Servicio de Respuesta
Servicio de Respuesta
Las coberturas del presente Suplemento de extorsión cibernética se ofrecen exclusivamente con respecto a la extorsión cibernética que se produzcan primero durante el Periodo de póliza y se notifiquen a la Aseguradora como se estipula en las condiciones especiales y generales de la póliza. Para evitar cualquier duda, la extorsión cibernética no queda incluida dentro de las coberturas de la póliza.
Condiciones Particulares:
Límite de Indemnización
Todas las coberturas objeto de este Suplemento de cobertura de extorsión cibernética se otorga exclusivamente con respecto a la extorsión cibernética descubierta por primera vez durante el periodo de seguro y se comuniquen al asegurador.
La cobertura que ofrece el presente Suplemento de cobertura de extorsión cibernética
está sujeta a los Sublímites especificados en las Condiciones Particulares.
El siguiente límite de indemnización en relación con la extorsión cibernética es en adición a los límites de indemnización establecidos en el apartado 5 de las Condiciones Particulares de la Póliza tal y como sigue:
1 Rescate (Cobertura 1.1): XXXX Euros por extorsión cibernética en exceso de una
Franquicia de XXX
2 Consultores Respuesta: Sin sublímite
3 Servicios de respuesta ante incidentes: XXXX Euros por extorsión cibernética; con los siguientes sublímites:
I. Servicios Legales: XXX Euros por extorsión cibernética
II. Servicios de Informática Forense: XXX Euros por extorsión cibernética
III. Restitución de Imagen: XXXX Euros por extorsión cibernética
Asesores Respuesta ante Incidentes:
Consultores de Respuesta: NYA
Asesor de Respuesta: Xxxxxx Xxxx/HFW
Especialista Tecnológico: KPMG/Navigant
Consultor en Relaciones Públicas: Xxxxxxxxx Xxxxxxx
Sección 1 – Objeto de Cobertura
Únicamente a los efectos de este suplemento, la Sección 1- Objeto de Cobertura queda extendida añadiendo los siguientes honorarios y gastos:
1 Rescate
El asegurador reembolsará al asegurado todo rescate que haya sido entregado en relación con una extorsión cibernética.
2 Consultores de Respuesta
El asegurador abonará los honorarios y gastos razonables del consultor de respuesta
únicamente como consecuencia con una extorsión cibernética.
3 Servicios de Respuesta ante Incidentes
a. Servicios Legales
El asegurador abonará a, o en nombre de, la sociedad los honorarios y gastos razonables y necesarios (dentro del sublímite de indemnización establecido en las Condiciones Particulares) del asesor de respuesta en la prestación de servicios legales en relación con una extorsión cibernética. Tales servicios legales incluirán:
(i) adoptar instrucciones teniendo en cuenta los antecedentes de los hechos de la extorsión cibernética y coordinar al especialista tecnológico o al consultor de respuesta;
(ii) asesorar sobre la obligación de notificar y si corresponde la notificación a cualquier
organismo supervisor pertinente;
(iii) asesorar sobre las notificaciones a los afectados o interesados;
(iv) seguimiento de las quejas planteadas por los afectados o interesados y el asesoramiento al asegurado en la respuesta a las preguntas formuladas por los anteriores;
(v) asesorar a la sociedad en la respuesta a una extorsión cibernética.
Dichos honorarios y gastos sólo serán abonados por el asegurador en la medida en que hayan sido incurridos después de la fecha de notificación al asegurador.
b. Servicios de Informática Forense
El asegurador abonará a, o en nombre de, la sociedad los honorarios y gastos razonables y necesarios (dentro del sublímite de indemnización establecido en las Condiciones Particulares) del especialista tecnológico en relación con una extorsión cibernética con el propósito de:
(i) Investigar una extorsión cibernética, incluyendo la prestación de los siguientes servicios:
a. determinar si ha ocurrido una extorsión cibernética., cómo ocurrió y si se sigue produciendo;
b. identificar si la extorsión cibernética ha dado lugar a un uso ilegítimo de datos personales o un uso ilegítimo de información corporativa y establecer el alcance de la información personal o información corporativa que puedan haber sido comprometida.
(ii) Contener la extorsión cibernética, incluyendo un ataque de denegación de servicio;
(iii) Resolver el ataque de denegación de servicio y eliminar cualquier software malicioso, código informático, o virus del sistema informático de la sociedad e identificar todos los datos comprometidos; y
(iv) Examinar el sistema informático de la sociedad para determinar las acciones correctivas requeridas para cumplir con cualquier notificación del organismo supervisor.
