ACUERDO DE PROTECCIÓN DE DATOS
ACUERDO DE PROTECCIÓN DE DATOS
Dell Inc. y sus subsidiarias directas e indirectas (“Dell”) y el Proveedor han celebrado un Acuerdo de proveedor bajo el cual el Proveedor puede procesar Datos de Dell. Este Acuerdo de protección de datos (“DPA”) rige el procesamiento de los Datos de Dell por parte del Proveedor y se incluye para su referencia en el Acuerdo de proveedor. Durante todo el plazo del Acuerdo de proveedor, o después del plazo si el Proveedor tiene acceso a o retiene Datos de Dell, el Proveedor cumplirá, y hará que sus representantes cumplan, este DPA. En caso de conflicto entre el DPA, el NDA y el Acuerdo de proveedor, prevalecerá este DPA.
1. DEFINICIONES. Los términos que no se definen aquí tienen significados establecidos en el Acuerdo de proveedor.
1.1. “Ley aplicable” implica todas las leyes, los estatutos y las ordenanzas, las reglas, las regulaciones, las directivas, los decretos y los requisitos gubernamentales similares aplicables de las entidades gubernamentales existente, incluyendo pero sin limitarse a aquellas de los departamentos, las ciudades, condados, estatales, provinciales, federales e internacionales.
1.2. “Vulneración de datos” implica cualquier destrucción, alteración, divulgación, uso indebido, pérdida, robo, acceso, copia, uso, modificación, eliminación, compromiso o acceso a los Datos de Dell accidental, ilegal o no autorizado o cualquier acto u omisión que comprometa o socave las protecciones físicas, técnicas o empresariales que se generen por el procesamiento de Datos de Dell o el suministro de Soluciones por parte del Proveedor.
1.3. “Datos de Dell” es un término que implica todos los datos provistos por Dell, sus clientes, sus agentes autorizados o sus subcontratistas al Proveedor, o bien procesados por el Proveedor en conexión con el suministro de Soluciones, lo que incluye (a) toda la información y todos los datos no públicos provistos al Proveedor o a los que este tiene acceso para servicios de tercerización o alojamiento, (b) Datos altamente restringidos, (c) Datos personales o (d) Datos de seguimiento del usuario.
1.4. “Datos altamente restringidos” es un término que implica números de seguro social o de identificación emitidos por el gobierno; información médica o sobre la salud; información de seguridad de cuentas; información de cuentas financieras personales; información de tarjetas de crédito/débito/regalo u otra tarjeta de pago; contraseñas de cuentas; información personal de ingresos y crédito; propiedad intelectual; modelos de negocios propietarios; información de precios, clientes o infraestructura/sistema o flujos de datos; y datos personales confidenciales o sensibles según lo definido en las Leyes de privacidad.
1.5. “Derechos Arco”: Derechos reconocidos en ley, consistentes en la posibilidad de que el usuario o dueño de los datos pueda solicitar el acceso, rectificación, cancelación y oposición.
1.6. “Incluido” significa incluido sin limitación ni perjuicio a la generalidad de cualquier descripción, definición, término o frase que preceda esa palabra, e “incluye” y sus derivados deben interpretarse en consecuencia.
1.7. “Proveedor” implica la parte de la que Dell compra Soluciones bajo el Acuerdo de proveedor y sus representantes.
1.8. “Acuerdo de proveedor” implica el acuerdo o los acuerdos entre Dell y el Proveedor conforme al cual Dell compra Soluciones al Proveedor, incluido un Contrato maestro de relaciones.
1.9. “Datos personales” es un término que implica cualquier información o dato que solo o en su conjunto con otra información relacione una persona natural identificada o identificable, o datos que se consideren datos personales según lo definido en las Leyes de privacidad.
1.10. “Leyes de privacidad” es un término que implica cualquier ley, estatuto, o regulación, que incluye todas las enmiendas y sucesores legislativos o regulatorios, que se relacione con las obligaciones de seguridad de la información, la protección de datos y la privacidad o el procesamiento de datos personales.
1.11. “Procesamiento”, “procesado” o “proceso” implica cualquier operación o conjunto de operaciones realizadas en los Datos de Dell, con independencia de los fines e implica aplicada, lo que incluye acceso, recepción, recopilación, grabación, organización, adaptación, alteración, recuperación, consulta, retención, almacenamiento, transferencia, divulgación (incluida la divulgación por transmisión, difusión u otra forma que los ponga a disposición), alineación, combinación, uso, bloqueo, borrado y destrucción.
