Enmienda de Procesamiento de Datos del Contrato de Google Apps

Enmienda de Procesamiento de Datos del Contrato de Google Apps

El cliente, quien acepta los términos ("Cliente") y Google Inc., Google Ireland Limited, o Google Asia Pacific Pte. Ltd. (en adelante “Google”) han celebrado un contrato de Google Apps Enterprise, contrato comercial Google Apps, Google Apps Enterprise vía Contrato de Reventa, Contrato Comercial de Google Apps a través de contrato de reventa, contrato de Google Apps para la educación, o Google Apps para la educación a través de contrato de reventa, tal como fuere aplicable, (y sus modificaciones correspondientes, "Contrato de Google Apps"). Esta enmienda ("la Enmienda de Procesamiento de Datos") se celebra entre el Cliente y Google a partir de la fecha de entrada en vigor de la enmienda y modifica el Contrato de Google Apps. La "Fecha de Entrada en Vigor de la Enmienda" es la fecha en la cual el Cliente acepta esta Enmienda de procesamiento de datos haciendo clic para aceptar los términos.

Si usted acepta en nombre del Cliente, estará representando y garantizando que: (i) tiene plena autoridad legal para vincular a su empresa, o la entidad pertinente, a estos términos y condiciones; (ii) ha leído y comprendido esta Enmienda de Procesamiento de Datos; y (iii) está de acuerdo, en nombre de la parte que usted representa, con esta Enmienda de Procesamiento de Datos. Si usted no tiene la autoridad legal para vincular/obligar al Cliente, NO haga clic en el botón "I Accept". (Acepto)

1. Introducción

La enmienda del procesamiento de datos refleja el acuerdo de las partes con respecto a los términos que regulan el procesamiento de datos del cliente según los términos del Contrato de Google Apps.

2. Definiciones

2.1 Los términos en mayúscula utilizados pero no definidos en esta Enmienda de Procesamiento de Datos tendrán el significado proporcionado en el Contrato de Google Apps. A menos que se declare lo contrario, en esta Enmienda de Procesamiento de Datos:

• “Productos Adicionales” refiere a los productos, servicios y aplicaciones (ofrecidas por Google o un tercero) que no forman parte del los Servicios.

• “Publicidad” refiere a la publicidad online exhibida por Google a Usuarios Finales, sin incluir los avisos que los clientes deseen exhibir con relación a los Servicios, dispuesto en un contrato especial (por ejemplo, la publicidad de Google AdSense implementada por el Cliente utilizando la funcionalidad de los "Sitios de Google" dentro de los Servicios).

• “Afiliados” refiere a toda entidad que directa o indirectamente controle, o sea controlada por o esté en control conjunto con una de las partes.

• “Contrato” hace referencia al Contrato de Google Apps Agreement y a la Enmienda del Procesamiento de Datos.

• “Datos del Cliente” refiere a los datos (que pueden incluir información personal y las categorías de datos que se incluyen en el Anexo 1) proporcionados, almacenados, enviados o recibidos por el Cliente a través de los Servicios, sus Afiliados o Usuarios Finales.

• “Legislación sobre Protección de Datos" refiere a las disposiciones nacionales adoptadas de acuerdo con la Directiva, aplicables al Cliente y los Afiliados de Clientes (si fuere aplicable) como controladoras de los Datos del Cliente y la Ley Federal de Protección de Datos xx Xxxxx de 1992 (Suiza), tal como fuere aplicable.

• “Directiva” refiere a la Directiva 95/46/EC del Parlamento Europeo y del Concejo de Protección de Personas con respecto al procesamiento de datos personales y del libre movimiento de dichos datos.

• “Grupo Google” refiere a los Afiliados de Google que pueden ser utilizados para brindar los Servicios al Cliente.

• “Instrucciones” refiere a las instrucciones proporcionadas por el Cliente a través de la Consola Administrativa, instrucciones iniciadas por el Cliente y Usuarios Finales en su utilización de los Servicios, las instrucciones escritas del Cliente especificadas en este Contrato (y sus modificaciones o reemplazos) y toda instrucción escrita futura del Cliente a Google y reconocida por Google.

