Índice 0
Índice
Índice 0
PRIMERA: Definiciones 3
SEGUNDA: Servicios de VÍNTEGRIS 4
TERCERA: Obligatoriedad de las Condiciones Generales 5
CUARTA: Proceso de contratación 6
QUINTA: Limitaciones del solicitante 7
SEXTA: Regulación de los servicios nebulaSUITE 7
SÉPTIMA: Tarifas, facturación y forma de pago 7
OCTAVA: Vigencia 9
NOVENA: Terminación de los servicios 10
DÉCIMA: Licencia de uso de Software 11
DÉCIMA PRIMERA: Garantía 12
DÉCIMA SEGUNDA: Limitación de responsabilidad y exclusión de garantías 14
DÉCIMA TERCERA. Obligaciones del Cliente 15
DÉCIMA CUARTA: Propiedad intelectual 16
DÉCIMA QUINTA: Marcas del Cliente 17
DÉCIMA SEXTA: Protección de Datos Personales 18
Tratamiento de datos para proporcionar los Servicios nebulaSUITE al Cliente 18
Tratamiento de datos de contacto de nuestros Clientes 18
Retención y Eliminación de Datos 20
DÉCIMA SÉPTIMA: Modificaciones 20
DÉCIMA OCTAVA: Integridad 21
DÉCIMA NOVENA: Documentación 21
VIGÉSIMA: Notificaciones 21
VIGÉSIMA PRIMERA: Legislación aplicable y jurisdicción 22
VIGÉSIMA SEGUNDA: Cese de operaciones 22
VIGÉSIMA TERCERA: Fuerza mayor 22
VIGÉSIMA CUARTA: Totalidad de las Condiciones Generales 23
ANEXO I 24
Términos Específicos de los Servicios nebulaSUITE 24
1. Términos nebulaUSERS 24
2. Términos nebulaACCESS 24
3. Términos nebulaID 24
4. Términos nebulaCERT 28
5. Términos nebulaSIGN 28
6. Términos nebulaSNE 28
7. Términos nebulaDISCOVER 28
ANEXO II 29
Acuerdos de Nivel de Servicios (SLA) 29
Definiciones 29
Soporte 29
Alcance detallado de coberturas de Soporte Plus 34
Detalle de tareas incluidas en Soporte Plus 35
Evolución del Servicio 36
Disponibilidad del Servicio 37
Frecuencia de las actualizaciones 37
Exclusiones del SLA 37
ANEXO III 38
Acuerdo de Tratamiento de Datos (“ATD”) de los servicios nebulaSUITE de Víntegris 38
DEFINICIONES 38
TÉRMINOS 40
SECCIÓN I 40
Cláusula 1. Finalidad y ámbito de aplicación 40
Cláusula 2. Invariabilidad xxx xxxxxx de cláusulas 40
Cláusula 3. Interpretación 40
Cláusula 4. Jerarquía 41
SECCIÓN II. OBLIGACIONES DE LAS PARTES 41
Cláusula 5. Descripción del tratamiento o tratamientos 42
Cláusula 6. Obligaciones de las partes 42
Cláusula 7. Obligaciones del responsable del tratamiento 45
Cláusula 8. Xxxxx al responsable del tratamiento 46
Cláusula 9. Notificación de violaciones de la seguridad de los datos personales 46
SECCIÓN III. DISPOSICIONES FINALES 48
Cláusula 10. Incumplimiento de las cláusulas y resolución del contrato 48
Cláusula 11. Responsabilidad e indemnización 48
Cláusula 12. Legislación aplicable a este ATD 49
Cláusula 13. Resolución de disputas con los interesados o las autoridades de supervisión 49
v3.6.1- Agosto 2023 Página 1 | 61
ANEXO I. Lista de partes 50
Como Responsable del Tratamiento: 50
Como Encargado del tratamiento: 50
ANEXO II. Descripción del tratamiento 51
Categorías de interesados cuyos datos personales se tratan 51
Categorías de datos personales tratados 51
Datos de categoría especial: 52
Naturaleza del tratamiento 52
Finalidad del tratamiento de los datos personales por cuenta del responsable del tratamiento 53
Duración del tratamiento 53
ANEXO III. Medidas técnicas y organizativas para garantizar la seguridad de los datos 55
ANEXO IV. Lista de subencargados 64
v3.6.1- Agosto 2023 Página 2 | 61
PRIMERA: Definiciones
Acuerdo de Nivel de Servicio: Cláusulas o particularidades del contrato suscrito entre las partes o recogidas en las presentes Condiciones Generales que desarrollen y estipulen los servicios de manera objetiva en cuanto a nivel y calidad que serán aplicables.
Aplicaciones ajenas / software de terceros: Aplicaciones de terceros que pueden interactuar con el software de VÍNTEGRIS.
Cliente: Persona física o jurídica, debidamente representada, que contrata los Servicios de nebulaSUITE prestados por VÍNTEGRIS. El Cliente manifiesta, salvo pacto en contrario, que es el propietario de los equipos en los que se utiliza la aplicación o tiene autorización para utilizarlos. Asimismo, manifiesta que cuenta con las facultades suficientes para vincular a la entidad jurídica que representa para vincularla a la documentación de VÍNTEGRIS y las presentes Condiciones Generales, de manera que el uso y el pago de esos servicios serán prueba suficiente del perfeccionamiento de los contratos y de actuar con la representación suficiente para vincular a la empresa que representa.
Partner: Empresa que cumple con los requisitos para participar como revendedor de soluciones de VÍNTEGRIS, quien actúa en nombre propio, con su propia organización y en relación directa con los Clientes que consumen las soluciones y servicios de VÍNTEGRIS.
Condiciones Generales: Se refiere a las presentes condiciones generales, aplicables en todo caso al Servicio, y sus anexos.
Condiciones Particulares: Se refiere a las condiciones particulares que estipulan, en su caso, los detalles personalizados del Servicio y los servicios auxiliares acordados entre VÍNTEGRIS y el Cliente.
Datos del Cliente: Aquellos Datos introducidos por el Cliente que serán recopilados de manera sistemática y accesible de manera individual por VÍNTEGRIS.
Equipos: Ordenadores, tablets, smartphones, y cualesquiera otras máquinas electrónicas capaces de almacenar información y tratarla para el correcto desarrollo del software o aquellos equipos que interaccionan con el servicio de VÍNTEGRIS.
Licencia: Derechos concedidos por VÍNTEGRIS al Cliente en los términos y condiciones recogidos en el contrato pertinente y que engloban, entre otros, los límites a copiar, instalar, utilizar, mostrar y ejecutar el software.
Programa Complementario: Es cualquier herramienta o componente de software que pertenezca o sea licenciado por VÍNTEGRIS, y que VÍNTEGRIS ponga a Su disposición para la descarga como parte de los Servicios en la Nube a efectos de facilitar Su acceso, operación y/o uso con el Entorno de Servicios. No incluye Tecnología de Terceros con Licencia por Separado.
v3.6.1- Agosto 2023 Página 3 | 61
Propuesta económica: En ella se incluyen las especificaciones del servicio contratado por el Cliente, incluyendo el número de usuarios que pueden acceder a los Servicios contratados.
Servicio SaaS: Software como servicio (Software as a Service). Son servicios prestados a través de internet por VÍNTEGRIS a favor del Cliente, en relación al uso del servicio contratado, a través de la plataforma de Servicios SaaS y dentro de la infraestructura de computación en la nube.
Solicitante: Persona física que a los efectos de estas Condiciones Generales actúa en nombre y representación del Cliente, y que SOLICITA a VÍNTEGRIS, la prestación del servicio nebulaSUITE.
Usuario: Persona autorizada por el Cliente para utilizar el Software de VÍNTEGRIS.
VÍNTEGRIS: Es la empresa VÍNTEGRIS, SLU, con domicilio en Xxxxx Xxxxxxx 00, xxxxxx 0, xxxxxxx 00, 00000 Xxxxxxxxx, Xxxxxx, y CIF X-00000000, e inscrita en el Registro Mercantil de Barcelona.
SEGUNDA: Servicios de VÍNTEGRIS
El Solicitante, persona física que a los efectos de estas Condiciones Generales actúa en nombre y representación del Cliente, SOLICITA a VÍNTEGRIS, la prestación del servicio nebulaSUITE. nebulaSUITE incluye los siguientes servicios:
Nombre del servicio | Descripción |
nebulaUSERS | Servicio de gestión de usuarios |
nebulaID | Servicio de emisión de certificados |
nebulaCERT | Servicio de gestión centralizada de certificados |
nebulaACCESS | Servicio de autenticación dinámica multifactor |
nebulaSIGN | Servicio portafirmas |
nebulaSNE | Servicio de gestión de notificaciones electrónicas |
nebulaDISCOVER | Servicio de descubrimiento de certificados digitales |
v3.6.1- Agosto 2023 Página 4 | 61
Los servicios indicados son prestados por VÍNTEGRIS en modalidad SaaS tras su selección por el Cliente o licenciatario, utilizando diversas aplicaciones informáticas propiedad de VÍNTEGRIS ubicadas en una plataforma tecnológica a la que el Cliente tendrá acceso, una vez concedidas las pertinentes licencias de uso.
TERCERA: Obligatoriedad de las Condiciones Generales
Estas Condiciones Generales de la Contratación de Servicios (“Condiciones Generales”), sin perjuicio de los documentos listados en la Cláusula Sexta, regulan el uso de la totalidad de los servicios nebulaSUITE.
Las “Condiciones Generales” aplicables en cada caso para cada Cliente corresponden a la última versión que el Cliente acepta y firma en el momento de la contratación inicial/renovación de la suscripción al servicio. En su defecto aplicarán las Condiciones Generales publicadas en la web, vigentes en el momento de la contratación/renovación.
Esta versión de las “Condiciones Generales” será aplicable y vigente durante el tiempo de suscripción contratado o renovado (12 meses por defecto).
VÍNTEGRIS se reserva el derecho a modificar, de forma periódica y a su sola discreción las Condiciones Generales, siendo estas nuevas Condiciones actualizadas de aplicación en la próxima renovación de la suscripción del Cliente, teniendo en cuenta lo indicado en el párrafo anterior y con excepción de las indicaciones descritas en la cláusula Décima séptima.
El Cliente acepta y se obliga a realizar un uso correcto de los servicios nebulaSUITE, de acuerdo con todas las leyes aplicables de la Unión Europea y de España, así como con las correspondientes reglamentaciones, reglas, avisos, criterios, informes y normas técnicas que resulten procedentes (denominadas de forma colectiva “Leyes”), y conforme a las reglas de la buena fe, de orden público y contenidas en las Condiciones Generales, sin perjuicio del orden de prelación establecido en la cláusula Vigésima Cuarta.
Las presentes Condiciones Generales se instrumentan con sujeción a las Leyes, a sus propios pactos, y a la declaración de prácticas de confianza (DPC) vigente en el momento de la prestación de cada servicio, y que se puede encontrar actualizada en la dirección internet xxxxx://xxx.xxxxxxxxx.xxx/
v3.6.1- Agosto 2023 Página 5 | 61
CUARTA: Proceso de contratación
Para la contratación del Servicio, el Solicitante deberá firmar la hoja de aceptación incluida en la propuesta económica, donde se declara la aceptación de las Condiciones Particulares y Condiciones Generales adjuntas en la propuesta económica.
Una vez que esté firmada la documentación correspondiente, VÍNTEGRIS le dará al Cliente acceso a la Plataforma.
La conclusión del proceso de contratación se sujeta a la comprobación de los datos facilitados por parte de VÍNTEGRIS. Una vez perfeccionada la contratación, VÍNTEGRIS le enviará al Cliente una Carta de Confirmación de Compra por correo electrónico que contendrá los datos de contratación de la suscripción. Además, salvo en el caso de las renovaciones, VÍNTEGRIS le enviará al Cliente por correo electrónico un documento llamado "Welcome Info (WI)", que incluirá las instrucciones de acceso a la plataforma, el periodo de vigencia de la suscripción, el identificador de Usuario para su acceso y la dirección de correo electrónico del Cliente donde se le hará llegar el link para el restablecimiento de su contraseña.
Cabe destacar que las fechas de inicio y fin de la suscripción (periodo de vigencia) serán las indicadas en el documento “Welcome Info (WI)”, la fecha de inicio coincidirá con la fecha de activación del entorno y fecha a partir de la cual la suscripción queda contratada, hasta la fecha fin, que es la fecha máxima contratada. Estas fechas serán las que se tomarán como referencia para tener en cuenta la caducidad de la suscripción y renovación de ésta.
La contraseña que establezca el usuario es única, personal e intransferible. Será obligación del Cliente hacer un uso diligente y mantener en secreto sus contraseñas u otras credenciales. En consecuencia, el Cliente es responsable de la adecuada custodia y confidencialidad de cualesquiera identificadores y/o contraseñas y se compromete a no ceder su uso a terceros, ya sea temporal o permanente, ni a permitir su acceso a personas ajenas. Será responsabilidad del Cliente la utilización de los Servicios por cualquier tercero ilegítimo que emplee a tal efecto una contraseña a causa de una utilización no diligente o de la pérdida de esta por el Usuario. En virtud de lo anterior, es obligación del Cliente notificar de forma inmediata a VÍNTEGRIS cualquier hecho que permita el uso indebido de los identificadores y/o contraseñas, tales como el robo, extravío, o el acceso no autorizado a los mismos, con el fin de proceder a su inmediata cancelación. Mientras no se comuniquen tales hechos, VÍNTEGRIS quedará eximida de cualquier responsabilidad que pudiera derivarse del uso indebido de los identificadores o contraseñas por terceros no autorizados.
Es recomendable modificar dicha contraseña de forma periódica y no utilizar la misma para varios servicios.
v3.6.1- Agosto 2023 Página 6 | 61
QUINTA: Limitaciones del solicitante
El Solicitante, en el momento de solicitar los servicios nebulaSUITE y de conformidad con la legislación vigente, ha sido informado de las instrucciones precisas para la utilización de los servicios, de las limitaciones de uso y de la forma en que limita su posible responsabilidad VÍNTEGRIS, así como de la habilitación suficiente de VÍNTEGRIS, y de los procedimientos de resolución de litigios pertinentes, y las acepta de forma expresa y sin reserva alguna, a los efectos de lo indicado en los artículos 5 y 7 de la Ley 7/1998, de 13 xx xxxxx, sobre condiciones generales de la contratación.
SEXTA: Regulación de los servicios nebulaSUITE
Los servicios nebulaSUITE se encuentran regulados específicamente por la siguiente documentación del servicio, que se incorpora plenamente al contrato: 1º) Propuesta Económica y las Condiciones Particulares que incorpore ésta. 2º) Las presentes Condiciones Generales. 3º) El Anexo I “Términos Específicos de los Servicios nebulaSUITE”. 4º) Anexo II “Acuerdos de Nivel de Servicios (SLA)”. 5º) Anexo III “DPA, Acuerdo de Tratamiento de Datos,”.
SÉPTIMA: Tarifas, facturación y forma de pago
El Cliente abonará el importe correspondiente a los servicios a que se refieren estas Condiciones Generales de acuerdo con el listado de tarifas aprobado por VÍNTEGRIS en cada momento, y cuyo valor actual se indica en la Propuesta Económica aprobada por ambas partes con anterioridad al inicio de la prestación de los servicios nebulaSUITE. Sin perjuicio de lo que puede aparecer en el listado de tarifas, el precio que deberá pagar el Cliente es el que aparezca en la Propuesta Económica.
Los precios de los servicios contratados por el Cliente se encuentran en la Propuesta Económica, así como los detalles de los servicios y tecnologías contratadas por el Cliente.
En el caso de que el Cliente realice la contratación de los servicios mediante un partner de VÍNTEGRIS, VÍNTEGRIS facturará al Partner el importe correspondiente indicado en la Propuesta Económica aprobada por ambas partes con anterioridad al inicio de la prestación de los servicios nebulaSUITE.
El Partner abonará el importe correspondiente según condiciones de pago establecidas en la Propuesta Económica.
v3.6.1- Agosto 2023 Página 7 | 61
En estos casos, VÍNTEGRIS no será responsable de los compromisos que el Partner haya adquirido directamente con el Cliente, solamente responderá según los servicios acordados y contratados por el Partner para el Cliente.
Cada año que se renueve la suscripción, el precio de dicha suscripción podrá aumentar si el Índice de Precios de Consumo (IPC) aumenta. Por lo tanto, cada año el precio de la suscripción se actualizará de conformidad con el IPC. Pero, en caso de que el IPC fuese inferior a 0 (cero) se mantendrá el precio fijado por las partes en la Propuesta Económica.
No obstante, VÍNTEGRIS se reserva el derecho de aumentar los precios de las subscripciones de sus productos, que puede ser debido, inter alia, a aumentos de costes más allá del IPC, compensar por nuevas funcionalidades añadidas, costes de modificaciones impuestas por normativa o a ampliación de los servicios incluidos en las subscripciones. Si VÍNTEGRIS vislumbra tal aumento, VÍNTEGRIS notificará al Cliente con 60 días de antelación a la fecha de renovación de las subscripciones afectadas y el Cliente podrá decidir si renueva o termina sus subscripciones.
La forma de pago y los hitos de facturación se recogen en la Propuesta Económica.
Todos los pagos se harán en euros (€), a menos que se indique lo contrario en la Propuesta Económica.
