CLOUD ADDENDUM

CLOUD ADDENDUM

1. ÁMBITO

Este apéndice Cloud se aplica al aprovisionamiento del software de xxxx xx XXXX y debe leerse junto con el contrato entre el cliente y MAPP.

2. DEFINICIONES

2.1 “Software de nube” hace referencia al software SaaS y alojado, y excluye el software en instalaciones.

2.2 “Controlador de datos” y “procesador de datos” tienen el significado definido en las leyes y normativas de protección de datos aplicables.

2.3 “Punto de demarcación” hace referencia al punto en el que el internet público se conecta al enrutador de borde xx XXXX.

2.4 “Información financiera” hace referencia a todos los datos relacionados con cuentas bancarias, tarjetas de crédito y de pago, calificaciones crediticias, saldos contables y otros aspectos monetarios de una persona u organización y, especialmente, todos los datos sujetos al estándar “Payment Card Industry Data Security Standard (PCI DSS)”.

2.5 “Fuerza mayor” hace referencia a desastres naturales, acciones gubernamentales, disturbios sociales, intervención militar, guerra, revueltas, terrorismo, huelgas, incendios u otras causas ajenas al control razonable de las partes.

2.6 “Software alojado” hace referencia a una instancia independiente del software con un único arrendatario, alojada y operada por MAPP, y a la que el cliente accede de forma remota.

2.7 “Datos de carácter personal” hace referencia a cualquier información relativa a una persona física identificada o identificable, según esté definido en las leyes de protección de datos aplicables.

2.8 “SaaS” significa “software como servicio” y hace referencia a una instancia centralizada del software que sirve a varios clientes, alojada y operada por MAPP, y a la que el cliente accede de forma remota.

2.9 “Mantenimiento programado” tiene el significado definido en la cláusula 3.3 a continuación.

2.10 “Información delicada” hace referencia a origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, pertenencia a sindicatos y datos de carácter personal relativos a la salud o a la vida sexual.

2.11 “Software” hace referencia a cualquier producto de software estándar de Marketing Applications xx XXXX cedido bajo licencia al cliente en virtud del contrato.

3. PROVISIÓN DEL SOFTWARE DE NUBE

3.1 MAPP proporcionará el software de nube para uso del cliente en un entorno de sistema protegido, alojado y operado por MAPP, y al que el cliente accede de forma remota. El software de nube no se vende como servicio al cliente. El uso del software requiere un explorador estándar acorde con las matrices de plataformas compatibles xx XXXX (disponible a petición). MAPP cumplirá todas las leyes y normativas aplicables que afecten a MAPP en lo relativo al funcionamiento y suministro del software de nube al cliente.

3.2 El uso y el acceso al software de nube estarán limitados por lo establecido en el contrato (por ejemplo, espacio de almacenamiento de datos disponible, capacidad de procesamiento o número de usuarios simultáneos). El cliente no podrá exceder las limitaciones acordadas en el contrato.

3.3 MAPP establece ventanas de mantenimiento (“mantenimiento programado”) para llevar a cabo un mantenimiento rutinario durante el cual el software puede no estar disponible. MAPP informará al cliente de cualquier mantenimiento programado con una antelación razonable (24 horas como mínimo) por correo electrónico y/o por medio del portal MAPP At Your Service. MAPP hará todos los esfuerzos comercialmente razonables para realizar el mantenimiento programado fuera del horario comercial principal (lunes a viernes, de 9 a 18 horas). El mantenimiento programado se limitará a un máximo de 8 horas por mes de calendario.

3.4 Salvo que se acuerde lo contrario en el contrato, el cliente no tendrá derecho a una dirección IP propia, un servidor físico propio o una capacidad de transmisión y un ancho xx xxxxx dedicados.

3.5 El cliente reconoce que (i) la transmisión de datos por internet implica riesgos de transmisión únicos que impiden una protección absoluta contra el acceso por parte de terceros, y el cliente acepta que MAPP no será responsable de la pérdida o el daño de los datos que se produzcan durante o como resultado de la transmisión de dichos datos a través de internet y (ii) el software de nube puede estar sujeto a la intrusión a

través de la piratería y el uso no autorizado de los nombres de usuario y las contraseñas del cliente, los cuales son responsabilidad exclusiva del cliente.

3.6 Para garantizar un procesamiento adecuado, MAPP realiza copias de seguridad del sistema de forma regular de acuerdo con los procedimientos de copia de seguridad y políticas xx XXXX (disponible a petición) vigentes en cada momento, que MAPP puede revisar de vez en cuando a su razonable discreción.