• “Cláusulas de Contrato Modelo” refiere a las cláusulas contractuales de uso común (procesadores) de conformidad con el Artículo 26(2) de la Directiva 95/46/EC para la transferencia de datos personales a procesadores establecidos en otros países que no aseguran un nivel adecuado de protección de datos.

• “Principios de Privacidad de Puerto Seguro" hacen referencia al marco de los requisitos del Puerto Seguro del Departamento de Comercio de los Estados Unidos tal como se disponen en la siguiente URL: xxxx://xxxxxx.xxx/xxxxxxxxxx/xx/xx_xxxx_000000.xxx, u oportunamente, a cualquier marco sustituto o URL.

• “Incidente de Seguridad” hace referencia a la distribución accidental o indebida o pérdida accidental, alteración o divulgación no autorizada o acceso a los Datos del Cliente por parte de Google, sus sub-procesadores o cualquier tercero, considerando que tal incidente no es directa o indirectamente ocasionado por acto u omisión del Cliente o Usuario Final.

• “Medidas de Seguridad” tiene el significado que se menciona en el Artículo

6.1 de la presente Enmienda de Procesamiento de Datos.

• “Sub-procesadores” refiere a aquellos miembros del Grupo Google y demás Proveedores que tienen acceso lógico y procesan Datos del Cliente.

• “Servicios”

o (a) en conexión con la presente Enmienda de Procesamiento de Datos, refiere a aquellos servicios definidos como "Los Servicios Principales de Google Apps" (incluyendo actualizaciones y versiones mejoradas de dichos Servicios) incluidas en el acuerdo, que se describen en detalle en la siguiente URL: xxx.xxxxxx.xxx/xxxx/xxxx/xx/xxxxx/xxxx_xxxxxxxx.xxxx, dicha URL podrá ser oportunamente actualizada por Google; y

o (b). A los efectos de las disposiciones de esta Enmienda de Procesamiento de Datos, excepto los artículos 6.4, 6.5, 6.6 y 6.7, Google Classroom tal como se describe con mayor detalle en la URL antemencionada.

• “Proveedores Externos” refiere a los proveedores externos vinculados al Grupo Google para procesar Datos del Cliente en el contexto de las disposiciones de los Servicios. Se podrá encontrar información adicional sobre estos Proveedores Externos en la siguiente URL: xxx.xxxxxx.xxx/xxxx/xx/xxxx/xxxx/xxxxx/xxxxxxxxxxxxx.xxxx, dicha URL podrá ser oportunamente actualizada por Google. La información proporcionada en esta URL es precisa al momento de la publicación.

2.2. Los términos "datos personales", "procesamiento", "controlador" y "procesador" tendrán los significados que se adjudican en la Directiva.

3. Plazo

Esta Enmienda de Procesamiento de Datos finalizará con el vencimiento del Contrato de Google Apps.

4. Legislación de Protección de Datos.

Las partes acuerdan y reconocen que la Legislación de Protección de Datos aplica al procesamiento de los Datos del Cliente.

5. Procesamiento de Datos del Cliente

5.1. Procesador. Con relación a los Datos del Cliente, según surge en este contrato, las partes reconocen y acuerdan que el Cliente es el controlador y Google el procesador. El Cliente cumplirá con sus obligaciones como controlador y Google cumplirá con sus obligaciones como procesador según los términos de este Contrato. Cuando un Cliente Afiliado es el controlador (ya sea de forma individual o conjunta con el Cliente) con respecto a ciertos Datos del Cliente, el Cliente declara y garantiza a Google que está autorizado a instruir a Google y a actuar en nombre de dicho Cliente Afiliado con relación a los Datos del Cliente según surge de este Contrato y su enmienda.

5.2. Alcance del Procesamiento. Google procesará Datos del Cliente siguiendo las instrucciones del Cliente. El Cliente indica a Google procesar los Datos del Cliente para: (i) brindar los Servicios (que incluyen la detección, prevención y resolución de seguridad y temas técnicos) y (ii) responder a las solicitudes de asistencia al cliente.