VÍNTEGRIS facturará al Cliente conforme a lo siguiente:
a. Facturación Estándar
1. Se facturará el 100% de la Tecnología y Servicios (estos hasta 5 jornadas), tras la puesta a disposición del Cliente (activación del entorno / envío de “Welcome Info”)
b. Facturación Especial. Los hitos e importes de facturación son los siguientes:
1. 100% de la Tecnología, tras la puesta a disposición del Cliente (activación del entorno / envío de “Welcome Info”).
2. 50% de los Servicios, al inicio del proyecto. El 50% restante a la finalización tras la aprobación del Cliente (cuando superior a 5 jornadas).
En el caso de que el Cliente realice la contratación de los servicios mediante un Partner de VÍNTEGRIS , las políticas relativas a facturación y pago indicadas anteriormente aplicarán directamente al Partner.
Si el Cliente no atendiera el pago total o parcial de las cantidades adeudadas transcurrido el plazo de un mes desde la fecha de vencimiento de factura acordado, VÍNTEGRIS podrá previo
v3.6.1- Agosto 2023 Página 8 | 61
aviso al Cliente suspenderle temporalmente el servicio. La restricción del servicio afectará a los servicios respecto a cuyo pago se haya incurrido en xxxx, pudiendo llegar a afectar a otros servicios dependientes. La suspensión temporal no exime al Cliente de la obligación de continuar con el pago de las cuotas periódicas fijas correspondientes.
VÍNTEGRIS podrá igualmente suspender o cancelar la prestación del Servicio en el caso de que:
a. El Cliente incumpla cualquiera de las obligaciones a su cargo conforme a las presentes Condiciones Generales o a las Condiciones Particulares aplicables en su caso;
b. haya facilitado datos falsos o incorrectos en la solicitud de alta en el Servicio;
c. VÍNTEGRIS considere y/o tenga indicios razonables de que a través del Servicio pudieran llevarse a cabo actividades ilícitas, ilegales, contrarias al orden público y/o a las buenas costumbres o contrarias a lo estipulado en las propias Condiciones Generales.
El retraso en el pago por un periodo superior a 2 meses o la suspensión temporal del contrato en dos ocasiones por xxxx en el pago de cualquiera de los servicios contratados, darán derecho a VÍNTEGRIS a la interrupción definitiva de todos los servicios contratados y a la correspondiente resolución del contrato, previa notificación al Cliente con 10 días hábiles de antelación, indicando la fecha en la que tendrá lugar la misma.
Las políticas relativas a la suspensión y la cancelación de los servicios por falta de pago se aplicarán igualmente para los supuestos de que su contratación se haya realizado a través de partners de VÍNTEGRIS, y se hubiera delegado en él tanto la facturación como su pago, y éste no atendiera a su pago.
El Partner podrá solicitar a VÍNTEGRIS la desactivación por separado de cada Suscripción activa y dependiendo de la Solución, el Cliente tendrá un acceso limitado o nulo a la Solución. VÍNTEGRIS no será responsable en modo alguno ante el Cliente por la desactivación de la Suscripción del Cliente por parte del Partner.
OCTAVA: Vigencia
Excepto en lo relativo a las cláusulas 9, 10, 11, 12 y 17, la vigencia de estas Condiciones Generales será la correspondiente al servicio prestado y esta figurará en el documento WI o en su defecto en la confirmación de compra. Las restantes cláusulas mantendrán su vigencia mientras no expiren los plazos legalmente establecidos en cada caso, o, en caso de no estar establecidos, mientras no prescriban o caduquen las acciones legales que pueda ejercer VÍNTEGRIS frente a Cliente o terceros.
v3.6.1- Agosto 2023 Página 9 | 61
NOVENA: Terminación de los servicios
Los Servicios en virtud del presente Contrato serán prestados durante el Periodo de Servicios definido en el documento WI o en su defecto en la confirmación de compra, salvo suspensión o terminación anticipada de conformidad con estas Condiciones Generales o la Propuesta Económica.
Terminación anticipada sin causa justificada. El Cliente puede elegir cancelar su suscripción de forma anticipada, en el momento que lo desee, pero no recibirá ninguna devolución de tarifas pagadas anteriormente y deberá abonar inmediatamente todas las tarifas impagas que adeude hasta finalizar el Plazo de suscripción. En este caso, el servicio quedará activo hasta la fecha de vencimiento inicialmente definida, con la excepción de que el Cliente nos indique expresamente la desactivación de la cuenta.
Terminación anticipada por causa justificada. Cualquiera de las partes puede poner fin a la prestación de los Servicios por causa justificada de la siguiente manera: (i) con previo aviso de treinta (30) días a la otra parte de que se ha cometido una infracción importante, siempre que dicha infracción no se haya solucionado al finalizar el periodo. En este caso, VÍNTEGRIS se reserva el derecho del acceso al servicio, se desactivará inmediatamente el Servicio SaaS al Cliente y terminar la licencia de uso del software relacionado con los Servicios terminará; todo ello sin perjuicio de cualquier derecho de acceso en relación con los datos de carácter personal, conforme dispone la cláusula 16 de estas Condiciones Generales.
También, VÍNTEGRIS podrá terminar la prestación de los Servicios por causa justificada con previo aviso de treinta (30) días si VÍNTEGRIS determina que el Cliente está actuando (o ha actuado) de una manera que se refleje negativamente sobre VÍNTEGRIS o afecte a VÍNTEGRIS o a sus prospectos o Clientes.
En cualquiera de los casos anteriormente mencionados, si es VÍNTEGRIS quien declara la finalización de los servicios por infracción o actuación indebida por parte del Cliente, éste no recibirá ninguna devolución de tarifas pagadas anteriormente y deberá abonar inmediatamente todas las tarifas impagas que adeude hasta finalizar el Plazo de suscripción.
A excepción de estos motivos, el Servicio no podrá terminar antes de la finalización del Plazo de suscripción.
Terminación dentro de plazo de suscripción. En caso de que el Cliente desee la no renovación del servicio de suscripción, éste deberá notificarlo mínimo con un mes de antelación a la fecha de suscripción actual, en caso contrario el Cliente puede estar obligado al pago de cargos por cancelación y el resto de las condiciones que se especifican en este apartado cancelación.
v3.6.1- Agosto 2023 Página 10 | 61
Si cancela los Servicios, estos terminarán en la fecha final del periodo de Servicio actual o, si VÍNTEGRIS carga facturas en su cuenta de manera periódica, al final del periodo en que realizó la cancelación.
Para cancelar los Servicios debe ponerse en contacto con su gestor Comercial o comunicarlo a la dirección xxxxxxxxxxxx@xxxxxxxxx.xxx.
Debe tener en cuenta que estará obligado a pagar todos los cargos efectuados en su cuenta de facturación por los Servicios hasta la fecha de finalización de la suscripción.
DÉCIMA: Licencia de uso de Software
A menos que vaya acompañado de un contrato de licencia independiente entre VÍNTEGRIS y el Cliente, todo software que le proporcione VÍNTEGRIS como parte de los Servicios está sujeto a estos Términos:
a. Se concede una licencia temporal, onerosa, no exclusiva, intransferible, conforme a lo establecido en las presentes Condiciones Generales y, en su caso, las Condiciones Particulares por el derecho de reproducción a efectos del derecho de uso en relación con la modalidad de servicio nebulaSUITE contratado, a cambio del pago de la tarifa establecida en la Cláusula 7.
El software o el sitio web que forma parte de los Servicios puede incluir código de terceros. Todo script o código perteneciente a terceros, vinculado con el software o el sitio web o al que se haga referencia desde estos, se le concede bajo licencia por parte de los terceros propietarios de tal código y no por parte de VÍNTEGRIS. Las notificaciones que puedan incluirse en este documento relativas al código de terceros solo son con fines informativos.
b. VÍNTEGRIS se reserva todos los derechos sobre el software que VÍNTEGRIS no conceda expresamente en virtud de los presentes Términos. Esta licencia no concede ningún derecho con respecto a lo siguiente; específicamente, el licenciatario no puede realizar lo siguiente si no se le autoriza, por escrito, por VÍNTEGRIS:
i. Eludir ni omitir las medidas técnicas de protección que el software o los Servicios contengan ni que estén relacionadas con ellos;
ii. Desensamblar, descompilar, descifrar, emular, aprovechar una vulnerabilidad o aplicar técnicas de ingeniería inversa, todo o parte del software ni de otro aspecto de los Servicios que se incluya en ellos o esté accesible a través de ellos, sin previo permiso por escrito de VÍNTEGRIS, excepto y únicamente en la medida en que dicha actividad esté expresamente permitida por la Ley de propiedad intelectual aplicable;
v3.6.1- Agosto 2023 Página 11 | 61
iii. Copiar, modificar, crear obras derivadas, ni intentar de otra forma extraer el código fuente del Software ni ninguno de los Servicios de VÍNTEGRIS;
iv. Sublicenciar, transferir, reproducir o distribuir cualquiera de los Servicios;
v. Vender, revender o poner los Servicios y/o el Software a disposición de un tercero de cualquier otra forma como parte de una oferta comercial que no tenga un valor material independiente de los Servicios;
vi. Reproducir, distribuir, vender, transformar, publicar, comunicar públicamente, alquilar, arrendar ni transmitir a ninguna persona o entidad, parcialmente o en su totalidad, en ninguna forma, ni por ningún medio, ya sea mecánico, magnético, por fotocopia o cualquier otro, sin permiso previo por escrito de VÍNTEGRIS, el software.
vii. Separar los componentes del software o los Servicios para utilizarlos en distintos dispositivos;
viii. Publicar, copiar, alquilar, arrendar, vender, exportar, importar, distribuir o dar en préstamo el software o los Servicios;
ix. Transmitir el software, las licencias de software ni los derechos para acceder a los Servicios o utilizarlos;
x. Utilizar los Servicios de un modo no autorizado que pueda interferir con su uso por parte de cualquier otra persona o con su acceso a servicios, datos, cuentas o redes o de cualquier otro modo que no resulte conforme a la Ley aplicable;
xi. Permitir el acceso a los Servicios o la modificación de dispositivos autorizados por VÍNTEGRIS por parte de aplicaciones de terceros no autorizadas;
xii. Crear “enlaces” telemáticos con los servicios descritos en el presente Acuerdo, ni adaptar o duplicar ningún contenido del Software en ningún otro servidor ni dispositivo inalámbrico;
xiii. Acceder al producto o servicios objeto de las presentes Condiciones Generales a fin de crear un producto o servicio competitivo, o crear un producto utilizando ideas, características, funciones o gráficos similares a los de los servicios previstos en el mismo.
Sólo se permite el acceso al Servicio a aquellas personas que dispongan de la contraseña, bajo la responsabilidad del Cliente, y el Servicio estará limitado al número de usuarios que corresponda según los Servicios contratados por el Cliente y conforme a lo descrito en la Propuesta Económica.
DÉCIMA PRIMERA: Garantía
Los servicios Saas están compuestos por elementos de diferentes causas contractuales, por un lado, la derivada de la licencia de software y por otro, la derivada de su despliegue en infraestructura cloud.
1.- Respecto de los cumplimientos defectuosos derivados del software de VÍNTEGRIS:
VÍNTEGRIS garantiza que: (i) prestará los Servicios en todos sus aspectos sustanciales tal como se describe en las presentes Condiciones y las Condiciones Particulares; (ii) prestará los
v3.6.1- Agosto 2023 Página 12 | 61
Servicios de manera profesional de conformidad con las presentes Condiciones y las Condiciones Particulares; y (iii) no introducirá deliberadamente ningún virus ni otras formas de código malicioso en el servicio.
En la medida en que la ley lo permita, los Servicios de VÍNTEGRIS se suministran «tal como están» sin ningún tipo de garantía o condición adicional a la establecida en el párrafo anterior.
Si los Servicios prestados al Cliente no fueran prestados conforme a la anterior garantía, el Cliente deberá notificar por escrito a VÍNTEGRIS de ello describiendo la deficiencia en los Servicios.
En los primeros 5 días se hará un diagnóstico por parte de VÍNTEGRIS de las razones técnicas del cumplimiento defectuoso en la prestación de sus servicios conforme a estas Condiciones Generales y a las Condiciones Particulares.
En el caso de que el restablecimiento del servicio se pudiera hacer en menos de 10 días, VÍNTEGRIS hará todos los esfuerzos comercialmente razonables para corregir la situación, y propondrá las medidas técnicas alternativas al Cliente para minimizar los posibles daños que pudieran afectar al Cliente.
De no ser posible prestar los servicios conforme a la garantía anterior dentro de los 15 días desde la notificación del cumplimiento defectuoso, VÍNTEGRIS propondrá las medidas técnicas alternativas al Cliente para minimizar los posibles daños que pudieran afectar al Cliente. Dentro de los sesenta (60) días a partir de la fecha de notificación de incumplimiento, cualquiera de las partes puede poner fin a los Servicios enviando un aviso por escrito a la otra.
La devolución de las cantidades prepagadas desde el momento del incumplimiento de la garantía será la RESPONSABILIDAD DE VÍNTEGRIS convirtiendo dicha cantidad en la indemnización máxima por daños y perjuicios que el Cliente pueda reclamar y exigir de VÍNTEGRIS, siempre que no sea atribuible a negligencia grave o dolo de VÍNTEGRIS.
2.- Respecto de los cumplimientos defectuosos derivados de la disponibilidad de la infraestructura cloud.
En este sentido, forma parte indisoluble de este contrato el Anexo II donde se desarrollan los términos de los acuerdos de nivel de Servicio (SLA) que ofrece VÍNTEGRIS a sus Clientes.
v3.6.1- Agosto 2023 Página 13 | 61
DÉCIMA SEGUNDA: Limitación de responsabilidad y exclusión de garantías
Cualquier responsabilidad por parte de VÍNTEGRIS por el incumplimiento con el nivel de servicio conforme a lo establecido en el ANEXO II solo será concedida si VÍNTEGRIS fue responsable del incumplimiento.
En particular, VÍNTEGRIS no se hace responsable de:
a. Ninguna indisponibilidad, suspensión o terminación de cualquiera de los servicios, o cualquier otro problema de desempeño de estos: (i) que resulte de una suspensión; (ii) causada por factores ajenos al control razonable de VÍNTEGRIS, incluyendo cualquier evento de fuerza mayor o acceso a Internet o problemas relacionados más allá de su punto de demarcación; (iii) que resulte de cualquier acción u omisión por parte del Cliente o de un tercero; (iv) que resulte de personal del Cliente, software o cualquier otra tecnología y/o equipo, software o tecnología de un tercero (distinto de un equipo de terceros que esté bajo el control directo de VÍNTEGRIS); (v) que resulte de una suspensión y terminación del derecho a usar los servicios por parte del Cliente de conformidad con el contrato de servicio;
(vi) que afecte a entornos de prueba, desarrollo, preproducción o entornos con finalidades comerciales; (vii) que resulte de su omisión en seguir las instrucciones de VÍNTEGRIS; o (viii) aquello que resulte de su equipo, software u otra tecnología y/o equipos, software u otra tecnología de terceros (que no sean equipos de terceros que estén bajo el control directo de VÍNTEGRIS.
b. La modificación del servicio de VÍNTEGRIS por parte de cualquier otra persona, o la modificación por parte de VÍNTEGRIS de dicho servicio de conformidad con las especificaciones o instrucciones proporcionadas por el Cliente.
c. Los contenidos, incluidos los vínculos a sitios web de terceros y las actividades proporcionadas por los usuarios. Tales contenidos y actividades no son atribuibles a VÍNTEGRIS ni representan la opinión de VÍNTEGRIS.
d. Compensar ningún daño, directo o indirecto, que sea consecuencia del uso del servicio de una manera que infrinja la Ley o las presentes Condiciones Generales.
e. El incumplimiento o el retraso en la ejecución de sus obligaciones conforme a las presentes Condiciones Generales en la medida en que dicho incumplimiento o retraso deriven de circunstancias que excedan el control razonable de VÍNTEGRIS (por ejemplo, conflictos laborales, fenómenos naturales, guerras o actividades terroristas, daño malintencionado, accidentes o cumplimiento de la legislación aplicable o disposición gubernamental). VÍNTEGRIS trabajará para minimizar los efectos de tales eventos y cumplir sus obligaciones que no se vean afectadas por ellos.
f. La indisponibilidad, suspensión o terminación de cualquiera de los servicios contratados, o cualquier otro problema de desempeño como resultado del mantenimiento preventivo y correctivo que realice VÍNTEGRIS conforme al apartado “Evolución del servicio” descrito en el Anexo II, siempre y cuando este sea comunicado con antelación al Cliente.
v3.6.1- Agosto 2023 Página 14 | 61
VÍNTEGRIS solo será responsable si se infringen dolosamente las obligaciones materiales del Contrato o cuando lo exija la legislación aplicable.
Adicionalmente, a menos que así lo acuerde por escrito, VÍNTEGRIS no estará obligada a realizar modificación alguna a sus sistemas o servicios para adecuarlos a requisitos operativos exigidos por ninguna necesidad regulatoria o de negocio del Cliente.
Ninguna de las partes será responsable por cualquier daño indirecto, incidental, especial, punitivo o consecuencial, o por cualquier pérdida de beneficios, ingresos (excluyendo las tarifas debidas en virtud del presente Acuerdo), datos o uso de datos.
