Συμφωνία Επεξεργασίας Δεδομένων (DPA)

Τελευταία ενημέρωση: 29 Μαΐου 2026

1. Μέρη

Η παρούσα Συμφωνία Επεξεργασίας Δεδομένων («DPA») συνάπτεται μεταξύ:

  • Costplus OÜ, εταιρείας εγγεγραμμένης στην Εσθονία, με έδρα στη διεύθυνση Pärnu mnt 139b, 11317 Tallinn, Εσθονία, αριθμός εγγραφής εταιρείας 16936614 («Εκτελών την Επεξεργασία», «εμείς», «εμάς», ή «Cost+»)· και
  • ο έμπορος που έχει εγκαταστήσει την εφαρμογή Cost+ Checkout για Shopify ή έχει ενσωματωθεί με άλλον τρόπο στην υπηρεσία Cost+ Checkout, αποδεχόμενος τους Όρους Υπηρεσίας μας στη διεύθυνση https://costplus.io/shopify-app-terms.htmlΥπεύθυνος Επεξεργασίας», «Έμπορος», ή «εσείς»),

καθένα ως «Μέρος» και από κοινού ως «Μέρη».

Η παρούσα DPA αποτελεί αναπόσπαστο τμήμα των Όρων Υπηρεσίας μεταξύ των Μερών και υπόκειται σε αυτούς. Σε περίπτωση οποιασδήποτε σύγκρουσης μεταξύ της παρούσας DPA και των Όρων Υπηρεσίας όσον αφορά την επεξεργασία Δεδομένων Προσωπικού Χαρακτήρα, υπερισχύει η παρούσα DPA.

2. Ορισμοί

Εκτός αν ορίζεται διαφορετικά, οι κεφαλαιογράμματοι όροι έχουν τις έννοιες που τους αποδίδει ο Κανονισμός (ΕΕ) 2016/679 («GDPR»). Για λόγους σαφήνειας:

  • «Δεδομένα Προσωπικού Χαρακτήρα» έχουν την έννοια του Άρθρου 4(1) GDPR.
  • «Επεξεργασία» έχει την έννοια του Άρθρου 4(2) GDPR.
  • «Υποκείμενο Δεδομένων» σημαίνει πελάτης Shopify ή τελικός χρήστης του οποίου τα Δεδομένα Προσωπικού Χαρακτήρα υποβάλλονται σε επεξεργασία στο πλαίσιο της παρούσας DPA.
  • «Εκτελών Υπεξεργασία» σημαίνει κάθε τρίτο μέρος που αναθέτει ο Εκτελών την Επεξεργασία για την επεξεργασία Δεδομένων Προσωπικού Χαρακτήρα για λογαριασμό του Υπεύθυνου Επεξεργασίας.
  • «Υπηρεσίες» σημαίνει η υπηρεσία Cost+ Checkout (η εφαρμογή Shopify, τα συνδεδεμένα APIs και οι φιλοξενούμενες σελίδες ολοκλήρωσης αγοράς) που παρέχει ο Εκτελών την Επεξεργασία στον Υπεύθυνο Επεξεργασίας βάσει των Όρων Υπηρεσίας.

3. Αντικείμενο, φύση, σκοπός και διάρκεια της επεξεργασίας

3.1 Αντικείμενο

Ο Εκτελών την Επεξεργασία επεξεργάζεται Δεδομένα Προσωπικού Χαρακτήρα που αφορούν τους πελάτες του Υπεύθυνου Επεξεργασίας προκειμένου να παρέχει τις Υπηρεσίες. Το Cost+ Checkout είναι ένα εργαλείο ενορχήστρωσης διοχέτευσης που δρομολογεί αγοραστές που προέρχονται από σημεία εισόδου υπό τον έλεγχο του Εμπόρου (για παράδειγμα, καμπάνιες email, σελίδες προσγείωσης, διαφημίσεις κοινωνικών δικτύων ή άμεσοι σύνδεσμοι καταστήματος Shopify) μέσω μιας ενιαίας, συνεκτικής εμπειρίας ολοκλήρωσης αγοράς και δημιουργεί την αντίστοιχη παραγγελία στο κατάστημα Shopify του Εμπόρου μετά την πληρωμή.