5.3. Restricciones de Procesamiento. Google solamente procesará Datos del Cliente según los términos de este Contrato y no procesará Datos del Cliente con ningún otro propósito. No obstante las disposiciones de otros términos del

Contrato, Google no hará Publicidad en los Servicios ni utilizará Datos del Cliente con intenciones publicitarias.

5.4. Otros Servicios. El Cliente reconoce que si instala, utiliza o habilita Productos Adicionales que operan con los Servicios pero no son parte del los Servicios en sí, dichos Servicios podrán permitir que dichos Servicios Adicionales tengan acceso a los Datos del Cliente ya que podrán ser solicitados para la operación de dichos Productos Adicionales con los Servicios. El Contrato no aplica al procesamiento de datos transmitidos hacia y desde los mencionados Productos Adicionales. No se requiere que dichos Productos Adicionales utilicen los Servicios y podrán ser restringidos en su uso según lo determine el sistema administrador del Cliente de acuerdo con los términos de este Contrato.

6. Seguridad de Datos.

6.1. Medidas de Seguridad. Google tomará e implementará las medidas técnicas, administrativas y organizacionales necesarias especialmente diseñadas para proteger los Datos del Cliente en caso de algún Incidente de Seguridad ("Medidas de Seguridad"). Con respecto a la fecha de entrada en vigor de la Enmienda, Google ha implementado las Medidas de Seguridad en el Anexo 2. Google podrá actualizar u oportunamente modificar dichas Medidas de Seguridad siempre y cuando dichas modificaciones y actualizaciones no ocasionen la degradación material de la seguridad de los Servicios.

El Cliente acuerda que Google no tiene la obligación de proteger los Datos del Cliente que el Cliente elige almacenar fuera de los sistemas de Google y sus sub-procesadores (por ejemplo: almacenamiento offline o dentro de las instalaciones).

6.2. Personal de Google. Google tomará las medidas necesarias para que sus empleados, proveedores y sub-procesadores cumplan con las Medidas de Seguridad que se encuentren dentro del alcance de sus tareas.

6.3. Incidentes de Seguridad. Si Google toma conocimiento de algún incidente de Seguridad, Google deberá notificar al Cliente acerca de dicho Incidente de Seguridad lo antes posible, teniendo en cuenta la naturaleza de dicho Incidente de Seguridad. Google pondrá su mayor empeño, en términos comerciales, para trabajar con el Cliente de buena fe para abordar la falla de seguridad de Google según surja de las obligaciones del Contrato. El Cliente será únicamente responsable de cumplir con las obligaciones de notificación a terceros.

6.4. Certificación de Seguridad. Durante el Plazo, Google mantendrá su Certificación ISO/IEC 27001:2005 o una certificación del mismo nivel (“Certificación ISO”) para los Servicios.

6.5. Auditoría de Seguridad. Durante el Plazo, Google mantendrá su informe de Declaración de Normas de Certificación de Contrataciones (SSAE por su sigla en inglés) No. 16 Tipo II / Normas Internacionales de Compromisos de Garantía (ISAE por sus sigla en inglés) No. 3402 (o un informe similar) sobre los sistemas de Google que examinan los controles de seguridad lógica, controles de seguridad física, y disponibilidad de sistemas ("Informe de Auditoría") en cuanto tengan relación con los Servicios.

6.6. Distribución de Informe de Auditoría Google actualizará el Informe de Auditoría al menos cada dieciocho (18) meses. En el sitio de Google se encuentra disponible un resumen del Informe de Auditoría.

6.7. Derechos de Auditoría. Google ha incluido la certificación de seguridad y las obligaciones de auditoría en los Artículos 6.4, 6.5 y 6.6 de esta Enmienda de Procesamiento de Datos, a solicitud del Cliente, y cuando el Cliente o Afiliado del Cliente haya celebrado las Cláusulas de Contrato Modelo con una entidad del Grupo Google tal como se describe en el Artículo 10.3 (Cláusulas de Contrato Modelo) , el Cliente acuerda que la certificación de seguridad y las obligaciones de auditoría de esta Enmienda de Procesamiento de Datos se considerarán haber cumplido con los derechos de auditoría otorgados en las cláusulas 5 (f) y 12(2) de dichas Cláusulas de Contrato Modelo con respecto al Cliente y cualquier Afiliado del Cliente autorizado.