La responsabilidad total de VÍNTEGRIS por cualquier daño derivado de, o de cualquier otra forma relacionado con este Acuerdo, tanto contractual como extracontractual o de otra naturaleza, quedará limitada al importe de las tarifas que se hayan satisfecho a VÍNTEGRIS por los Servicios regulados en el contrato que da origen a la responsabilidad durante el periodo de doce (12) meses inmediatamente anterior al hecho que diera lugar a dicha responsabilidad, menos cualesquiera reembolsos o créditos que se hubiera recibido de VÍNTEGRIS en virtud del contrato, siempre que no sea atribuible a negligencia grave o dolo de VÍNTEGRIS.
DÉCIMA TERCERA. Obligaciones del Cliente
El Cliente deberá:
a. Velar por el mantenimiento de la instalación para el correcto acceso a los servicios y, si es el caso, adaptarla a la evolución tecnológica de los servicios contratados.
b. Cumplir con las instrucciones de VÍNTEGRIS y las que se señalen en la documentación que le provea, si procede.
c. Abonar la contraprestación económica acordada en la Propuesta Económica.
d. Facilitar el correcto desempeño de las actividades por parte de VÍNTEGRIS.
e. No facilitar sus cuentas de usuario y acceso a terceros. El Cliente será responsable del uso diligente y debido del acceso al Servicio y/o Software contratados.
f. Se asegurará de que el uso que él y sus Usuarios Finales hagan de los Servicios, incluido todo el uso que se haga de los Datos del Cliente, así como el acceso a ellos, cumple con lo dispuesto en las presentes Condiciones Generales, que actuarán de manera diligente en el uso de los servicios y no serán utilizados para la realización de cualquier actividad contraria a las leyes, la moral o el orden público ni a utilizar los servicios con fines fraudulentos,
v3.6.1- Agosto 2023 Página 15 | 61
ilícitos, prohibidos o que puedan causar lesiones en los intereses de terceros, declinando VÍNTEGRIS, cualquier responsabilidad que, de estas actuaciones, se deriven.
g. Que los datos que ingrese a la plataforma sean legales y que esté debidamente autorizado para tenerlos y tratarlos.
h. Poner en conocimiento de VÍNTEGRIS cualquier hecho o situación que hubiera ocurrido que pudiera poner en riesgo la seguridad en el acceso por parte de usuarios autorizados.
i. Queda prohibido forzar fallos o buscar brechas de seguridad en la plataforma, sin autorización expresa por parte de VÍNTEGRIS.
j. No someter a la plataforma a cargas de trabajo que vayan claramente orientadas a la desestabilización de la misma, encontrándose entre éstas ataques de denegación de servicios (DDoS) o situaciones semejantes. En caso de detectarse este tipo de situaciones, el nivel de servicio anteriormente indicado, no será de aplicación, siendo considerada una situación de emergencia.
k. El Cliente se compromete a suspender de inmediato las Contraseñas de cualquier persona en el caso de que: (a) deje de ser considerada como Usuario, (b) si el Cliente ya no desea tener acceso a los Servicios o (c) si el Cliente reconoce o considera haber provocado la infracción por parte del Cliente de estos Términos o en el caso de efectuar un mal uso de una Contraseña. En el caso de que VÍNTEGRIS considerara que un Usuario pueda haber provocado la infracción por parte del Cliente de las presentes Condiciones Generales o siempre que se efectúe un mal uso de la Contraseña, VÍNTEGRIS podrá, según su propio criterio, suspender el uso de dicha Contraseña indefinidamente, además de cualquier otro derecho o recursos previstos según las presentes Condiciones Generales o en virtud de la ley.
l. Observar las restricciones establecidas en las cláusulas relativas a la licencia y a la Propiedad Intelectual.
m. El Cliente será responsable frente a VÍNTEGRIS y cualquier tercero de buena fe, por cualesquiera daños que resulten de la infracción, por su parte, de cualquiera de las obligaciones establecidas en estas Condiciones Generales o Particulares.
DÉCIMA CUARTA: Propiedad intelectual
Sin perjuicio de lo establecido en la cláusula NOVENA, cualquier programa informático (Software) suministrado, así como toda su documentación y/o información relativa al mismo, es propiedad exclusiva de VÍNTEGRIS o, en su caso, de los Proveedores de Software de VÍNTEGRIS.
v3.6.1- Agosto 2023 Página 16 | 61
Corresponden a VÍNTEGRIS o a sus Proveedores de Software todos los derechos de propiedad intelectual y de copyright sobre el Programa, la documentación, así como sobre cualquier otro trabajo, programa y/o producto que resultara entregado por VÍNTEGRIS al Cliente en cumplimiento del presente Acuerdo.
El Cliente se abstendrá de borrar, modificar o alterar de cualquier otra forma las menciones de reserva de derechos a favor del licenciante, así como, entre otros, el nombre, logotipo o marca que identifique a esta última entidad en toda aquella documentación que se facilite en cualquier soporte en el contexto del presente Acuerdo de los acuerdos aplicables según la Cláusula Sexta.
DÉCIMA QUINTA: Marcas del Cliente
Mediante la aceptación de las presentes Condiciones Generales, el Cliente autoriza a VÍNTEGRIS el uso de su/s marca/s y logo/s (en adelante, las “Marcas”) con el único fin de utilizarlo en las presentaciones comerciales para hacer referencia a que es Cliente de VÍNTEGRIS.
A tal efecto, y dada autorización explicita, el Cliente faculta a VÍNTEGRIS para que pueda insertar y comunicar sus Marcas en todo soporte y material publicitario y de apoyo conforme a lo previsto.
El Cliente autoriza la disposición y configuración de sus Marcas para que estas aparezcan en la forma y lugar adecuados a su imagen, sin que se puedan alterar colores, formas, símbolos o gráficos.
Así, VÍNTEGRIS se compromete a (i) no alterar, desfigurar o mutilar de ninguna manera la/s Marca/s; (ii) no utilizar la/s Marca/s de manera que perjudique/n el prestigio o imagen del Cliente; (iii) respetar aquellas indicaciones razonables que le transmita el Cliente en relación con el uso de la/s Marca/s para su protección y mantenimiento de su fuerza distintiva, renombre y homogeneidad.
El uso que VÍNTEGRIS realice de la/s Marca/s durante la ejecución del acuerdo comercial entre ambas partes no significa en ningún caso que VÍNTEGRIS, adquiera derecho alguno sobre ella/s.
El Cliente, siempre tendrá la opción de prohibir a VÍNTEGRIS el uso de sus marcas como indica esta cláusula. De optar por esta opción deberá comunicar a VÍNTEGRIS el no uso de sus marcas, tal como aquí estipulado por escrito en formato físico o electrónico.
A la terminación de la relación comercial entre el Cliente y VÍNTEGRIS, este cesará inmediatamente en la utilización la/s Marca/s.
v3.6.1- Agosto 2023 Página 17 | 61
DÉCIMA SEXTA: Protección de Datos Personales
VÍNTEGRIS respeta y aplica el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 xx xxxxx de 2016 (“RGPD”) y otra legislación vigente en materia de protección de datos personales que sea de aplicación en el país donde se lleva a cabo el tratamiento.
VÍNTEGRIS utilizará y tratará los datos personales, recabados como consecuencia de la relación precontractual o contractual existente entre las partes únicamente, con las siguientes finalidades: (a) para proporcionar los Servicios al Cliente de acuerdo con las instrucciones documentadas del Cliente, (b) para cumplir y responder de las obligaciones contractuales, y (c) para llevar a cabo operaciones comerciales y administrativas que sean incidentales a la prestación de los Servicios al Cliente.
Tratamiento de datos para proporcionar los Servicios nebulaSUITE al Cliente
Los términos de esta sección se aplican a los Datos del Cliente tratados en todos los Servicios nebulaSUITE, que se rigen por estas Condiciones Generales de Servicio.
VÍNTEGRIS lleva a cabo el tratamiento de estos datos como encargado del tratamiento al único efecto de prestar el servicio contratado y asegurar el funcionamiento de la plataforma nebulaSUITE.
Este encargo de tratamiento se ejecutará de acuerdo con el Acuerdo de Tratamiento de Datos (“ATD” o “DPA” en sus siglas en inglés) que se adjunta y es parte integral de estas Condiciones de Servicio de nebulaSUITE.
Tratamiento de datos de contacto de nuestros Clientes
VÍNTEGRIS podrá acceder y trata los datos de las personas de contacto de nuestros Clientes como responsable del tratamiento con la finalidad de gestionar la relación comercial, contractual, administrativa y técnica necesaria para llevar a cabo la contratación, implantación, seguimiento, facturación y soporte técnico de los Servicios.
Las bases legales de este tratamiento son:
a. El interés legítimo de VÍNTEGRIS para mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.
v3.6.1- Agosto 2023 Página 18 | 61
b. El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales.
c. El cumplimiento de obligaciones legales aplicables al responsable del tratamiento.
d. El Cliente comunicará a VÍNTEGRIS cualquier modificación que se produzca en los datos personales facilitados con el fin de garantizar la exactitud de estos.
Los datos se conservarán mientras sean necesarios para la finalidad para la que han sido recabados o para atender posibles responsabilidades derivadas de su tratamiento. También se pueden conservar indefinidamente los datos de contacto básicos para futuras referencias.
Los datos no se comunicarán a terceros, excepto en aquellos casos en que exista una obligación legal o sea necesario comunicarlos a terceros que prestan servicios relacionados con la actividad ordinaria de VÍNTEGRIS en calidad de encargados de tratamiento.
En cualquier momento, el interesado puede realizar una solicitud para ejercer sus derechos de acceso, rectificación, supresión y portabilidad de los datos personales tratados por VÍNTEGRIS, así como los de oposición y limitación de su tratamiento.
Estos derechos podrán ser ejercidos gratuitamente por el interesado, y en su caso por quien lo represente, mediante solicitud escrita y firmada, acompañada de copia de su DNI o documento equivalente que acredite su identidad, dirigida a VÍNTEGRIS:
a. Por correo electrónico:
b. Por correo postal:
Xxxxx Xxxxxxx, 00
Planta 3
Oficina 33
08018 Barcelona
En el caso de representación, se deberá probar mediante documento escrito y adjuntando copia del documento de identidad que acredite su representación.
VÍNTEGRIS también recuerda al interesado que tiene derecho a presentar una reclamación ante la autoridad de control pertinente (Agencia Española de Protección de Datos).
v3.6.1- Agosto 2023 Página 19 | 61
Si el Cliente proporcionara datos de un tercero durante la contratación y ejecución de los servicios prestados por VÍNTEGRIS, deberá informar a los interesados previamente del contenido de esta cláusula.
Retención y Eliminación de Datos
En todo momento, durante el periodo de vigencia de su suscripción, el Cliente tendrá la capacidad de acceder a los Datos del Cliente almacenados en el Servicio nebulaSUITE, así como tendrá también la capacidad de extraerlos y eliminarlos.
El Cliente tendrá acceso a los registros de auditoría de la aplicación durante un periodo de 12 meses. VÍNTEGRIS seguirá custodiando estos registros durante más tiempo en aquellos casos en los que la legislación vigente así lo determine, pero dejaran de ser accesibles por el Cliente a través de la plataforma.
VÍNTEGRIS conservará los Datos del Cliente que sigan almacenados en los Servicios nebulaSUITE en una cuenta con funcionalidad limitada durante los sesenta (60) días siguientes a la expiración o terminación de la suscripción del Cliente, de tal modo que el Cliente pueda extraer los datos. Después del término del período de retención de sesenta (60) días, VÍNTEGRIS desactivará la cuenta del Cliente y eliminará los Datos del Cliente y Datos Personales dentro de un período de noventa (90) días adicionales, salvo que la legislación aplicable obligue a VÍNTEGRIS retener esos datos.
En los casos que por alguna razón el Cliente no disponga de ningún acceso a su cuenta, VÍNTEGRIS pondrá a su disposición mecanismos alternativos para que se pueda efectuar la extracción de los Datos del Cliente.
VÍNTEGRIS no incurrirá en responsabilidad alguna por eliminar los Datos del Cliente o Datos Personales, según se describe en esta sección.
DÉCIMA SÉPTIMA: Modificaciones
VÍNTEGRIS se reserva el derecho de modificar en cualquier momento los términos, y las condiciones de estas Condiciones Generales y/o los Anexos incluidos relacionados con el Servicio, siendo de aplicación en la próxima renovación de la suscripción de cada Cliente. Si el Cliente no acepta estas nuevas Condiciones Generales, deberá comunicar la no renovación de la suscripción.
En el caso en el que se requiera un cambio de estas Condiciones Generales, por motivos regulatorios y/o legales y estos cambios afectaran al uso de los servicios nebulaSUITE o a los derechos legales al Cliente de nuestros Servicios, VÍNTEGRIS le enviará al Cliente una notificación antes de la fecha de entrada en vigor a través de un mensaje de correo electrónico a la
v3.6.1- Agosto 2023 Página 20 | 61
dirección asociada a su cuenta. Estas Condiciones actualizadas entrarán en vigor en un plazo no inferior a 30 días a partir del momento en que le enviemos la notificación.
Si el Cliente no acepta los cambios que VÍNTEGRIS haya implementado, VÍNTEGRIS entrará en un proceso de negociación e interlocución con el Cliente para tratar de subsanar la disputa. En caso de que el Cliente decline finalmente estos cambios, se procederá a cancelar su cuenta. En los casos en los que esta medida sea aplicable, VÍNTEGRIS le ofrecerá al Cliente un reembolso prorrateado en función de los importes que ya haya pagado por los Servicios y la fecha de cancelación de su cuenta.
DÉCIMA OCTAVA: Integridad
Las cláusulas de las presentes Condiciones Generales son independientes entre sí, motivo por el cual, si cualquier cláusula es considerada inválida o inaplicable, el resto de cláusulas seguirán siendo aplicables, excepto acuerdo expreso en contrario de las partes.
DÉCIMA NOVENA: Documentación
Se hace constar expresamente que se ha entregado copia, en soporte electrónico (mediante puesta a disposición en la página web), de toda la documentación a que se refieren estas Condiciones Generales, así como un resumen de las mismas junto a la Propuesta Económica.
VIGÉSIMA: Notificaciones
Toda notificación que se efectúe entre las partes se hará por escrito y será entregada personalmente o de cualquier otra forma que certifique la recepción por la parte notificada. VÍNTEGRIS establece a efectos de notificaciones la siguiente dirección: xxxxxxxxxxxxxx@xxxxxxxxx.xxx.
Cualquier cambio de domicilio de una de las partes deberá ser notificado a la otra de forma inmediata y por un medio que garantice la recepción del mensaje.
v3.6.1- Agosto 2023 Página 21 | 61
VIGÉSIMA PRIMERA: Legislación aplicable y jurisdicción
En todo aquello, no previsto en las presentes condiciones generales, el acuerdo se regulará por la legislación española civil y mercantil. La jurisdicción competente es la que se indica en la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil. En caso de discrepancia entre las partes en relación con la interpretación o cumplimiento de las presentes Condiciones Generales, las partes intentarán la previa resolución amistosa, conforme al procedimiento establecido por VÍNTEGRIS al respecto.
Si las partes no alcanzaran un acuerdo al respecto, cualquiera de ellas podrá someter el conflicto a la jurisdicción civil, con sujeción a los Tribunales del domicilio social de VÍNTEGRIS, excepto cuando la Legislación aplicable establezca normas imperativas diferentes.
VIGÉSIMA SEGUNDA: Cese de operaciones
En el caso de que VÍNTEGRIS decida cesar sus operaciones, se realizarán todos los esfuerzos razonables para avisar al Cliente con el máximo tiempo de antelación y poner a su disposición mecanismos para la recuperación de sus datos personales y registros de auditoría.
VIGÉSIMA TERCERA: Fuerza mayor
VÍNTEGRIS no incurrirá en incumplimiento o demora de sus obligaciones en la medida de si su rendimiento se retrasa o se ve impedido por causas fuera de su control, incluyendo, sin limitación, actos ajenos a su voluntad, tales como: actos del Cliente; restricciones gubernamentales (incluida la denegación o cancelación de cualquier licencia de exportación, importación o de otro tipo; actos de terceros que no están bajo el control de VÍNTEGRIS; actos de cualquier órgano gubernamental; pandemias; guerra, hostilidad, insurrección, sabotaje o conflictos armados; embargo, incendio, inundación, huelga o cualquier otro disturbio laboral; interrupción o retraso en el transporte; la falta de disponibilidad o interrupción o retraso en telecomunicaciones o servicios de terceros; ataques de virus o hackers; errores de software de terceros (incluyendo, sin limitación, software de comercio electrónico, sistemas de pago, chat, estadísticas o scripts gratuitos); así como la imposibilidad de obtener materias primas, suministros o energía o el equipo necesario para la prestación de los Servicios.
VÍNTEGRIS empleará esfuerzos razonables para atenuar los efectos de un acontecimiento de fuerza mayor.
v3.6.1- Agosto 2023 Página 22 | 61
Si tal acontecimiento persistiera durante más de 30 días, cualquiera de las partes podrá cancelar los Servicios pendientes de prestación mediante notificación por escrito.
Esta cláusula no exime a las partes de la obligación de adoptar medidas razonables para seguir sus procedimientos normales de recuperación de desastres ni de su obligación de pagar por los Servicios.