3.2 Φύση και σκοπός επεξεργασίας

Ο Εκτελών την Επεξεργασία επεξεργάζεται Δεδομένα Προσωπικού Χαρακτήρα για τους ακόλουθους σκοπούς:

  • Συλλογή στοιχείων επικοινωνίας αγοραστή και πληροφοριών αποστολής κατά τη διαδικασία ολοκλήρωσης αγοράς·
  • Υπολογισμός εφαρμοστέων φόρων και ναύλων αποστολής μέσω των ίδιων υπηρεσιών υπολογισμού φόρων και ναύλων του Shopify·
  • Δημιουργία της αντίστοιχης παραγγελίας Shopify αφού ο αγοραστής ολοκληρώσει την πληρωμή·
  • Επεξεργασία πληρωμών μέσω της υποδομής πληρωμών του Cost+ ή του διαμορφωμένου παρόχου πληρωμών του Εμπόρου·
  • Ενσωμάτωση επιστροφών χρημάτων, ακυρώσεων και συμβάντων εκπλήρωσης που ξεκινά ο Έμπορος από το διαχειριστικό περιβάλλον Shopify του στη διαμόρφωση Cost+ Checkout του Εμπόρου·
  • Απόκριση σε αιτήματα υποκειμένων δεδομένων που προωθεί το Shopify μέσω των τυπικών GDPR webhooks (customers/data_request, customers/redact, shop/redact
  • Παροχή αναλυτικών δεδομένων προς τον Έμπορο που προέρχονται από συγκεντρωτικά και ψευδωνυμοποιημένα δεδομένα συνεδρίας.

3.3 Διάρκεια

Ο Εκτελών την Επεξεργασία επεξεργάζεται Δεδομένα Προσωπικού Χαρακτήρα για τη διάρκεια των Υπηρεσιών και διατηρεί τα εν λόγω δεδομένα για τις περιόδους που ορίζονται στην Ενότητα 9 κατωτέρω.

4. Είδη Δεδομένων Προσωπικού Χαρακτήρα και κατηγορίες Υποκειμένων Δεδομένων

4.1 Είδη Δεδομένων Προσωπικού Χαρακτήρα

  • Όνομα και επώνυμο·
  • Διεύθυνση ηλεκτρονικού ταχυδρομείου·
  • Αριθμός τηλεφώνου (εφόσον παρέχεται)·
  • Διεύθυνση αποστολής (οδός, πόλη, ταχυδρομικός κώδικας, χώρα, προαιρετική δεύτερη γραμμή διεύθυνσης, νομός/πολιτεία)·
  • Διεύθυνση χρέωσης (ίδια πεδία)·
  • Στοιχεία παραγγελίας, συμπεριλαμβανομένων ειδών γραμμής, αναγνωριστικών προϊόντων, ποσοτήτων, τιμών, εφαρμοστέων κωδικών έκπτωσης, συνολικού ποσού παραγγελίας, νομίσματος και κατάστασης εκπλήρωσης·
  • Μεταδεδομένα σχετικά με πληρωμές (διακριτικό πληρωμής ή αναφορά, αναγνωριστικά εξουσιοδότησης και καταγραφής) — σημειώνεται ότι πλήρεις αριθμοί κύριου λογαριασμού (PAN) δεν εισέρχονται ποτέ στα συστήματα του Εκτελούντος την Επεξεργασία· τοκενοποιούνται από την PCI-DSS-συμμορφούμενη υποδομή πληρωμών του Cost+ ή τον διαμορφωμένο πάροχο πληρωμών του Εμπόρου.

4.2 Κατηγορίες Υποκειμένων Δεδομένων

  • Οι πελάτες (αγοραστές) του Υπεύθυνου Επεξεργασίας που ολοκληρώνουν την αγορά τους μέσω του Cost+ Checkout.