7. Corrección, Bloqueo y Supresión de Datos.

7.1. Supresión de Cliente y Usuario Final Durante el período de vigencia del Contrato, Google dará a los Clientes o usuarios finales la posibilidad de corregir, bloquear, exportar y borrar los Datos del Cliente para que sea consecuente con la funcionalidad de los Servicios. Una vez que el Cliente o Usuario Final borren los Datos del Cliente y tales datos no puedan ser recuperados por el Cliente o Usuario Final, por ejemplo de "papelera" ("Datos Borrados por el Cliente") Google borrará tales Datos Borrados del Cliente de su sistema tan pronto como le fuese posible y en un período máximo de 180 días.

7.2. Eliminación al Vencimiento. Una vez rescindido el Contrato de Google Apps, Google borrará todos los Datos Borrados por el Cliente del sistema tan pronto como le fuese posible y en un período máximo de 180 días.

8. Acceso a los Datos.

Google pondrá a disposición del Cliente los Datos del Cliente según los términos del Contrato de forma de ser consecuente con la funcionalidad de los Servicios, incluyendo el SLA aplicable. Si al utilizar y administrar los Servicios, el Cliente no tiene la capacidad de corregir o borrar Datos del Cliente (tal como lo requiere la ley aplicable) o migrar Datos del Cliente hacia otro sistema o proveedor de servicio, Google cumplirá con el pedido del Cliente de asistirlo en la realización

de dichas acciones siempre y cuando Google esté legalmente capacitado para hacerlo y tenga acceso a los Datos del Cliente.

9. Responsable de Privacidad de Datos.

El Responsable de Privacidad de Datos de Google Apps puede ser contactado a través de xxxxxxxxxx-xxx@xxxxxx.xxx.

10. Transferencia de Datos.

10.1. Transferencia de Datos. Como parte de los Servicios, Google podrá transferir, almacenar y procesar Datos del Cliente en los Estados Unidos o cualquier otro país en los cuales Google o sus sub-procesadores tengan instalaciones.

10.2. Puerto Seguro. Durante la vigencia del Contrato, Google asegurará que Google Inc. continúa inscripto en el Programa de Puerto Seguro del Departamento de Comercio de los Estados Unidos ("Puerto Seguro") o adopte una solución alternativa de cumplimiento que logre el cumplimiento con los términos de la Directiva por transferencia de Datos Personales a otro país. Mientras Google Inc. se encuentre inscripto en puerto Seguro: (i) el alcance de la certificación de Puerto Seguro de Google Inc. incluirá los Datos Personales del Cliente; y (ii) las prácticas de procesamiento del Grupo Google con respecto a los datos personales del Cliente serán consecuentes con los descriptos en la certificación de Puerto Seguro de Google Inc. y los Principios de Privacidad de Puerto Seguro.

10.3. Cláusulas de Contrato Modelo Durante el plazo de este Contrato, el Cliente o un Cliente Afiliado autorizado establecido en el Espacio Económico Europeo) podrá celebrar Cláusulas de Contrato Modelo con Google Inc.

11. Sub-procesadores

11.1 Sub-procesadores. Google podrá contratar sub-procesadores para ofrecer parte de los Servicios.

11.2 Restricciones de Procesamiento. Google se asegurará que los sub- procesadores accedan y utilicen Datos del Cliente únicamente para cumplir con los términos de este Contrato y que están vinculados por obligaciones por escrito: (i) que les solicitan ofrecer el nivel de protección de datos mínimo requerido por los Principios de Privacidad de Puerto Seguro; y (ii) si el Cliente o un Cliente Afiliado autorizado establecido en el Espacio Económico Europeo) ha celebrado Cláusulas de Contrato Modelo con Google Inc., ello impone el nivel de protección de datos requerido por el Cláusulas de Contrato Modelo.