1.12. “Representantes” es un término que implica el Proveedor o cualquier empleado, funcionario, agente, consultor, auditor, subcontratista, persona externa u otro tercero que actúa en nombre del Proveedor o bajo la autoridad aparente del Proveedor en conexión con el suministro de Soluciones. Las referencias al “Proveedor” aquí incluyen a los Representantes.
1.13. “Subcontratistas” es un término que implica cualquier tercero o entidad, incluidos todos los subcontratistas, que actúa para o en nombre del Proveedor, que suministra Soluciones a Dell o al que el Proveedor le ha asignado o delegado sus obligaciones contractuales para con Dell. Los “Subcontratistas” no incluyen los empleados del Proveedor.
1.14. “Soluciones” es un término que implica cualquier hardware, software (incluidos componentes de terceros), software como servicio, servicios o servicios de alojamiento provisto a Dell o a un cliente de Dell conforme al Acuerdo de proveedor.
1.15. “Datos de seguimiento del usuario” es un término que implica datos asociados con los usuarios móviles o en línea que registran información, interacciones o comportamiento del usuario, los clics del usuario o la reacción a o la interacción con el contenido, la publicidad o cualquier otra actividad, o en conexión con las actividades de seguimiento relacionadas con la publicidad dirigida según el comportamiento.
2. INFORMACIÓN CONFIDENCIAL. Todos los Datos de Dell se consideran “Información confidencial” según lo definido en (a) el NDA o (b), si el Proveedor y Dell no han celebrado un NDA, el Acuerdo de proveedor. Toda exclusión a la definición de “Información confidencial” en el NDA o el Acuerdo de proveedor no se aplicará a la definición de Datos de Dell. El Proveedor deberá tratar a los Datos de Dell como Información confidencial mientras dichos Datos de Dell estén bajo el control o en posesión del Proveedor, incluso cuando los Datos de Dell se mantengan en sistemas de recuperación ante desastres/continuidad empresarial, copia de respaldo o archivo.
3. OBLIGACIONES DEL PROVEEDOR
3.1. Procesamiento. Dell indica y autoriza al Proveedor a procesar Datos de Dell única y exclusivamente para el propósito de realizar las obligaciones del Proveedor para con Dell bajo y de acuerdo con (a) el Acuerdo de proveedor; (b) las instrucciones por escrito de Dell y sus agentes; (c) las Leyes de privacidad; y (d) este DPA (en su conjunto, los “Acuerdos aplicables”). Si el Proveedor realiza un seguimiento de las actividades móviles o en línea de los usuarios, las obligaciones y los requisitos estipulados en este DPA relacionados con los Datos personales se extienden a los Datos de seguimiento del usuario.
3.2. Limitaciones de divulgación y uso. El Proveedor no podrá transferir ni divulgar de ningún otro modo los Datos de Dell, ni permitir el Procesamiento por sus representantes ni ningún tercero, excepto (a) por un principio de necesidad de conocimiento relacionado con el suministro de las Soluciones; (b) si es necesario para suministrar las Soluciones; (c) según lo permitido por los Acuerdos aplicables; o (d) si así lo requiere la Ley aplicable. Si la Ley aplicable le requiere al Proveedor transferir, divulgar o permitir el procesamiento de Datos de Dell por parte de un tercero, el Proveedor le notificará rápidamente a Dell antes de dicho requisito y cooperará con Dell para limitar la extensión y el alcance de dicha transferencia, dicha divulgación o dicho procesamiento.
3.3. Devolución y destrucción. En el momento de terminación del Acuerdo de proveedor o en el momento de la solicitud por escrito de Dell, cualquiera que ocurra primero, el Proveedor deberá encargarse de, y deberá asegurarse de que sus Subcontratistas se encarguen de, inmediatamente detener el uso de todos los Datos de Dell y devolverlos a Dell o, bajo la dirección de Dell, eliminarlos, destruirlos o establecerlos como anónimos de forma permanente, en cada caso usando las medidas de seguridad aquí estipuladas. Si la Ley aplicable no permite que el Proveedor destruya los Datos de Dell, el Proveedor no podrá usar los Datos de Dell para ningún propósito que no sea los requeridos por los Acuerdos aplicables y estará vinculado todo el tiempo a las disposiciones de los Acuerdos aplicables.