3.7 MAPP aprovecha su grupo global de expertos y recursos para proporcionar los productos y servicios al cliente en el marco del contrato. El cliente reconoce y acepta que el software y los datos (incluidos los datos de carácter personal) que residen dentro y/o son procesados por el software, pueden transferirse y alojarse de forma global y/o que MAPP puede acceder a ellos de forma global desde fuera del territorio nacional en el que están ubicados el cliente y/o MAPP para prestar los servicios xx XXXX en el marco del contrato.

3.8 MAPP tiene el derecho, aunque no la obligación, de acceder al software y de instalar y ejecutar herramientas de diagnóstico en el software a fin de (i) ajustar la configuración del software para mejorar el rendimiento y/o la seguridad del software, a condición de que dichos ajustes no perjudiquen el uso del software por parte del cliente, (ii) recoger y almacenar datos del sistema relacionados con el uso y el soporte (no datos de carácter personal) para ayudar a resolver problemas, controlar cambios, detectar fallos e informar a MAPP de dichos fallos, (iii) generar análisis estadísticos y (iv) realizar investigación y desarrollo.

4. USO DEL SOFTWARE DE NUBE

4.1 El cliente debe cumplir todas las leyes, normativas y normas de buenas prácticas del sector aplicables en relación al uso del software de nube, lo que incluye el tratamiento de datos de carácter personal a través del software de nube. El cliente es responsable de identificar e interpretar las leyes, normativas y normas de buenas prácticas del sector aplicables que afectan al uso del software de nube por parte del cliente y al rendimiento de los servicios xx XXXX para y/o en nombre del cliente. Es responsabilidad del cliente garantizar el cumplimiento de esos requisitos. El cliente debe conciliar la configuración predeterminada del software de nube con sus requisitos específicos.

4.2 El cliente deberá utilizar el software de nube exclusivamente para sus fines internos y no deberá (i) procesar material transgresor, amenazante, obsceno, difamatorio o de otra forma ilícito o malintencionado, incluyendo correo no deseado o material perjudicial para los niños o que viole los derechos de privacidad de terceros, (ii) procesar material que contenga virus de software, gusanos, troyanos o cualquier otro código informático, archivo, conjunto de instrucciones, agente o programa dañino, (iii) interferir o interrumpir intencionadamente la integridad o el funcionamiento del software de nube o (iv) intentar obtener acceso no autorizado al software de nube o a sus sistemas o redes relacionados. Tras informar al cliente, MAPP puede eliminar cualquier material o contenido que crea razonablemente que infringe esta sección.

4.3 El cliente deberá proporcionar una conectividad segura para acceder o transferir datos al software de nube. A fin de garantizar la confidencialidad e integridad de los datos del cliente alojados/procesados por el software, el cliente deberá cambiar la información de inicio de sesión tras su recepción y mantener dicha información en la más estricta confidencialidad. Con respecto a la complejidad y los periodos de cambio, la información de inicio de sesión del cliente se ajustará a los requisitos de la política de contraseñas vigente xx XXXX (disponible a petición). La información de inicio de sesión no se transferirá a ningún tercero. No se permiten las cuentas compartidas. El cliente informará inmediatamente a MAPP en caso de que la información de inicio de sesión se pierda o se vea comprometida, o si un inicio de sesión concreto deja de ser necesario.

4.4 El cliente no debe procesar información delicada y/o información financiera mediante el software de nube.

4.5 El cliente realizará una copia de seguridad de todos los datos puestos a disposición xx XXXX de forma periódica y en proporción a los riesgos.

4.6 El cliente será el único responsable de:

a) Cualquier daño sobre los datos del cliente y/o el software causados por la mala conducta, negligente o deliberada, de los empleados, asesores o agentes del cliente a los que el cliente haya proporcionado acceso al software.

b) La conducta de cualquier tercero que acceda al software utilizando las contraseñas del cliente sin que medie falta xx XXXX.

c) El incumplimiento del cliente de todas las leyes aplicables al negocio del cliente.

d) Contar con controles, herramientas y procesos de seguridad razonables para los sistemas y redes del cliente que interactúan con el software de nube.

e) Tomar sus propias medidas en cuanto a almacenamiento de copias de seguridad y capacidades informáticas y procesos de negocio alternativos para el caso en que el software de nube deje de estar disponible.

f) Determinar las instalaciones de seguridad, protección de datos y copia de seguridad de datos que resultan necesarias, de acuerdo con sus requisitos comerciales y su obligación o deber de proteger los datos.

