第5版，2022年12月30日生效

Cloudflare, Inc.（"Cloudflare"）和同意这些条款的交易方（"Customer"）已就Cloudflare提供的服务签订了企业订购协议、自助订购协议或其他书面或电子协议（"Main Agreement"）。 本数据处理附录， ，包括附录（"DPA"），构成主协议的一部分。

本DPA将自客户签署或双方以其他方式同意本DPA之日（"DPA生效日期"）起生效，并将替代和取代与其主题有关的任何先前适用条款（包括与服务有关的任何数据处理修正案、协议或附录）。

如果您代表客户接受本DPA，您保证(a) 您有充分的法律权力使客户受本DPA约束；(b) 您已阅读并理解本DPA；以及(c) 您代表客户同意本DPA。 如果您没有法律授权来约束客户，请不要接受本DPA。

数据处理条款

本DPA适用于Cloudflare作为处理器（或子处理器，如适用）代表客户处理个人数据以提供服务，并且此类个人数据受适用数据保护法（定义见下文）的约束。

双方同意签订本DPA，以确保根据适用的数据保护法，采取适当的保障措施来保护这些个人数据。 因此，Cloudflare同意对其作为处理器（或子处理器，如适用）代表客户处理的任何个人数据遵守以下规定。

1. 定义

1.1 本DPA中使用了以下定义：

a) "适当的国家"是指根据欧洲数据保护法被承认为对个人数据提供适当保护的国家或地区。

b) "Affiliate"，就某一方而言，指直接或间接控制、被该方控制或与该方共同控制的任何公司实体（但仅在这种控制存在的情况下）。

c) "适用的数据保护法" 指适用于主协议项下个人数据处理的所有法律和法规，包括欧洲数据保护法和美国数据保护法。

d) "Cloudflare Group" 指Cloudflare及其任何关联公司。

e) "Controller" 指决定处理个人数据的目的和方式的实体，包括 "控制器"、"企业 "或适用数据保护法规定的类似术语。

f) "客户组" 指客户及其任何关联公司。

g) "欧洲数据保护法" 指欧盟、欧洲经济区、其成员国、瑞士和英国适用于根据主协议处理个人数据的所有法律和法规（如适用，包括：（i）欧洲议会和理事会关于在处理个人数据方面保护自然人和此类数据自由流动的第2016/679号条例（《一般数据保护条例》）（"欧盟GDPR" ）；(ii) 根据英国《2018年欧盟（退出）法》第3条和《2018年英国数据保护法》保存在英国法律中的欧盟GDPR（"英国GDPR" ）； (iii) 1992年6月19日的《瑞士联邦数据保护法》及其相应条例（"瑞士DPA" ）；(iv) 欧盟电子隐私指令（指令2002/58/EC）；以及 (v) 根据、依照或与(i)、(ii)、(iii)、(iv)中任何一项共同适用的国家数据保护法。

h) "个人数据" 是指根据适用数据保护法定义为 "个人数据"、"个人信息"或 "个人身份信息"（或类似术语）的所有数据。

i) "处理"、"数据主体"和 "监督机构"应具有欧洲数据保护法赋予它们的含义。

j) "处理器" 指代表控制器处理个人数据的实体，包括另一实体根据书面合同为商业目的向其披露自然人的个人信息的实体，该合同要求接收信息的实体仅为提供服务的目的保留、使用或披露个人数据信息，并包括 "处理器"、"服务提供商 "或适用数据保护法中定义的类似术语。

k) "服务" 指Cloudflare或其授权合作伙伴提供、营销或销售的所有基于云的解决方案，旨在提高互联网属性、应用程序和网络的性能、安全性和可用性，以及与上述内容有关的任何软件、软件开发工具包和应用程序编程接口（"APIs"）。

l) "EUSCCs" 指欧盟委员会2021年6月4日关于根据欧洲议会和理事会第2016/679号条例（欧盟）向第三国转移个人数据的标准合同条款的实施决定2021/914所附的合同条款。

m) "限制性转移"是指：(i) 在适用欧盟GDPR或瑞士联邦数据保护法的情况下，从欧洲经济区或瑞士（如适用）向欧洲经济区或瑞士（如适用）以外的国家转移个人数据，该转移不受欧盟委员会或瑞士联邦数据保护和信息专员（如适用）的充分性决定的约束；以及(ii) 在适用英国GDPR的情况下，从英国向任何其他国家转移个人数据，该转移不基于根据2018年英国数据保护法第17A条的充分性规定。