3.4. Notificaciones y asistencia. Si el Proveedor es contactado por una persona con una solicitud, consulta o queja relacionada con los Datos de Dell o los Datos Personales, en conexión con las Soluciones, el Proveedor deberá rápidamente (a) y en todo caso dentro de los dos días calendario proporcionarle a Dell un aviso por escrito de dicha solicitud, consulta o queja; y (b) proporcionarle a Dell la cooperación, la asistencia, la información y el acceso que sean razonables a los Datos personales en su posesión, custodia o control según sea necesario para que Dell pueda responder a dicha solicitud, consulta o queja rápidamente y dentro de los plazos requeridos por las Leyes de privacidad. El Proveedor no responderá a dicha solicitud, consulta o queja, a menos que así lo indique por escrito Dell.
3.5. Derechos Arco. La persona propietaria de la información tiene derecho de acceder a los datos personales que le ha otorgado a DELL y a los detalles del tratamiento de los mismos, a rectificarlos en caso de ser inexactos, a instruir a DELL a cancelarlos cuando considere que resulten ser excesivos o innecesarios, o a oponerse al uso de sus datos personales, conforme a lo establecido en el correspondiente Aviso de Privacidad. Para el ejercicio de cualquiera de los derechos de acceso, rectificación, cancelación u oposición (ARCO) para el tratamiento de sus datos personales, antes mencionados, podrá llenar el formato que le sea proporcionado a la petición realizada a la siguiente dirección de correo electrónico: xxxxxxx@xxxx.xxx. Dicha solicitud deberá contener: (I) El nombre del titular y domicilio u otro medio para comunicarle la respuesta a su solicitud; II.- Los documentos que acrediten la identidad o, en su caso, la representación legal del titular; III.- La descripción clara y precisa de los datos personales respecto de los cuales se busca ejercer alguno de los derechos antes mencionados; y IV.- Cualquier otro elemento o documento que facilite la localización de los datos personales. DELL se reserva el derecho de efectuar en cualquier momento modificaciones o actualizaciones al Aviso de Privacidad, en virtud de modificaciones a la legislación aplicable, a políticas internas o cuando DELL lo considere necesario. Por lo tanto, cualquier modificación al presente Aviso de Privacidad será notificado a través de nuestra página web: xxxx://xxx.xxxx.xxx/xxxxx/xx/xx/xxxxxx0/xxxxxxxx-xxxxxxx.
4. TRANSFERENCIAS INTERNACIONALES. El Proveedor puede transferir Datos personales fuera del país con el previo consentimiento por escrito de Dell, siempre que dicha transferencia se requiera en conexión con las Soluciones, esté sujeta a los términos estipulados en legislación local y que el Proveedor cumpla con las obligaciones impuestas al “importador de datos” estipuladas en dichas Cláusulas.
5. PROTECCIONES ADECUADAS. El Proveedor tendrá y mantendrá procesos técnicos, empresariales y físicos, estándares de seguridad, pautas, controles y procedimientos adecuados y estándares de la industria (“Políticas”) para protegerse contra cualquier Vulneración de datos (“Protecciones adecuadas”). El Proveedor evaluará, probará y supervisará regularmente, pero nunca menos que anualmente, la efectividad de sus Protecciones adecuadas, y ajustará y actualizará rápidamente las Protecciones adecuadas según lo razonablemente garantizados por dichos resultados. El Proveedor le proporcionará, a
pedido, a Dell una descripción por escrito de las Protecciones adecuadas. El Proveedor le proporcionará a Dell acceso a documentación e informes relevantes sobre la implementación, la certificación, la efectividad y la corrección de las Protecciones adecuadas. El Proveedor representa, garantiza y pacta que el Proveedor y sus Subcontratistas implementarán y mantendrán Políticas que:
5.1. Administración de riesgos. Evalúen los riesgos administrativos y empresariales con una frecuencia no menor a anualmente, y los riesgos técnicos y de sistemas con una frecuencia no menor a trimestralmente.
5.2. Administración de activos. (a) Identifiquen todos los equipos y los medios utilizados en el procesamiento de los Datos de Dell; (b) asignen responsabilidad por todos los equipos y los medios a uno o más custodios; y (c) requieran revisiones regulares del inventario de activos para comprobar su exactitud y para identificar cualquier equipo o medio faltante.
5.3. Políticas de administración de identidades y control de acceso. Antes de acceder a los Datos de Dell, (a) todos los derechos de acceso a datos y sistemas se asignan a individuos según sus responsabilidades documentadas y el principio de menor privilegio; (b) todas las cuentas de usuario y administrador se asignan a individuos y se requiere que tengan contraseñas seguras, rotación de contraseñas, bloqueos de autenticación fallida y tiempos de espera de sesión; y (c) la emisión de cuentas con acceso con privilegios requiere la aprobación de la gerencia y se mantienen bajo estrictos estándares de seguridad.