VIGÉSIMA CUARTA: Totalidad de las Condiciones Generales
El Cliente acepta que estas Condiciones Generales y la información incorporada a las mismas en virtud de una referencia por escrito, y la propuesta económica correspondiente, constituyen la totalidad del acuerdo respecto de los Servicios que el Cliente solicite y reemplazan a todos los contratos o declaraciones anteriores o contemporáneos, sean escritos o verbales, relacionados con dichos Servicios.
Queda expresamente convenido que los términos de estas Condiciones Generales prevalecerán sobre los términos incluidos en cualquier orden de compra, portal de contrataciones en Internet o cualquier documento similar que no sea de VÍNTEGRIS, y ninguno de los términos incluidos en tal orden de compra, portal o documento similar que no sea de VÍNTEGRIS será aplicable a los Servicios solicitados.
En el caso de que los usuarios y Clientes de VÍNTEGRIS requieran realizar los pedidos a través de sus propias plataformas, las posibles condiciones de uso para dar de alta a los servicios o como proveedores no formarán parte del contenido contractual que se circunscribirá a las presentes Condiciones Generales, las cuales prevalecerán frente a otros términos previstos en las plataformas de Clientes que pudieran ser exigidas solo para tramitación del pago y de la petición de servicio a VÍNTEGRIS, aunque su firma y tramitación por VÍNTEGRIS sea posterior a la celebración del presente Contrato.
En caso de contradicción entre los términos de una Propuesta Económica y las Condiciones Generales, prevalecerán los términos establecidos en la Propuesta Económica al considerarse éstos parte de las Condiciones Particulares pactados y comprometidos entre ambas partes.
Excepto por lo autorizado en Propuesta Económica, Protección de Datos y la Cláusula de sitios web de terceros con respecto a los Servicios, las presente Condiciones Generales y las órdenes efectuadas en virtud de las mismas no pueden modificarse, y los derechos y restricciones no estarán sujetos a modificaciones o renuncias, a menos que se suscriba un documento por escrito o se acepte en línea a través de VÍNTEGRIS por los representantes autorizados de las partes. Las presentes Condiciones Generales no crean vínculos con terceros beneficiarios.
v3.6.1- Agosto 2023 Página 23 | 61
ANEXO I
Términos Específicos de los Servicios nebulaSUITE
1. Términos nebulaUSERS
1.1. Recogida de datos personales. La creación de nuevos usuarios conlleva la recogida de la siguiente información de carácter personal: nombre, apellidos, identificador de usuario, correo electrónico y teléfono (opcional). Esta información se trata conforme a lo especificado en la cláusula décima sexta de las Condiciones Generales de nebulaSUITE.
1.2. Integración con repositorio de usuarios corporativo. La información de carácter personal importada a nebulaUSERS desde los repositorios corporativos se utiliza y almacena de la misma manera que la información recogida directamente. En ningún caso se recupera de los sistemas corporativos del Cliente información que pudiese poner en riesgo la seguridad del usuario, tal como la contraseña.
1.3. Distribución de software propietario. Todo el software Cliente y/o documentación publicada en el portal nebulaUSERS sigue el modelo de licenciamiento y uso detallado en la cláusula octava de las Condiciones Generales de nebulaSUITE.
2. Términos nebulaACCESS
N/A
3. Términos nebulaID
3.1. Emisión de certificados cualificados. Para la configuración y activación de la funcionalidad de emisión de certificados cualificados de la entidad de certificación de VÍNTEGRIS en cualquiera de sus modalidades se requiere de la formalización de un contrato específico entre VÍNTEGRIS y el Cliente.
3.2. Modalidades del servicio. nebulaID es un producto que permite crear identidades digitales verificadas a partir de procesos de validación de la identidad que gozan del mismo reconocimiento legal que la personificación. En función de la naturaleza de estos procesos de validación, el producto se puede consumir en las siguientes modalidades.
v3.6.1- Agosto 2023 Página 24 | 61
○ Presencial. El operador de registro verifica presencialmente la identidad del titular del certificado.
○ Videoidentificación remota desatendida. El titular del certificado se identifica mediante tecnología de reconocimiento biométrico. El operador de registro revisa de forma desatendida las evidencias del proceso y valida que los requisitos del proceso se cumplen antes de verificar la identidad del solicitante.
La modalidad de Videoidentificación remota desatendida se ofrece siguiendo los requisitos establecidos por la legislación vigente en materia de identificación digital, tal y como establece la Orden ETD/465/2021, de 6 xx xxxx, por la que se regulan los métodos de identificación remota por vídeo para la expedición de certificados electrónicos cualificados.
En esta modalidad internamente se hace uso tanto de la tecnología propia de VÍNTEGRIS como la de otros proveedores tecnológicos.
3.3. Definición de estados del proceso de identificación y métricas de consumo.
A continuación, se detallan los distintos estados de los procesos de identificación en la modalidad de Videoidentificación remota desatendida.
○ Proceso iniciado. Solicitud de inicio de un proceso de identificación en el que se especifica el usuario solicitante y el conjunto de datos de carácter personal a verificar.
○ Videoidentificación. Proceso autónomo a través del cual el usuario solicitante proporciona las evidencias que permiten validar sus datos personales y su identidad de forma fehaciente.
○ Proceso en trámite. Revisión por parte un operador de registro del conjunto de evidencias resultantes del proceso de Videoidentificación.
○ Proceso pendiente. Solicitud por parte del operador de registro de información adicional al usuario solicitante necesaria para poder validar del proceso de forma satisfactoria.
○ Proceso aprobado. Aprobación por parte del operador de registro de todas las evidencias aportadas que permiten verificar la identidad del usuario solicitante y en aquellos casos en los que se requiera, aprobar la emisión de un certificado electrónico cualificado.
v3.6.1- Agosto 2023 Página 25 | 61
○ Proceso rechazado. Terminación del proceso al no poder cumplir con los mínimos requisitos que permiten verificar la identidad del solicitante debido a i) el conjunto de evidencias no permite garantizar la identidad del usuario, ii) el usuario no ha facilitado correctamente y/o en tiempo la información adicional requerida.
○ Error del sistema. Comportamiento irregular del producto nebulaID que impida ejecutar normalmente cualquier paso del proceso de identificación y que resulte en su terminación inesperada.
A continuación, se describen las distintas métricas de consumo asociadas a los procesos de identificación realizados en la modalidad de Videoidentificación tal y como se han descrito en este apartado.
○ Procesos contratados. (Número/paquete de video identificaciones contratadas). Conjunto de procesos aprobados dentro del periodo de suscripción contratado más el conjunto de procesos irregulares que sobrepasen el porcentaje de conversión mínimo acordado (PCMA) entre VÍNTEGRIS y el Cliente.
○ Procesos aprobados. Conjunto de procesos ejecutados de forma satisfactoria y que terminan con la obtención de una identidad verificada y en los casos en los que proceda, la emisión de un certificado electrónico cualificado.
○ Procesos irregulares. Conjunto de procesos que: i) terminan en estado Rechazado o, ii) terminan en estado aprobado, pero requieren de más de una iteración del proceso de Videoidentificación y/o solicitud de información y documentación adicional al usuario solicitante.
Los procesos contratados por el Cliente se contabilizarán, por lo tanto, de la siguiente manera:
○ Los procesos aprobados restarán 1 del número total de procesos contratados.
○ Los procesos irregulares por debajo del umbral del PCMA no restarán del número total de procesos contratados.
v3.6.1- Agosto 2023 Página 26 | 61
○ Los procesos irregulares por encima del umbral del PCMA que terminen en estado Rechazado restarán 1 del número total de procesos contratados.
○ Los procesos irregulares por encima del umbral del PCMA que terminen en estado Aprobado restarán 2 del número total de procesos contratados.
Si VÍNTEGRIS y el Cliente no acuerdan un PCMA específico, este se asumirá de un 20%.
3.4. Acuerdos de Nivel de Servicio (SLA) del servicio de Operadores de Registro de VÍNTEGRIS.
El uso de nebulaID en su modalidad de Videoidentificación remota desasistida requiere de la revisión manual de las evidencias biométricas por parte de un operador de registro, cuya disponibilidad condiciona de manera directa el tiempo de respuesta entre la realización del proceso por parte del usuario solicitante y el momento en el que se valida la identidad del usuario y se puede proseguir con la emisión del certificado electrónico cualificado o cualquier otro proceso subsiguiente.
Este tiempo de respuesta está regulado mediante un Acuerdo de Nivel de Servicio o SLA entre el Cliente y VÍNTEGRIS, que regula las condiciones límite en las que se gestiona cada petición. Este SLA se define de la siguiente manera.
○ Disponibilidad del servicio de operación de registro (Cobertura del servicio). Intervalo de tiempo en el que los operadores están disponibles para atender peticiones.
Ejemplos: 8x5, 12x7, 24x7
○ Intervalo o tiempo de resolución máximo (Tiempo de respuesta). Es el tiempo máximo que transcurre antes de la resolución de una solicitud dentro del horario de disponibilidad del servicio de operaciones. Esto incluye tanto los procesos aprobados como rechazados, tal y como se definen en el apartado 3.3.
Ejemplos: 1 hora, NBD (siguiente día laborable), 1 semana
El tiempo de resolución de una solicitud empezará a contar únicamente cuando se haya finalizado el proceso de identificación por parte del usuario solicitante y se haya adjuntado correctamente toda la documentación requerida.
○ Volumen de solicitudes procesadas (Número de video identificaciones mínimas). Número mínimo de solicitudes comprometidas a revisión por los operadores de registro dentro del intervalo de resolución máximo.
El equipo de operadores podrá procesar más peticiones según disponibilidad, siempre y cuando no colisione con el SLA acordado con otros Clientes.
v3.6.1- Agosto 2023 Página 27 | 61
VÍNTEGRIS no garantiza ningún SLA que no haya quedado claramente reflejado previamente en un acuerdo entre las dos partes. Esto incluye tanto los tiempos de respuesta por parte de la oficina de registro, como los porcentajes de conversión del proceso de videoidentificación o disponibilidad del servicio de videoidentificación .
4. Términos nebulaCERT
4.1. Uso de certificados cualificados. Es responsabilidad del Cliente realizar un uso de sus certificados digitales cualificados conforme a lo estipulado por el prestador de servicios de confianza emisor de los mismos. Las condiciones de uso de los certificados se detallan en la “hoja de aceptación” o contrato que firma el titular del certificado en el momento de su entrega, y dicho uso debe ser conforme con la Ley aplicable, incluyendo cualesquiera Leyes que regulen la autenticación de firma y la delegación de firma. VÍNTEGRIS no se responsabilizará de las consecuencias del incumplimiento del contrato entre el titular del certificado y la entidad de certificación emisora, o de cualquier uso indebido de un certificado, y su clave privada asociada, por parte de su titular.
5. Términos nebulaSIGN
5.1. Formatos de firma. nebulaSIGN permite generar los formatos de firma más comunes, entre los que se encuentran los formatos CAdES, PAdES y XAdES en sus distintas modalidades. Información detallada sobre los distintos formatos de firma reconocidos se puede consultar en el portal de la administración electrónica:
xxxx://xxxxxxxxxxxxxxxx.xxx.xx/Xxxx/Xxxxxxxxxx/Xxxxxxxx-Xxxxx.xxxx
6. Términos nebulaSNE
N/A
7. Términos nebulaDISCOVER
7.1. Recogida de datos personales. Durante el proceso de alta se realiza la recogida de la siguiente información de carácter personal: nombre, apellidos, compañía y correo electrónico. Esta información se trata conforme a lo especificado en la cláusula decimosexta de las Condiciones Generales de nebulaSUITE.
v3.6.1- Agosto 2023 Página 28 | 61
ANEXO II
Acuerdos de Nivel de Servicios (SLA)
El presente Contrato de Nivel de Servicio ("SLA") de los Servicios de nebulaSUITE es una política que rige el uso de nebulaSUITE y se aplica de manera independiente a cada servicio. En caso de conflicto entre los términos de este SLA y las Condiciones Generales, se aplican los términos y condiciones de este SLA, pero solo en la medida de tal conflicto. Los términos utilizados en el presente y no definidos aquí tendrán los significados establecidos en las Condiciones Generales.
Definiciones
○ Tasa de Error: (i) el número total de errores internos de servidor o de disponibilidad de servicio devueltos por cada servicio dividido entre (ii) el número total de solicitudes durante un período de cinco minutos. La Tasa de Error por cada cuenta nebulaSUITE y para cada servicio separadamente se calculará como un porcentaje por cada período de cinco minutos en el ciclo de facturación. El cálculo del número de errores internos del servidor o de disponibilidad del servicio no incluirá errores que surjan directa o indirectamente como resultado de cualquier exclusión del SLA de los servicios, según se define más adelante.
○ Porcentaje de Disponibilidad de Servicio Medio (PDSM): se calcula como la diferencia entre el 100% del promedio de Tasas de Errores de cada período de 5 minutos del ciclo de facturación, cualquiera que este sea.
Soporte
Víntegris pone a disposición del CLIENTE un equipo de soporte técnico compuesto por ingenieros con amplia experiencia en el ámbito de la seguridad de los sistemas de información, certificados digitales y firma electrónica con la suficiente experiencia y capacitación para ofrecer un servicio de soporte personalizado y de calidad.
El servicio de soporte está disponible a través de distintas modalidades de utilización por parte del CLIENTE: Soporte Estándar, Soporte Plus y Soporte Plus 24x7.
○ SOPORTE ESTÁNDAR - incluido por defecto y sin coste adicional con todas las suscripciones del servicio de nebulaSUITE.
El Soporte Estándar se encuentra disponible durante el período de suscripción activo, siempre que este se encuentre al corriente de pago.
v3.6.1- Agosto 2023 Página 29 | 61
● En modalidad 10x5, de lunes a viernes (excepto festivos nacionales), en horario de 8:30 – 18:30
● Incluye acceso al portal de soporte (xxxxx://xxxxxxxxx.xxxxxxx.xxx/) y al portal de recursos y documentación de nebulaSUITE
● La interacción con el equipo de soporte se inicia siempre desde el portal de soporte y se continúa, bien a través de dicho portal, bien a través de correo electrónico, o bien en sesiones colaborativas en remoto mediante teleconferencia
● La apertura de incidencias ha de realizarse siempre por un usuario técnico/administrador de nebulaSUITE en la organización del CLIENTE. No se ofrece soporte a solicitudes creadas por usuarios finales del CLIENTE.
● Se da soporte a incidencias de producto debidas a mal funcionamiento de nuestra propiedad intelectual, defectos de desarrollo, indisponibilidad de los componentes en la nube, etc.
● El Soporte Estándar no incluye, en ningún caso:
■ Soporte en la ubicación del CLIENTE
■ Diseño o desarrollo de código
■ Soporte a pruebas de integraciones, personalizaciones y/o modificaciones
■ Gestión de solicitudes de cambio o mejoras en nebulaSUITE
■ Soporte o cualquier acción sobre software de terceros incluido en los Servicios
■ Soporte a aplicaciones desarrolladas y/o de propiedad del CLIENTE
■ Soporte a incidencias causadas por cambios importantes en la configuración del Software por parte del CLIENTE
■ Errores atribuibles a la falta de diligencia o responsabilidad del CLIENTE
■ Servicios de consultoría o formación
■ Documentación personalizada
■ Responsabilidad de cambios o sustitución de hardware/software del Cliente que pueda ser necesario para utilizar correctamente la propiedad intelectual de VÍNTEGRIS debido a una solución provisional, un arreglo o una nueva versión.
Proceso a seguir para comunicar una incidencia:
○ Al notificar una nueva incidencia, el cliente deberá proporcionar a VÍNTEGRIS los siguientes datos a través del Portal de Soporte (xxxxx://xxxxxxxxx.xxxxxxx.xxx/):
● Nombre y código del CLIENTE. Es necesario disponer de código de CLIENTE para la apertura de un ticket en el Portal de Soporte
● Datos de contacto del CLIENTE: Nombre, email y teléfono de la persona de contacto
● Datos del producto afectado
v3.6.1- Agosto 2023 Página 30 | 61
● Versión del producto o módulos afectados
● Detalle del sistema/arquitectura: Versión del sistema operativo, etc.
● Descripción detallada de la incidencia
● Alcance de la afectación de la incidencia:
⎼ Entorno afectado (entorno Productivo, no Productivo o caso aislado)
⎼ Urgencia o criticidad
○ El usuario del CLIENTE responsable de la creación de una incidencia estará disponible para atender las solicitudes de información, pruebas o colaboración directa que los ingenieros de soporte puedan necesitar para el diagnóstico de la incidencia
○ Si en un periodo de 5 días laborables el CLIENTE no proporcionara los datos o resultados de pruebas requeridos por los ingenieros de soporte, o no respondiera a algún otro requerimiento, el incidente pasará a estado finalizado, aunque se dará opción de su reapertura si fuera necesario
○ El tiempo de respuesta, según la severidad de la incidencia abierta en el Soporte Estándar, es el siguiente:
Severidad | Tipo Incidentes 1 | Tiempo Max Respuesta 2 | Método Contacto |
Severidad 3 | Incidencias aisladas con afectación baja Incidencias del producto que afectan a entornos de Test, Pruebas o Pre-Producción. | 2 días laborables | Portal de soporte con seguimiento a través del portal y correo electrónico |
Severidad 2 | Incidencias del producto que no afectan a un entorno Productivo o que no tienen gran impacto ni urgencia. Incidencias del producto que impiden su uso de manera | 1 día laborable | Portal de soporte con seguimiento a través del portal y correo electrónico |
1 Tipo de Incidente: Cuando las incidencias creadas por el CLIENTE no se adapten a la descripción correspondiente a su severidad según esta tabla, el equipo de soporte podrá cambiar el nivel de severidad de acuerdo con ella a su discreción.