n) "UK Addendum" 指信息专员办公室根据《2018年英国数据保护法》第119（A）条发布的国际数据传输附录（B1.0版），并不时更新或修正。

o) "美国数据保护法" 指适用于主协议下个人数据处理的所有美国法律和法规，包括 (a) 经《2020年加州隐私权利法》修订的《2018年加州消费者隐私法》（Cal. 公民。 (a) 《美国法典》第1798.100-1798.199条，2022年)及其实施条例(统称为 "CCPA")；(b) 《弗吉尼亚消费者数据保护法》(生效)；(c) 《科罗拉多隐私法》及其实施条例(生效)；(d) 《犹他消费者隐私法》(生效)；以及(e) 康涅狄格SB6《关于个人数据隐私和在线监测的法案》(生效)。

1.2 一个实体 "控制" 另一个实体，如果它：(a) 持有其多数表决权；(b) 是其成员或股东，并有权罢免其董事会或同等管理机构的多数成员；(c) 是其成员或股东，并单独或根据与其他股东或成员的协议控制其多数表决权；或(d)根据其章程文件或合同，有权对其行使支配性影响；以及两个实体被视为处于"共同控制"，如果其中一个控制另一个（直接或间接），或两个都被同一个实体控制（直接或间接）。

1.3 在本《协议》中，"提供 "或 "提供 "服务是指提供主协议中定义的服务；

2. 当事人的地位

2.1 根据本DPA处理的个人资料的类型和处理的主题、期限、性质和目的，以及数据主体的类别，如附件1所述。

2.2 每一方都保证在个人数据方面将遵守并提供与适用数据保护法所要求的相同水平的隐私保护。 在双方之间，客户应对个人数据的准确性、质量和合法性以及客户获取个人数据的方式负全部责任。

2.3 关于各方在本DPA下有关个人资料的权利和义务，各方承认并同意，客户是控制器（或代表第三方控制器处理个人资料的处理器），而Cloudflare是处理器（或子处理器，如适用）。

2.4 如果客户是一个处理器，客户向Cloudflare保证，客户关于个人数据的指示和行动，包括其任命Cloudflare为另一个处理器，以及在适用的情况下，缔结欧盟SCC（包括在下文第6.2(b)和(c)条中可能被修订），已经（并且在本DPA有效期内，将继续）得到相关第三方控制器的授权。

3. Cloudflare义务

3.1 对于其作为处理器或子处理器所处理的所有个人数据，Cloudflare保证它将： 1：

(a) 仅为提供服务的有限和特定的商业目的并根据以下规定处理个人数据：(i) 主协议和本DPA中规定的客户的书面指示，除非Cloudflare遵守的适用欧盟或成员国法律要求这样做，以及(ii) 适用数据保护法的要求。 如果Cloudflare被要求根据适用的数据保护法处理个人数据，Cloudflare应在处理前告知客户该法律要求，除非该法律以公共利益为重要理由禁止此类信息；

(b) 不将个人数据用于营销或广告目的；

(c) 采取适当的技术和组织措施，确保安全水平与处理个人数据所带来的风险相适应，特别是防止意外或非法破坏、丢失、更改、未经授权披露或访问个人数据的行为。 这些措施包括但不限于附件2中规定的安全措施（"安全措施"）。 客户承认，安全措施受技术进步和发展的影响，Cloudflare可能会不时地更新或修改安全措施，但这种更新和修改不会降低或削弱服务的整体安全性；

(d) 确保只有经授权的人员才能接触到这些个人资料，而且其授权接触到个人资料的任何人员都负有合同或法定的保密义务；

(e) 在了解到任何导致意外或非法破坏、损失、更改、未经授权披露或访问Cloudflare、其分处理商为向客户提供服务而传输、存储或以其他方式处理的个人资料的安全漏洞时，应无不当拖延地通知客户、或任何其他确定或未确定的第三方（"个人数据泄露"），并就该个人数据泄露向客户提供合理的合作和协助，包括Cloudflare所掌握的有关该个人数据泄露的所有合理信息，只要它影响到个人数据；