Dichos honorarios y gastos sólo serán abonados por el asegurador en la medida en que hayan sido incurridos después de la fecha de notificación al asegurador.
c. Restitución de Imagen
El asegurador abonará a, o en nombre de, la sociedad o cualquier otra persona asegurada todos los honorarios y gastos razonables y necesarios (dentro del sublímite de indemnización establecido las Condiciones Particulares) en relación al asesoramiento a un consultor en relaciones públicas y cualquier otro consultor independiente designado por la sociedad con el consentimiento previo por escrito del asegurador (incluyendo asesores legales en relación a la estrategia en los medios y servicios de relaciones públicas) para prevenir o mitigar el potencial daño reputacional de un suceso de interés mediático, incluyendo el diseño y la gestión de una estrategia de comunicación.
Dichos honorarios y gastos sólo serán abonados por el asegurador en la medida en que hayan sido incurridos después de la fecha de notificación al asegurador.
Sección 2 - Definiciones
En relación a la Sección 2 “Definiciones.” de las Condiciones Especiales de la póliza, se acuerda modificar las definiciones mediante la siguiente redacción:
La definición 2.7 “Incidente asegurado” queda eliminada en su totalidad y reemplazada por
extorsión cibernética tal y como se define a continuación:
Extorsión cibernética significa cualquier amenaza al sistema informático de la sociedad, incluyendo amenazas relativas a:
a) Publicar, divulgar, difundir, destruir o usar datos adquiridos mediante el acceso no autorizado al sistema informático de la sociedad o uso no autorizado de dicho sistema;
b) Introducir un código malicioso en el sistema informático de la sociedad o usar el
sistema informático de la sociedad como medio para transmitir código malicioso;
c) Xxxxxxx, dañar o destruir el sistema informático de la sociedad;
a. Comunicarse por vía electrónica con los clientes de la sociedad y fingir ser el asegurado o actuar bajo la dirección del asegurado para obtener de manera fraudulenta información personal de los clientes de la sociedad (lo que se conoce también como «pharming», «phishing» u otros tipos de comunicaciones falsas);
b. Restringir o impedir el acceso al sistema informático de la sociedad; o
c. Revelar información confidencial electrónica o no electrónica,
d) Ejecutar un ataque de denegación de servicio en el sistema informático de la sociedad.
Ello incluye un acceso no autorizado real o presunto por parte de un tercero al sistema informático de la sociedad que cause daños económicos y para la reputación de la sociedad, quien específicamente exija por los activos del asegurado o de una sociedad o persona asegurada un rescate como condición para no llevar a cabo tales amenazas.
Extorsión cibernética incluirá también cualquier serie conectada de dichas amenazas comunicada al asegurado.
Únicamente para la aplicación de la presente extensión se añaden las siguientes definiciones de la sección 2 “Definiciones” de las Condiciones Especiales de la póliza:
1.1 Sociedad
El tomador de la póliza y sus filiales
1.2 Filial
Cualquier entidad sobre la cual el tomador de la póliza tenga o haya tenido Control en o antes de la fecha de comienzo de la presente póliza ya sea de manera directa o indirecta a través de una o varias de sus otras filiales.
Por Filial se entenderá también cualquier entidad sobre la cual el tomador de la póliza adquiera Control, ya sea de manera directa o indirecta a través de una o varias de sus otras filiales durante el periodo de seguro, teniendo en cuenta que esa entidad:
(i) Suponga menos del 15% del total de los ingresos del tomador de la póliza:
(ii) no incluirá ninguna entidad a través de la cual el tomador de la póliza genere más del 20 % de los ingresos en Estados Unidos de América.
A efectos de esta definición, existirá «Control» cuando el Tomador de la Póliza:
i) Controle la elección de la mayoría de consejeros de dicha entidad;
ii) Controle más de la mitad del derecho de voto de dicha entidad; o
iii) Posea más del cincuenta (50 %) de las acciones emitidas o el capital social de dicha entidad
1.3 Datos
1.4 Información o archivos multimedia digitales o digitalizados almacenados electrónicamente.
1.5 Normativa de Protección de Datos
se entenderá la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal y cualquier legislación que desarrolle, modifique, derogue o sustituya la anterior, y cualesquiera otras leyes o reglamentos equivalentes y relativos a la regulación y cumplimiento de la protección de datos de carácter personal y derecho a la privacidad en cualquier país.
1.6 Persona Interesada
Cualquier persona física cuya información personal haya sido recopilada, almacenada o procesada por o en nombre de la sociedad.