2 Tiempo máximo de respuesta: Es el tiempo máximo establecido durante el cual el personal de soporte de VÍNTEGRIS se pondrá en contacto con el CLIENTE, para realizar la toma de datos referente a la incidencia de producto y asignación de personal para su análisis y resolución.
v3.6.1- Agosto 2023 Página 31 | 61
esporádica o individual a los usuarios. | |||
Severidad 1 | Incidencias Críticas, que afectan a entorno Productivo con gran impacto o urgencia. | 4 horas laborables | Portal de soporte con seguimiento a través del portal y correo electrónico |
Incidencia del producto que impide llevar a cabo las funciones principales del producto en todas las estaciones de trabajo o usuarios (gran impacto). |
○ SOPORTE PLUS - disponible solo mediante contratación específica por parte del CLIENTE
Es posible contratar el Soporte Plus siempre que exista una suscripción a nebulaSUITE activa y al corriente de pago.
SOPORTE PLUS es un servicio por oferta específica de Víntegris a determinados CLIENTES bajo el criterio de Víntegris.
El servicio de Soporte Plus contratado deberá estar siempre dentro del periodo de suscripción nebulaSUITE contratado.
● El Soporte Plus incluye todas las características del Soporte Estándar y añade las siguientes prestaciones:
▪ Dispone de un portal exclusivo para el reporte de incidencias y solicitudes de Soporte Plus 3
▪ Amplía el alcance del servicio ofreciendo a: 4
⎼ Resolución de dudas de uso o funcionamiento que no quedan cubiertas por el Soporte Estándar
⎼ Apoyo directo al CLIENTE en tareas específicas de operación del servicio en sus entornos corporativos, aun no estando causadas
3 Las solicitudes de Soporte Plus se atenderán bajo el mismo SLA del soporte estándar. El plazo de resolución de estas peticiones será variable en función de la naturaleza de estas y se gestionará a través del ticket. El procedimiento a seguir para dar de alta una incidencia cubierta por el soporte estándar es el mismo que se indica más arriba para esta modalidad de soporte.
4 Consultar el apartado correspondiente para información detallada de tareas y servicios incluidos y excluidos en cada una de las categorías enumeradas
v3.6.1- Agosto 2023 Página 32 | 61
por incidencias o mal funcionamiento de nebulaSUITE o alguno de sus componentes.
⎼ Soporte directo para la actualización y configuración de
componentes on-premise del servicio, siendo responsabilidad del cliente la posterior distribución masiva de estos componentes si fuera necesaria; por ejemplo, distribución masiva del agente de nebulaCERT en los puestos de trabajo.
⎼ Soporte de dudas específicas de desarrollo de aplicaciones integradas mediante la API-REST de nebulaSUITE
○ SOPORTE PLUS 24 x 7 - disponible solo mediante contratación específica por parte del CLIENTE
Es posible contratar el SOPORTE PLUS 24x7 siempre que exista una suscripción a nebulaSUITE activa y al corriente de pago.
SOPORTE PLUS 24x7 es un servicio por oferta específica de Víntegris a determinados CLIENTES bajo el criterio de Víntegris.
El servicio de SOPORTE PLUS 24x7 contratado deberá estar siempre dentro del periodo de suscripción nebulaSUITE contratado.
● Para la prestación del servicio de SOPORTE PLUS 24x7, Víntegris pone a disposición de sus clientes un equipo formado por ingenieros de soporte e ingenieros de DevOps capacitados para el diagnóstico y resolución urgente, fuera del horario laboral, de la mayoría de las incidencias que pueden causar una indisponibilidad de un servicio crítico.
● El SOPORTE PLUS 24x7 incluye todas las características del Soporte Estándar y Soporte Plus y añade las siguientes prestaciones:
● Modalidad 24x7 a cualquier hora del día, incluyendo festivos solo para incidencias de Severidad 1
● Hotline telefónica directa para el reporte de incidencias de Severidad 1 todos los días de la semana en cualquier hora del día (24x7) 5
● Los interlocutores previamente designados del CLIENTE podrán hacer activar el soporte en modalidad 24x7 únicamente cuando estén sufriendo un problema de mal funcionamiento o indisponibilidad del servicio de nebulaSUITE o alguno de sus componentes debido a problemas técnicos originados por/en nebulaSUITE que cause que los usuarios del cliente no puedan llevar a cabo su trabajo o que éste se realice de forma deficiente e impida la realización de las funciones propias de estos usuarios de una manera global en la organización del cliente
5 Se recomienda el uso de la hotline telefónica únicamente fuera del horario laboral normal, puesto que los canales habituales ya permiten la gestión de incidencias críticas en este periodo.
v3.6.1- Agosto 2023 Página 33 | 61
● Nuestros equipos de Soporte 24x7 solicitarán al cliente la documentación adicional de la incidencia crítica a través del portal de soporte con propósitos documentales y como mecanismo de seguimiento del ciclo de vida de esta
● Si la incidencia gestionada a través del Soporte 24x7 requiere para su solución de la modificación del código de nebulaSUITE o alguno de sus componentes, esta se llevará a cabo por parte del equipo de desarrollo de Víntegris dentro del horario laboral normal
● SLA específico para solicitudes de Soporte 24x7:
Severidad | Tipo Incidentes | Tiempo Max Respuesta | Método Contacto |
Severidad 3 | Incidencias Críticas, que afectan a entorno productivo con gran impacto o urgencia. Incidencias del producto que impiden llevar a cabo las funciones principales del producto en todas las estaciones de trabajo o usuarios (gran impacto). | 2 horas | Por teléfono mediante interlocutor del CLIENTE designado previamente |
Para contratación de este servicio es necesario contactar con Víntegris.
Alcance detallado de coberturas de Soporte Plus
Mediante el servicio de Soporte Plus, Víntegris presta un servicio de ayuda y colaboración a sus clientes que va más allá del Soporte Estándar incluido por defecto con cada suscripción nebulaSUITE o alguno de sus componentes.
Está dirigido a aquellos clientes que realizan un uso intenso, funcional o frecuente, de nebulaSUITE en las organizaciones, principalmente a través de:
o Administradores de nebulaSUITE
o Propietarios de certificados en nebulaCERT
o Programadores que utilizan la API-REST
o Operadores de la Autoridad de Registro de vinCAsign a través de nebulaID
o Usuarios solicitantes de certificados de vinCAsign
Este servicio no pretende ser un servicio gestionado que sustituya la labor que cada uno de los colectivos anteriores desempeña en la organización del CLIENTE, sino una herramienta de asistencia para poder resolver dudas o llevar a cabo acciones para las que, por su carácter especializado o, sencillamente, desconocimiento, no están inicialmente capacitados.
v3.6.1- Agosto 2023 Página 34 | 61
Por ello, salvo que se determine lo contrario por el equipo de soporte, todas las acciones de servicio que se presten a través del Soporte Plus necesitarán de la colaboración activa de, al menos, la persona solicitante de la misma y las tareas necesarias para su ejecución se llevarán a cabo mediante la interacción directa entre el personal de soporte y esta persona.
Igualmente, aunque las acciones que se lleven a cabo con los solicitantes tendrán, dentro de lo posible, carácter didáctico para que el usuario solicitante pueda mejorar su capacitación en el uso de nuestra tecnología, Soporte Plus no es un servicio de formación, así como tampoco es una herramienta para crear documentación específica para los usuarios del CLIENTE.
Todas las acciones de servicio en el marco de Soporte Plus estarán limitadas por las capacidades técnicas de nebulaSUITE en el momento de prestar el servicio específico. Se indicará oportunamente si la solicitud no puede ser atendida por excederlas o estar fuera del alcance funcional de nuestra solución.
Los componentes on-premise sobre los que se requieran acciones específicas deberán utilizar versiones oficialmente soportadas; en caso de no estarlo, se coordinará con el CLIENTE la actualización de estas.
Detalle de tareas incluidas en Soporte Plus
○ Resolución de dudas de uso o funcionamiento extendidas que no quedan cubiertas por el Soporte Estándar.
● Atender cualquier tipo de duda o cuestión técnica acerca del funcionamiento y uso de nebulaSUITE y sus componentes.
● Dentro de lo posible, tratar de responder siempre apoyándonos sobre la base documental de los manuales de producto y usuario de nebulaSUITE con el objeto de dar a conocer este material a los usuarios y familiarizarlos con su uso
● Si la solicitud excede a lo recogido en los manuales de nebulaSUITE, esta podría necesitar su transferencia a otro equipo antes de poder ser respondida al peticionario
○ Apoyar directamente al CLIENTE en tareas específicas de operación del servicio en sus entornos corporativos, aun no estando causadas por unas incidencias o mal funcionamiento de nebulaSUITE o alguno de sus componentes.
Entre otros, se incluyen la siguiente tipología de acciones:
● Creación y configuración de usuarios y grupos en nebulaUSERS
● Configuración general y de seguridad del entorno nebulaSUITE corporativo
● Ayuda con la importación de certificados en nebulaCERT
● Ayuda con la creación de políticas de certificados, ACL y Ciclos de Navegación en nebulaCERT
● Ayuda con flujos de firma de nebulaSIGN y configuración de pasos
● Configuración de la federación SAML con IDP corporativo
○ Proveer soporte directo para la actualización y configuración de componentes on-premise del servicio:
● Agente de nebulaCERT en estaciones Windows
● Componentes de SSO para autenticación integrada con Directorio Activo
v3.6.1- Agosto 2023 Página 35 | 61
● Sincronizador de usuarios y grupos del Directorio Activo
● Authentication Brigde para autenticación integrada con Directorio Activo
● KeyCave local para almacenamiento de claves en la infraestructura corporativa (con y sin HSM)
○ Proveer soporte al desarrollo de aplicaciones integradas mediante la API-REST de nebulaSUITE
● Solicitudes de ayuda específica para uso de funcionalidades de nebulaSUITE por medio de su API-REST
● Suministro de ejemplos mediante Postman
○ Ayuda a usuarios y operadores en procesos de solicitud, aprobación y emisión de certificados de Víntegris
● Ayuda a los operadores del CLIENTE en la creación de solicitudes de nuevos certificados
● Resolución de dudas procedimentales y sobre documentación requerida para la aprobación de solicitudes en función del tipo de certificados
● Ayuda a usuarios finales en los procesos de video identificación, emisión y descarga de los certificados
Con el objetivo de garantizar la disponibilidad del servicio de Soporte Plus para todos los clientes, existen límites lógicos al uso de este servicio. Estas limitaciones figuran en las condiciones de contratación particulares del CLIENTE.
Evolución del Servicio
VÍNTEGRIS proporciona servicios de mantenimiento y actualización del software, consistente en una nueva versión del software con la que se eliminan los errores existentes de la versión actual del mismo o en mejoras del software.
VÍNTEGRIS se reserva el derecho a suspender, total o parcialmente, el servicio contratado en el caso de que advierta, detecte y/o compruebe en sus labores de mantenimiento cualquier alteración que ralentice o conlleve un menoscabo en la prestación del servicio o de los derechos de los Clientes o terceros; también si se detectase un riesgo o vulnerabilidad para la seguridad del Servicio.
VÍNTEGRIS se reserva el derecho de proceder a realizar de forma unilateral la Actualización o mejora de sus soluciones, sin repercutir ningún coste adicional en la suscripción vigente, sin perjuicio de la negociación en la renovación de la suscripción.
El Cliente se compromete a facilitar a VÍNTEGRIS, sin que le sea solicitado, toda la información necesaria para la correcta evaluación y ejecución de la correspondiente solicitud de servicio para comprobar y conocer las posibles causas relativas a las condiciones de su sistema operativo y otros elementos que puedan afectar a la navegación.
v3.6.1- Agosto 2023 Página 36 | 61
Además, el Cliente está obligado a instalar las actualizaciones puestas a disposición por VÍNTEGRIS y a utilizar únicamente la versión más actual del software o la inmediatamente anterior a la misma.
VÍNTEGRIS no será responsable de acciones derivadas o perjuicios producidos por el funcionamiento de la Plataforma, por no cumplir esta con las expectativas del Cliente o cuando se puedan deber a problemas que traigan causa en los propios sistemas y activos del Cliente.
Disponibilidad del Servicio
Salvo que se especifique lo contrario en las cláusulas particulares de cada servicio, los servicios de VÍNTEGRIS en Cloud están disponibles las 24 horas del día, 7 días a la semana.
VÍNTEGRIS hará todos los esfuerzos comercialmente razonables para garantizar la disponibilidad de los servicios con un Porcentaje de Disponibilidad de Servicio Medio o PDSM de al menos el 99,5 %, sin incluir el Tiempo de inactividad justificado. VÍNTEGRIS supervisará la disponibilidad del Servicio de manera automatizada las 24 horas del día, 7 días a la semana.
Ante una indisponibilidad del servicio planificada por actualización de la plataforma, VÍNTEGRIS lo comunicará con antelación a sus Clientes, indicando el motivo xxx xxxxx de servicio, día, franja horaria y servicios afectados. Por ello, es responsabilidad del Cliente mantener actualizada su información de contacto para notificaciones durante toda la vigencia de los Servicios.
Frecuencia de las actualizaciones
Las actualizaciones de producto no tienen una periodicidad concreta. En caso de que llegase a afectar la disponibilidad del Servicio, le notificaremos, conforme al apartado anterior.
Exclusiones del SLA
El Compromiso de Servicio no se aplica a ninguna indisponibilidad, suspensión o terminación de cualquiera de los servicios, o cualquier otro problema de desempeño de estos: (i) que resulte de una suspensión; (ii) causada por factores ajenos al control razonable de VINTEGRIS, incluyendo cualquier evento de fuerza mayor o acceso a Internet o problemas relacionados más allá de su punto de demarcación; (iii) que resulte de cualquier acción u omisión por parte del Cliente o de un tercero; (iv) que resulte de personal del Cliente, software o cualquier otra tecnología y/o equipo, software o tecnología de un tercero (distinto de un equipo de terceros que esté bajo el control directo de VINTEGRIS); (v) que resulte de una suspensión y terminación del derecho a usar los servicios por parte del Cliente de conformidad con el contrato de servicio; (vi) que afecte a entornos de prueba, desarrollo, preproducción o entornos con finalidades comerciales.
v3.6.1- Agosto 2023 Página 37 | 61
ANEXO III
(Data Processing Agreement VINTEGRIS 2022-ES.Rev.1.2_rev)
Acuerdo de Tratamiento de Datos (“ATD”) de los servicios nebulaSUITE de Víntegris
Este Acuerdo de Tratamiento de Datos ("ATD") es un acuerdo entre el solicitante y la entidad que representa ("Cliente") y Víntegris, S.L. (“VÍNTEGRIS”) y establece las obligaciones de ambas partes con respecto al tratamiento y la seguridad de los datos personales de los que es responsable el Cliente en relación con el uso de los Servicios de nebulaSUITE.
Este ATD complementa Condiciones Generales del Servicio nebulaSUITE disponible en xxxxx://xxx.xxxxxxxxx.xxx/xx/xxxxxxxxxxx-xxxxxxx-xxxxx/ u otro acuerdo entre el Cliente y VÍNTEGRIS que rige el uso por parte del Cliente de Servicios de nebulaSUITE prestados por VÍNTEGRIS cuando en el uso de estos servicios sea de aplicación el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 xx xxxxx de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (“RGPD”).
DEFINICIONES
Para el propósito de este ATD:
● “Ley de protección de datos aplicable” significa las leyes y regulaciones aplicables donde se realiza el tratamiento de datos, que se aplican a los términos de este ATD y que pueden variar con el paso del tiempo. Comprender tanto Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 xx xxxxx de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (“RGPD”) como las leyes locales aplicables donde se lleva a cabo el tratamiento.
● "Responsable" o “Responsable del tratamiento” significa la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determina los fines y medios del tratamiento de datos personales; cuando los fines y los medios de dicho tratamiento estén determinados por la legislación de la Unión o de los Estados miembros, el responsable del tratamiento o los criterios específicos para su designación podrán estar previstos por la legislación de la Unión o de los Estados miembros.
v3.6.1- Agosto 2023 Página 38 | 61
● "Encargado" o “Encargado del tratamiento” significa una persona física o jurídica, autoridad pública, agencia u otro organismo que procesa datos personales en nombre del responsable del tratamiento;.
● “Interesado” significa una persona que es el sujeto de los datos personales.
● “ATD”, “este ATD”, “este acuerdo ATD” es este Acuerdo de Tratamiento de Datos.
● "Datos personales" significa toda información sobre una persona física identificada o identificable (“el interesado”); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;;
● “Autoridad supervisora” significa una autoridad pública independiente establecida por un estado miembro que se ocupa de la supervisión del procesamiento de datos personales con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento de sus datos.
● “Datos del Cliente” son todos los datos personales (incluidos todos los archivos de texto, sonido, video o imagen y certificados digitales) que las personas autorizadas del Cliente incorporan a las bases de datos y sistemas de alojamiento de cada servicio, así como aquellos que se puedan generar y conservar mediante el uso de los servicios de nebulaSUITE. El Cliente es el responsable del tratamiento de estos datos personales.