5.4. Políticas de concientización y capacitación. Traten (a) las amenazas de seguridad de la información y las mejores prácticas; (b) las políticas de seguridad de la información, los procedimientos y los controles implementados para proteger los Datos de Dell; y (c) los roles y las responsabilidades de cada uno de los representantes en cuanto a la protección de los Datos de Dell.
5.5. Políticas de responsabilidad. Garanticen que (a) se pueda realizar un seguimiento de todas las acciones de las cuentas hasta el individuo que usa una cuenta, (b) se registren la fecha, la hora y el tipo de acción de todas las acciones de cuentas con privilegios y todas las acciones de cuentas que afectan los Datos de Dell, (c) se supervisen todas las acciones de las cuentas registradas y que se pueden recuperar fácilmente para su análisis, y (d) se establezcan y se comuniquen las consecuencias por violar una política, y que se actúe en consecuencia.
5.6. Políticas de planificación de contingencia. Definan roles y responsabilidades y proporcionen pautas claras y buena capacitación sobre el manejo adecuado de los eventos de contingencia, que incluyen (i) eventos de amenazas naturales como inundaciones, tornados, terremotos, huracanes y tormentas de nieve; (ii) eventos de amenazas accidentales como derrames de sustancias químicas y fallas mecánicas o eléctricas; y (iii) actos intencionales como violaciones de seguridad y privacidad, amenazas de bomba, agresiones y robo.
5.7. Políticas de mantenimiento de sistemas. Que estén relacionadas con (a) la administración estructurada de vulnerabilidades, incluidos el análisis regular, las pruebas de penetración, el análisis de riesgos y la aplicación de parches a tiempo; (b) la administración de cambios, incluidos la documentación del propósito, el análisis del impacto en la seguridad, el plan de pruebas y sus resultados, y la autorización para todos los cambios; (c) la administración de configuraciones, incluidas las configuraciones de base seguras; y (d) la supervisión para detectar y generar alertas de cambios no autorizados.
5.8. Políticas de protección de comunicaciones y sistemas. Preserven la confidencialidad, integridad y disponibilidad de los Datos de Dell, incluidos (a) los controles físicos que restringen y supervisan el acceso a los sistemas que procesan Datos de Dell; (b) los controles administrativos y técnicos que protegen contra software malicioso y actores maliciosos;
(c) el cifrado seguro de los datos en tránsito entre redes públicas y no de confianza, y, en el caso de Datos altamente restringidos, en inactividad en todas las ubicaciones donde se almacenan; (d) la administración y la rotación periódica de las claves de cifrado; (e) la prohibición del procesamiento de Datos altamente restringidos y Datos personales en entornos que no sean de producción; (f) las revisiones regulares de control de seguridad y las pruebas de efectividad; y (vii) los controles administrativos y técnicos estrictos sobre el acceso remoto y los dispositivos móviles.
5.9. Políticas de protección de medios. Garanticen que los medios que contengan Datos de Dell se manejen de forma segura, lo cual incluye (a) el cifrado seguro de los Datos de Dell en todos los dispositivos móviles y el almacenamiento extraíble; (b) el requisito de métodos seguros de sanitización y destrucción para los medios que en algún momento tuvieron Datos de Dell; y (c) el requisito de que todos los medios, incluidos los impresos, que contengan Datos de Dell sin cifrar se almacenen en un lugar seguro.
6. INFORMACIÓN DE TARJETAS DE PAGO. Antes del procesamiento de cualquier información de tarjeta de pago en conexión con un Acuerdo de proveedor, el Proveedor debe cumplir, y permanecer dentro del cumplimiento de, por su propia cuenta, los Estándares de seguridad de datos de la industria de las tarjetas de pago (“PCI DSS”). Antes del procesamiento de cualquier información de tarjeta de pago y luego anualmente, el Proveedor debe enviar un certificado a Dell en el que se indique que se encuentra actualmente en su Informe de PCI en el Cuestionario de autoevaluación/cumplimiento y los registros de Análisis de redes trimestral de PCI y que permanece dentro del cumplimiento de PCI, así como también cualquier documentación que respalde dicho certificado según lo razonablemente solicitado por Dell. Si en algún momento el Proveedor no cumple los PCI DSS, o bien no puede o no quiere presentar las pruebas adecuadas de cumplimiento, el Proveedor incurrirá en incumplimiento del Acuerdo de proveedor y Dell puede terminar inmediatamente el Acuerdo de proveedor sin responsabilidad para Dell.