11.3 Consentimiento del Cliente sobre el Sub-procesamiento El Cliente acepta que Google sub-contrate el procesamiento de datos del Cliente según los términos del Contrato. Si el Cliente o un Cliente Afiliado autorizado establecido en el Espacio Económico Europeo) celebra Cláusulas de Contrato Modelo con

Google Inc., el Cliente acepta que Google Inc. subcontrate el procesamiento de Datos del Cliente según los términos de las Cláusulas de Contrato Modelo.

11.4 Información Adicional. Por medio del consentimiento escrito del Cliente, Google brindará información adicional con respecto a Proveedores Externos y sus ubicaciones. El Cliente enviará tales solicitudes al Responsable de Privacidad de Datos de Google Apps a: xxxxxxxxxx-xxx@xxxxxx.xxx.

12. Beneficiarios Externos

No obstante disposición en contrario en este Contrato, en caso que Google Inc. no fuese parte del Contrato, Google Inc. será un beneficiario externo según lo dispone el Artículo 6.7 y Artículo 11.3 de esta Enmienda de Procesamiento de Datos.

13. Vigencia de la Enmienda.

En caso de que surja un conflicto entre los términos de la Enmienda de Procesamiento de Datos y el resto del Contrato, prevalecerán los términos de la presente Enmienda de Procesamiento de Datos. Sujeto a las enmiendas en esta Enmienda de Procesamiento de Datos, el Contrato mantendrá plena vigencia y efecto.

Anexo 1: Categorías de Datos y Personas Registradas

Categorías de Datos

Los datos personales ingresados, almacenados, enviados o recibidos por el Cliente o Usuario Final a través de los Servicios pueden incluir identificación de los usuarios, documentos, presentaciones, imágenes, ingreso a calendarios, tareas y demás datos electrónicos.

Personas Involucradas

Los datos personales ingresados, almacenados, enviados o recibidos a través de los Servicios pueden involucrar a Usuarios Finales incluyendo empleados, proveedores y personal de los clientes, proveedores y personal sub-contratado. Las personas involucradas pueden incluir personas que colaboran y se comunican con los Usuarios Finales.

Anexo 2: Medidas de Seguridad

Con respecto a la fecha de entrada en vigor de la Enmienda, Google respeta las Medidas de Seguridad establecidas en este Anexo de la Enmienda de Procesamiento de Datos. Durante el período de vigencia de este Acuerdo, las Medidas de Seguridad podrán cambiar, pero Google acuerda que cualquier cambio no provocará ningún daño en la seguridad de los Servicios.

1. Central de Datos & Seguridad de la Red

(a) Centrales de Datos

• Infraestructura Google tiene centrales de datos distribuidas geográficamente. Google almacena todos los datos de producción en centrales de datos físicamente seguras.

• Respaldo Los sistemas de la infraestructura han sido diseñados para eliminar fallas y minimizar el impacto de riesgos ambientales anticipados. Circuitos duales, interruptores, redes y demás dispositivos necesarios ayudan a brindar este respaldo. Los Servicios fueron diseñados para permitir a Google realizar ciertos tipos de mantenimiento preventivo y correctivo sin interrupción alguna. Todos los equipos e instalaciones han realizado procedimientos preventivos de mantenimiento que detallan el proceso y la frecuencia de rendimiento según especificaciones internas o del fabricante. El mantenimiento preventivo y correctivo de los equipos de centros de datos está programado a través de cambios estándar de procesos siguiendo procedimientos documentados.

