Common use of SEGURIDAD DE LA INFORMACIÓN Clause in Contracts

SEGURIDAD DE LA INFORMACIÓN. Sin limitar las obligaciones del Vendedor en otras partes de esta Orden, el Vendedor implementará salvaguardas y controles de seguridad de referencia que no sean menos rigurosos de lo aceptado en las prácticas de la industria, específicamente los establecidos en la última versión publicada de (i) la Publicación Especial 800-53 del Instituto Nacional de Estándares y Tecnología (National Instiute of Standards and Technology, o (ii) o publicación de la Organización de Normalización Internacional / Comisión Electrotécnica Internacional (ISO/IEC) 27001, con el fin de proteger la Información Confidencial del Comprador, cualquier otro dato del Comprador o su personal, y los sistemas del Comprador (todo lo anterior se conoce colectivamente como "Datos y Sistemas del Comprador"). Tras un aviso razonable al Vendedor, el Comprador tendrá derecho a revisar las políticas, procesos, controles y resultados del Vendedor de las revisiones internas y/o externas de los procesos y controles asociados con los Datos y Sistemas del Comprador (colectivamente, "Procesos y Controles del Vendedor") antes y durante la ejecución de esta Orden, incluso inmediatamente en cualquier momento después de cualquier incidente de seguridad incurrido por el Vendedor que pueda afectar los Datos y Sistemas del Comprador. Tras el descubrimiento de cualquier incidente de seguridad, el Vendedor deberá informar al Comprador dentro de las veinticuatro (24) horas siguientes sobre el incidente y la naturaleza de su impacto en los Datos y Sistemas del Comprador. Además, el Comprador bajo su propio costo tendrá derecho a realizar, o mandar hacer por un tercero independiente, una auditoría in situ de los Procesos y Controles del Vendedor. En lugar de una auditoría en el sitio, a petición del Comprador, el Vendedor acepta completar, dentro de los veinte (20) días posteriores a la recepción, un cuestionario de auditoría proporcionado por el Comprador con respecto al programa de seguridad de la información del Vendedor. El Vendedor implementará las medidas de seguridad requeridas según lo identificado por el Comprador o las auditorías del programa de seguridad de la información.

SEGURIDAD DE LA INFORMACIÓN. Sin limitar Aunque sea de un defecto del Cliente, especialmente en los siguientes casos: • deterioro de la aplicación; • mala utilización de las obligaciones terminales por el Cliente o por su clientela, falta, negligencia, omisión o fallo de su parte, del Vendedor no respeto de los consejos dados; • divulgación o utilización ilícita de la contraseña suministrada confidencialmente al Cliente; • falta, negligencia u omisión de un tercero sobre el que CAMROD no tiene ningún poder de control o vigilancia; • demanda de la interrupción temporal o definitiva del servicio expedida por una autoridad administrativa o judicial competente, o notificación de un tercero en otras partes sentido de esta Ordenla Ley de Protección de Datos; • destrucción total o parcial de las informaciones transmitidas o almacenadas a consecuencia de los errores imputables directamente o indirectamente al Cliente. CAMROD no es ni será responsable de las actuaciones que puedan realizar las personas o entidades que gestionen o que participen de prestaciones de servicios distintos a los gestionados directamente por CAMROD, aunque lo hagan en nombre de CAMROD. CAMROD se reserva el Vendedor implementará salvaguardas y controles ejercicio de cuantas acciones legales le asistan en defensa de sus legítimos derechos e intereses, en caso de que la actuación de cualquier tercero pueda causarle algún tipo de daño o perjuicio. CAMROD no efectúa ninguna copia