● “Servicios”, “Servicios nebulaSUITE” son los servicios de Software como servicio (SaaS). Son los servicios prestados a través de internet por VINTEGRIS a favor del Cliente, en relación al uso del servicio contratado, a través de la plataforma de nebulaSUITE y dentro de la infraestructura de computación en la nube.
● “Subencargados”, aquella persona física o jurídica, autoridad pública, agencia u otro organismo, contratada por un encargado del tratamiento para prestar parte o la totalidad de los servicios objeto de un encargo del tratamiento. Toda subcontratación de servicios derivada de un encargo del tratamiento es autorizada por el responsable del tratamiento. En el encargo del tratamiento regulado por este ATD son subencargados del tratamiento los encargados del tratamiento que Microsoft utiliza para tratar los Datos del Cliente, los Datos de Servicios Profesionales y los Datos Personales, como se describe en el artículo 28 del RGPD.
v3.6.1- Agosto 2023 Página 39 | 61
TÉRMINOS
SECCIÓN I
Cláusula 1. Finalidad y ámbito de aplicación
(a) La finalidad de las cláusulas de este ATD (en lo sucesivo, «pliego de cláusulas») es garantizar que se cumpla el artículo 28, apartados 3 y 4, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 xx xxxxx de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
(b) Los responsables y encargados del tratamiento enumerados en el anexo I han dado su consentimiento a vincularse por el presente pliego de cláusulas a fin de garantizar el cumplimiento del artículo 28, apartados 3 y 4, del Reglamento (UE) 2016/679.
(c) El presente pliego de cláusulas se aplica al tratamiento de datos personales especificado en el anexo II.
(d) Los anexos I a IV forman parte xxx xxxxxx.
(e) El presente pliego de cláusulas se entiende sin perjuicio de las obligaciones a las que esté sujeto el responsable en virtud del Reglamento (UE) 2016/679.
(f) El presente pliego de cláusulas no garantiza por sí mismo el cumplimiento de las obligaciones relativas a las transferencias internacionales contempladas en el capítulo V del Reglamento (UE) 2016/679.
(g) El pliego de cláusulas de este ATD está alineado con la Decisión de Ejecución (UE) 2021/915 de la Comisión de 4 xx xxxxx de 2021 sobre cláusulas contractuales estándar entre controladores y procesadores.
(h) Este ATD, incluidas sus definiciones, considerandos y anexos, es un documento independiente que no incorpora términos comerciales que deben haber sido establecidos por las partes en acuerdos comerciales separados.
Cláusula 2. Invariabilidad xxx xxxxxx de cláusulas
(a) Las partes se comprometen a no modificar el pliego de cláusulas, excepto para añadir o actualizar información en los anexos.
(b) Esto no es óbice para que las partes añadan otras cláusulas o garantías adicionales siempre que no contradigan, directa o indirectamente, el pliego de cláusulas ni perjudiquen los derechos o libertades fundamentales de los interesados.
Cláusula 3. Interpretación
(a) Cuando en el presente pliego de cláusulas se utilizan términos definidos en el Reglamento (UE) 2016/679, se entiende que tienen el mismo significado que en el Reglamento correspondiente.
v3.6.1- Agosto 2023 Página 40 | 61
(b) El presente pliego de cláusulas deberá leerse e interpretarse con arreglo a las disposiciones del Reglamento (UE) 2016/679.
(c) No se podrán realizar interpretaciones del presente pliego de cláusulas que entren en conflicto con los derechos y obligaciones establecidos en el Reglamento (UE) 2016/679 y/o que perjudiquen los derechos o libertades fundamentales de los interesados.
Cláusula 4. Jerarquía
En caso de contradicción entre el presente pliego de cláusulas y las disposiciones de acuerdos conexos entre las partes que estuvieren en vigor en el momento en que se pactare o comenzare a aplicarse el presente pliego de cláusulas, prevalecerá el presente pliego de cláusulas.
v3.6.1- Agosto 2023 Página 41 | 61
SECCIÓN II. OBLIGACIONES DE LAS PARTES
Cláusula 5. Descripción del tratamiento o tratamientos
En el anexo II se especifican los pormenores de las operaciones de tratamiento y, en particular, las categorías de datos personales y los fines para los que se tratan los datos personales por cuenta del responsable.
Cláusula 6. Obligaciones de las partes
6.1. Instrucciones
El responsable del tratamiento instruirá al encargado para que trate los datos personales de la manera que sea razonablemente necesaria para que el encargado lleve a cabo el tratamiento de conformidad con este ATD y de conformidad con el Reglamento (UE) 2016/679.
El encargado tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable de acuerdo con los términos de servicio establecidos en el Condiciones Generales del Servicio nebulaSUITE, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al encargado. En tal caso, el encargado informará al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público. El responsable también podrá dar instrucciones ulteriores en cualquier momento del período de tratamiento de los datos personales. Dichas instrucciones deberán estar siempre documentadas.
El responsable del tratamiento se abstendrá de proporcionar instrucciones que no se ajusten a las leyes aplicables, incluido el Reglamento (UE) 2016/679 y, en caso de que se den dichas instrucciones, el encargado del tratamiento tiene derecho a desistir de llevarlas a cabo.
El encargado informará inmediatamente al responsable si las instrucciones dadas por el responsable infringen, a juicio del encargado, el Reglamento (UE) 2016/679, el Reglamento (UE) 2018/1725 o las disposiciones aplicables del Derecho de la Unión o de los Estados miembros en materia de protección de datos.
El encargado no divulgará ningún dato personal a un tercero bajo ninguna circunstancia que no sea por solicitud escrita específica del responsable, a menos que dicha divulgación sea necesaria para cumplir con las obligaciones del Acuerdo de servicio o sea requerido en virtud del Derecho de la Unión o de los Estados miembros que se aplique al encargado.
6.2. Limitación de la finalidad
El encargado tratará los datos personales únicamente para los fines específicos del tratamiento indicados en el anexo II, salvo cuando siga instrucciones adicionales del responsable.
v3.6.1- Agosto 2023 Página 42 | 61
6.3. Duración del tratamiento de datos personales
El tratamiento por parte del encargado solo se realizará durante el período especificado en el anexo II.
6.4. Seguridad del tratamiento
(a) El encargado aplicará, como mínimo, las medidas técnicas y organizativas especificadas en el anexo III para garantizar la seguridad de los datos personales. Una de estas medidas podrá consistir en la protección contra violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados a dichos datos («violación de la seguridad de los datos personales»). A la hora de determinar un nivel adecuado de seguridad, las partes tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, y los riesgos que entraña el tratamiento para los interesados.
(b) El encargado solo concederá acceso a los datos personales tratados a los miembros de su personal en la medida en que sea estrictamente necesario para la ejecución, la gestión y el seguimiento del contrato.
(c) El encargado garantizará que las personas autorizadas para tratar los datos personales recibidos se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria. El encargado deberá mantener a disposición del responsable del tratamiento todos los registros documentados del cumplimiento de la obligación de confidencialidad.
(d) El encargado deberá asegurarse de que todas las personas autorizadas para procesar datos personales reciban la formación necesaria en protección de datos personales.
6.5. Datos sensibles
Si el tratamiento afecta a datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física, o datos relativos a condenas e infracciones penales («datos sensibles»), el encargado aplicará restricciones específicas y/o garantías adicionales
6.6. Documentación y cumplimiento
(a) Las partes deberán poder demostrar el cumplimiento xxx xxxxxx de cláusulas de este ATD.
(b) El encargado resolverá con xxxxxxxx y de forma adecuada las consultas del responsable relacionadas con el tratamiento con arreglo al presente pliego de cláusulas.
(c) El encargado designará en el Anexo I un punto de contacto dentro de su organización autorizada para responder a las consultas relacionadas con el procesamiento de los Datos Personales y cooperará con el controlador, el Interesado y la Autoridad de Supervisión con respecto a todas estas consultas dentro de un tiempo razonable.
(d) El encargado pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones contempladas en el presente pliego de cláusulas y que deriven directamente del Reglamento (UE) 2016/679 y del Reglamento (UE) 2018/1725.
v3.6.1- Agosto 2023 Página 43 | 61
(e) A instancia del responsable, el encargado permitirá y contribuirá a la realización de auditorías de las actividades de tratamiento cubiertas por el presente pliego de cláusulas, a intervalos razonables o si existen indicios de incumplimiento. Al decidir si se realiza un examen o una auditoría, el responsable podrá tener en cuenta las certificaciones pertinentes que obren en poder del encargado.
Estas auditorías se solicitarán con un aviso razonable y se realizarán durante el horario laboral normal. La solicitud puede estar sujeta a cualquier consentimiento o aprobación necesarios de una autoridad supervisora dentro del país del responsable del tratamiento.
(f) El responsable podrá optar por realizar la auditoría por sí mismo o autorizar a un auditor independiente. Las auditorías también podrán consistir en inspecciones de los locales o instalaciones físicas del encargado y, cuando proceda, realizarse con un preaviso razonable.
(g) Las partes pondrán a disposición de las autoridades de control competentes, a instancia de estas, la información a que se refiere la presente cláusula y, en particular, los resultados de las auditorías.
(h) El encargado notificará al responsable del tratamiento cualquier solicitud de información por parte de la Autoridad supervisora.
(i) El encargado notificará al controlador de cualquier queja, notificación o comunicación recibida que se relacione directa o indirectamente con el procesamiento de los datos personales u otras actividades relacionadas, o que se relacione directa o indirectamente con el cumplimiento del encargado y/o el responsable con la ley aplicable pertinente, incluida la ley de protección de datos aplicable.
6.7. Recurso a subencargados
(a) El encargado cuenta con la autorización del responsable para contratar a subencargados que figuren en una lista acordada documentada en el anexo IV. El encargado informará al responsable específicamente y por escrito de las adiciones o sustituciones de subencargados previstas en dicha lista con al menos con 1 mes de antelación, de modo que el responsable tenga tiempo suficiente para formular objeción a tales cambios antes de que se contrate al subencargado o subencargados de que se trate. El encargado del tratamiento proporcionará al responsable la información necesaria para que pueda ejercer su derecho a formular objeción.
(b) Cuando el encargado contrate a un subencargado para llevar a cabo actividades de tratamiento específicas (por cuenta del responsable), lo hará por medio de un contrato que imponga al subencargado, en esencia, las mismas obligaciones en materia de protección de datos que las impuestas al encargado en virtud del presente pliego de cláusulas. El encargado se asegurará de que el subencargado cumpla las obligaciones a las que esté sujeto en virtud del presente pliego de cláusulas y del Reglamento (UE) 2016/679.
(c) El encargado proporcionará al responsable, a instancia de este, una copia del contrato con el subencargado y de cualquier modificación posterior del mismo. En la medida en que sea necesario para proteger secretos comerciales u otro tipo de información confidencial, como datos personales, el encargado podrá expurgar el texto del contrato antes de compartir la copia.
(d) El encargado seguirá siendo plenamente responsable ante el responsable del tratamiento del cumplimiento de las obligaciones que imponga al subencargado su contrato con el
v3.6.1- Agosto 2023 Página 44 | 61
encargado. El encargado notificará al responsable del tratamiento los incumplimientos por parte del subencargado de las obligaciones que le atribuya dicho contrato.
(e) El encargado pactará con el subencargado una cláusula xx xxxxxxx beneficiario en virtud de la cual, en caso de que el encargado desaparezca de facto, cese de existir jurídicamente o sea insolvente, el responsable tendrá derecho a rescindir el contrato del subencargado y ordenar a este que suprima o devuelva los datos personales.
6.8. Transferencias internacionales
(a) Las transferencias de datos a un tercer país o a una organización internacional por parte del encargado solo podrán realizarse siguiendo instrucciones documentadas del responsable o en virtud de una exigencia expresa del Derecho de la Unión o del Estado miembro al que esté sujeto el encargado; se llevarán a cabo de conformidad con el capítulo V del Reglamento (UE) 2016/67.
(b) El responsable se aviene a que, cuando el encargado recurra a un subencargado de conformidad con la cláusula 6.7 para llevar a cabo actividades de tratamiento específicas (por cuenta del responsable) y dichas actividades conlleven una transferencia de datos personales en el sentido del capítulo V del Reglamento (UE) 2016/679, el encargado y el subencargado puedan garantizar el cumplimiento del capítulo V del Reglamento (UE) 2016/679 utilizando cláusulas contractuales tipo adoptadas por la Comisión, con arreglo al artículo 46, apartado 2, del Reglamento (UE) 2016/679, siempre que se cumplan las condiciones para la utilización de dichas cláusulas contractuales tipo.
Cláusula 7. Obligaciones del responsable del tratamiento
El responsable del tratamiento garantiza y se compromete a que:
(a) Los datos personales se han recopilado, procesado y transferido de acuerdo con las leyes de protección de datos aplicables.
(b) Debe realizar una evaluación del impacto en la protección de los datos personales de las operaciones de tratamiento que realizará el encargado cuando un el tipo de tratamiento pueda dar lugar a un alto riesgo para los derechos y libertades de los interesados
(c) Dispondrá de las medidas técnicas y organizativas adecuadas para proteger la confidencialidad de los datos personales, así como protegerlos contra la destrucción accidental o ilegal o la pérdida accidental, alteración, divulgación o acceso no autorizado, y que proporcionen un nivel de seguridad adecuado al riesgo que representa el tratamiento y la naturaleza de los datos a proteger.
(d) Responderá a las solicitudes de los interesados y de las autoridades de supervisión en relación con el tratamiento de los datos personales según lo estipulado en la Cláusula 8 (b).
(e) Realizará consultas previas que correspondan a la autoridad de control cuando una evaluación de impacto de protección de datos indique que el tratamiento daría lugar a un alto riesgo en ausencia de medidas tomadas por el responsable del tratamiento para mitigar el riesgo.
v3.6.1- Agosto 2023 Página 45 | 61
Cláusula 8. Xxxxx al responsable del tratamiento
(a) El encargado notificará con xxxxxxxx al responsable las solicitudes que reciba del interesado. No responderá a dicha solicitud por sí mismo, a menos que el responsable le haya autorizado a hacerlo.
(b) El encargado ayudará al responsable a cumplir sus obligaciones al responder a las solicitudes de ejercicio de derechos de los interesados teniendo en cuenta la naturaleza del tratamiento. En el cumplimiento de las obligaciones que le atribuyen las letras a) y b), el encargado cumplirá las instrucciones del responsable. Dado el caso:
i) el interesado debería dirigir primero la solicitud al responsable del tratamiento;
ii) seguidamente, el responsable del tratamiento, tras recibir la solicitud, solicitará al encargado que realice las acciones necesarias a través del punto de contacto establecido en el anexo I;
iii) una vez que el encargado haya recibido la petición del responsable, el encargado responderá al responsable dentro de un plazo xx xxxx (10) días hábiles;
iv) en el caso de que un interesado se comunique directamente con el encargado, este le pedirá al interesado que dirija su solicitud al responsable. Al mismo tiempo, el encargado informará al responsable de esta petición;
(c) Además de la obligación del encargado de ayudar al responsable en virtud de la cláusula 8, letra b), el encargado también ayudará al responsable a garantizar el cumplimiento de las obligaciones siguientes teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el encargado:
i) la obligación de realizar una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales («evaluación de impacto») cuando sea probable que un tipo de tratamiento suponga un alto riesgo para los derechos y libertades de las personas físicas;
ii) la obligación de consultar a las autoridades de control competentes antes de proceder al tratamiento cuando una evaluación de impacto relativa a la protección de los datos muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo;
iii) la obligación de garantizar que los datos personales sean exactos y estén actualizados, informando sin demora al responsable si el encargado descubre que los datos personales que está tratando son inexactos o han quedado obsoletos;
iv) las obligaciones contempladas en [OPCIÓN 1] el artículo 32 del Reglamento (UE) 2016/679 / [OPCIÓN 2] los artículos 33 y 36 a 38 del Reglamento (UE) 2018/1725.
(d) Las partes establecerán en el anexo III medidas técnicas y organizativas apropiadas que obliguen al encargado a ayudar al responsable a aplicar la presente cláusula, así como el objeto y el alcance de la ayuda requerida.
Cláusula 9. Notificación de violaciones de la seguridad de los datos personales
En caso de violación de la seguridad de los datos personales, el encargado colaborará con el responsable y le ayudará a cumplir las obligaciones que le atribuyen los artículos 33 y 34 del Reglamento (UE) 2016/679 teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el encargado.
v3.6.1- Agosto 2023 Página 46 | 61
9.1 Violación de la seguridad de datos personales tratados por el responsable
En caso de violación de la seguridad de los datos personales en relación con los datos tratados por el responsable, el encargado ayudará al responsable en lo siguiente.
(a) Notificar la violación de la seguridad de los datos personales a las autoridades de control competentes sin dilación indebida una vez tenga constancia de ella, si procede (a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas).
(b) Recabar la información siguiente, que, de conformidad con el artículo 33, apartado 3, del Reglamento (UE) 2016/679, deberá figurar en la notificación del responsable, que debe incluir como mínimo:
i) la naturaleza de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;
ii) las consecuencias probables de la violación de la seguridad de los datos personales;
iii) las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
(c) Cuando y en la medida en que no se pueda proporcionar toda la información al mismo tiempo, en la notificación inicial se proporcionará la información de que se disponga en ese momento y, a medida que se vaya recabando, la información adicional se irá proporcionando sin dilación indebida.