• Energía Los sistemas que proveen de energía eléctrica a los centros de datos fueron diseñados de forma que puedan respaldarse y mantenerse sin afectar las operaciones continuas, las 24 horas del día, los 7 días de la semana. En la mayoría de los casos, se ofrece una fuente primaria de energía y otra alternativa, las dos con la misma capacidad, para componentes críticos de infraestructura. Se brinda energía de respaldo a través de varios mecanismos como ser baterías de energía sin interrupción, que pueden brindar energía confiable durante apagones, exceso de voltaje, falta de voltaje, y condiciones de baja tolerancia de frecuencia. Si la energía es interrumpida, habrá energía de respaldo que brindará energía completa transitoria a la central de datos durante 10 minutos hasta que los sistemas de generadores diesel comiencen a funcionar. Los generadores diesel tienen la capacidad de iniciarse en segundos para proveer la energía necesaria para hacer funcionar las centrales de datos en su total capacidad por algunos días.

• Sistema Operativo de Servidores Los servidores de Google utilizan implementaciones Linux personalizadas para las aplicaciones. Los datos son almacenados utilizando algoritmos registrados para aumentar la seguridad y respaldo de los datos. Google utiliza un proceso de revisión de

códigos para aumentar la seguridad del código utilizado para brindad los Servicios e incrementar los servicios de seguridad en las áreas de producción.

• Continuidad en el Mercado. Google replica datos en varios sistemas para obtener protección en casos de destrucciones o pérdidas accidentales. Google ha diseñado, planifica y prueba regularmente sus programas de recuperación en caso de desastres/ planificación de continuidad en el mercado.

(b) Redes & Transmisión

• Transmisión de Datos. Comúnmente, los centros de datos están conectados a través de vínculos privados de alta velocidad con el fin de proporcionar una transferencia de datos rápida y segura entre los centros de datos. Esto fue diseñado para prevenir que los datos fuesen leídos, copiados, alterados o eliminados sin autorización durante la transferencia o el transporte electrónico o al ser grabados en los medios de almacenamiento de datos. Google transfiere datos a través de protocolos estándares de Internet.

• Superficie de Ataque Externo. Google utiliza múltiples dispositivos de redes y de detección de intrusiones para proteger su superficie de ataques externos. Google considera los posibles portadores de ataques e incorpora tecnología en sistemas externos.

• Detección de Intrusión. La detección de Intrusión pretende brindar conocimiento acerca de actividades en proceso de ataque y proporcionar la información necesaria para responder ante incidentes. La detección de intrusión de Google incluye:

o 1. Controlar de cerca el tamaño y constitución de la superficie del ataque de Google a través de medidas preventivas;

o 2. Emplear controles de detección inteligente en los puntos de entrada de datos;

o 3. Emplear de tecnologías que solucionen de forma automática determinadas situaciones peligrosas.

• Respuesta ante un Incidente. Google monitorea una gran variedad xx xxxxxxx de comunicación para los incidentes de seguridad, y el personal de seguridad de Google reaccionará de forma inmediata ante los incidentes conocidos.

• Tecnología Encriptada. Google utiliza encriptaciones HTTPS (también llamadas SSL o TLS)

2. Acceso y Controles de los Sitios

(a) Controles en Sitios

• Operaciones de Seguridad de los Centros de Datos. Los centros de datos de Google mantienen una operación de seguridad responsable de todas las funciones de seguridad física de los centros de datos las 24 horas los 7 días de la semana. El personal de las operaciones de seguridad monitorea un circuito cerrado de cámaras en TV (CCTV) y sistemas de alarma. El personal de seguridad realiza patrullajes internos y externos en la central de datos de forma regular.

• Procedimientos de Acceso a las Centrales de Datos Google mantiene procedimientos formales de acceso para permitir el acceso físico a los centros de datos. Los centros de datos se encuentran en instalaciones que requieren acceso con llave electrónica, con alarmas que están conectadas a la operativa de seguridad del lugar. Todas las personas que ingresan a la central de datos están obligadas a identificarse ya mostrar prueba de su identidad a las operaciones de seguridad del lugar. Únicamente empleados, trabajadores contratados y visitantes tienen permitido el ingreso a las centrales de datos. Únicamente empleados trabajadores contratados autorizados pueden solicitar una tarjeta electrónica de acceso a estas instalaciones. La solicitud de tarjetas electrónicas de acceso a la central de datos deberá realizarse a través de correo electrónico y requiere la aprobación del gerente del solicitante y del director de la central de datos. Los demás visitantes que soliciten acceso temporal al centro de datos deberán: (i) obtener aprobación previa de los gerentes del centro de datos para el área interna y la central de datos específica que desea visitar; (ii) ingresar en las operaciones de seguridad del lugar (iii) y mostrar un acceso aprobado al centro de datos que identifique que la persona ha recibido la aprobación.