(f) 除非适用法律要求，否则未经客户事先书面同意，不得发布任何有关个人资料泄露的公告（"Breach Notice"）；

(g) 在Cloudflare能够核实数据主体与客户有关的情况下，如果收到数据主体提出的行使有关该数据主体的个人数据的任何数据保护权利（包括访问、纠正或删除的权利）的请求，及时通知客户（"数据主体请求"）。 未经客户事先书面同意，Cloudflare不得回应数据主体请求，除非确认该请求与客户有关，客户在此表示同意；

(h) 如果客户没有能力在没有Cloudflare协助的情况下处理数据主体请求，在Cloudflare有能力并符合适用法律的情况下，向客户提供合理的协助，以回应数据主体的请求，行使适用数据保护法规定的任何数据保护权利（包括访问、纠正或删除的权利），涉及到该数据主体的个人数据。 客户有责任核实请求者是与之有关的个人资料的数据主体。 Cloudflare对客户依据本小节善意提供的信息不承担任何责任。 客户应支付Cloudflare在提供此类援助方面的所有费用；

(i) 在主协议终止或到期或服务完成后，根据客户的选择，删除或归还根据本DPA处理的所有个人数据（包括其副本），但遵守适用法律的规定除外；

(j) 考虑到处理的性质和Cloudflare可获得的信息，就Cloudflare在《适用数据保护法》下的义务，向客户提供客户合理要求的协助，涉及到： 1：

(i) 数据保护影响评估和事先协商（如适用数据保护法所定义的这些术语）；

(ii) 客户根据适用数据保护法向监管机构发出的通知和/或针对任何个人数据泄露事件向数据主体发出的通信；以及

(iii) 客户遵守其在适用数据保护法下关于处理安全的义务；

但客户应支付Cloudflare因提供此类援助而产生的所有费用；以及

(k) 如果Cloudflare认为客户根据第3.1(a)条提供的任何指示违反了适用数据保护法，或Cloudflare以其他方式确定其无法再履行适用数据保护法的义务，则通知客户

3.2 在Cloudflare代表客户在CCPA范围内处理个人数据的情况下，Cloudflare向客户做出以下额外承诺：Cloudflare不会为主协议和本DPA中规定的目的以及CCPA允许的目的以外的任何目的保留、使用或披露该个人资料，包括根据任何 "销售 "豁免。 Cloudflare不会 "出售 "或 "分享 "此类个人数据，正如CCPA中所定义的术语。 本条款3.2不限制或减少Cloudflare在主协议或本DPA中对客户作出的任何数据保护承诺。

3.3 Cloudflare证明其理解并将遵守第2条和第3条的义务和限制，以及适用的数据保护法。

4. 次级处理

4.1 Cloudflare将只为提供服务的特定目的向子处理者披露个人资料。

4.2 Cloudflare将确保其聘请的代表其提供与本DPA有关的服务的任何子处理者仅在书面合同的基础上这样做，该合同对该子处理者规定的条款（即数据保护义务）不低于本DPA中对Cloudflare规定的条款（"相关条款"）。 Cloudflare应促使该次处理人履行相关条款，并应就该次处理人违反任何相关条款向客户负责。

4.3 客户授予一般书面授权：(a) Cloudflare任命Cloudflare集团的其他成员为子处理者，以及(b) Cloudflare和Cloudflare集团的其他成员任命第三方数据中心运营商，以及业务、工程和客户支持供应商为子处理者，以支持服务的执行。

4.4 Cloudflare将在 https://www.cloudflare.com/gdpr/subprocessors/，维护一份子处理器的清单。 并将在这些次处理人开始处理个人数据的日期前至少三十（30）天将新的和替代的次处理人的名字添加到该名单中。 如果客户以与数据保护有关的合理理由反对任何新的或替换的子处理人，则应在通知后的十（10）天内以书面形式通知Cloudflare此类反对意见，双方将真诚地寻求解决该问题。 如果Cloudflare能够合理地按照主协议向客户提供服务而不使用子处理器，并酌情决定这样做，那么客户在本第4.4条下对拟议使用子处理器没有进一步的权利。 如果Cloudflare自行决定要求使用子处理商，并且无法满足客户对建议使用新的或替代的子处理商的反对意见，那么客户可以终止适用的订单，在Cloudflare开始使用这种新的或替代的子处理商之日生效，只针对将使用建议的新的子处理商处理个人数据的服务而言。 如果客户没有按照本条款4.4的规定对任何新的或替代的子处理人及时提出反对意见，客户将被视为同意该子处理人并放弃其反对权。