1.7 Sistema Informático de la Sociedad
i) Cualquier hardware o software informático o cualquiera de sus componentes que estén vinculados a través de una red de dos o más dispositivos accesibles a través de Internet o una red interna o que estén conectados a través de dispositivos de almacenamiento de datos u otros dispositivos periféricos que sean propiedad de la sociedad o estén operados, controlados o arrendados por dicha sociedad.
ii) Cualquier dispositivo personal de un empleado utilizado para acceder a un
sistema informático de la sociedad o a los datos que contiene; y
iii) Cualquier servicio de nube u otros recursos informáticos alojados utilizados por la sociedad y puestos en funcionamiento por un proveedor de servicios externo conforme a un contrato escrito entre el proveedor de servicios externo y la sociedad.
1.8 Información confidencial
Información corporativa e Información personal que se halle bajo el cuidado, la custodia o el control de una sociedad o titular de información o de las que una sociedad o titular de información sea legalmente responsable
1.9 Notificación del Organismo Supervisor
se entenderá el requerimiento o notificación a la sociedad por parte de un organismo supervisor para:
(i) confirmar el cumplimiento de la Normativa de Protección de Datos.
(ii) adoptar las medidas específicas para cumplir con la Normativa de Protección de Datos
(iii) abstenerse de la utilización o procesamiento de cualquier información personal o
datos mantenidos en nombre de un tercero.
dentro de un periodo de tiempo específico, pero en ningún caso superior a 5 años a partir de la fecha de notificación.
1.10 Información Personal
Cualquier información relativa a una persona física o no pública capaz de identificar individualmente a dicha persona física. Información personal se refiere al nombre, dirección de correo electrónico, número telefónico, número de tarjeta de crédito o tarjeta de débito, cuenta u otra información bancaria, información médica o cualquier otra información de una persona física que se halle protegida por leyes o reglamentos en materia de confidencialidad de datos.
1.11 Información Corporativa
Información de cualquier tercero que no sea de dominio público y/o secretos comerciales, datos, diseños, previsiones, fórmulas, prácticas, procesos, registros, informes y documentos objeto de protección contractual o legal.
1.12 Franquicia
Se refiere a la cantidad específicada en las Condiciones particulares. El asegurador responderá únicamente de la cuantía de la pérdida que exceda de la franquicia. La franquicia será asumida por los asegurados y se mantendrá sin asegurar.
1.13 Ciberterrorismo
El uso premeditado de actividades perjudiciales contra cualquier Sistema informático o red de la Sociedad, o la amenaza expresa de utilizar dichas actividades con la intención de causar daños y perseguir otros objetivos sociales, ideológicos, religiosos, políticos o de índole similar, o de intimidar a cualquier persona para promover dichos objetivos. Ciberterrorismo no abarca, en ningún caso, actividades que formen parte de operaciones militares, bélicas o cuasi bélicas.
1.14 Tercero
Reclamaciones presentadas por terceros o penalizaciones pagadas a terceros.
1.15 Afectados o Interesados
se entenderá la persona física titular de los datos personales objeto del tratamiento por parte de la Sociedad
1.16 Organismo Supervisor
se entenderá la Agencia Española de Protección de Datos o autoridad de control equivalente estatal o local, u organismo legalmente establecido de conformidad con la Normativa de Protección de Datos en cualquier jurisdicción, que tenga la potestad de velar por el cumplimiento de tal normativa en relación con el tratamiento o control de los Información Personal (o donde fuese pertinente, Información Corporativa).
1.17 Notificación del Organismo Supervisor
se entenderá el requerimiento o notificación a la Sociedad por parte de un Organismo Supervisor en materia de protección de datos para:
(iv) confirmar el cumplimiento de la Normativa de Protección de Datos.
(v) adoptar las medidas específicas para cumplir con la Normativa de Protección de Datos
(vi) abstenerse de la utilización o procesamiento de cualquier información personal o
Datos mantenidos en nombre de un Tercero.
dentro de un periodo de tiempo específico, pero en ningún caso superior a 5 años a partir de la fecha de notificación.
1.18 Uso Ilegítimo de Datos Personales
se entenderá la revelación no autorizada o transmisión de información personal respecto de los cuales la sociedad es responsable, tanto como responsable del fichero como responsable del tratamiento, tal y como se define bajo la normativa de protección de datos.
1.19 Uso Ilegítimo de Información Corporativa
se entenderá la revelación no autorizada o transmisión de Información Corporativa respecto de los cuales la Sociedad es responsable.