• Dispositivos de Seguridad del Centro de Datos. Los centros de datos de Google utilizan una tarjeta electrónica de ingreso y sistemas biométricos de control de acceso que están conectados al sistema de alarmas. El sistema de control de acceso monitorea y graba cada tarjeta electrónica, así como también el acceso por las puertas perimetrales, los envíos y recepciones, y demás áreas críticas. Las actividades no autorizadas e intentos de acceso fallidos son investigados por el sistema de control. El acceso autorizado a través de las operaciones comerciales y centros de datos se restringe a zonas y responsabilidades laborales de las personas. Las puertas de incendio de los centros de datos tienen alarma. Las cámaras CCTV se encuentran en funcionamiento tanto dentro como fuera de los centros de datos. Las posiciones de las cámaras han sido pensadas para cubrir áreas estratégicas incluyendo, entre otras, el perímetro, las puertas del edificio del centro de datos, y el área de envío/recepción. El personal de operaciones de seguridad controla el monitoreo de CCTV, grabado y equipos de control. El equipo CCTV está

conectado a la central a través de cable seguros. Las cámaras graban de forma online a través de video grabadoras digitales las 24 horas los 7 días de la semana. Las grabaciones de vigilancia se conservan por unos 90 días.

(b) Control de Acceso.

• Personal de Infraestructura de Seguridad. Google tiene y mantiene una política de seguridad para sus empleados y el personal está obligado a realizar una capacitación de seguridad como parte de paquete de capacitación. El personal de la infraestructura de seguridad de Google es responsable del monitoreo continuo de la infraestructura de seguridad de Google, la revisión de los Servicios y de la respuesta ante incidentes de seguridad.

• Control de Acceso y Gestión de Privilegios. Los administradores y usuarios finales del Cliente deben autenticarse a través del sistema central de autenticación o a través del ingreso al sistema para utilizar los Servicios. Cada aplicación verifica las credenciales para permitir la muestra de datos a un Usuario Final autorizado o administrador autorizado.

• Procesos y Políticas de Acceso a Datos Internos - Políticas de Acceso. Los procesos y políticas de acceso a datos internos son diseñados para prevenir que personas y/o sistemas no autorizados tengan acceso a sistemas utilizados para procesar datos personales. Google pretende diseñar sus sistemas para: (i) permitir únicamente que personas autorizadas tengan acceso a los datos que están autorizados a acceder; y

(ii) asegurarse de que los datos personales no sean leídos, copiados, alterados o eliminados sin autorización durante el procesamiento, uso o luego de ser grabados. Los sistemas fueron diseñados para detectar cualquier tipo de uso inapropiado. Google utiliza un sistema de manejo de acceso centralizado para controlar el acceso del personal a los servidores, y solamente permite el acceso a un número limitado de personas autorizadas. LDAP, Kerberos y sistema propio con llaves de acceso RSA fueron diseñados para brindar a Google mecanismos de acceso seguros y flexibles. Estos mecanismos fueron diseñados para proporcionar únicamente derechos de acceso aprobados para hosts de sitios, ingresos, datos e información de configuración. Google requiere el uso de ID de usuarios únicos, contraseñas seguras; autenticación doble y listas de acceso controladas para minimizar el potencial de uso de cuentas no autorizadas. El permiso o modificación de derechos de acceso se basa en: las responsabilidades laborales del personal autorizado; los requisitos laborales necesarios para realizar las tareas autorizadas; conocimientos básicos, y el deber de estar de acuerdo con las políticas y capacitación de acceso a datos internos de Google.