5. 审计和记录

5.1 Cloudflare应根据适用的数据保护法，向客户提供Cloudflare拥有或控制的、客户可能合理要求的信息，以证明Cloudflare在处理个人资料方面遵守适用的数据保护法规定的处理者的义务。

5.2 Cloudflare可通过提供以下方式履行客户在适用保护法下对个人资料的审计权：

(a) 不超过十三（13）个月的审计报告，由独立的外部审计员编写，证明Cloudflare的技术和组织措施是充分的，符合公认的行业审计标准；

(b) 当数据保护监督机构要求或需要与Cloudflare根据本DPA进行的个人数据处理有关的额外信息时，将Cloudflare掌握或控制的额外信息提供给该机构；以及

(c) 如果客户的个人资料受欧盟SCC的约束，并且根据本条款5.2提供的信息根据客户的合理判断不足以确认Cloudflare遵守其在本DPA或适用数据保护法下的义务，那么Cloudflare应使客户能够在期限内（如主协议所定义）每年要求一次现场审计，以核实Cloudflare根据本条款5.3遵守其DPA义务。

5.3 以下附加条款应适用于客户要求的审计：

(a) 客户必须将任何审查Cloudflare审计报告的请求发送到 [email protected]。

(b) 在Cloudflare收到第5.2(c)条规定的审计请求后，Cloudflare和客户将事先讨论并同意适用于第5.2(c)条规定的任何审计的合理开始日期、范围、期限以及安全和保密控制。 只要有可能，这种审计的证据将限于为Cloudflare最近的第三方审计收集的证据。

(c) Cloudflare可根据第5.2(c)条对任何审计收取费用（基于Cloudflare的合理成本）。 Cloudflare将在任何此类审计之前向客户提供任何适用费用的进一步详情及其计算依据。 客户将负责支付由客户指定的执行任何此类审计的任何审计师的费用。

(d) 如果Cloudflare合理地认为客户指定的审计师没有适当的资格或独立性，是Cloudflare的竞争对手，或在其他方面明显不适合，Cloudflare可以书面反对客户指定的审计师根据第5.2(c)条进行任何审计（即，审计师的参与可能对Cloudflare的业务产生与前述方面相当的有害影响）。 Cloudflare的任何此类反对意见将要求客户指定另一个审计师或自己进行审计。 如果欧盟储蓄银行（包括在下文第6.2(a)和(b)条中可能进行的修订）适用，本第5.3条中的任何内容都不会改变或修改欧盟储蓄银行，也不会影响任何监管机构或数据主体在欧盟储蓄银行中的权利。

6. 来自欧洲经济区、瑞士和英国的数据传输

6.1 在服务方面，双方预计Cloudflare（及其子处理商）可能会在欧洲经济区（"EEA"）、瑞士和英国之外处理某些受欧洲数据保护法保护的个人数据，客户或客户集团的成员可能是这些数据的控制者（或代表第三方控制者的处理器，如适用）。

6.2 双方同意，当客户或客户集团的任何成员向Cloudflare转移受欧洲数据保护法保护的个人数据是受限制的转移时，应遵守适当的欧盟SCC，具体如下：

(a) 欧盟传输： 关于受欧盟GDPR保护的个人数据，欧盟的SCC将按以下方式完成适用：

(i) 模块二将适用于客户（或客户集团的相关成员）为控制器的情况，模块三将适用于客户（或客户集团的相关成员）为处理器的情况；

(ii) 在第7条中，将适用选择性对接条款；

(iii) 在第9条中，选项2将适用，并且，事先通知子处理人变更的时间段应符合本DPA第4.3条的规定；

(iv) 在第11条中，备选语言将不适用；

(v) 在第17条中，选择2将适用，如果数据出口者的成员国不允许第三方受益权，则应适用德国法律；

(vi) 在第18(b)条中，争议应在管辖双方主要协议的法院解决，如果该司法管辖区不是欧盟成员国，则由德国慕尼黑的法院解决。 在任何情况下，第17条和第18条(b)款应保持一致，即法庭和管辖权的选择应属于管辖法律的国家；

