimituksen mahdollisimman hyvän laadun (toimitettavuuden). Näin varmistetaan, että viestisi saapuvat perille luotettavasti eivätkä päädy roskapostiin. Tietosuojaa noudatetaan täysimääräisesti (DSG, DSGVO).

Aliprosessori

Aivie käyttää aliprosessoreita alustan turvalliseen käyttöön ja tiettyjen aliprosessien tarjoamiseen. Kaikkia aliprosessoijia sitoo sopimus.

Aivie tiedottaa asiakkaille vähintään 2 viikkoa ennen alihankkijoita koskevia suunniteltuja muutoksia osoitteessa
, jotta vastalauseet voidaan esittää.

Nykyiset alihankkijat

AliprosessoriToimintaJalostuksen sijainti
Google (Google Ireland Limited)Markkinoinnin automaatioratkaisun isännöintiZürich, Frankfurt tai jokin muu valitsemasi paikka.
Amazon Web Services (AWS EMEA)SähköpostilähetysFrankfurt

Huomautus:
Jos siirto kolmanteen maahan on tarpeen käytetyn infrastruktuurin puitteissa, se tapahtuu vain lakisääteisten vaatimusten mukaisesti ja asianmukaisilla takeilla, kuten vakiosopimuslausekkeilla.

Suoja Yhdysvaltain pilvilakia ja kolmansien osapuolten pääsyä vastaan

Riippumatta siitä, missä tiedot sijaitsevat: Koska rakennamme globaalin pilvi-infrastruktuurin varaan, monet asiakkaat ovat huolissaan Yhdysvaltain viranomaisten pääsystä käsiksi tietoihin (US Cloud Act).

Turvallisuusarkkitehtuurimme estää tämän riskin teknisesti. Emme luota vain sopimuksiin vaan myös salaukseen ja tietojen riippumattomuuteen:

1. oletussalaus (Encryption by Default, oletussalaus)

Kaikki tiedot salataan sekä siirron aikana (kuljetuksen aikana) että kiintolevyillä (levossa). Infrastruktuurin tarjoaja näkee vain salatut tietolohkot, mutta ei koskaan luettavissa olevia henkilö- tai markkinointitietoja.

2. Sinun tietosi, sinun avaimesi (CMEK, HYOK).

Jotta voimme tehokkaasti poistaa Yhdysvaltain pilvilakiin liittyvän riskin, tuemme asiakkaan hallinnoimia salausavaimia (CMEK ) ja omaa avainta (HYOK).

  • Periaate: Pilvipalveluntarjoajalla ei ole hallussaan avainta tietojen salauksen purkamiseen, vaan sitä hallinnoidaan erikseen.
  • Tietoturva: Jopa siinä teoreettisessa tapauksessa, että tietojen luovuttamista palveluntarjoajalle koskeva virallinen määräys annettaisiin, luovutetut tiedot olisivat arvotonta tiedonhukkaa ilman avaintasi.

Toisin sanoen, sinulla on avain tietoihin.

Huomautus: Tämä toiminto on saatavana valinnaisena lisäosana.

3. infrastruktuurin ja sovelluksen erottaminen toisistaan

Käytämme pilvi-infrastruktuuria puhtaana ”digitaalisena datakeskuksena”. Tietokantojen looginen hallinta ja käyttöoikeus hoidetaan yksinomaan Aivie-sovelluksen ja Sveitsissä sijaitsevan tiimimme avulla.

Tilausten käsittelysopimus (AVV)

Aivie toimittaa pyynnöstä tilauksen käsittelysopimuksen, jotta sopimussuhteeseen liittyvät oikeudet ja velvollisuudet voidaan säännellä sitovasti.

Mitä AVV:llä säännellään

  • Käsittelyn kohde, kesto, tyyppi ja tarkoitus
  • Käsittely ainoastaan dokumentoitujen ohjeiden mukaisesti
  • Luottamuksellisuus ja pääsyn rajoittaminen
  • Tekniset ja organisatoriset toimenpiteet ja niiden kehittäminen
  • Alihankkijoiden käyttö ja vaihtaminen ennakkoilmoituksella
  • Tuki rekisteröidyn oikeuksille ja rekisterinpitäjien velvollisuuksille
  • Vastuuhenkilöiden valvonta- ja tarkastusoikeudet
  • Tietojen poistaminen tai palauttaminen sopimuksen päättymisen jälkeen.

Pyyntö AVV: legal@aivie.ch

Sertifikaatit ja vaatimustenmukaisuus

Infrastruktuuripalveluntarjoajallamme Google Cloudilla on laajat turvallisuus- ja vaatimustenmukaisuussertifioinnit, mukaan lukien ISO 27001 sekä SOC 1-, SOC 2- ja SOC 3 -testiraportit. Aivie ei itse ylläpidä omia palvelinkeskuksiaan, eikä sillä ole riippumatonta ISO 27001 -sertifiointia. Aivie täyttää kuitenkin asiaankuuluvat vaatimukset myös ilman omaa sertifiointia.

Aivie käyttää näitä tarkastettuja infrastruktuurin valvontatoimia alustan turvallisen toiminnan teknisenä perustana. Sertifioinnit koskevat erityisesti fyysisen tietokeskuksen turvallisuutta, verkon suojausta, salausta, pääsynhallintaa ja tarkastettavuutta.

Esimerkkejä asiaa koskevista todistuksista ja standardeista

  • DSG ja DSGVO
  • ISO 27001, ISO 27017 ja ISO 27018.
  • ISAE 3000 Type 2 -raportti (FINMA)
  • SOC 1, SOC 2 ja SOC 3.
  • C5 ja CSA STAR

Lisätietoja Google Cloud Platform -sertifioinneista ja auditointiraporteista löytyy täältä:
Google Cloud Compliance Overview.

DSG:n ja DSGVO:n vaatimustenmukaisuus

Aivie on rakenteeltaan sellainen, että asiakkaat voivat täyttää Sveitsin tietosuojavaltuutetun ja EU:n yleisen tietosuoja-asetuksen vaatimukset.
EU:n näkökulmasta Sveitsissä on tunnustetusti riittävä tietosuojan taso.

Mitä asiakkaat tyypillisesti toteuttavat itse

  • Oikeusperusta ja velvollisuus ilmoittaa yhteystiedoista
  • Evästeiden suostumukset omalla verkkosivustollasi, jos käytetään seurantatekniikoita.
  • Säilytysajat ja sisäiset prosessit tietojen antamista, poistamista tai vastustamista varten

Tekstimoduuli omaa tietosuojakäytäntöäsi varten

Jotta kävijät ymmärtäisivät nopeasti, miten Aivie toimii tietojenkäsittelijänä, seuraava huomautus voidaan sisällyttää omiin tietosuojakäytäntöihisi.
Laita linkki tälle sivulle.

Esimerkki tietosuojaa koskevasta tekstimoduulista

Käytämme Aivieta markkinoinnin automaatiotyökaluna uutiskirjeiden, kampanjoiden ja automatisoitujen viestintäkanavien toimittamiseen.
Aivie käsittelee henkilötietoja puolestamme ja yksinomaan ohjeidemme mukaisesti.
Yksityiskohtaiset tiedot tietosuojasta, tietoturvasta, alihankkijoista ja tietojenkäsittelysopimuksesta onkuvattu täällä:
https://aivie.ch/datenschutz-aivie.

Ständi

Tilanne: 3. maaliskuuta 2026