de seguridad de referencia los datos alojados, salvo contratación expresa y por escrito en factura de este servicio. Incumbe al Cliente adoptar todas las medidas necesarias para salvaguardar los datos en caso de pérdida o deterioro de los datos confiados, cualquiera que sea la causa, incluyendo aquellos no sean menos rigurosos autorizados expresamente por los presentes. CAMROD realizará copias de lo aceptado seguridad esporádicas, para comprobar el buen funcionamiento del sistema, del contenido de los servidores donde la persona contratante tenga alojada su web. Estas en las prácticas ningún momento tiene carácter periódico ni una temporalidad periódica, salvo, en el caso de contratación de este servicio. CAMROD en ningún caso será responsable de la industria, específicamente perdida de información o de la posible interrupción del sitio web de la persona contratante o de cualquier perjuicio derivado de la pérdida de estos datos. CAMROD no garantiza en ningún momento la reposición total de los establecidos en datos debido a que el tiempo transcurrido entre la última versión publicada copia y el borrado de (i) la Publicación Especial 800-53 del Instituto Nacional los datos, éstos hayan podido cambiar. La persona contratante es el único responsable de Estándares sus datos y Tecnología (National Instiute of Standards and Technologytener por tanto las copias necesarias para su posible restauración en caso de pérdida. La persona contratante manifiesta que realizará por su cuenta y riesgo sus propias copias de seguridad para que, o (ii) o publicación en caso de producirse una pérdida, pueda realizarse el proceso de recuperación de la Organización información de Normalización Internacional / Comisión Electrotécnica Internacional (ISO/IEC) 27001, con forma correcta. CAMROD incluye en el fin servicio de proteger la Información Confidencial del Comprador, cualquier otro dato del Comprador o su personal, y los sistemas del Comprador (todo lo anterior se conoce colectivamente como "Datos y Sistemas del Comprador"). Tras un aviso razonable al Vendedor, el Comprador tendrá derecho a revisar alojamiento las políticas, procesos, controles y resultados del Vendedor restauraciones de las revisiones internas y/o externas de los procesos y controles asociados con los Datos y Sistemas del Comprador (colectivamente, "Procesos y Controles del Vendedor") antes y durante la ejecución de esta Orden, incluso inmediatamente en cualquier momento después de cualquier incidente de seguridad incurrido por el Vendedor que pueda afectar los Datos y Sistemas del Comprador. Tras el descubrimiento de cualquier incidente copias de seguridad, el Vendedor deberá informar al Comprador dentro que pudiera tener en su poder de las veinticuatro (24) horas siguientes sobre el incidente y la naturaleza realizadas en las tareas de su impacto en los Datos y Sistemas del Comprador. Además, el Comprador bajo su propio costo tendrá derecho a realizar, o mandar hacer por un tercero independiente, una auditoría in situ mantenimiento de los Procesos y Controles del Vendedor. En lugar de una auditoría en el sitiosistemas, que puedan resultar necesarias sea la incidencia imputable a petición del Comprador, el Vendedor acepta completar, dentro de los veinte (20) días posteriores CAMROD o a la recepción, un cuestionario de auditoría proporcionado por el Comprador persona contratante sin garantizar tal y como se describe en esta cláusula que esa restauración sea llevada a cabo con respecto al programa de seguridad de la información del Vendedor. El Vendedor implementará las medidas de seguridad requeridas según lo identificado por el Comprador o las auditorías del programa de seguridad de la informaciónéxito.