(vii) 欧盟安全理事会的附件一应被视为完成了本《协议》附件一中所规定的信息；以及

(viii) 欧盟安全合作条约的附件二应被视为完成了本《协议》附件二所列的信息。

(b) 英国转让: 对于受英国GDPR保护的个人资料，将适用本DPA第6.2(a)条规定的欧盟SCC，应适用于此类个人资料的转让，但以下情况除外：

(i) 欧盟SCC应被视为按照英国附录的规定进行修订，该附录应被视为在转让客户（或客户集团的相关成员）和Cloudflare之间执行；

(ii) 欧盟储蓄银行的条款与英国附录之间的任何冲突应根据英国附录的第10节和第11节解决；

(iii) 就英国附录而言，英国附录第一部分的表1至表3应被视为使用本协议附件中的信息完成；以及

(iv) 英国附录第一部分的表4应被视为已完成，选择 "两方都不"。

(c) 瑞士转让： ，对于受《瑞士联邦数据保护法》（经修订或取代）保护的个人资料，按本DPA第6.2(a)条规定完成的欧盟SCC，应适用于此类个人资料的转让，但以下情况除外：

(i) 有关此类个人数据的主管监督机构应是瑞士联邦数据保护和信息专员；

(ii) 在第17条中，管辖法律应是瑞士的法律；

(iii) 欧盟《统计公报》中提到的 "成员国 "应被解释为指瑞士，位于瑞士的数据主体应有权在瑞士行使和强制执行欧盟《统计公报》规定的权利；以及

(iv) 欧盟SCC中提到的 "一般数据保护条例"、"2016/679条例 "或 "GDPR "应理解为是指《瑞士联邦数据保护法》（经修订或替换）。

(d) 下列条款应适用于欧盟的短链氯化物（包括根据上述第6.2(b)和(c)条可能进行的修订）：

(i) 客户可以按照本DPA第5条的规定和要求，行使其在欧盟SCC下的审计权；以及

(ii) Cloudflare可按照本DPA第4条和第6.3条的规定并在遵守这些规定的前提下任命子处理人，客户可按照本DPA第4.3条规定的方式行使其权利，根据欧盟SCC对子处理人提出异议。

(e) 如果本《协议》的任何条款直接或间接地与欧盟《合同法》（以及英国附录，如适用）相抵触，应以后者为准。

6.3 对于根据第6.2条向Cloudflare进行的限制性转让，Cloudflare不得参与（也不允许任何分处理人参与）任何进一步的个人数据限制性转让（无论是作为个人数据的 "出口方 "还是 "进口方"），除非这种进一步的限制性转让完全符合欧洲数据保护法，并根据个人数据出口方和进口方之间实施的欧盟SCC或适用进口方采用的替代转让机制（定义见第6.5条）。

6.4 如果客户寻求对向任何特定国家或地区转移的欧盟安全合作协议的适当性进行任何评估，Cloudflare应在其能力范围内为任何此类评估的目的向客户提供合理协助，但客户应支付Cloudflare因提供此类协助而产生的所有费用。

6.5 在Cloudflare采用替代数据出口机制（包括根据适用的欧洲数据保护法采用的隐私保护的任何新版本或继任者）来传输本DPA中未描述的个人数据时（"替代传输机制" ）、替代性转移机制应取代本DPA中描述的任何适用的转移机制（但仅限于该替代性转移机制符合欧洲数据保护法并延伸至个人数据被转移到的地区），并且客户同意执行其他和进一步的文件，并采取合理必要的其他和进一步的行动，以使该替代性转移机制具有法律效力。

7. 第三方数据访问请求

7.1 如果Cloudflare意识到有任何第三方法律程序要求Cloudflare代表客户以处理器或子处理器（如适用）的身份处理个人资料，那么Cloudflare将：

(a) 立即将该请求通知客户，除非法律禁止这种通知；

(b) 通知第三方，它是个人数据的处理器或子处理器（如适用），未经客户同意，无权披露个人数据；

(c) 向第三方披露最低限度的必要的客户联系信息，以使第三方能够与客户联系，并指示第三方将其数据请求转给客户；以及

(d) 如果Cloudflare根据第三方法律程序提供访问或披露个人数据，无论是经客户授权还是由于强制性的法律强制，那么Cloudflare将在法律要求的范围内并根据适用的法律程序披露最低数量的个人数据。