Las aprobaciones son controladas por herramientas de flujo de trabajo que conservan registro de todos los cambios. El acceso a sistemas es registrado para crear un rastreo de auditoría para su contabilidad. Donde se utilizan contraseñas para autenticaciones (ejemplo: ingreso a puestos de trabajo), se implementan políticas de contraseñas que siguen las prácticas estándares de la industria. Estas normas incluyen vencimiento de contraseñas, restricciones sobre re-utilización de contraseñas y fuerza suficiente de las contraseñas. Para el acceso a información delicada (ej: datos de tarjetas de crédito) Google utilizan tokens de hardware.

3. Datos.

(a) Almacenamiento de Datos, Aislamiento y Autenticación.

• Google almacena datos en modo "multi-usuario" en servidores propiedad de Google. Los datos, las bases de datos de los Servicios y la arquitectura de los sistemas de archivo son replicados entre varios centros de datos geográficamente dispersados. Google separa lógicamente los datos de los clientes, incluyendo datos de diferentes usuarios finales de otros usuarios, para que los datos de un usuario final autenticado no sean exhibidos a otro usuario final (a menos que el usuario final autenticado o administrador permitan que la información sea compartida). Se utiliza un sistema de autenticación en todos los Servicios para aumentar la seguridad uniforme de los datos.

• El Cliente tendrá el control en determinadas políticas de exposición de datos. Según la funcionalidad de los Servicios, dichas políticas permitirán al Cliente determinar las configuraciones de exposición del producto aplicables para los usuarios finales para determinados fines. El Cliente podrá hacer uso de determinadas capacidades de ingreso a las que Google podrá poner a disposición a través de los Servicios, productos y APIs. El Cliente acuerda que su uso de las APIs está sujeto a las condiciones de uso de las APIs.

(b) Política de Desmantelamiento y Borrado de Discos.

• Algunos discos que contienen datos pueden experimentar problemas de funcionamiento, errores o fallas de hardware que ocasionen el desmantelamiento del mismo ("Disco Desmantelado"). Todo disco desmantelado está sujeto a una serie de procesos de destrucción de datos (la "Política de Borrado de Datos") antes de dejar las instalaciones de Google ya fuese para su reutilización o destrucción.

• Los discos desmantelados se borran en un proceso que implica varias etapas y se verifican al menos por dos validadores independientes. Los resultados del borrado son ingresados por el número de serie del disco desmantelado para su rastreo. Finalmente, se libera a inventario el disco desmantelado borrado para su re-armado. Si, por motivos de problemas

de hardware el disco desmantelado no puede ser borrado, será guardado hasta que pueda ser destruido. Todas las instalaciones son auditadas de forma regular para verificar su cumplimiento con las Políticas de Borrado de Discos.

4. Seguridad del Personal

• Se solicita al personal de Google actuar de forma consecuente con los lineamientos de la empresa con relación a la confidencialidad, ética comercial, uso adecuado y normas profesionales. Google realiza verificaciones de antecedentes permitidas por la ley siguiendo las normas legales laborales locales.

• Se solicita al personal la firma de un acuerdo de confidencialidad y el reconocimiento y cumplimiento con las políticas de privacidad y confidencialidad de Google. El personal recibe capacitación de medidas de seguridad. El personal que maneja datos del cliente debe completar requisitos adicionales correspondientes a su rol (por ej.: certificaciones). El personal de Google no procesará datos del cliente sin la debida autorización.

5. Seguridad de los Sub-procesadores.

• Antes de incorporar Sub-procesadores, Google lleva a cabo una auditoría sobre las prácticas de seguridad y privacidad de los Sub-procesadores para asegurar que brinden un nivel de seguridad y privacidad que se adecue a su acceso a los datos y alcance de los servicios que proveerán. Una vez que Google ha evaluado los riesgos que presentan los sub- procesadores, en todo momento supeditado a los requisitos establecidos en el Artículo 11.2 de la presente Enmienda de Procesamiento de Datos, se requerirá al sub-procesador respetar los términos contractuales de seguridad, confidencialidad y privacidad.

Enmienda de Procesamiento de Datos de Google Apps, Versión 1.3