Common use of Data Access Control Clause in Contracts

Data Access Control. Persons entitled to use data processing systems gain access only to the Personal Data that they have a right to access, and Personal Data must not be read, copied, modified or removed without authorization in the course of processing, use and storage. 資料存取控制。有權使用資料處理系統之個人將僅對其有權存取之個人資料進行存取，並且在處理、使用、儲存過程中，未經授權不得閱讀、複製、修改或移除個人資料。 Measures: 措施： • As part of the SAP Security Policy, Personal Data requires at least the same protection level as “confidential” information according to the SAP Information Classification standard. 作為 SAP 安全政策之一部分，個人資料之保護程度至少應達 SAP 資訊分級標準規定之「機密」資訊等級。 • Access to Personal Data is granted on a need-to-know basis. Personnel have access to the information that they require in order to fulfill their duty. SAP uses authorization concepts that document grant processes and assigned roles per account (user ID). All Customer Data is protected in accordance with the SAP Security Policy. 在「有知情需要」的基礎上授予個人資料的存取權限。各人員可以存取用於履行職責的必要資訊。SAP 所使用的授權概念會記錄授予程序，及每個帳戶指派的角色 (使用者 ID)。所有客戶資料均按照 SAP 安全政策加以保護。 • All production servers are operated in the Data Centers or in secure server rooms. Security measures that protect applications processing Personal Data are regularly checked. To this end, SAP conducts internal and external security checks and penetration tests on its IT systems. 所有生產伺服器皆於資料中心或安全無虞之伺服器機房中運作。保護處理個人資料之應用程式之安全措施接受定 期檢查。有鑑於此，SAP 於其 IT 系統上進行內外部安全檢查和滲透測試。 • SAP does not allow the installation of software that has not been approved by SAP. SAP 不允許安裝未獲 SAP 核准之軟體。 • An SAP security standard governs how data and data carriers are deleted or destroyed once they are no longer required. SAP 安全標準可管制如何刪除或銷毀不再需要的資料及資料載體。

Data Access Control. Persons entitled to use data processing systems gain access only to the Personal Data that they have a right to access, and Personal Data must not be read, copied, modified or removed without authorization in the course of processing, use and storage. 資料存取控制。有權使用資料處理系統之個人將僅對其有權存取之個人資料進行存取，並且在處理、使用、儲存過程中，未經授權不得閱讀、複製、修改或移除個人資料資料存取控制。 Measures: 措施： • As part of the SAP Security Policy, Personal Data requires at least the same protection level as “confidential” information according to the SAP Information Classification standard. 作為 SAP 安全政策之一部分，個人資料之保護程度至少應達 SAP 資訊分級標準規定之「機密」資訊等級。 • Access to Personal Data is granted on a need-to-know basis. Personnel have access to the information that they require in order to fulfill fulfil their duty. SAP uses authorization concepts that document grant processes and assigned roles per account (user ID). All Customer Data is protected in accordance with the SAP Security Policy. 在「有知情需要」的基礎上授予個人資料的存取權限。各人員可以存取用於履行職責的必要資訊。SAP 所使用的授權概念會記錄授予程序，及每個帳戶指派的角色 (使用者 ID)。所有客戶資料均按照 SAP 安全政策加以保護。 • All production servers are operated in the Data Centers or in secure server rooms. Security measures that protect applications processing Personal Data are regularly checked. To this end, SAP conducts internal and external security checks and and/or penetration tests on its IT systems. 所有生產伺服器皆於資料中心或安全無虞之伺服器機房中運作。保護處理個人資料之應用程式之安全措施接受定 期檢查。有鑑於此，SAP 於其 IT 系統上進行內外部安全檢查和滲透測試系統上進行內外部安全檢查和/或滲透測試。 • SAP does not allow Processes and policies to detect the installation of unapproved software that has not been approved by SAPon production systems. SAP 不允許安裝未獲 SAP 核准之軟體偵測在正式運作系統安裝未獲核准之軟體的程序與政策。 • An SAP security standard governs how data and data carriers are deleted or destroyed once they are no longer required. SAP 安全標準可管制如何刪除或銷毀不再需要的資料及資料載體。