SEGURIDAD DE LA INFORMACIÓN. Sin limitar las obligaciones del Vendedor en otras partes de esta la presente Orden, el Vendedor implementará salvaguardas y controles de seguridad de referencia que no sean menos rigurosos de lo aceptado en que las prácticas de la industriaaceptadas en el sector, específicamente los establecidos en concreto las establecidas en la última versión publicada de (i) la Publicación Especial 800-53 del Instituto Nacional de Estándares y Tecnología (National Instiute of Standards and TechnologyTecnología, o (ii) o publicación de la Organización de Normalización Internacional / Comisión Electrotécnica Internacional (ISO/IEC) IEC 27001, con el fin de proteger la Información Confidencial del Comprador, cualquier otro dato del Comprador o de su personal, y los sistemas del Comprador (todo lo anterior se conoce denominado colectivamente como "Datos y Sistemas del Comprador"). Tras un Previo aviso razonable al Vendedor, el Comprador tendrá derecho a revisar las políticas, los procesos, los controles y los resultados del Vendedor de las revisiones internas y/o externas de los procesos y controles asociados con los Datos a l o s D a t o s y Sistemas del Comprador S i s t e m a s d e l C o m p r a d o r (colectivamente, denominados colectivamente "Procesos y Controles del Vendedor") antes y durante la ejecución de esta Ordendel presente Pedido, incluso inmediatamente en cualquier momento después de cualquier incidente de seguridad incurrido sufrido por el Vendedor que pueda afectar a los Datos y Sistemas del Comprador. Tras el descubrimiento de cualquier incidente de seguridad, el Vendedor deberá informar informará al Comprador dentro Comprador, en un plazo de las veinticuatro (24) horas siguientes sobre el horas, del incidente y de la naturaleza de su impacto en los Datos y Sistemas del CompradorS i s t e m a s d e l C o m p r a d o r . Además, el Comprador bajo su propio costo tendrá derecho a realizar, o mandar hacer por a encargar a un tercero independiente, una auditoría in situ de los Procesos y Controles del Vendedor. En lugar de una auditoría en el sitioin situ, a petición del Comprador, el Vendedor acepta completarcumplimentar, dentro en el plazo de los veinte (20) días posteriores a la desde su recepción, un cuestionario de auditoría proporcionado por el Comprador en relación con respecto al el programa de seguridad de la información del Vendedor. El Vendedor implementará aplicará todas las medidas de seguridad requeridas según lo identificado salvaguardas necesarias identificadas por el Comprador o por las auditorías del programa de seguridad de la información.

SEGURIDAD DE LA INFORMACIÓN. Sin limitar las obligaciones del Vendedor en otras partes de esta Orden, el Vendedor implementará salvaguardas y controles de seguridad de referencia que no sean menos rigurosos de lo aceptado en las prácticas de la industria, específicamente los establecidos en la última versión publicada de (i) la Publicación Especial 800-53 del Instituto Nacional de Estándares y Tecnología (National Instiute of Standards and Technology, o (ii) o publicación de la Organización de Normalización Internacional / Comisión Electrotécnica Internacional (ISO/IEC) 27001, con el fin de proteger la Información Confidencial del Comprador, cualquier otro dato del Comprador o su personal, y los sistemas del Comprador (todo lo anterior se conoce colectivamente como "Datos y Sistemas del Comprador"). Tras 20.1 El Proveedor deberá tener un aviso razonable al Vendedor, el Comprador tendrá derecho a revisar las políticas, procesos, controles y resultados del Vendedor de las revisiones internas y/o externas de los procesos y controles asociados con los Datos y Sistemas del Comprador (colectivamente, "Procesos y Controles del Vendedor") antes y durante la ejecución de esta Orden, incluso inmediatamente en cualquier momento después de cualquier incidente de seguridad incurrido por el Vendedor que pueda afectar los Datos y Sistemas del Comprador. Tras el descubrimiento de cualquier incidente de seguridad, el Vendedor deberá informar al Comprador dentro de las veinticuatro (24) horas siguientes sobre el incidente y la naturaleza de su impacto en los Datos y Sistemas del Comprador. Además, el Comprador bajo su propio costo tendrá derecho a realizar, o mandar hacer por un tercero independiente, una auditoría in situ de los Procesos y Controles del Vendedor. En lugar