7. CONECTIVIDAD Y SEGURIDAD DE LA INFRAESTRUCTURA. Si (a) las Soluciones incluyen alojamiento de un sistema, datos, un sitio web o una aplicación; (b) se requiere conectividad de red para proporcionar las Soluciones; o (c) las Soluciones dependen de la integridad del entorno del Proveedor, se aplican los siguientes requisitos:
7.1. Acceso a la red. La conexión y el mecanismo para transmitir los Datos de Dell entre el Proveedor y Dell deberán realizarse a través de una solución segura aprobada por el departamento de TI de Dell. La duración del acceso deberá estar restringida a solo cuando se requiere acceso. El Proveedor deberá utilizar Protecciones adecuadas para proteger contra cualquier compromiso, acceso no autorizado u otro daño a la red de Dell y para proteger los entornos de TI y las redes del Proveedor asociados con las Soluciones. En caso de que se solicite, el Proveedor deberá proporcionarle a Dell un diagrama de red de alto nivel que detalle la red de TI del Proveedor que respalda las Soluciones.
7.2. Auditoría. En caso de que se solicite, el Proveedor deberá proporcionar un informe de auditoría de controles y el esfuerzo de corrección, como una auditoría de seguridad de la información o SSAE 16 realizada durante el año pasado, según corresponda conforme a las Soluciones. La auditoría debe incluir una evaluación de los procesos de seguridad y los controles generales aplicables del Proveedor para garantizar el cumplimiento de las Leyes de privacidad y los estándares de la industria. La auditoría estará a cargo del Proveedor como parte de su programa de seguridad de la información constante del Proveedor para evaluar los controles de seguridad generales del Proveedor.
7.3. Pruebas. Además de los programas de control interno del Proveedor, este tendrá pruebas de penetración independientes que se realizarán en su entorno según sean relevantes para este DPA, con una frecuencia no menor a una vez por año, y realizará análisis de vulnerabilidades de seguridad, con una frecuencia no menor a trimestralmente. El Proveedor se compromete a corregir todas vulnerabilidades identificadas en un período en proporción con el riesgo, o según lo acordado con Dell.
8. SEGURIDAD DE LAS SOLUCIONES
8.1. Vulnerabilidades. El Proveedor deberá realizar controles para identificar cualquier vulnerabilidad de seguridad en las Soluciones durante el desarrollo y después del lanzamiento. El Proveedor debe proporcionarle a Dell un aviso por escrito de (a) explotaciones de vulnerabilidades del día cero/vulnerabilidades públicamente conocidas dentro de los cinco días hábiles del público conocimiento; y (b) explotaciones de vulnerabilidades del día cero/vulnerabilidades no divulgadas públicamente aún, pero conocidas internamente, dentro de los diez días hábiles del descubrimiento. El Proveedor se compromete a corregir todas las vulnerabilidades identificadas en las Soluciones a cargo del Proveedor, y a corregir las vulnerabilidades con una puntuación base superior a 4 según lo identificado por el Sistema común de puntuación de vulnerabilidades en un período en proporción con el riesgo, o según lo acordado con Dell. El uso de código abierto por parte del Proveedor no alterará la responsabilidad del Proveedor de identificar y corregir las vulnerabilidades según lo descrito anteriormente.
8.2. Prácticas de codificación. El Proveedor acepta (a) utilizar las prácticas de codificación segura de la industria (por ejemplo, el ciclo de vida de desarrollo de software de Microsoft, los puntos de contacto de seguridad de software de Cigital, los estándares de OWASP o los principales 25 de SANS); (b) que las Soluciones están diseñadas según las prácticas de codificación segura de la industria; y (c) que la seguridad de la información se trata a lo largo de todo el ciclo de vida de desarrollo. Los procesos de las Soluciones, las capacidades directas y otras acciones necesarias deben cumplir con todos los estándares de PCI y las Leyes de privacidad.
8.3. Evaluaciones de seguridad. El Proveedor debe enviar los resultados y los esfuerzos de corrección de una evaluación independiente de seguridad para todas las Soluciones que (a) están orientadas a los clientes, incluidos los sitios web, se envían a los clientes o se instalan en los sistemas de los clientes; o (b) procesan Datos altamente restringidos. El alcance de la evaluación y los esfuerzos de corrección deben ser aceptados por Dell y deben ser tratados para la satisfacción de Dell antes de la aceptación de dichas soluciones.