1.20 Suceso de Interés Mediático
se entenderá la comunicación pública efectiva o la cobertura en cualquier medio o la amenaza de las mismas, que derive directamente de un uso ilegítimo, real o presunto, de datos personales o un uso ilegítimo de información corporativa, una extorsión cibernética y que es probable que provoque a la sociedad o a cualquier persona asegurada un descrédito a su reputación y dañe la consideración que sobre la misma tienen las personas físicas o jurídicas que sean sus clientes o proveedores, o aquellos con los que la sociedad habitualmente trate en el curso de su negocio.
1.21 Titular de información
Un tercero al que (i) una Sociedad haya facilitado Información confidencial o (ii) que haya recibido Información confidencial en nombre de una Sociedad..
1.22 Seguro de Robo de Identidad
se entenderá una póliza de robo de identidad emitida por el asegurador o por otra entidad con el consentimiento previo por escrito del asegurador, para ser ofrecida a los afectados o interesados cuyas informaciones personales se han visto comprometidos.
Sección 3 - Exclusiones
Únicamente a los efectos del presente suplemento, se añaden las siguientes exclusiones a las existentes en la Sección 3 de las Condiciones Especiales de la póliza.
La Aseguradora no se hará responsable de ninguna Pérdida que se derive de, se base en o sea atribuible a:
1.1 Gastos de Recuperación de Datos
Cualquier gasto incurrido por el Asegurado con el fin de:
(i) recrear los Datos guardados por la Sociedad, incluyendo los Datos almacenados en nombre de un Tercero, cuando estos Datos no se puedan recuperar o estén corrompidos;
(ii) re-configurar e instalar el software con licencia utilizado por la Sociedad en el momento de la Extorsión Cibernética, ya que el software con licencia no es legible por los sistemas.
1.2 Gastos de Notificación
Cualquier coste o gasto incurridos por el Asegurado, incluyendo los gastos asociados en la creación de centros de atención al cliente o Call Centres en relación a la investigación, recopilación de información, en preparación para la notificación a los Afectados o Interesados y/o cualquier Organismo Supervisor como consecuencia de un, real o presunto, Uso Ilegítimo de Datos Personales o un Uso Ilegítimo de Información Corporativa.
1.3 Servicios de Control de Identidad y Crédito
Cualquier coste o gasto incurridos por el Asegurado para servicios de control de crédito y robo de identidad de personas físicas por un posible empleo erróneo de información personal como consecuencia de un real o presunto Uso Ilegítimo de Datos Personales; y/o la necesaria para cualquier Seguro de Robo de Identidad.
1.4 Multas y Sanciones
Cualquier multa y sanción de la que el asegurado sea legalmente responsable con respecto a una investigación regulatoria.
1.5 Incumplimiento xx xxxxx antimonopolio
Cualquier violación real o presunta de las leyes antimonopolio, restricción de la competencia o competencia desleal.
1.6 Mejora de activos
- Actualización, renovación, optimización o sustitución de cualquier Sistema informático de la Sociedad a un nivel superior al que existía antes de que se produjera una extorsión cibernética; o
- La eliminación de errores o vulnerabilidades en programas de software.
1.7 Daños personales o materiales:
Cualquier:
- Lesión física, afección, enfermedad o fallecimiento.
- Pérdida o destrucción de bienes tangibles que no sean Datos.
1.8 Infrastructura Cualquier:
- Fallo eléctrico o mecánico de la infraestructura ajeno al control del Asegurado, incluida cualquier interrupción del suministro eléctrico, sobretensión, caída de tensión o apagón. No obstante, esta exclusión no es aplicable al Sistema informático de la Sociedad;
- Fallo en las líneas telefónicas, líneas de transmisión de datos u otras infraestructuras de telecomunicaciones o redes ajeno al control de un Asegurado;
- Fallos en el satélite.
1.9 Patente
Cualquier infracción de derechos de patente
1.10 Contaminación
(i) cualquier presencia, descarga, derrame, liberación, migración o escape de contaminantes, ya sean reales, supuestos o amenazas de los mismos; o
(ii) cualquier instrucción o solicitud de, o esfuerzo para: (a) realizar pruebas, controlar, limpiar, eliminar, contener, tratar, desintoxicar o neutralizar contaminantes, o (b) responder ante o evaluar los efectos de contaminantes.
1.11 Impuestos
Todos los impuestos pagaderos por la Sociedad, independientemente de cómo surjan, (excluyendo cualquier IVA o impuestos equivalentes) que estén obligados a pagar en relación con la prestación de los servicios bajo cobertura de Servicios Legales, Servicios de Informática Forense o Restitución de Imagen.
1.12 Secreto Comercial Cualquier:
i) Pérdida de derechos a obtener el registro de patentes;
ii) Apropiación indebida de secretos comerciales;