de una auditoría en el sitio, a petición del Comprador, el Vendedor acepta completar, dentro de los veinte (20) días posteriores a la recepción, un cuestionario de auditoría proporcionado por el Comprador con respecto al programa marco de seguridad de la información del Vendedor. El Vendedor implementará las medidas de seguridad requeridas según lo identificado por el Comprador o las auditorías del programa propio que incluya, pero no limitado a, políticas de seguridad de la información, estándares y procesos, así como la gobernanza respectiva en línea con las Buenas Prácticas de Seguridad para proteger la confidencialidad, integridad y disponibilidad de contenido. 20.2 El Proveedor deberá asegurarse de que su personal conozca y cumpla con su política, sus estándares y sus procesos de seguridad de la información, incluso mediante entrenamientos regulares obligatorios; garantizando así la idoneidad y competencias para el manejo de la información de YUNEX. 20.3 El Proveedor deberá asegurarse de que cualquier información confidencial que sea compartida entre las partes estará protegida en alineación con los niveles de protección más fuertes basados en su política de seguridad de la información y las buenas prácticas de seguridad. Asimismo, deberá asegurar que el contenido no se pierda, destruya o altere y no sea accedido, ni se divulgue a otras personas no autorizadas mientras esté bajo su control o de cualquiera de sus subcontratistas. 20.4 El Proveedor designará contactos competentes para YUNEX con respecto a la privacidad de los datos (si corresponde) y la seguridad de la información. 20.5 A petición de YUNEX, el Proveedor deberá contribuir en las reuniones pertinentes ad hoc de Information Security (ISEC) o de forma periódica, según lo acordado entre ambas partes. 20.6 El Proveedor deberá asegurarse de que el intercambio de información se dé con base en el nivel de protección que corresponda según sus Buenas Prácticas de Seguridad y sólo se presente si su contenido es relevante para el objeto y ejecución del contrato. 20.7 El Proveedor deberá borrar cualquier contenido de YUNEX tan pronto como ya no sea necesario su almacenamiento en relación con el objeto y ejecución del presente contrato, tanto de sistemas de tecnologías de la información (computadores, bases de datos, etc) y/o medios extraíbles (CD’s, DVD’s, memorias USB y discos) y/o documentos físicos destruidos de forma apropiada mediante destructoras de papel (trozos pequeños). 20.8 El Proveedor deberá implementar tecnologías y procedimientos para minimizar el riesgo de acceso no autorizado a sistemas de IT relacionados con el objeto y ejecución del contrato de acuerdo con las Buenas Prácticas de Seguridad, teniendo en cuenta el concepto de autorización y siguiendo los principios de segregación de funciones, necesidad de conocimiento y menor privilegio. Asimismo, tendrá que deshabilitar los accesos a las personas que ya no estén autorizadas para acceder a la información de YUNEX y revisar y verificar regularmente los privilegios de acceso para todo su personal relevante. 20.9 El Proveedor se compromete a cifrar la información transmitida y almacenada para la ejecución del contrato de acuerdo con las Buenas Prácticas de Seguridad, cuyos certificados criptográficos sólo se aceptarán xx xxxxxxx confiables. 20.10 El Proveedor se compromete a minimizar y mitigar los riesgos en los sistemas de IT tales como virus, software malicioso, entre otros; mediante la instalación de programas de software licenciados que cuenten con soporte del fabricante permanentemente actualizados, sistemas de antivirus, contraseñas fuertes, detección y remediación de vulnerabilidades de seguridad en los sistemas de IT y eliminación de cualquier medida que ponga en riesgo la seguridad de la información. 20.11 El Proveedor deberá monitorear y documentar, por los medios apropiados, su propio cumplimiento y el de sus subcontratistas con las obligaciones de seguridad de la información y protección de datos, las excepciones y los incidentes de seguridad en relación con el objeto del contrato. 20.12 El Proveedor deberá garantizar que los eventos de seguridad se registren alineados con las Buenas Prácticas de Seguridad y que serán revisados o monitoreados de manera periódica por el Proveedor, para identificar acciones inusuales y de seguridad de la información por los usuarios, administradores o cuentas técnicas. 