7.2 在Cloudflare作为处理器或子处理器（如适用）的角色中，它可能会受到由政府当局（包括司法当局）发出的第三方法律程序，并要求访问或披露个人数据。 如果Cloudflare知道政府机构（包括司法机构）发出的任何第三方法律程序，要求Cloudflare以处理器或子处理器（如适用）的身份代表客户处理个人数据，那么，在Cloudflare以合理的努力审查该请求并因此能够确定要求个人数据的此类第三方法律程序引起法律冲突的情况下，Cloudflare将：

(a) 采取上述第7.1条中确定的所有行动；

(b) 在出示个人资料之前寻求法律补救措施，直至上诉法院一级；以及

(c) 在根据适用的程序规则要求披露个人数据之前（而且仅在此范围内），不披露个人数据。

7.3 第7.1和7.2条不适用于Cloudflare真诚地相信政府的要求是必要的，因为紧急情况涉及到个人死亡或严重的身体伤害的危险。 在这种情况下，Cloudflare应在数据披露后尽快通知客户，并向客户提供有关的全部细节，除非法律禁止这种披露。

7.4 Cloudflare将以Cloudflare半年度透明度报告的形式定期向客户提供有关要求提供个人资料的第三方法律程序的最新情况，该报告可在https://www.cloudflare.com/transparency/。

7.5 自客户与Cloudflare签订本DPA之日起，Cloudflare做出以下承诺。 Cloudflare将根据需要更新这些承诺， https://www.cloudflare.com/transparency/：

(a) Cloudflare从未将我们的加密或认证密钥或我们客户的加密或认证密钥移交给任何人。

(b) Cloudflare从未在我们网络的任何地方安装任何执法软件或设备。

(c) Cloudflare从未向任何执法机构提供我们客户在我们网络上传输的内容。

(d) Cloudflare从未在执法部门或其他第三方的要求下削弱、破坏或颠覆其任何加密功能。

8. 一般

8.1 本《协议》不影响双方在《主协议》下的权利和义务，《主协议》将继续具有充分的效力。 如果本DPA的条款与主协议的条款有任何冲突，则以本DPA的条款为准，因为其主题涉及个人数据的处理。

8.2 Cloudflare在本DPA下或与之相关的责任，包括在欧盟SCC下的责任，须遵守主协议中的责任排除和限制。 在任何情况下，Cloudflare都不会限制或排除其对数据主体或主管数据保护机构的责任。

8.3 除欧盟《合同法》明确规定或《适用数据保护法》要求的情况和范围外，本《协议》不赋予任何第三方受益人权利；本《协议》只为本协议各方及其各自允许的继承人和受让人的利益而设，不为任何其他人的利益而设，也不得由任何其他人强制执行本协议的任何规定。

8.4 本《协议》及与之相关的任何行动应受主协议中规定的法律管辖，并按其解释，不考虑任何法律冲突原则。 双方同意接受主协议中规定的法院的个人管辖权和审判地点。

8.5 如果本DPA的任何规定因任何原因被认定为无效或不可执行，DPA的其他规定仍可执行。 在不限制上述规定的一般性的前提下，客户同意，即使本DPA的任何规定无法执行，第8.2条（责任限制）仍将有效。