5. Υποχρεώσεις του Εκτελούντος την Επεξεργασία

Ο Εκτελών την Επεξεργασία οφείλει:

5.1 Τεκμηριωμένες εντολές

Να επεξεργάζεται Δεδομένα Προσωπικού Χαρακτήρα μόνο βάσει τεκμηριωμένων εντολών του Υπεύθυνου Επεξεργασίας, συμπεριλαμβανομένων των μεταβιβάσεων Δεδομένων Προσωπικού Χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό, εκτός εάν υποχρεούται να το πράξει βάσει δικαίου της Ένωσης ή κράτους μέλους στο οποίο υπόκειται ο Εκτελών την Επεξεργασία. Στην περίπτωση αυτή, ο Εκτελών την Επεξεργασία ενημερώνει τον Υπεύθυνο Επεξεργασίας για την εν λόγω νομική απαίτηση πριν από την επεξεργασία, εκτός εάν ο νόμος απαγορεύει τέτοια ενημέρωση για σημαντικούς λόγους δημοσίου συμφέροντος. Τα Μέρη συμφωνούν ότι οι Όροι Υπηρεσίας, η παρούσα DPA και η χρήση των Υπηρεσιών από τον Υπεύθυνο Επεξεργασίας μέσω τυπικών επιλογών διαμόρφωσης συνιστούν τεκμηριωμένες εντολές κατά την έννοια του Άρθρου 28(3)(α) GDPR.

5.2 Εμπιστευτικότητα

Να διασφαλίζει ότι τα εξουσιοδοτημένα να επεξεργάζονται τα Δεδομένα Προσωπικού Χαρακτήρα πρόσωπα έχουν δεσμευτεί να τηρούν εμπιστευτικότητα ή υπόκεινται σε κατάλληλη νομοθετική υποχρέωση εμπιστευτικότητας.

5.3 Μέτρα ασφάλειας

Να εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα για την εξασφάλιση επιπέδου ασφάλειας ανάλογου του κινδύνου, όπως απαιτείται από το Άρθρο 32 GDPR. Περίληψη αυτών των μέτρων παρατίθεται στο Παράρτημα 1. Ο Υπεύθυνος Επεξεργασίας αναγνωρίζει ότι το Παράρτημα 1 ενδέχεται να επικαιροποιείται κατά καιρούς για να αντικατοπτρίζει βελτιώσεις στο επίπεδο ασφάλειας του Εκτελούντος την Επεξεργασία, και ότι οποιαδήποτε τέτοια επικαιροποίηση δεν θα έχει ως αποτέλεσμα ουσιαστική μείωση του επιπέδου ασφάλειας.

5.4 Εκτελούντες Υπεξεργασία

Να αναθέτει σε Εκτελούντες Υπεξεργασία μόνο υπό τους όρους της Ενότητας 7 κατωτέρω.

5.5 Συνδρομή στα δικαιώματα των Υποκειμένων Δεδομένων

Λαμβάνοντας υπόψη τη φύση της επεξεργασίας, να συνδράμει τον Υπεύθυνο Επεξεργασίας με κατάλληλα τεχνικά και οργανωτικά μέτρα, στον βαθμό που είναι εφικτό, για την εκπλήρωση της υποχρέωσης του Υπεύθυνου Επεξεργασίας να ανταποκρίνεται σε αιτήματα άσκησης των δικαιωμάτων του Υποκειμένου Δεδομένων δυνάμει του Κεφαλαίου III του GDPR.

5.6 Συνδρομή στις λοιπές υποχρεώσεις του Υπεύθυνου Επεξεργασίας

Να συνδράμει τον Υπεύθυνο Επεξεργασίας στη διασφάλιση συμμόρφωσης με τις υποχρεώσεις που απορρέουν από τα Άρθρα 32 έως 36 GDPR, λαμβάνοντας υπόψη τη φύση της επεξεργασίας και τις πληροφορίες που διαθέτει ο Εκτελών την Επεξεργασία.

5.7 Επιστροφή ή διαγραφή κατά τη λήξη των Υπηρεσιών

Κατ' επιλογήν του Υπεύθυνου Επεξεργασίας, να διαγράφει ή να επιστρέφει όλα τα Δεδομένα Προσωπικού Χαρακτήρα στον Υπεύθυνο Επεξεργασίας μετά τη λήξη της παροχής των Υπηρεσιών που σχετίζονται με την επεξεργασία, και να διαγράφει υπάρχοντα αντίγραφα, εκτός εάν το δίκαιο της Ένωσης ή κράτους μέλους απαιτεί αποθήκευση των Δεδομένων Προσωπικού Χαρακτήρα. Ο Εκτελών την Επεξεργασία διαγράφει τα Δεδομένα Προσωπικού Χαρακτήρα εντός 90 ημερών από τη λήξη των Υπηρεσιών, εκτός εάν μεγαλύτερη περίοδος διατήρησης απαιτείται από την Ενότητα 9.