4.7 El cliente se asegurará de que las medidas técnicas y organizativas y los controles de seguridad xx XXXX satisfacen plenamente sus requisitos comerciales y su obligación o deber de proteger los datos.

5. DISPONIBILIDAD

5.1 MAPP hará todos los esfuerzos comercialmente razonables para que el software de nube esté disponible 24 horas al día, 7 días a la semana. MAPP proporcionará para su software de nube una disponibilidad de tiempo activo mínima de al menos un 99 % durante cualquier mes calendario.

Disponibilidad de tiempo activo significa que la conexión entre los servidores en los que se encuentra alojado el software de nube y el lado del punto de demarcación xx XXXX funciona de forma ininterrumpida y el cliente puede conectarse y acceder al software de nube. La disponibilidad de tiempo activo mínima no hace referencia a los servidores de prueba y desarrollo.

5.2 MAPP mide la disponibilidad de tiempo activo de una página de prueba de disponibilidad incluida dentro del software de nube a intervalos frecuentes. El porcentaje de disponibilidad de tiempo activo de un mes de calendario concreto se calcula dividiendo el número de mediciones correctas de disponibilidad (página de prueba disponible) entre el número total de mediciones de disponibilidad del mes de calendario correspondiente, exceptuando los tiempos de exclusión (según se define a continuación). MAPP realizará la medición de la disponibilidad de tiempo activo, la cual será considerada correcta por las partes, y MAPP conservará y enviará al cliente, a petición, registros completos de sus actividades de medición de disponibilidad de tiempo activo.

Los tiempos de exclusión son aquellos momentos en los que el software de nube no está disponible debido a lo siguiente:

• Mantenimiento programado.

• Cortes o interrupciones provocados por el cliente o por terceros (excepto si esos cortes o interrupciones tienen su origen en terceros subcontratados por MAPP para realizar servicios contractuales para MAPP).

• Cortes o interrupciones atribuibles, en su totalidad o en parte, a una fuerza mayor.

5.3 Si el porcentaje real de disponibilidad de tiempo activo cae por debajo de la disponibilidad de tiempo activo mínima en un mes calendario determinado (incumplimiento de entrega del servicio), el cliente tendrá derecho a un crédito de servicio. El crédito de servicio ascenderá al 1 % de los derechos de licencia del software para el software de nube adeudados por el cliente en el mes de calendario afectado por cada 0,1 % en que el porcentaje de disponibilidad de tiempo activo caiga por debajo de la disponibilidad de tiempo activo mínima. El crédito de servicio se limitará al 25 % de los gastos aplicables al mes de calendario afectado. Los créditos de servicio se imputarán exclusivamente a facturas posteriores; no se reembolsará al cliente y se extinguirá al terminar el contrato. No se concederá un crédito de servicio a menos que el cliente lo solicite en los dos meses siguientes tras finalizar el mes de calendario afectado.

5.4 El cliente reconoce y acepta que los términos de este apéndice Cloud con respecto a los créditos de servicio, en caso de producirse un incumplimiento de entrega del servicio, constituyen una estimación previa genuina de las pérdidas o daños que el cliente sufriría como resultado de dicho incumplimiento, que serán el remedio exclusivo del cliente con respecto al incumplimiento de entrega del servicio y que no se pretende que actúen como una sanción por el incumplimiento de entrega del servicio.

6. PROTECCIÓN DE DATOS

6.1 MAPP tratará los datos del cliente exclusivamente de acuerdo con los términos del contrato y solo por mandato del cliente. MAPP no tratará los datos del cliente para fines propios. El cliente siempre será y permanecerá como el controlador de datos, mientras que MAPP será un procesador de datos.

6.2 El cliente y MAPP serán responsables por separado de cumplir las normativas legales de protección de datos que les sean aplicables. El cliente proporcionará a MAPP las instrucciones que razonablemente le solicite MAPP para satisfacer sus obligaciones en virtud del contrato. El cliente reconoce que MAPP depende del cliente para obtener instrucciones acerca de la medida en la que MAPP tiene derecho a tratar los datos del cliente. En consecuencia, MAPP no será responsable de las reclamaciones de un interesado ante cualquier acto u omisión por parte xx XXXX, en la medida en que esa acción u omisión proceda directamente de las instrucciones del cliente. Sin perjuicio de lo anterior, MAPP no estará obligada a seguir las instrucciones del cliente si, al hacerlo, se requieren servicios adicionales o que MAPP incurra en gastos adicionales, salvo que el cliente haya aceptado pagar a MAPP por dichos gastos.