8.6 本《协议》是双方就本协议主题达成的最终的、完整的和排他的协议，并取代和合并双方之前就该主题达成的所有讨论和协议。

附件1

数据处理说明

本附件1构成DPA的一部分，描述了Cloudflare将代表客户进行的处理。

A.缔约方名单

附件2

技术和组织安全措施

Cloudflare已经实施并应保持一个符合ISO/IEC 27000标准的信息安全计划。 Cloudflare的安全计划应包括：

个人数据的加密措施

Cloudflare实施加密，以充分保护个人数据的使用：

• 最先进的加密协议，旨在利用公共当局已知的资源提供有效保护，防止主动和被动攻击；

• 值得信赖的公钥认证机构和基础设施；

• 有效的加密算法和参数化，如对称加密的密钥长度至少为128位，而非对称算法的密钥长度至少为2048位RSA或256位ECC。

确保处理系统和服务的持续保密性、完整性、可用性和复原力的措施

Cloudflare通过以下方式增强了生产环境中处理系统和服务的安全性：

• 采用代码审查程序，以提高用于提供服务的代码的安全性；在使用前和使用期间测试代码和系统的漏洞；

• 维护一个外部错误赏金计划；

• 使用检查来验证加密数据的完整性，以及

• 采用预防性和反应性的入侵检测。

Cloudflare在地理分布的数据中心部署了高可用性的系统。

Cloudflare实施输入控制措施，以保护和维护个人数据的机密性，包括：

• 对数据的输入、阅读、更改和删除的授权政策；

• 使用独特的认证凭证（密码）和硬令牌对授权人员进行认证；

• 在一段时间不活动后自动签出用户ID；

• 保护数据的输入，以及存储数据的读取、更改和删除；以及

• 要求数据处理设施（存放计算机硬件和相关设备的房间）保持上锁和安全。

确保在发生物理或技术事故时能够及时恢复个人数据的可用性和访问的措施

Cloudflare实施了一些措施，以确保个人数据不被意外破坏或丢失，包括维护：

• 灾难恢复和业务连续性计划和程序；

• 地理上分布的数据中心；

• 冗余的基础设施，包括电力供应和互联网连接；

• 储存在其他地点的备份，在主系统发生故障时可进行恢复；以及

• 定期测试的事故管理程序。

定期测试、评估和评价技术和组织措施的有效性的程序，以确保处理的安全性

Cloudflare的技术和组织措施由外部第三方审计员定期测试和评估，作为Cloudflare的安全& 隐私合规计划的一部分。 这些可能包括年度ISO/IEC 27001审计；AICPA SOC 2 Type II；PCI DSS Level 1；以及其他外部审计。 各项措施还定期接受内部审计以及年度和有针对性的风险评估的检验。

用户识别和授权的措施

Cloudflare通过以下方式对用户认证和权限管理实施有效措施：

• 应用强制性访问控制和认证政策；

• 应用零信任的识别和授权模式；

• 使用独特的认证凭证和强大的多因素认证对授权人员进行认证，包括要求使用物理硬令牌；

• 根据角色、批准和例外管理分配和管理适当的权限；以及

• 应用最小权限的访问原则。

在传输过程中保护数据的措施

Cloudflare实施有效措施，保护个人数据在传输过程中不被未经授权的各方读取、复制、更改或删除，包括通过：

• 使用最先进的传输加密协议，旨在提供有效的保护，防止主动和被动的攻击，已知的资源可供公共当局使用；

• 使用值得信赖的公钥认证机构和基础设施；

• 实施保护措施，防止对提供传输加密的发送和接收系统的主动和被动攻击，如适当的防火墙、相互TLS加密、API认证和加密，以保护数据传输的网关和管道，以及测试软件漏洞和可能的后门；

• 采用有效的加密算法和参数化，如对称加密的密钥长度至少为128位，非对称算法的密钥长度至少为2048位RSA或256位ECC；

• 使用正确实施和适当维护的软件，涵盖在漏洞管理计划中，并通过审计测试是否符合要求；

• 执行安全的措施，可靠地生成、管理、存储和保护加密密钥；以及

• 审计记录、监测和跟踪数据传输。

储存期间的数据保护措施

Cloudflare实施有效措施，在存储期间保护个人数据，控制和限制对数据处理系统的访问，并通过：

• 使用最先进的加密协议，旨在提供有效的保护，防止主动和被动的攻击，已知的资源可供公共当局使用；

• 使用值得信赖的公钥认证机构和基础设施；

• 测试存储数据的系统的软件漏洞和可能的后门；

• 采用有效的加密算法和参数化，例如，要求所有存储个人资料的磁盘用AES-XTS加密，密钥长度为128位或更长。

• 使用正确实施和适当维护的软件，涵盖在漏洞管理计划中，并通过审计测试是否符合要求；

• 执行安全的措施，可靠地生成、管理、存储和保护加密密钥；

• 识别和授权系统和访问数据处理系统的用户；

• 在用户不活动一段时间后自动签出；以及

• 审计记录、监测和跟踪对数据处理和存储系统的访问。

Cloudflare对数据处理系统的特定区域实施访问控制，以确保只有授权用户能够在其各自的访问许可（授权）所涵盖的范围内访问个人数据，并确保个人数据在未经授权的情况下不能被读取、复制或修改或删除。 这应通过各种措施来实现，包括：