(d) Cumplir, con arreglo al artículo 34 del Reglamento (UE) 2016/679, la obligación de comunicar sin dilación indebida al interesado la violación de la seguridad de los datos personales cuando sea probable que la violación de la seguridad entrañe un alto riesgo para los derechos y libertades de las personas físicas.
9.2 Violación de la seguridad de datos personales tratados por el encargado
En caso de violación de la seguridad de datos personales tratados por el encargado, este lo notificará al responsable sin dilación indebida una vez que el encargado tenga constancia de ella. Dicha notificación deberá incluir como mínimo:
(a) una descripción de la naturaleza de la violación de la seguridad (inclusive, cuando sea posible, las categorías y el número aproximado de interesados y de registros de datos afectados);
(b) los datos de un punto de contacto en el que pueda obtenerse más información sobre la violación de la seguridad de los datos personales;
(c) sus consecuencias probables y las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad, incluyendo las medidas adoptadas para mitigar los posibles efectos negativos.
Cuando y en la medida en que no se pueda proporcionar toda la información al mismo tiempo, en la notificación inicial se proporcionará la información de que se disponga en ese momento y, a medida que se vaya recabando, la información adicional se irá proporcionando sin dilación indebida.
Las partes establecerán en el anexo III los demás elementos que deberá aportar el encargado cuando ayude al responsable a cumplir las obligaciones que le atribuyen los artículos 33 y 34 del Reglamento (UE) 2016/679.
v3.6.1- Agosto 2023 Página 47 | 61
SECCIÓN III. DISPOSICIONES FINALES
Cláusula 10. Incumplimiento de las cláusulas y resolución del contrato
(a) Xxx perjuicio de lo dispuesto en el Reglamento (UE) 2016/679, en caso de que el encargado del tratamiento incumpla las obligaciones que le atribuye el presente pliego de cláusulas, el responsable podrá ordenar al encargado que suspenda el tratamiento de datos personales hasta que este vuelva a dar cumplimiento al presente pliego de cláusulas, o resolver el contrato. El encargado informará con presteza al responsable en caso de que no pueda dar cumplimiento al presente pliego de cláusulas por cualquier motivo.
(b) El responsable estará facultado para resolver el contrato en lo que se refiera al tratamiento de datos personales en virtud del presente pliego de cláusulas cuando:
1) el tratamiento de datos personales por parte del encargado haya sido suspendido por el responsable con arreglo a la letra a) y no se vuelva a dar cumplimiento al presente pliego de cláusulas en un plazo razonable y, en cualquier caso, en un plazo de un mes a contar desde la suspensión;
2) el encargado incumpla de manera sustancial o persistente el presente pliego de cláusulas o las obligaciones que le atribuye el Reglamento (UE) 2016/679 y/o el Reglamento (UE) 2018/1725;
3) el encargado incumpla una resolución vinculante de un órgano jurisdiccional competente o de las autoridades de control competentes en relación con las obligaciones que les atribuye el presente pliego de cláusulas, el Reglamento (UE) 2016/679 y/o el Reglamento (UE) 2018/1725.
(c) El encargado estará facultado para resolver el contrato en lo que se refiera al tratamiento de datos personales en virtud del presente pliego de cláusulas cuando, tras haber informado al responsable de que sus instrucciones infringen los requisitos jurídicos exigidos por la cláusula 7.1, letra b), el responsable insiste en que se sigan dichas instrucciones.
(d) Tras la resolución del contrato, el encargado suprimirá, a petición del responsable, todos los datos personales tratados por cuenta del responsable y acreditará al responsable que lo ha hecho, o devolverá todos los datos personales al responsable y suprimirá las copias existentes, a menos que el Derecho de la Unión o de los Estados miembros exija el almacenamiento de los datos personales. Hasta que se destruyan o devuelvan los datos, el encargado seguirá garantizando el cumplimiento con el presente pliego de cláusulas.
(e) Otros motivos y condiciones de terminación estarán sujetas al Condiciones Generales del Servicio nebulaSUITE.
Cláusula 11. Responsabilidad e indemnización
(a) El encargado del tratamiento no será responsable ante cualquier reclamación presentada por un interesado que sea consecuencia de cualquier acción del encargado en la medida en que dicha acción sea el resultado directo de las instrucciones del responsable y la incorrecta implantación de sus medidas técnicas y organizativas.
v3.6.1- Agosto 2023 Página 48 | 61
(b) En el caso de que un interesado presente una reclamación contra el encargado que surja de cualquier acción u omisión del encargado en la medida en que dicha acción u omisión sea el resultado directo de las instrucciones del responsable, o la aplicación incorrecta por parte del responsable de sus y medidas organizativas, de acuerdo con la Cláusula 7 (c) de este ATD, el responsable indemnizará y mantendrá indemnizado y defenderá a su propio cargo al encargado respecto a todos los costes, reclamaciones, daños o gastos incurridos por el encargado para los cuales el encargado pueda ser responsable por causa de cualquier incumplimiento por parte del controlador o sus gerentes, empleados, agentes o contratistas de sus obligaciones en virtud de las cláusulas de este DPA.
Cláusula 12. Legislación aplicable a este ATD
Este ATD se regirá e interpretará en todos los aspectos de acuerdo con las leyes y regulaciones del país de la UE donde tiene lugar el tratamiento de datos. Las partes del presente acuerdo se someten a la jurisdicción exclusiva del lugar donde se realiza el tratamiento de datos para todos los fines de este ATD.
Cláusula 13. Resolución de disputas con los interesados o las autoridades de supervisión
(c) En el caso de una disputa o reclamación presentada por un interesado o una autoridad de supervisión con respecto al tratamiento de los datos personales contra una o ambas partes, las partes se informarán mutuamente sobre tales disputas o reclamaciones y cooperarán con miras a resolverlas amistosamente y de la manera más oportuna.
(d) Las partes acuerdan responder a cualquier procedimiento de mediación no vinculante disponible generalmente iniciado por un interesado o por una autoridad de supervisión. Si participan en el procedimiento, las partes pueden optar por hacerlo de forma remota (por ejemplo, por teléfono u otros medios electrónicos). Las partes también acuerdan considerar la participación en cualquier otro arbitraje, mediación u otro procedimiento de resolución de disputas habilitado para disputas de protección de datos.
(e) Cada parte se compromete a acatar la decisión de la autoridad de supervisión, que es definitiva y contra la cual ya no será posible apelar.
v3.6.1- Agosto 2023 Página 49 | 61
ANEXO I. Lista de partes
Como Responsable del Tratamiento:
Nombre: El Cliente que contrata los servicios de nebulaSUITE bajo las Condiciones Generales del Servicio acordadas.
Dirección: Según se especifica en el acuerdo o contrato de prestación de servicios de nebulaSUITE suscrito entre ambas partes.
Departamento/empleado de referencia: Según se especifica en el acuerdo o contrato de prestación de servicios de nebulaSUITE suscrito entre ambas partes
Nombre, cargo y datos de contacto de la persona de contacto: Según se especifica en el acuerdo o contrato entre ambas partes
Fecha de adhesión: Fecha de entrada en vigor el contrato o acuerdo de prestación de servicios de nebulaSUITE suscrito por ambas partes
Como Encargado del tratamiento:
Nombre: VÍNTEGRIS, S.L.
Dirección: Xxxxx Xxxxxxx, 00, Xxxxxx 0, Xxxxxxx 00, 00000 Xxxxxxxxx, Xxxxxx
Departamento/empleado de referencia: Según se especifica en el acuerdo o contrato de prestación de servicios de nebulaSUITE suscrito entre ambas partes
Datos de contacto de la persona de contacto: xxxxxxxxxxXXXX@xxxxxxxxx.xxx
Fecha de adhesión: Fecha de entrada en vigor el contrato o acuerdo de prestación de servicios de nebulaSUITE suscrito por ambas partes
v3.6.1- Agosto 2023 Página 50 | 61
ANEXO II. Descripción del tratamiento
Categorías de interesados cuyos datos personales se tratan
● Personal, colaboradores y otros autorizados por el Cliente que son usuarios de la plataforma nebulaSUITE
● Titulares de los certificados que el Cliente gestiona mediante los servicios de nebulaSUITE
● Solicitantes de expedición de certificados cualificados mediante identificación remota por vídeo utilizando la plataforma nebulaID.
Categorías de datos personales tratados
● Información de los usuarios de la plataforma nebulaSUITE necesaria para acceder y hacer uso de los servicios
o Identidad de los usuarios, por ejemplo, su nombre y apellidos.
o Datos de contacto profesionales tal como la dirección de correo y número teléfono.
o Datos de autenticación para el acceso
o Registros de actividad de los usuarios en el uso de los Servicios, que puede incluir información de la dirección IP desde la que se accede a la plataforma nebulaSUITE.
● Datos de los titulares de los certificados que el Cliente decida incluir en ellos:
o Información de identificación personal, incluyendo números de identidad únicos, tal como número de documento de identificación o pasaporte, número de empleado u otros que el cliente utilice para la identificación de los titulares de los certificados.
o Información de contacto profesional, como por ejemplo la dirección de correo profesional
o Información de relación profesional tal como empresa y puesto de trabajo o poderes otorgados.
o Imagen de la firma que puede aparecer en documentos almacenados en la plataforma nebulaSUITE
● Los propios certificados cualificados como soporte de los datos de los titulares de los certificados.
● En el caso de uso de nebulaID para identificación remota por vídeo:
o Datos de carácter identificativo
o Imagen de documentos de identidad
o Resultados de procesado OCR de los documentos de identidad
o Imagen grabada de vídeo de prueba de vida del usuario de la plataforma, incluyendo registros de voz.
o Registros de auditoría del proceso de verificación
o Datos de circunstancias personales del solicitante en función del tipo de certificado a emitir (fecha de nacimiento, nacionalidad, lugar de nacimiento o residencia, género, empresa, cargo o representación, ...)
v3.6.1- Agosto 2023 Página 51 | 61
Datos de categoría especial:
● Este ATD no considera el tratamiento de datos clasificados como "datos de categoría especial" o que requieran medidas de protección especiales.
● El procesamiento de dichos datos en nombre del cliente solo debe realizarse con un acuerdo previo entre ambas partes y después de haber realizado una evaluación de impacto de protección de datos adecuada antes del tratamiento.
● En el caso de uso de nebulaID, aunque se realiza un proceso de reconocimiento facial aplicando técnicas biométricas, no se generan ni recopilan datos biométricos.
Naturaleza del tratamiento
● VINTEGRIS tratará los Datos del Cliente mediante los Servicios proporcionados por la plataforma nebulaSUITE.
● Implica las actividades de:
o Registro y almacenamiento de la información del cliente
o Supresión o destrucción de la información cuando sea requerido por el Cliente y a la terminación del servicio
o Limitación del tratamiento de la información a requerimiento del Cliente o autoridad competente.
● En el caso de los servicios proporcionados mediante nebulaID:
o Captura de videos de los usuarios y sus documentos i de identificación
o Escaneado y procesado OCR de los documentos identificativos
o Aplicación de algoritmos de reconocimiento facial contrastando la imagen de la persona con la contenida en el documento de identificación mediante tecnología de validación documental y biometría facial.
o Conservación de las evidencias recogidas durante el proceso de reconocimiento durante los plazoa establecidos por las obligaciones legales.
● Todos los datos se almacenan en servidores en la UE mediante servicios proporcionados por terceros tal como se estipula en el ANEXO IV Lista de Subencargados.
● Los datos son proporcionados por el Cliente, como responsable del tratamiento, al hacer usos de los Servicios.
● El procesamiento en la plataforma nebulaSUITE está automatizado, por lo que el personal de VÏNTEGRIS no tiene acceso a los datos del Cliente. Dado el caso, este acceso únicamente se produciría bajo petición expresa y supervisión del Cliente, por ejemplo, en el caso de requerir soporte para su uso o resolución de un problema informado por el Cliente.,
● VÍNTEGRIS considera que no dispone de instrucciones para tratar aquellos otros datos personales que circunstancialmente pudieran estar incluidos en los contenidos gestionados por el Cliente
● Xxxxxxxxx dato personal adicional que sea tratado por VÍNTEGRIS por cuenta del Cliente debe ser acordado como una enmienda a este ATD.
● Cabe notar que en el caso de que los servicios contratados incluyan la emisión de los certificados cualificados por parte de VinCAsign, la autoridad de certificación de VÍNTEGRIS, la responsabilidad de este tratamiento es de VÍNTEGRIS, tal como establece la legislación vigente relativa a la prestación de servicios de confianza.
v3.6.1- Agosto 2023 Página 52 | 61
● El uso de nebulaID corresponde a una función de autoridad de registro (RA), por lo que se considera únicamente como parte de un encargo de tratamiento cuando el cliente sea otro proveedor de servicios de certificación cualificados (QTSP) que tiene responsabilidad sobre la RA.
Finalidad del tratamiento de los datos personales por cuenta del responsable del tratamiento
● VÍNTEGRIS tratará los datos únicamente con la finalidad de proporcionar los servicios de la plataforma nebulaSUITE contratados y de acuerdo con las Condiciones Generales del Servicio.
Duración del tratamiento
● Este ATD se aplica durante la duración de la prestación del servicio, según se establece en el contrato o acuerdo de prestación de servicios de nebulaSUITE suscrito por ambas partes.
● Tras la finalización del contrato o acuerdo, el VÍNTEGRIS mantendrá sus obligaciones con respecto a los datos tratados de acuerdo con el período determinado por la política de retención de datos descrita en las Condiciones Generales del Servicio nebulaSUITE u otros términos específicamente acordados entre ambas partes.
● En el caso, del uso de los servicios de nebulaID, de acuerdo con lo establecido por la Orden ETD/465/2021, de 6 xx xxxx, por la que se regulan los métodos de identificación remota por vídeo para la expedición de certificados electrónicos cualificados:
o Se conservará una copia de la grabación del vídeo durante un periodo mínimo de tiempo de quince años desde la extinción de la vigencia del certificado obtenido por este medio.
o Se conservarán, por un periodo mínimo de tiempo de 15 años, fotos o capturas de pantalla del solicitante y del documento de identidad utilizado, en las que serán claramente reconocibles tanto la persona como el anverso y el reverso del documento de identidad.
o Se conservará, por un periodo mínimo de tiempo de quince años, el resultado automático de la verificación realizada por la aplicación, así como la evaluación y observaciones realizadas por el operador junto a su decisión de aprobación o rechazo de la identificación.
o Se conservarán todas las pruebas de los procesos de identificación incompletos que no haya verificado la autenticidad, vigencia e integridad física y lógica del documento de identificación utilizado y la correspondencia del titular del documento con el solicitante llegado a término por sospecha de intento de fraude durante un plazo de 5 años desde la
v3.6.1- Agosto 2023 Página 53 | 61
ejecución del proceso de identificación, especificándose la causa por la que no llegaron a completarse, de conformidad con la política establecida al efecto.
o La conservación se realizará mediante el bloqueo de los datos, conforme a lo previsto en el artículo 32 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
v3.6.1- Agosto 2023 Página 54 | 61
ANEXO III. Medidas técnicas y organizativas para garantizar la seguridad de los datos
VÍNTEGRIS aplica las medidas de seguridad técnicas y organizativas necesarias para garantizar un nivel adecuado de seguridad de la información con el fin de proteger la confidencialidad de los datos personales, así como protegerlos contra la destrucción accidental o ilícita o la pérdida accidental, alteración, divulgación o acceso no autorizado, teniendo en cuenta la naturaleza, el alcance, el contexto y la finalidad del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas.
Estás medidas están implantadas bajo el marco de un Sistema de Gestión de la Seguridad de la información que dispone de la certificación ISO 27001:2017, así como las certificaciones del Esquema Nacional de Seguridad (ENS), en categoría ALTA y eIDAS.
Por otro lado, el Cliente es responsable de la implantación y mantenimiento de las medidas de seguridad y protección de los datos personales pertinentes como usuario de los Servicios en aquellos aspectos que están bajo su control.
En consecuencia, VÍNTEGRIS confirma que ha implantado las medidas enumeradas a continuación que aplican a los tratamientos que lleva a cabo por cuenta del responsable.