20.13 EL Proveedor deberá establecer procesos y procedimientos de gestión de incidentes para tomar todas las medidas razonables necesarias para detectar, investigar y remediar cualquier Incidente de Seguridad, incluido el desastre. El Proveedor notificará a YUNEX de inmediato, y en ninguna circunstancia en un tiempo superior a dos días, en caso de que descubra o razonablemente sospeche que ha ocurrido un Incidente de Seguridad. El Proveedor deberá proporcionar a YUNEX información sobre los detalles del incidente de seguridad y sobre cualquier medida que pueda implementar YUNEX para mitigar los efectos que el incidente de seguridad pueda tener en el contenido, interfaces de infraestructura, sistemas subsiguientes y aplicaciones (como medida provisional hasta que se solucione la causa raíz). En caso de cualquier Incidente de Seguridad que pueda afectar a YUNEX, el Proveedor deberá remediar dichos incidentes inmediatamente. El derecho de YUNEX a reclamar daños y perjuicios no se verá afectado. El Proveedor cooperará plenamente con YUNEX en la investigación de un incidente de seguridad y, a su propio costo, asistirá y cooperará con YUNEX en relación con las notificaciones o divulgaciones legalmente requeridas a las personas afectadas y/o autoridades gubernamentales. 20.14 El Proveedor autoriza a YUNEX para realizar auditorías (por sí mismo o contratando un tercero independiente) de la siguiente naturaleza: a) Regulares: no más de una vez por año calendario. b) Basadas en incidentes, en caso de violaciones de seguridad o sospecha razonable de los requerimientos de ISEC x xx xxx. Dichas auditorías pueden incluir solicitar información escrita, confirmaciones y documentación o realizar visitas en sitio a los centros de datos donde se almacena y procesa el contenido y entrevistas en sitio con empleados del Proveedor que operan en la ejecución y objeto del contrato. El Proveedor deberá soportar de manera integral a YUNEX al respecto, en particular acompañando las medidas de auditoría en sitio y proporcionando declaraciones propias y certificados de terceros. 20.15 El Proveedor debe remediar todos los hallazgos de auditoría en un tiempo razonable y en relación con su gravedad según lo establecido en los informes relacionados y sin costo alguno para YUNEX. Asimismo, deberá proporcionar una hoja xx xxxx que describa el calendario de remediación oportuna después del conocimiento de los hallazgos. 20.16 El Proveedor utilizará para todo sistema de TI relevante para la ejecución del contrato monitoreo de la disponibilidad, así como soluciones de respaldo y recuperación y plan de recuperación de desastres de TI definido, documentado y regularmente probado de acuerdo con las Buena Prácticas de Seguridad. El Proveedor debe tener y probar regularmente un plan de continuidad de negocio para garantizar los requisitos de disponibilidad de los bienes y/ o servicios en caso de un incidente de seguridad. 20.17 El Proveedor deberá almacenar la información y contenidos y ejecutar el contrato sólo desde instalaciones (por ejemplo, centros de datos, centros de operaciones, fábricas) que protejan su confidencialidad, integridad y disponibilidad de acuerdo con las Buenas Prácticas de Seguridad. Esto incluye, entre otros, mecanismos adecuados de control de acceso físico, así como medidas de protección contra amenazas ambientales (por ejemplo, agua, fuego, vandalismo). 20.18 En caso de incumplimiento de los requerimientos de ISEC por parte del Proveedor, YUNEX podrá notificar por escrito de manera predeterminada. Si el Proveedor no ha podido remediar dicho incumplimiento dentro de los 30 días posteriores a la fecha de notificación, XXXXX puede terminar el contrato con efecto inmediato. 20.19 El Proveedor deberá transferir al propietario de la información de YUNEX o a un tercero designado por YUNEX todos los contenidos relevantes en un formato acordado, siempre y cuando la relación comercial se disuelva. Todo el contenido de YUNEX (incluidas las copias y los borradores) que residan en los sistemas del proveedor o sus subcontratistas deberán ser eliminados en su totalidad y permanentemente una vez que haya sido validado por XXXXX como transferido satisfactoriamente (con su confirmación). Además, el Proveedor devolverá una vez completada la cooperación (a menos que se acuerde lo contrario) todos los activos proporcionados por YUNEX para el objeto y ejecución del contrato.