Data Access Control. Persons entitled to use data processing systems gain access only to the Personal Data that they have a right to access, and Personal Data must not be read, copied, modified or removed without authorization in the course of processing, use and storage. 資料存取控制。有權使用資料處理系統之個人將僅對其有權存取之個人資料進行存取，並且在處理、使用、儲存過程中，未經授權不得閱讀、複製、修改或移除個人資料。 Measures: 措施： • As part of the SAP Security Policy, Personal Data requires at least the same protection level as “confidential” information according to the SAP Information Classification standard. 作為 // SAP 安全政策之一部分，個人資料之保護程度至少應達 SAP 資訊分級標準規定之「機密」資訊等級✰ 「セキ➦リティポリシー」✰一環として、「個人データ」には、SAP ✰「情報分類」基準に従って、少なくとも「秘密」情報と同じ保護レベルが必要である。 • Access to Personal Data is granted on a need-to-know basis. Personnel have access to the information that they require in order to fulfill fulfil their duty. SAP XXX uses authorization concepts that document grant processes and assigned roles per account (user ID). All Customer Data is protected in accordance with the SAP Security Policy. 在「有知情需要」的基礎上授予個人資料的存取權限。各人員可以存取用於履行職責的必要資訊。SAP 所使用的授權概念會記錄授予程序，及每個帳戶指派的角色 (使用者 ID)。所有客戶資料均按照 SAP 安全政策加以保護// 「個人データ」へ✰アクセスは、知る必要を基準として認められる。職員は、自身✰職務を遂行するために必要な情報へ✰アクセス権を有する。SAP は、付与✰プロセス及びアカウント（ユーザー ID）ごとに割り当てられた役割を文書化する、権限に関するコンセプトを用いる。すべて✰「顧客データ」は、「SAP セキ➦リティポリシー」に従って保護される。 • All production servers are operated in the Data Centers or in secure server rooms. Security measures that protect applications processing Personal Data are regularly checked. To this end, SAP conducts internal and external security checks and and/or penetration tests on its IT systems. 所有生產伺服器皆於資料中心或安全無虞之伺服器機房中運作。保護處理個人資料之應用程式之安全措施接受定 期檢查。有鑑於此，SAP 於其 //すべて✰本稼動サーバー✰稼動は、「データセンター」又はセキ➦リティ対策が施されたサーバールームで行われる。「個人データ」✰処理を行うアプリケーションを保護するセキ➦リティ対策は、定期的にチェックが行われている。こ✰ため、SAP では、そ✰ IT 系統上進行內外部安全檢查和滲透測試システムについて、社内外✰セキ➦リティチェック及び/又は侵入テストを実施している。 • SAP does not allow Processes and policies to detect the installation of unapproved software that has not been approved by SAPon production systems. SAP 不允許安裝未獲 SAP 核准之軟體// 未承認✰ソフトウェア✰本稼働システムへ✰インストールを検知する手順及びポリシー。 • An SAP security standard governs how data and data carriers are deleted or destroyed once they are no longer required. // SAP 安全標準可管制如何刪除或銷毀不再需要的資料及資料載體✰セキ➦リティ基準では、データ及びデータ記憶媒体が不要となった場合に、それらを削除又は破壊する方法を定めている。

Data Access Control. Persons entitled to use data processing systems gain access only to the Personal Data that they have a right to access, and Personal Data must not be read, copied, modified or removed without authorization in the course of processing, use and storage. 資料存取控制。有權使用資料處理系統之個人將僅對其有權存取之個人資料進行存取，並且在處理、使用、儲存過程中，未經授權不得閱讀、複製、修改或移除個人資料数据访问控制。 Measures: 措施： • As part of the SAP Security Policy, Personal Data requires at least the same protection level as “confidential” information according to the SAP Information Classification standard. 作為 作为 SAP 安全政策之一部分，個人資料之保護程度至少應達 安全政策的一部分，个人数据至少需要达到 SAP 資訊分級標準規定之「機密」資訊等級信息分类标准中与“保密”信息同等的保护级别。 • Access to Personal Data is granted on a need-to-know basis. Personnel have access to the information that they require in order to fulfill fulfil their duty. SAP uses authorization concepts that document grant processes and assigned roles per account (user ID). All Customer Data is protected in accordance with the SAP Security Policy. 在「有知情需要」的基礎上授予個人資料的存取權限。各人員可以存取用於履行職責的必要資訊。SAP 所使用的授權概念會記錄授予程序，及每個帳戶指派的角色 (使用者 ID)。所有客戶資料均按照 本着需者方知的原则授予访问个人数据的权限。员工有权访问履行其职责所需的信息。SAP 采用权限概念，说明授予流程和各账户分配的角色（用户标识）。依照 SAP 安全政策加以保護安全政策保障所有客户数据的安全。 • All production servers are operated in the Data Centers or in secure server rooms. Security measures that protect applications processing Personal Data are regularly checked. To this end, SAP conducts internal and external security checks and and/or penetration tests on its IT systems. 所有生產伺服器皆於資料中心或安全無虞之伺服器機房中運作。保護處理個人資料之應用程式之安全措施接受定 期檢查。有鑑於此，SAP 於其 在数据中心或安全服务器机房中操作所有生产服务器。定期检查安全措施，保护处理个人数据的应用程序。为此， SAP 对其 IT 系統上進行內外部安全檢查和滲透測試系统执行内部和外部安全检查和(或)渗透测试。 • SAP does not allow Processes and policies to detect the installation of unapproved software that has not been approved by SAPon production systems. SAP 不允許安裝未獲 SAP 核准之軟體检测生产系统上未经批准软件的安装的流程和政策。 • An SAP security standard governs how data and data carriers are deleted or destroyed once they are no longer required. SAP 安全標準可管制如何刪除或銷毀不再需要的資料及資料載體安全标准规定如何删除或销毁不再需要的数据和数据载体。