5.8 Αρχεία επεξεργασίας

Να τηρεί γραπτό αρχείο όλων των κατηγοριών δραστηριοτήτων επεξεργασίας που διενεργούνται για λογαριασμό του Υπεύθυνου Επεξεργασίας, όπως απαιτείται από το Άρθρο 30(2) GDPR.

5.9 Έλεγχοι

Να θέτει στη διάθεση του Υπεύθυνου Επεξεργασίας όλες τις πληροφορίες που είναι αναγκαίες για την απόδειξη συμμόρφωσης με το Άρθρο 28 GDPR, και να επιτρέπει και να συνεισφέρει σε ελέγχους, συμπεριλαμβανομένων επιθεωρήσεων, που διενεργούνται από τον Υπεύθυνο Επεξεργασίας ή άλλον ελεγκτή εντεταλμένο από αυτόν. Ο Υπεύθυνος Επεξεργασίας αναλαμβάνει κάθε κόστος τέτοιων ελέγχων πέραν της παροχής των τυπικών πληροφοριών που του είναι ήδη διαθέσιμες μέσω των Υπηρεσιών. Ο Υπεύθυνος Επεξεργασίας οφείλει να παρέχει εύλογη προηγούμενη ειδοποίηση (τουλάχιστον 30 ημέρες), να διενεργεί ελέγχους κατά τις συνήθεις ώρες εργασίας και να μην διαταράσσει τις δραστηριότητες του Εκτελούντος την Επεξεργασία.

6. Υποχρεώσεις του Υπεύθυνου Επεξεργασίας

Ο Υπεύθυνος Επεξεργασίας δηλώνει και εγγυάται ότι:

  • Έχει θεμελιώσει έγκυρη νομική βάση δυνάμει του Άρθρου 6 GDPR (και, κατά περίπτωση, του Άρθρου 9 GDPR) για όλα τα Δεδομένα Προσωπικού Χαρακτήρα που καθιστά διαθέσιμα στον Εκτελούντα την Επεξεργασία μέσω των Υπηρεσιών·
  • Έχει παράσχει όλες τις απαιτούμενες πληροφορίες διαφάνειας στα Υποκείμενα Δεδομένων δυνάμει των Άρθρων 13 και 14 GDPR, συμπεριλαμβανομένου του γεγονότος ότι το Cost+ Checkout χρησιμοποιείται για την επεξεργασία δεδομένων ολοκλήρωσης αγοράς και παραγγελιών·
  • Έχει διαμορφώσει ορθά το Cost+ Checkout (συμπεριλαμβανομένων κανόνων ροής, επιτρεπόμενων χωρών, μεθόδων πληρωμής και τυχόν προσαρμοσμένων σεναρίων ή μπλοκ) ώστε οι Υπηρεσίες να επεξεργάζονται μόνο τα Δεδομένα Προσωπικού Χαρακτήρα που είναι αναγκαία για τους νόμιμους σκοπούς του Εμπόρου·
  • Θα ανταποκρίνεται σε αιτήματα Υποκειμένων Δεδομένων που διαβιβάζει ο Εκτελών την Επεξεργασία, εντός των προθεσμιών που απαιτεί ο νόμος.

7. Υπεκτελούντες την Επεξεργασία

7.1 Γενική εξουσιοδότηση

Ο Υπεύθυνος Επεξεργασίας παρέχει γενική εξουσιοδότηση στον Εκτελούντα την Επεξεργασία να χρησιμοποιεί Υπεκτελούντες για την παροχή των Υπηρεσιών. Κατάλογος των τρεχόντων Υπεκτελούντων τηρείται στο Παράρτημα 2 και ενημερώνεται περιοδικά.