9. VULNERACIÓN DE DATOS. El Proveedor debe notificar a Dell dentro de las 24 horas posteriores al conocimiento de una Vulneración de datos real o razonablemente sospechada. Dicha notificación se debe enviar, como mínimo, por correo electrónico con confirmación de lectura a xxxxxxx@xxxx.xxx y con copia al contacto comercial principal del Proveedor con Dell. Para facilitar la investigación y la corrección de una Vulneración de datos, el Proveedor debe cooperar por completo con Dell. El Proveedor no deberá informarle a ningún tercero sobre la Vulneración de datos sin primero obtener el consentimiento por escrito de Dell, excepto que sea estrictamente requerido por las Leyes de privacidad en cuyo caso el Proveedor notificará, a menos que esté prohibido por la ley, a Dell antes de informar a dicho tercero y cooperará con Dell para limitar el alcance de la información divulgada a lo que sea requerido por las Leyes de privacidad. Los detalles de cualquier queja recibida por el Proveedor relacionada con el procesamiento de Datos altamente restringidos, Datos personales o Datos de seguimiento del usuario se enviarán rápidamente al contacto comercial del Proveedor con Dell. El Proveedor reembolsará a Dell los costos en los que este incurra en respuesta a, por la corrección de o la mitigación de los daños causados por una Vulneración de datos o por el seguimiento de una queja realizada por un regulador o interesado particular. El Proveedor deberá realizar todas las acciones correctivas necesarias y adecuadas, lo que incluye las indicadas por Dell y las Leyes de privacidad, para corregir o mitigar cualquier Vulneración de datos.
10. REPRESENTANTES Y SUBCONTRATISTAS
10.1. Restricciones. A menos que esté expresamente permitido por el Acuerdo de proveedor, el Proveedor no podrá (a) transferir; (b) divulgar; (c) subcontratar el procesamiento de; ni (e) permitir el procesamiento de los Datos de Dell por o a ningún Subcontratista.
10.2. Requisitos para subcontratistas y representantes. El Proveedor debe realizar todos los pasos razonables para garantizar la confiabilidad de los Representantes y Subcontratistas que tengan acceso a los Datos de Dell, lo cual incluye realizar las verificaciones correspondientes de sus antecedentes. El Proveedor deberá garantizar que los Representantes y subcontratistas están adecuadamente capacitados para el manejo y el procesamiento seguro de los Datos de Dell según las Leyes de privacidad. Si Dell le permite al Proveedor transferir los Datos de Dell a un Subcontratista, el Subcontratista deberá cumplir con la Sección 4 “Transferencias internacionales” de este DPA como si el Proveedor fuera Dell y el Subcontratista fuera el Proveedor.
10.3. Acuerdo de subcontratista. Los acuerdos realizados entre el Proveedor y los Representantes y Subcontratistas autorizados para procesar Datos de Dell (“Contratos de subcontratista”) deben incluir condiciones y restricciones sustancialmente equivalentes a las de este DPA. El Proveedor tendrá total responsabilidad por todos los actos u omisiones de los Representantes y Subcontratistas. El Proveedor deberá proporcionarle a Dell una copia de los Contratos de subcontratista, en caso de que se solicite.
10.4. Auditorías de subcontratistas. El Proveedor auditará cada uno de sus Subcontratistas que procesen Datos de Dell como mínimo una vez por año y más frecuentemente en el caso de una Vulneración de datos. Si la auditoría revela cualquier deficiencia de cumplimiento, violación o falla por parte de un Subcontratista, el Proveedor deberá realizar todos los esfuerzos razonables para trabajar junto con el Subcontratista para corregir el problema rápidamente. Si, según el razonable criterio de Dell, no se puede implementar una corrección satisfactoria dentro de un período razonable, el Proveedor no podrá utilizar al Subcontratista para proporcionar las Soluciones a Dell, en cuyo caso se le solicitará al Proveedor, según las indicaciones de Dell, devolver o eliminar todos los Datos de Dell de inmediato.