CONTROLES DE SEGURIDAD IMPLANTADOS | |
POLÍTICAS DE LA ORGANIZACIÓN | |
Política de seguridad | Existe una política de seguridad de la información y protección de datos personales publicada y conocida por todo el personal y colaboradores. |
Responsable de seguridad | VÍNTEGRIS ha designado un Responsable de Seguridad de la Información (“CISO”) como responsable de coordinar y supervisar las reglas y los procedimientos de seguridad. |
Roles y responsabilidades en materia de seguridad. | Los roles y responsabilidades en materia de seguridad de la información están definidos y asignados apropiadamente dentro de la organización. El personal de VÍNTEGRIS que gestiona los Servicios que contienen Datos del Cliente está sujeto a obligaciones de confidencialidad y a la normativa de seguridad de la información y protección de datos personales. |
v3.6.1- Agosto 2023 Página 55 | 61
Programa de gestión de riesgos | En el marco del Sistema de Gestión de la Seguridad de la Información existe un plan de evaluación y tratamiento de riesgos de seguridad de la información y se revisa periódicamente. |
Evaluación continua | VÍNTEGRIS realiza una verificación y evaluación periódica de la eficacia de las medidas técnicas y organizativas implantadas para proteger la seguridad en la información en los sistemas de tratamiento, centros de trabajo y usuarios que los utilizan. Esta evaluación y revisión se realiza bajo el criterio de los estándares de seguridad de la industria y las propias políticas y procedimientos determinados por el Sistema de Gestión de la Seguridad de la Información. |
Política de seguridad de proveedores | Existe un proceso formal que permite valorar el cumplimiento de los requisitos de seguridad información que deben cumplir los proveedores que tratan información y datos personales. Únicamente se da acceso a la información a los proveedores cuando exista una necesidad legítima que justifique este acceso. |
PERSONAL Y COLABORADORES | |
Compromiso de confidencialidad | Todo el personal y colaboradores con acceso a la información y los datos personales ha firmado un compromiso con respecto a: ● Guardar secreto y garantizar la confidencialidad y seguridad respecto de los datos a los que pudieran tener acceso por razones de su responsabilidad laboral, contractual o de cualquier otro tipo ● No hacer uso de la información confidencial a la que tengan acceso para fines distintos a los que haya determinado ● No comunicar, revelar, divulgar o transferir información confidencial a terceros no autorizados. ● Mantener el deber xx xxxxxxx por un periodo de tiempo mínimo de 1 año una vez finalizada la relación laboral o contractual. |
Normativa interna de seguridad de la información | Existe una normativa de seguridad de la información, protección de datos personales y uso de los medios informáticos que todo el personal y colaborades se ha comprometido a cumplir. |
Formación en seguridad de la información | Todo el personal y colaboradores con acceso a la información y datos personales ha recibido una formación adecuada con respecto a la seguridad de la información y la protección de los datos personales |
v3.6.1- Agosto 2023 Página 56 | 61
Normas de uso de los sistemas de información | La normativa de seguridad de la información establece las normas de uso aceptable de los sistemas de información y equipos que el personal tiene a su cargo. |
Prohibición de uso para fines personales de los equipos corporativos | Se ha establecido que no se permite el uso para fines particulares de aquellos ordenadores y dispositivos destinados al tratamiento de la información corporativa y los datos personales. Tampoco se permite el acceso a información corporativa desde equipos particulares. |
SEGURIDAD EN EL PUESTO DE TRABAJO | |
Equipos desatendidos | Se ha establecido un mecanismo para que cuando un equipo quede desatendido se proceda al bloqueo de la pantalla o al cierre de la sesión. |
Custodia de documentación | Se ha establecido una normativa para que en ningún momento quede documentación en papel o soportes de información sin custodia en el puesto de trabajo. |
Destrucción segura de la información | Se han establecido mecanismos para facilitar la destrucción segura de la información confidencial en papel u otros soportes electrónicos. |
Puesto de teletrabajo seguro | Se ha establecido una política para que el teletrabajo se pueda realizar de forma segura. |
Seguridad de los dispositivos móviles | Se ha establecido una política para proteger el uso de los dispositivos móviles y la información que puedan contener. |
GESTIÓN DE INCIDENTES Y BRECHAS DE SEGURIDAD | |
Procedimiento de gestión de incidentes | Se ha definido un procedimiento para registrar y resolver los incidentes que afecten a la seguridad de la información y a los datos personales |
Procedimiento de gestión de brechas de seguridad en datos personales | El procedimiento permite identificar cuando se produce una violación de seguridad de los datos personales y contemplar la notificación al responsable de forma inmediata y sin dilación indebida acerca de dichas violaciones de seguridad, incluyendo toda la información necesaria para evaluar el impacto y determinar las causas y medidas correctivas aplicadas. |
Asistencia al responsable en la | Está previsto asistir al responsable a realizar la notificación de la violación de la seguridad a la autoridad de supervisión y, en su |
v3.6.1- Agosto 2023 Página 57 | 61
notificación de brechas de seguridad | caso, a los interesados, teniendo en cuenta la información a disposición del encargado. |
ACCESO A LOS SISTEMAS | |
Política de control de accesos | VÍNTEGRIS mantiene una política de control de acceso que determina los privilegios de seguridad de las personas que tienen acceso a la información |
Autorización de acceso | Existe un proceso formal para gestionar la autorización, alta, baja y modificación de accesos de los usuarios a los sistemas. |
Cuentas individuales | Cada persona utiliza una cuenta de usuario individual e intransferible. |
Privilegio mínimo | VÍNTEGRIS ha definido y aplica una política de mínimo acceso por defecto, que garantiza que el personal y colaboradores únicamente tienen acceso a la información que requieren para desempeñar las labores de su puesto de trabajo. |
Cuentas con acceso privilegiado | Para realizar tareas de administración y configuración de los sistemas se utilizan cuentas de acceso nominales con derechos privilegiados que son diferentes y segregadas de las cuentas de uso ordinario de los sistemas. |
Autenticación | VÍNTEGRIS utiliza prácticas estándares del sector para identificar y autenticar a los usuarios que intentan acceder a los sistemas de información. Para acceder a aquellas redes más expuestas o administración de sistemas se utilizan sistemas xx xxxxx factor de autenticación. Todos los sistemas incluyen controles para evitar los intentos reiterados de conseguir acceso a los sistemas de información mediante una contraseña inválida. |
Seguridad de las contraseñas | Se garantizará la existencia de políticas de contraseñas (o mecanismos equivalentes) para el acceso a los sistemas y aplicaciones que cumplen como mínimo lo siguiente: ● Longitud de la contraseña: mínimo 8 caracteres ● Renovación periódica de las contraseñas ● Requisitos de complejidad de las contraseñas ● Límites a la reutilización de contraseñas |
v3.6.1- Agosto 2023 Página 58 | 61
Confidencialidad de las contraseñas | Existe una normativa para asegurar la confidencialidad de las contraseñas, evitando que queden expuestas o sean compartidas con terceros. Internamente, todas las contraseñas se guardan aplicando algoritmos de cifrado irreversibles. |
Registros de accesos | Se mantiene y supervisa un registro de los accesos e intentos de acceso a los sistemas |
ACTIVOS DE TRATAMIENTO DE LA INFORMACIÓN | |
Inventario de activos | Se dispone de un inventario de los sistemas y equipos utilizados en el tratamiento de la información, con la información de la persona que es responsable de dicho equipo. |
Desecho y reutilización segura | Se han definido procesos formales para el desecho y/o reutilización segura de los equipos de tratamiento de la información. |
Mantenimiento de los equipos | Los sistemas y equipos utilizados para el tratamiento de la información están debidamente mantenidos u actualizados |
Protección contra malware | Los equipos en los que se procesa o almacena información disponen de protección antimalware permanentemente activa y actualizada. |
Actualización del software | Todo el software que se utiliza para el tratamiento de la información está debidamente actualizado y sin vulnerabilidades graves conocidas. |
Bastionado de los sistemas | Se han aplicado medidas de bastionado de los sistemas tales como, entre otras: ● Tener solamente abiertos los puertos indispensables ● Desactivar todos los servicios no estrictamente necesarios ● Bloquear o cambiar las contraseñas por defecto de las cuentas con acceso privilegiado ● Cifrado de los discos que contienen la información |
Limitación a la instalación de software por parte de los usuarios | Existe una normativa o medidas técnicas para impedir que el personal pueda instalar software no autorizado en sus equipos de trabajo, así como para que no se pueda utilizar software que pueda violar la propiedad intelectual de terceros. |
v3.6.1- Agosto 2023 Página 59 | 61
Limitación de privilegios de administración | Se han implantado medidas técnicas para que los usuarios no puedan modificar o desactivar las configuraciones de seguridad de los equipos |
Restricción al uso para fines personales | Existe una normativa que prohíbe el uso privado o para fines personales de los equipos corporativos. |
PROTECCIÓN DE LA INFORMACIÓN EN TRÁNSITO Y EN REPOSO | |
Protección perimetral de redes | Existe protección perimetral de la red para protegerla frente ataques y accesos indebidos a aquellos sistemas en los que se realice el almacenamiento y/o tratamiento de la información y los datos personales. |
Segregación de redes | Se ha configurado la red de modo que existan zonas de seguridad segregadas de acuerdo con los diferentes requisitos de seguridad que se hayan establecido. |
Protocolos seguros de transmisión de información | Todo el tráfico en las redes de la organización, especialmente cuando discurre total o parcialmente por redes públicas, está cifrado mediante protocolos seguros y sin vulnerabilidades graves conocidas (por ejemplo, mínimo TLS 1.2) |
Acceso remoto seguro | Para el acceso remoto a la red de la organización, por ejemplo, mediante redes virtuales (VPN), se utilizan protocolos seguros y claves de autenticación de los extremos de la comunicación. |
Cifrado de información en soportes tránsito | Existen mecanismos para cifrar la información en soportes y equipos en tránsito fuera de las instalaciones de tratamiento habitual. |
Análisis de vulnerabilidades | Periódicamente, se realizan pruebas para verificar que las redes están libres de vulnerabilidades y se aplican las medidas correctoras necesarias |
Segregación de redes wifi | Las redes wifi para visitantes están segregadas de forma que no es posible el acceso a las redes internas de la empresa. |
Seguridad de los servicios de proveedores en la nube | En el caso de utilizar servicios de algún proveedor en la nube (IaaS, PaaS, SaaS,…) para tratar la información, se garantiza que el proveedor proporciona o permite aplicar medidas de seguridad como mínimo equivalentes a las exigidas al propio encargado. |
Registros de auditoría | Se recogen, conservan y revisan los registros de auditoría de las operaciones realizadas sobre los datos (acceso, modificación y |
v3.6.1- Agosto 2023 Página 60 | 61
eliminación), especialmente cuando se tratan datos de categoría especial | |
Segregación de las instancias de los clientes | Segregación de los servicios a los diferentes clientes mediante una arquitectura multi-tenant. Se proporciona segregación lógica de usuarios y datos. |
SEGURIDAD FÍSICA DE LOS ESPACIOS DE TRATAMIENTO | |
Perímetro de seguridad física | Existe un perímetro de seguridad para proteger los recintos y dependencias donde se procesa o almacena información. |
Limitación de acceso | Se han implantado controles de acceso físico a las dependencias donde se realiza el tratamiento de la información para asegurar que únicamente el personal autorizado tiene el acceso permitido. |
Control de acceso físico | Se han establecido controles de entrada específicos para limitar el acceso al personal estrictamente autorizado a las áreas seguras donde están ubicados los servidores, equipos de red o archivos de documentos utilizados para el tratamiento y almacenamiento de la información. |
Protección contra las amenazas externas y ambientales | Se han establecido las medidas necesarias para proteger las personas, equipos e instalaciones en caso desastres naturales, ataques maliciosos o incidentes, tales como incendio, inundaciones, fugas de agua, fallos en el aire acondicionado, etc. |
Instalaciones de suministro | Se han establecido las medidas necesarias para garantizar la continuidad del suministro eléctrico. |
Seguridad de los proveedores de centros de procesamiento | Los centros de datos externos donde se ubican los servidores de VÍNTEGRIS están ubicados en la UE y disponen que como mínimo deben ser TIER III y disponer de certificaciones de seguridad de la información. Más información en el Anexo IV “Subencargados” |
Seguridad de los proveedores de servicios IaaS y PaaS | Los proveedores de servicios IaaS y PaaS proporcionan los controles de seguridad física necesarios y garantizados mediante las certificaciones oportunas, tal como ISO 27001, SOC 2, ENS (nivel Alto), PCI-DSS, y otras. En este caso, se contratan los servicios en centros de datos ubicados en la UE. Más información en el Anexo IV “Subencargados” |
v3.6.1- Agosto 2023 Página 61 | 61
RESILIENCIA DE LOS SISTEMAS | |
Disponibilidad de los sistemas | VÍNTEGRIS ha establecido medidas para garantizar la disponibilidad de los sistemas de acuerdo con los niveles de servicio comprometidos. |
Supervisión y gestión de la capacidad | El desempeño de los sistemas está continuamente monitorizado, con sistemas de alertas para detectar de forma inmediata cualquier incidente. Continuamente se realiza una supervisión de la capacidad de los sistemas para asegurar la disponibilidad de capacidad suficiente para los servicios requeridos. |
Redundancias | Todos los sistemas de Víntegris están redundados, internamente en diferentes servidores y en diferentes centros de datos distantes geográficamente |
Copias de seguridad | VÍNTEGRIS realiza una copia de seguridad almacenada en un soporte disociado de los equipos habituales de tratamiento. Esta copia se realiza con la periodicidad necesaria para cumplir los niveles de servicio comprometidos. Adicionalmente VÍNTEGRIS mantiene una copia de seguridad almacenada en un emplazamiento diferente y separado geográficamente de las instalaciones habituales de tratamiento de la información. Esta copia se realiza con la periodicidad necesaria para cumplir los niveles de servicio comprometidos en caso de incidente grave en las instalaciones de tratamiento. |
Supervisión de las copias de seguridad | Se supervisa de forma continua la ejecución correcta de las copias de seguridad. |
Pruebas de recuperación | Se realizan pruebas periódicas de recuperación y verificación de información contenida en las copias de seguridad |
Plan de Continuidad | Se han elaborado un Plan de Continuidad permitan recuperar la disponibilidad de los sistemas y la integridad de la información en caso de incidente grave. |
Procedimientos de recuperación | Se dispone de procedimientos específicos de protección y recuperación ante amenazas que comprometan la integridad de la información, tal como los ataques por ransomware. |
v3.6.1- Agosto 2023 Página 62 | 61
PRIVACIDAD POR DISEÑO Y POR DEFECTO | |
Minimización de la recogida de datos | Únicamente se recogen los datos estrictamente necesarios para la finalidad para la que deben ser tratados. |
Limitación del plazo de conservación de los datos | VÍNTEGRIS ha establecido procedimientos para limitar la retención de los datos y evitar su conservación más allá de los plazos establecidos. Los archivos temporales creados como resultado del tratamiento son eliminados cuando dejan de ser necesarios. |
Limitación de finalidad | VÍNTEGRIS ha definido mecanismos para evitar que la información que se trata por cuenta del responsable pueda ser utilizada para finalidades diferentes de las establecidas en este Acuerdo de Tratamiento de Datos (ATD). |
Pseudonimización y cifrado de datos | Se aplican medidas de pseudonimización y cifrado de los datos, especialmente cuando la información tratada incluye datos de categoría especial o especialmente sensible |
Segregación de información sensible | El acceso a la información más sensible está segregado de forma que únicamente puedan ser consultados y tratados por personal específicamente autorizado. |
EJERCICIO DE LOS DERECHOS DE LOS INTERESADOS | |
Procedimiento de respuesta | VÍNTEGRIS ha definido un proceso formal para atender y asistir al responsable en la respuesta a las peticiones de ejercicio de los derechos de los interesados. |
Comunicación de las peticiones de ejercicio de los derechos | VÍNTEGRIS ha definido los canales para comunicar las peticiones de ejercicio de los derechos de los interesados al responsable del tratamiento. |
Limitación de tratamiento | Existen mecanismos para limitar el tratamiento de los datos siempre que así sea requerido. |
v3.6.1- Agosto 2023 Página 63 | 61
ANEXO IV. Lista de subencargados
Lista acordada de subencargados de acuerdo con la Cláusula 6.7(a)
Nombre del subencargado | Amazon Web Services Inc. |
Descripción del tratamiento | Proveedor de servicios IaaS y PaaS |
Localización del tratamiento | Unión Europea (Irlanda, Frankfurt, Paris) |
Dirección y datos de contacto | Amazon Web Services EMEA SARL 00 Xxxxxx Xxxx X. Xxxxxxx, L-1855, Luxembourg Tel: x000 0000 0000 |
Garantías proporcionadas |
Nombre del subencargado Descripción del tratamiento
Localización del tratamiento
AE Group S.à r.l. (AtlasEdge)
Proveedor de los centros de datos donde se ubican servidores de VÍNTEGRIS.
El personal de AtlasEdge no tiene acceso ni a los servidores ni a los datos contenidos en estos.
España (Barcelona y Madrid)
Dirección y datos de contacto Garantías proporcionadas
xxxxx://xxxxxxxxx.xxx/xxxxxxxxx/XxxxxXxxx%00Xxxxx rement%20GTCs%20v01.09.21.pdf xxxxx://xxxxxxxxx.xxx/xx-xxxxxxx/xxxxxxx/0000/00/X tlasEdge_Barcelona-DC_DataSheet.pdf xxxxx://xxxxxxxxx.xxx/xx-xxxxxxx/xxxxxxx/0000/00/X tlasEdge_Madrid-DC_DataSheet.pdf
Nombre del subencargado
Descripción del tratamiento
VERIDAS DIGITAL AUTHENTICATION SOLUTIONS, S.L.VERIDAS DIGITAL AUTHENTICATION SOLUTIONS, S.L.
Proveedor de la plataforma tecnológica en la que se apoya el proceso de reconocimiento de la identidad la plataforma tecnológica en la que se apoya el proceso de reconocimiento de la identidad.
Localización del tratamiento España
v3.6.1- Agosto 2023 Página 64 | 61
Dirección y datos de contacto | |
Garantías proporcionadas | Acuerdo de encargado de tratamiento incluido en el Contrato de Licencia de uso y distribución para plataformas firmado entre Víntegris y Veridas. Acuerdo de encargado de tratamiento incluido en el Contrato de Licencia de uso y distribución para plataformas firmado entre Víntegris y Veridas. |
v3.6.1- Agosto 2023 Página 65 | 61