7.2 Γνωστοποίηση αλλαγών

Ο Εκτελών την Επεξεργασία ενημερώνει τον Υπεύθυνο Επεξεργασίας για κάθε σχεδιαζόμενη αλλαγή στον κατάλογο Υπεκτελούντων (προσθήκη ή αντικατάσταση) τουλάχιστον 30 ημέρες εκ των προτέρων, δίνοντάς του την ευκαιρία να αντιταχθεί για εύλογους λόγους. Εάν ο Υπεύθυνος Επεξεργασίας αντιταχθεί και τα Μέρη δεν καταλήξουν σε συμφωνία εντός 30 ημερών, ο Υπεύθυνος Επεξεργασίας δύναται να καταγγείλει το επηρεαζόμενο τμήμα των Υπηρεσιών κατά βούληση.

7.3 Μεταφορά υποχρεώσεων

Ο Εκτελών την Επεξεργασία επιβάλλει σε κάθε Υπεκτελούντα, μέσω σύμβασης, τις ίδιες υποχρεώσεις προστασίας δεδομένων που προβλέπονται στην παρούσα DPA, και παραμένει πλήρως υπεύθυνος έναντι του Υπευθύνου Επεξεργασίας για την εκπλήρωση των υποχρεώσεων κάθε Υπεκτελούντος.

8. Διεθνείς διαβιβάσεις δεδομένων

8.1 Κύρια φιλοξενία

Ο Εκτελών την Επεξεργασία φιλοξενεί τις Υπηρεσίες εντός της Ευρωπαϊκής Ένωσης και επεξεργάζεται Προσωπικά Δεδομένα κατά κύριο λόγο εντός ΕΕ/ΕΟΧ. Ορισμένοι εγκεκριμένοι Υπεκτελούντες (π.χ. ορισμένοι συνεργάτες acquiring πληρωμών) βρίσκονται εκτός ΕΟΧ· στις περιπτώσεις αυτές, ο Εκτελών την Επεξεργασία διασφαλίζει ότι η διαβίβαση προστατεύεται από απόφαση επάρκειας ή από Τυποποιημένες Συμβατικές Ρήτρες σύμφωνα με την Ενότητα 8.2, και προσδιορίζει τους σχετικούς Υπεκτελούντες στο Παράρτημα 2.

8.2 Διαβιβάσεις μέσω Υπεκτελούντων

Όταν ένας Υπεκτελών βρίσκεται εκτός ΕΕ/ΕΟΧ, ο Εκτελών την Επεξεργασία διασφαλίζει ότι οι διαβιβάσεις καλύπτονται από απόφαση επάρκειας βάσει του Άρθρου 45 ΓΚΠΔ, ή από Τυποποιημένες Συμβατικές Ρήτρες που έχει εκδώσει η Ευρωπαϊκή Επιτροπή (Ενότητα 2: υπεύθυνος προς εκτελούντα ή Ενότητα 3: εκτελών προς εκτελούντα, ανάλογα με την περίπτωση), ή από άλλο έγκυρο μηχανισμό διαβίβασης δυνάμει του Κεφαλαίου V ΓΚΠΔ.

8.3 Περαιτέρω διαβιβάσεις

Η Shopify ενεργεί ως ανεξάρτητος υπεύθυνος επεξεργασίας όσον αφορά τα δεδομένα πελατών που ο Υπεύθυνος Επεξεργασίας έχει εισαγάγει στο κατάστημά του στη Shopify. Η λήψη τέτοιων δεδομένων από τη Shopify από τον Εκτελούντα την Επεξεργασία, καθώς και η επιστροφή δεδομένων παραγγελιών που δημιούργησε η Shopify σε αυτήν, διέπονται από τους δικούς της όρους προστασίας δεδομένων με τον Έμπορο και δεν αποτελούν περαιτέρω διαβιβάσεις βάσει της παρούσας DPA.

9. Διατήρηση και διαγραφή

Ο Εκτελών την Επεξεργασία διατηρεί Προσωπικά Δεδομένα για τις ακόλουθες περιόδους:

  • Δεδομένα ενεργής συνεδρίας (συνεδρίες ολοκλήρωσης αγοράς που δεν έχουν ολοκληρωθεί): διαγράφονται 30 ημέρες μετά τη λήξη της συνεδρίας·
  • Δεδομένα ολοκληρωμένης παραγγελίας (συνεδρίες που οδήγησαν σε παραγγελία στη Shopify): διατηρούνται για 7 χρόνια για την κάλυψη νομικών απαιτήσεων τήρησης αρχείων φορολογικής και λογιστικής φύσης στην Εσθονία και στις περισσότερες δικαιοδοσίες της ΕΕ, και στη συνέχεια διαγράφονται·
  • Tokens πληρωμής και αρχεία εξουσιοδότησης: διατηρούνται για την περίοδο διατήρησης της υποκείμενης μεθόδου πληρωμής (συνήθως 7 χρόνια)·
  • Δεδομένα καταγραφής (αρχεία καταγραφής αιτημάτων, αρχεία παράδοσης webhook): διατηρούνται για 90 ημέρες και στη συνέχεια διαγράφονται·
  • Αρχεία καταγραφής ελέγχου / συμβάντων ασφαλείας: διατηρούνται για 1 χρόνο.

Κατά τη λήξη των Υπηρεσιών, ο Εκτελών την Επεξεργασία διαγράφει ή επιστρέφει Προσωπικά Δεδομένα σύμφωνα με την Ενότητα 5.7 ανωτέρω, με την επιφύλαξη των περιόδων διατήρησης που επιβάλλει η εφαρμοστέα νομοθεσία.

10. Γνωστοποίηση παραβίασης δεδομένων

Ο Εκτελών την Επεξεργασία ενημερώνει τον Υπεύθυνο Επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση, και σε κάθε περίπτωση εντός 48 ωρών, από τη στιγμή που λαμβάνει γνώση παραβίασης Προσωπικών Δεδομένων που αφορά τα δεδομένα του Υπευθύνου Επεξεργασίας. Η γνωστοποίηση περιλαμβάνει τουλάχιστον τις πληροφορίες που απαιτεί το Άρθρο 33(3) ΓΚΠΔ στον βαθμό που είναι διαθέσιμες, και επικαιροποιείται καθώς γίνονται γνωστές πρόσθετες πληροφορίες.

11. Ευθύνη

Η ευθύνη των Μερών βάσει της παρούσας DPA υπόκειται στις διατάξεις περί ευθύνης των Όρων Παροχής Υπηρεσιών, με την επιφύλαξη ότι οποιοσδήποτε περιορισμός ευθύνης στους Όρους Παροχής Υπηρεσιών δεν αποκλείει ή περιορίζει την ευθύνη για οποιοδήποτε ζήτημα για το οποίο τέτοιος αποκλεισμός ή περιορισμός θα ήταν παράνομος βάσει της εφαρμοστέας νομοθεσίας προστασίας δεδομένων.

12. Εφαρμοστέο δίκαιο και δικαιοδοσία

Η παρούσα DPA διέπεται από τη νομοθεσία της Εσθονίας, χωρίς εφαρμογή κανόνων ιδιωτικού διεθνούς δικαίου. Τα Μέρη υποβάλλονται στην αποκλειστική δικαιοδοσία των δικαστηρίων της Κομητείας Harju, Εσθονία, για κάθε διαφορά που προκύπτει από ή σε σχέση με την παρούσα DPA, με την επιφύλαξη τυχόν υποχρεωτικών διατάξεων νόμου σχετικά με τη δικαιοδοσία σε διαφορές καταναλωτών ή υποκειμένων δεδομένων.

13. Διάρκεια και καταγγελία

Η παρούσα DPA τίθεται σε ισχύ κατά την ημερομηνία που ο Υπεύθυνος Επεξεργασίας εγκαθιστά ή χρησιμοποιεί για πρώτη φορά τις Υπηρεσίες και λήγει αυτομάτως κατά τη λήξη των Όρων Παροχής Υπηρεσιών. Ρήτρες που εκ φύσεώς τους επιβιώνουν της λήξης (συμπεριλαμβανομένων των Ενοτήτων 5.7, 9, 10 και 12) παραμένουν σε ισχύ.

14. Πλήρης συμφωνία

Η παρούσα DPA, μαζί με τους Όρους Παροχής Υπηρεσιών στη διεύθυνση https://costplus.io/shopify-app-terms.html και την Πολιτική Απορρήτου στη διεύθυνση https://costplus.io/privacy-policy.html, αποτελεί την πλήρη συμφωνία μεταξύ των Μερών αναφορικά με το αντικείμενό της και υπερισχύει κάθε προηγούμενης συμφωνίας ή κατανόησης.