El tratamiento de datos de carácter personal incluirá las acciones que se especifiquen en el contrato. Dentro del área de responsabilidad xx XXXX, MAPP implantará y mantendrá durante la vigencia del contrato las

siguientes medidas técnicas y organizativas para proteger los datos del cliente contra el tratamiento no autorizado o ilegal y/o la pérdida accidental, destrucción o daño:

• Impedir que personas no autorizadas tengan acceso a los sistemas de tratamiento de datos de carácter personal (control de acceso físico).

• Impedir el uso sin autorización de los sistemas de tratamiento de datos de carácter personal (control de acceso lógico).

• Garantizar que las personas con derecho a utilizar un sistema de tratamiento de datos de carácter personal solo accedan a los datos personales a los que tienen derecho, de acuerdo con sus permisos de acceso, y que en el curso del tratamiento o uso y después del almacenamiento, los datos de carácter personal no se puedan leer, copiar, modificar o suprimir sin autorización (control de acceso a datos).

• Garantizar que los datos de carácter personal no se puedan leer, copiar, modificar o suprimir sin autorización durante la transmisión electrónica, el transporte o el almacenamiento en medios de almacenamiento, y que sea posible establecer y verificar las entidades destinatarias de cualquier transferencia de datos de carácter personal por medio de instalaciones de transmisión de datos (control de transferencia de datos).

• Garantizar el establecimiento de un registro de auditoría para documentar qué datos de carácter personal se han introducido, modificado o eliminado de los sistemas de tratamiento de datos de carácter personal y por parte de quién (control de entrada).

• Garantizar que los datos de carácter personal procesados se tratan exclusivamente de acuerdo con las instrucciones del controlador (control de instrucciones).

• Garantizar que los datos de carácter personal están protegidos contra su destrucción accidental o pérdida (control de disponibilidad).

• Garantizar que los datos de carácter personal recopilados para diferentes propósitos se pueden tratar de forma independiente (control de separación).

Hay disponible más información a petición. El cliente está obligado a verificar que las medidas de seguridad adoptadas son adecuadas para sus necesidades de protección concretas en cuanto a la susceptibilidad, confidencialidad y urgencia de los datos procesados por MAPP.

6.3 Cualquiera de las partes informará a la otra tan pronto como sea posible tras tener conocimiento de una infracción de datos en el software que afecte a los datos del cliente. Las partes deberán coordinarse entre sí para investigar la infracción de datos y MAPP acepta cooperar razonablemente con el cliente en el tratamiento del asunto por parte del cliente, incluyendo, aunque sin limitarse a ello, lo siguiente: (i) asistir en cualquier investigación, (ii) facilitar entrevistas con empleados xx XXXX y otras personas implicadas en el asunto y (iii) proporcionar todos los registros, grabaciones, archivos, informes de datos y otros materiales necesarios para cumplir con las leyes, normativas y normas del sector aplicables. Tan pronto como sea posible, cada parte hará los esfuerzos necesarios para evitar que la infracción de datos se vuelva a producir.

6.4 Si el cliente lo solicita por escrito (no más de una vez por año de calendario), MAPP completará con exactitud un cuestionario razonable de seguridad de la información proporcionado por el cliente relativo a las políticas y prácticas de protección de datos xx XXXX y al entorno de tecnologías de la información xx XXXX. Tras revisar el cuestionario, el cliente podrá presentar una solicitud por escrito con al menos 4 semanas de antelación para realizar una auditoría sobre las respuestas del cuestionario. La auditoría se llevará a cabo durante no más de 1 día en el horario comercial normal xx XXXX y sobre un programa mutuamente acordado a fin de minimizar el impacto sobre las operaciones xx XXXX. El cliente no podrá realizar más de una auditoría cada 2 años de calendario a menos que una auditoría o una respuesta del cuestionario revelen una infracción de las obligaciones xx XXXX en materia de protección de datos de acuerdo con el contrato. El cliente y sus auditores deberán cumplir los requisitos de seguridad xx XXXX relacionados con la realización de la auditoría.

6.5 Si una entidad gubernamental solicita la revelación de datos del cliente alojados por MAPP en nombre del cliente, MAPP intentará en primer lugar remitir la entidad gubernamental al cliente. No obstante, si se obliga a MAPP a responder a la solicitud, MAPP hará todos los esfuerzos razonables para informar al cliente con antelación, salvo que esté legalmente prohibido, y MAPP limitará cualquier revelación de datos a los datos que por ley esté obligada a revelar.