Data Access Control. Persons entitled to use data processing systems gain access only to the Personal Data that they have a right to access, and Personal Data must not be read, copied, modified or removed without authorization in the course of processing, use and storage. 資料存取控制。有權使用資料處理系統之個人將僅對其有權存取之個人資料進行存取，並且在處理、使用、儲存過程中，未經授權不得閱讀、複製、修改或移除個人資料。 Measures: 措施： • As part of the SAP Security Policy, Personal Data requires at least the same protection level as “confidential” information according to the SAP Information Classification standard. 作為 // SAP 安全政策之一部分，個人資料之保護程度至少應達 SAP 資訊分級標準規定之「機密」資訊等級✰ 「セキ➦リティポリシー」✰一環として、「個人データ」には、SAP ✰「情報分類」基準に従って、少なくとも「秘密」情報と同じ保護レベルが必要である。 • Access to Personal Data is granted on a need-to-know basis. Personnel have access to the information that they require in order to fulfill fulfil their duty. SAP uses authorization concepts that document grant processes and assigned roles per account (user ID). All Customer Data is protected in accordance with the SAP Security Policy. 在「有知情需要」的基礎上授予個人資料的存取權限。各人員可以存取用於履行職責的必要資訊。SAP 所使用的授權概念會記錄授予程序，及每個帳戶指派的角色 (使用者 ID)。所有客戶資料均按照 SAP 安全政策加以保護// 「個人データ」へ✰アクセスは、知る必要を基準として認められる。職員は、自身✰職務を遂行するために必要な情報へ✰アクセス権を有する。SAP は、付与✰プロセス及びアカウント（ユーザー ID）ごとに割り当てられた役割を文書化する、権限に関するコンセプトを用いる。すべて✰「顧客データ」は、「SAP セキ➦リティポリシー」に従って保護される。 • All production servers are operated in the Data Centers or in secure server rooms. Security measures that protect applications processing Personal Data are regularly checked. To this end, SAP conducts internal and external security checks and and/or penetration tests on its IT systems. 所有生產伺服器皆於資料中心或安全無虞之伺服器機房中運作。保護處理個人資料之應用程式之安全措施接受定 期檢查。有鑑於此，SAP 於其 //すべて✰本稼動サーバー✰稼動は、「データセンター」又はセキ➦リティ対策が施されたサーバールームで行われる。「個人データ」✰処理を行うアプリケーションを保護するセキ➦リティ対策は、定期的にチェックが行われている。こ✰ため、SAP では、そ✰ IT 系統上進行內外部安全檢查和滲透測試システムについて、社内外✰セキ➦リティチェック及び/又は侵入テストを実施している。 • SAP does not allow Processes and policies to detect the installation of unapproved software that has not been approved by SAPon production systems. SAP 不允許安裝未獲 SAP 核准之軟體// 未承認✰ソフトウェア✰本稼働システムへ✰インストールを検知する手順及びポリシー。 • An SAP security standard governs how data and data carriers are deleted or destroyed once they are no longer required. // SAP 安全標準可管制如何刪除或銷毀不再需要的資料及資料載體✰セキ➦リティ基準では、データ及びデータ記憶媒体が不要となった場合に、それらを削除又は破壊する方法を定めている。

Data Access Control. Persons entitled to use data processing systems gain access only to the Personal Data that they have a right to access, and Personal Data must not be read, copied, modified or removed without authorization in the course of processing, use and storage. 資料存取控制。有權使用資料處理系統之個人將僅對其有權存取之個人資料進行存取，並且在處理、使用、儲存過程中，未經授權不得閱讀、複製、修改或移除個人資料。 Measures: 措施： • As part of the SAP Security Policy, Personal Data requires at least the same protection level as “confidential” information according to the SAP Information Classification standard. 作為 SAP 安全政策之一部分，個人資料之保護程度至少應達 SAP 資訊分級標準規定之「機密」資訊等級。 • Access to Personal Data is granted on a need-to-know basis. Personnel have access to the information that they require in order to fulfill their duty. SAP uses authorization concepts that document grant processes and assigned roles per account (user ID). All Customer Data is protected in accordance with the SAP Security Policy. 在「有知情需要」的基礎上授予個人資料的存取權限。各人員可以存取用於履行職責的必要資訊。SAP 所使用的授權概念會記錄授予程序，及每個帳戶指派的角色 (使用者 ID)。所有客戶資料均按照 SAP 安全政策加以保護。 • All production servers are operated in the Data Centers or in secure server rooms. Security measures that protect applications processing Personal Data are regularly checked. To this end, SAP conducts internal and external security checks and penetration tests on its IT systems. 所有生產伺服器皆於資料中心或安全無虞之伺服器機房中運作。保護處理個人資料之應用程式之安全措施接受定 期檢查。有鑑於此，SAP 所有生產伺服器皆於資料中心或安全無虞之伺服器機房中運作。保護處理個人資料之應用程式之安全措施接受定期檢查。有鑑於此，SAP 於其 IT 系統上進行內外部安全檢查和滲透測試。 • SAP does not allow the installation of software that has not been approved by SAP. SAP 不允許安裝未獲 SAP 核准之軟體。 • An SAP security standard governs how data and data carriers are deleted or destroyed once they are no longer required. SAP 安全標準可管制如何刪除或銷毀不再需要的資料及資料載體。