数据安全政策

本数据安全政策（以下简称“数据安全政策”）由 Raintank, Inc.（以 Grafana Labs 名义运营）代表其自身及附属公司（以下简称“Grafana Labs”）向每位 Grafana Labs 终端用户客户（以下简称“客户”）提供，并受每位客户与 Grafana Labs 或客户与授权 Grafana Labs 渠道合作伙伴之间的主服务协议或其他适用许可协议（以下简称“许可协议”）条款和条件的约束。如果许可协议与本数据安全政策之间发生冲突，应以许可协议的条款为准。本文未另行定义的 capitalized terms 应具有许可协议中规定的含义。

1.1 客户数据和个人数据保护。 Grafana Labs 将维护适当的管理、物理和技术保障措施，以保护客户数据和个人数据的安全性、保密性和完整性，包括但不限于旨在防止未经授权访问或披露客户数据和个人数据的措施。信息安全计划可能包括但不限于适当的软件开发生命周期 (SDLC)、多因素认证等访问控制机制、对某些传输中和静态数据的加密、定期的第三方和内部信息安全测试、定期信息安全意识培训以及对员工的背景调查。

1.2 安全管理和第三方安全审计。 根据良好行业实践的建议，Grafana Labs 将维护一个基于 ISO 27001 或同等标准的、经过外部认证的、全业务范围的信息安全管理体系（如适用）。Grafana Labs 会聘请行业认可的第三方审计机构每年至少进行一次 SOC 2 安全审计（以下简称“SOC 2”）。Grafana Labs 将在收到书面请求后，向客户提供其当时的 SOC 2 副本，包括适用的范围。

1.3 客户审计。 客户可以自费，在提前至少三十 (30) 个工作日书面通知 Grafana Labs 的情况下，每年最多进行一次远程供应商风险评估（以下简称“VRA”），Grafana Labs 将在合理范围内提供协助（在正常工作时间）。VRA 应包括审查 Grafana Labs 关于其遵守本数据安全政策的安全相关文档（范围由双方商定）。审查此类材料后，如果客户通过审查此类安全文档仍无法获得其认为必要的保障，则客户可以提交合理的信息安全和审计问卷请求，以确认 Grafana Labs 遵守本数据安全政策的情况，Grafana Labs 将合理安排相关人员（在正常工作时间）回答与 Grafana Labs 遵守本数据安全政策相关的问题。如果发生需要向监管机构或其他政府机构报告的安全漏洞，客户可以在提前至少三十 (30) 个工作日通知的情况下进行额外的 VRA。除了客户在此处的审计权利外，Grafana Labs 将在合理范围内配合并回复（在正常工作时间）客户的年度安全问卷。根据本节所述活动交换的任何信息均被视为 Grafana Labs 的机密信息。

1.4 系统保护和灾难恢复。 Grafana Labs 制定了灾难恢复和业务连续性计划，并每年对这些计划进行审查和对灾难恢复计划进行测试。应要求，Grafana Labs 将提供其灾难恢复和业务连续性规划及管理实践摘要，该摘要根据本数据安全政策应被视为 Grafana Labs 的机密信息。

1.5 安全漏洞。Grafana Labs 在检测到导致个人数据（由 Grafana Labs 传输、存储或以其他方式处理）被意外或非法破坏、丢失、更改、未经授权披露或访问的安全漏洞（任何此类事件，均称为“安全漏洞”）后，将毫不迟延地通知客户。此类通知将包括（在 Grafana Labs 已知范围内）：(a) 对安全漏洞性质的描述（如可能，包括所涉数据主体和数据记录的类别和大致数量）；(b) 可获取有关安全漏洞更多信息的联系点详细信息；(c) 其可能产生的后果；以及 (d) 为应对安全漏洞（包括减轻其可能产生的不利影响）已采取或拟采取的措施。如果无法同时提供所有这些信息，则初始通知应包含当时可用的信息，并在后续信息可用时，毫不迟延地补充提供。