11. REGISTROS DE LLAMADAS. Si el Proveedor procesa registros de llamadas, el Proveedor deberá establecer controles estrictos para el procesamiento de los registros de llamadas que contengan Datos altamente restringidos o Datos personales. El acceso a o el procesamiento de registros de llamadas estará limitado a solo lo que necesiten los Representantes para proporcionar las Soluciones y debe cumplir la Ley aplicable. El Proveedor mantendrá un registro grabado de todos los accesos realizados a los registros de llamadas. El Proveedor deberá eliminar todos los registros de llamadas que contengan Datos personales en la medida que sea razonablemente posible después de que las grabaciones hayan cumplido su propósito y dentro de los períodos estipulados por las Leyes de privacidad y los estándares de seguridad aplicables, pero en ningún caso, pasados los 90 días (21 días en EMEA), a menos que exista una aprobación por escrito de la Oficina de privacidad de Dell. El Proveedor debe grabar solo una pequeña muestra del volumen de llamadas y dentro de los períodos requeridos por las Leyes de privacidad. Para grabaciones que contengan información de tarjetas de pago o Datos altamente restringidos, el Proveedor deberá almacenar los registros de llamadas en formato de transmisión de voz (y no como archivos de datos), a menos que la información de tarjetas de pago se elimine de las grabaciones o se convierta en datos imposibles de escuchar/leer al momento de la grabación.
12. DATOS CANADIENSES. Si el Proveedor procesa Datos personales de personas ubicadas en Canadá en el curso del suministro de las Soluciones, el Proveedor y Dell aceptan las obligaciones y los requisitos adicionales de esta Sección 12. El Proveedor no realizará ninguna acción ni omisión que genere que Dell actúe en contravención de la Ley de Documentos Electrónicos y Protección de la Información Personal (Canadá), como sus enmiendas o complementos posibles de vez en cuando, y cualquier otra legislación provincial o federal canadiense que rija el procesamiento de los Datos personales. El Proveedor conservará todos los datos, las bases de datos u otros registros que contengan Datos personales procesados en conexión con las Soluciones lógicamente aislados y separados de cualquier otra información, dato, base de datos u otro registro procesado por el Proveedor para sí mismo o terceros. El Proveedor designará e identificará un individuo responsable de la supervisión de los Datos personales, y se lo informará a Dell. Es posible que se le solicite a Dell divulgar, sin previo aviso o consentimiento, Información confidencial del Proveedor a autoridades en conexión con cualquier investigación, auditoría o consulta relacionada con las Soluciones. El Proveedor no podrá mover, eliminar ni transmitir ningún Dato personal de las instalaciones del Proveedor sin el expreso consentimiento de Dell y sin el uso de una tecnología adecuadamente segura para proteger dicha información mientras esté en tránsito. Si el Proveedor es contactado por una persona con una solicitud, consulta o queja relacionada con sus Datos personales en conexión con las Soluciones, el Proveedor deberá referir a dicha persona a Dell de inmediato.
13. DERECHOS DE LAS SUBSIDIARIAS DE DELL. Nada en este DPA le conferirá ningún beneficio ni derecho a una persona o entidad que no sea una de las partes de este DPA. Donde las Soluciones incluyan el procesamiento por parte del personal del Proveedor de Datos de Dell en nombre de subsidiarias directas e indirectas de Dell, cada una de esas subsidiarias directas e indirectas puede hacer cumplir los términos de este DPA como un tercero beneficiario contra el Proveedor con respecto a sus Datos de Dell como si fuera parte de este DPA o cualquier otro Acuerdo de proveedor.
14. AUDITORÍAS. El Proveedor le permitirá a Dell o a la persona que designe a (a) auditar el cumplimiento del Proveedor de este DPA; (b) inspeccionar cualquier Dato personal en custodia o posesión del Proveedor; y (c) responder rápidamente todas las consultas de Dell con respecto al manejo de Datos personales por parte del Proveedor.
15. INDEMNIZACIÓN. El Proveedor defenderá, indemnizará y mantendrá libres de perjuicio a Dell y los directores, funcionarios, empleados, representantes y agentes de Dell, de y contra todo reclamo, acción, demanda y procedimiento legal y todas las responsabilidades, daños, pérdidas, juicios, acuerdos autorizados, costos, multas, penas y gastos incluidos los honorarios razonables de abogados que surjan de o estén relacionados con (a) la violación de este DPA por parte del Proveedor; (b) el incumplimiento de los PCI DSS por parte del Proveedor; o (c) la violación del Proveedor de cualquier Ley de privacidad.