Παράρτημα 1 — Τεχνικά και οργανωτικά μέτρα

Ο Εκτελών την Επεξεργασία εφαρμόζει τα ακόλουθα τεχνικά και οργανωτικά μέτρα για την προστασία Προσωπικών Δεδομένων:

Κρυπτογράφηση

  • Όλα τα δεδομένα κατά τη μεταφορά κρυπτογραφούνται με TLS 1.2 ή ανώτερο, με πιστοποιητικά διαχειριζόμενα μέσω Let's Encrypt και αυτόματη ανανέωση.
  • Τα tokens πρόσβασης στο Shopify API και τα διαπιστευτήρια τρίτων παρόχων πληρωμών κρυπτογραφούνται σε κατάσταση ηρεμίας με AES-256-GCM, με κλειδιά επιπέδου εφαρμογής διαχειριζόμενα μέσω HashiCorp Vault Transit ή ισοδύναμου συστήματος διαχείρισης κλειδιών.
  • Τα αντίγραφα ασφαλείας βάσης δεδομένων κρυπτογραφούνται πριν από τη μεταφορά σε εξωτερική αποθήκευση.

Έλεγχος πρόσβασης

  • Η πρόσβαση στα συστήματα παραγωγής περιορίζεται σε καθορισμένο σύνολο εξουσιοδοτημένου προσωπικού με ατομικά αναγνωρίσιμους λογαριασμούς, έλεγχο ταυτότητας βάσει κλειδιού SSH για πρόσβαση στον διακομιστή, και έλεγχο ταυτότητας πολλαπλών παραγόντων υποστηριζόμενο από υλικό ή TOTP για διαχειριστικές διεπαφές.
  • Οι κωδικοί πρόσβασης εμπόρων σε επίπεδο εφαρμογής κατακερματίζονται με Argon2id με παραμέτρους εντατικής χρήσης μνήμης.
  • Η πρόσβαση σε Προσωπικά Δεδομένα καταγράφεται και διατηρείται σύμφωνα με την Ενότητα 9 της DPA.

Υποδομή

  • Οι Υπηρεσίες φιλοξενούνται σε κέντρα δεδομένων Tier-III ή ισοδύναμου επιπέδου που βρίσκονται εντός της Ευρωπαϊκής Ένωσης.
  • Λογικός διαχωρισμός μεταξύ περιβαλλόντων δοκιμών και παραγωγής· δεδομένα παραγωγής δεν χρησιμοποιούνται σε περιβάλλοντα ανάπτυξης ή δοκιμών.
  • Τακτική εφαρμογή ενημερώσεων κώδικα για λειτουργικά συστήματα, περιβάλλοντα εκτέλεσης και εξαρτήσεις τρίτων.

Προσωπικό

  • Το προσωπικό με πρόσβαση σε Προσωπικά Δεδομένα δεσμεύεται από γραπτές υποχρεώσεις εμπιστευτικότητας που επιβιώνουν της λήξης της απασχόλησής του.
  • Εκπαίδευση ευαισθητοποίησης σε θέματα ασφάλειας κατά την πρόσληψη και περιοδικά για όλο το προσωπικό με πρόσβαση σε Προσωπικά Δεδομένα ή υποδομή παραγωγής.

Αντιμετώπιση περιστατικών

  • Τεκμηριωμένη διαδικασία αντιμετώπισης περιστατικών ασφαλείας που καλύπτει τον εντοπισμό, τον περιορισμό, τη διερεύνηση, τη γνωστοποίηση (συμπεριλαμβανομένης της γνωστοποίησης στον Υπεύθυνο Επεξεργασίας εντός 48 ωρών σύμφωνα με την Ενότητα 10) και την επισκόπηση μετά το περιστατικό.
  • Τριμηνιαία επισκόπηση των διαδικασιών αντιμετώπισης περιστατικών και στοιχείων επικοινωνίας.