• 关于每个雇员对个人数据的访问权的雇员政策和培训；

• 应用零信任的用户识别和授权模式；

• 使用独特的认证凭证和强大的多因素认证对授权人员进行认证，包括要求使用物理硬令牌；

• 监测被授权删除、添加或修改个人资料的人的行动；

• 只向经授权的人发布数据，包括分配不同的访问权限和角色；以及

• 控制对数据的访问，对数据的销毁要有控制和记录。

确保处理个人数据的地点的物理安全的措施

Cloudflare维护并实施有效的物理访问控制政策和措施，以防止未经授权的人进入处理或使用个人资料的数据处理设备（即数据库和应用程序服务器以及相关硬件），包括通过：

• 建立安全区；

• 保护和限制进入路径；

• 为雇员和第三方建立访问授权，包括各自的文件；

• 所有对托管个人资料的数据中心的访问都被记录、监控和跟踪；以及

• 托管个人数据的数据中心由安全警报系统和其他适当的安全措施保障。

确保事件记录的措施

Cloudflare实施了一个记录和监控程序，以记录、监控和跟踪对个人数据的访问，包括系统管理员的访问，并确保数据按照收到的指示进行处理。 这是通过各种措施实现的，包括：

• 使用独特的认证凭证和强大的多因素认证对授权人员进行认证，包括要求使用物理硬令牌；

• 应用零信任的用户识别和授权模式；

• 维护最新的系统管理员身份资料清单；

• 采取措施检测、评估和应对高风险的异常情况；

• 在十二个月内保持安全、准确和未经修改的处理基础设施的访问日志；以及

• 每年至少测试一次日志配置、监控系统、警报和事件响应程序。

确保系统配置的措施，包括默认配置

Cloudflare为支持生产数据处理环境的所有系统（包括第三方系统）维护配置基线。 配置基线应与行业最佳实践保持一致，如互联网安全中心（CIS）的一级基准。 必须使用自动机制在生产系统上强制执行基线配置，并防止未经授权的更改。 对基线的更改仅限于少数经授权的Cloudflare人员，并且必须遵循更改控制流程。 更改必须是可审计的，并定期检查以发现与基线配置的偏差。

Cloudflare利用最小权限原则为信息系统配置基线。 默认情况下，访问配置被设置为 "拒绝所有"，在设备安装到Cloudflare网络之前，或在软件或操作系统安装之后，必须立即更改默认密码，以符合Cloudflare的政策。 系统被配置为根据国际原子时或协调世界时（UTC）来同步系统时间时钟，修改时间数据的权限仅限于授权人员。

内部IT和IT安全治理和管理的措施

Cloudflare维持关于可接受的IT系统使用和一般信息安全的内部政策。 Cloudflare要求所有员工至少每年都要进行一般的安全和隐私意识培训。 Cloudflare限制和保护个人数据的处理，并已记录和实施：

• 正式的信息安全管理系统（ISMS），以保护Cloudflare的数据和信息系统的保密性、完整性、真实性和可用性，并确保对支持运营的数据和信息系统的安全控制的有效性；和

• 一个正式的隐私信息管理系统（PIMS），以保护支持Cloudflare全球管理网络的政策和程序的保密性、完整性、真实性和可用性，因为它既是客户信息的处理者也是控制者。

Cloudflare将保留技术和组织措施的文件，以备审计和保存证据。 Cloudflare应采取合理措施，确保其雇用的人员以及有关工作场所的其他人员了解并遵守本附件2规定的技术和组织措施。

过程和产品的认证/保证的措施

Cloudflare的ISMS和相关安全风险管理流程的实施已通过了行业标准ISO/IEC 27001的外部认证。 Cloudflare全面的PIMS的实施已经通过了行业标准ISO/IEC 27701的外部认证，作为客户信息的处理者和控制者。

Cloudflare保持PCI DSS 1级合规，Cloudflare每年由第三方合格安全评估师进行审计。 Cloudflare还进行了其他认证，如根据AICPA信托服务标准进行的AICPA SOC 2 Type II认证，Cloudflare可能不时进行的这些和其他认证的细节将在Cloudflare的网站上公布。

对于向（次级）处理器的转移，也要说明（次级）处理器将采取的具体技术和组织措施，以便能够向控制器提供帮助（对于从处理器向次级处理器的转移，则向数据出口者提供帮助）。