Πρόληψη απώλειας δεδομένων

  • Έλεγχοι πρόσβασης σε επίπεδο εφαρμογής με εύρος ανά έμπορο και ανά συνεδρία· κανένας έμπορος δεν μπορεί να αποκτήσει πρόσβαση στα δεδομένα άλλου εμπόρου μέσω του API.
  • Καταγραφή ελέγχου για κάθε πρόσβαση σε Προσωπικά Δεδομένα, με διατήρηση σύμφωνα με την Ενότητα 9.
  • Τακτικές δοκιμές αποκατάστασης κρυπτογραφημένων αντιγράφων ασφαλείας.

Ασφαλής ανάπτυξη λογισμικού

  • Ο πηγαίος κώδικας φιλοξενείται σε ιδιωτικό αποθετήριο με υποχρεωτική αναθεώρηση όλων των αλλαγών πριν από τη συγχώνευση.
  • Αυτοματοποιημένος έλεγχος εξαρτήσεων και τακτικές ενημερώσεις βιβλιοθηκών τρίτων.
  • Δοκιμές διείσδυσης τουλάχιστον ετησίως μόλις οι Υπηρεσίες καταστούν γενικά διαθέσιμες.

Παράρτημα 2 — Εξουσιοδοτημένοι Υπεκτελούντες την Επεξεργασία

Κατά την ημερομηνία τελευταίας ενημέρωσης της παρούσας DPA, οι ακόλουθοι Υπεκτελούντες είναι εξουσιοδοτημένοι να επεξεργάζονται Προσωπικά Δεδομένα για λογαριασμό του Υπευθύνου Επεξεργασίας:

Εκτελών ΥπεξεργασίαΣκοπόςΤοποθεσίαΜηχανισμός διαβίβασης
OVH SASΦιλοξενία υποδομής cloud (υπολογιστική ισχύς, αποθήκευση, δίκτυο) και κρυπτογραφημένα εξωτερικά αντίγραφα ασφαλείαςΓαλλία (ΕΕ)Intra-EEA
SMTP2GOΣυναλλακτικά email και email ειδοποιήσεωνΕΕIntra-EEA
Cost+ υποδομή πληρωμών (Costplus OÜ)Tokenisation πληρωμής, εξουσιοδότηση, λήψη, επιστροφή χρημάτωνΕΕIntra-EEA
Ginger PaymentsΠύλη πληρωμών / δρομολόγηση συναλλαγώνΚάτω Χώρες (ΕΕ)Intra-EEA
FinteqHubΠύλη πληρωμών / ενορχήστρωσηΚύπρος και Λιθουανία (ΕΕ)Intra-EEA
ComplyPayΠάροχος Banking-as-a-Service (BaaS)Δανία (ΕΕ)Intra-EEA
RapydAcquiring / επεξεργασία πληρωμώνΕΕ / Ηνωμένο ΒασίλειοIntra-EEA· διαβιβάσεις στο ΗΒ βάσει απόφασης επάρκειας ΕΕ–ΗΒ
SHIFT4Acquiring / επεξεργασία πληρωμώνΕΕ / Ηνωμένο ΒασίλειοIntra-EEA· διαβιβάσεις στο ΗΒ βάσει απόφασης επάρκειας ΕΕ–ΗΒ
ElavonAcquiring / επεξεργασία πληρωμώνΕΕ / Ηνωμένο ΒασίλειοIntra-EEA· διαβιβάσεις στο ΗΒ βάσει απόφασης επάρκειας ΕΕ–ΗΒ
ClearhausAcquiring / επεξεργασία πληρωμώνΔανία (ΕΕ)Intra-EEA
PayneticsAcquiring πληρωμών / έκδοση ηλεκτρονικού χρήματοςΒουλγαρία (ΕΕ)Intra-EEA
DiditΕπαλήθευση ταυτότητας, συμμόρφωση KYB / KYC / AMLΗνωμένες Πολιτείες / Ισπανία (ΕΕ)Τυποποιημένες Συμβατικές Ρήτρες (Άρθρο 46 GDPR)

Ο Εκτελών την Επεξεργασία θα διατηρεί ενημερωμένη έκδοση αυτής της λίστας στη διεύθυνση https://costplus.io/dpa/sub-processors και θα ενημερώνει τον Υπεύθυνο Επεξεργασίας για τυχόν προσθήκες ή αντικαταστάσεις σύμφωνα με την Ενότητα 7.2 της παρούσας DPA.

Τέλος Συμφωνίας Επεξεργασίας Δεδομένων.