16. OTROS. Las obligaciones del Proveedor según este DPA sobrevivirán a la terminación, rescisión o expiración del DPA, del NDA y del Acuerdo de proveedor. Los avisos legales se deberán realizar por escrito y se deberán enviar a la Dirección de aviso estipulada en el Acuerdo de proveedor. Los avisos realizados por fax, mediante mensajería nocturna, registrados por correo o enviados por correo certificado y que se envíen a la Dirección de aviso de Dell o a la Dirección de aviso del proveedor (o a individuos sucesores y direcciones que se hayan notificado adecuadamente a la otra parte) se consideran efectivos en el momento del envío. Todas las demás comunicaciones, entregas o avisos comerciales por escrito entre el Proveedor y Dell requeridos por o pertenecientes a este DPA serán efectivos en el momento de la recepción. El Proveedor no podrá ceder ni transferir este DPA, en totalidad o en parte, ya sea voluntariamente, por contrato o por fusión (si esa parte es la que sobrevive o la entidad que desaparece), venta de acciones o activos, consolidación, disolución, a través de una acción u orden del gobierno, o de otra manera sin el consentimiento previo por escrito de Dell. Cualquier intento de asignar o transferir este DPA, salvo que lo hagan de conformidad con esta Sección, se considerará nulo y sin efecto. Dell puede asignar el DPA sin consentimiento del Proveedor. Ninguna exención de cualquier término o condición tiene validez, a menos que esté por escrito y tenga la firma de los representantes autorizados de ambas partes, y se limitará a la situación específica para la que se otorgue. Ninguna enmienda o modificación a este DPA será válida, a menos que se estipule por escrito específicamente haciendo referencia a este DPA y sea firmada por los representantes autorizados de ambas partes. Ninguna otra acción u omisión constituirá una exención de ningún derecho. Este DPA estipula el total acuerdo y entendimiento de las partes sobre la materia aquí expresada y reemplaza todas las discusiones y acuerdos previos o contemporáneos entre las partes, tanto orales como escritos. En cumplimiento de las responsabilidades del Proveedor conforme a este DPA, se entiende y acepta que el Proveedor actuará en todo momento como contratista independiente y que el Proveedor no es socio, participante de empresa conjunta ni empleado de Dell. Se acepta expresamente que el Proveedor no se considerará para ningún propósito agente, agente aparente o servidor de Dell, y las partes aceptan considerar tales acciones según lo razonablemente solicitado por Dell para informar al público y a otros interesados que utilicen los servicios profesionales del Proveedor de tal hecho. Cada una de las partes que aquí figuran acepta ejecutar todo documento que solicite de vez en cuando la otra parte para implementar o completar las obligaciones de dicha parte conforme a este DPA, la Ley de privacidad o la Ley aplicable. Las partes aceptan realizar todas las acciones razonables según sean necesarias para enmendar este DPA de vez en cuando, según sea necesario para que Dell pueda cumplir con las Ley de privacidad y la Ley aplicable. Interpretación. Toda ambigüedad en este DPA se resolverá a favor de un significado que le permita a Dell cumplir con la Ley de privacidad y la Ley aplicable.
Estas Cláusulas se adjuntan a y forman parte del Acuerdo de protección de datos (“DPA”) entre Dell y el Proveedor. Este Apéndice forma parte de las Cláusulas. Los estados miembros deben completar o especificar, conforme a sus procedimientos nacionales, cualquier información adicional necesaria que deba incluirse en este Apéndice.
EXPORTADOR DE DATOS. El exportador de datos se identifica al comienzo de las Cláusulas y es un proveedor de servicios y productos de TI. El exportador de datos ha designado al importador de datos para proporcionar ciertos servicios o productos según lo especificado en el Acuerdo de proveedor. Para facilitar la provisión de estos servicios y productos, el exportador de datos puede proporcionarle al importador de datos acceso a los datos personales descritos a continuación.
IMPORTADOR DE DATOS. El importador de datos es un signatario de las Cláusulas y es un proveedor de servicios y productos. El importador de datos será el receptor de los datos personales que exporte el exportador de datos al importador de datos según lo descrito a continuación.
INTERESADOS. Los datos personales transferidos pueden referirse a las siguientes categorías de interesados:
• Empleados y socios pasados, presentes y potencialmente posibles;
• Clientes pasados, presentes y potencialmente posibles;
• Asesores, consultores, proveedores, contratistas, subcontratistas y agentes pasados, presentes y potencialmente posibles;
• Demandantes, corresponsales y solicitantes; y
• Beneficiarios, padres y tutores.
CATEGORÍAS DE LOS DATOS. Los datos personales transferidos del interesado pueden referirse a las siguientes categorías de datos:
1. Detalles de contacto (que pueden incluir nombre, dirección postal, dirección de correo electrónico, teléfono, fax y detalles asociados con la información de zona horaria);
2. Detalles de empleo (que pueden incluir nombre de la compañía, cargo, posición jerárquica, información demográfica y datos de ubicación);
3. Información de sistemas de TI (que puede incluir ID y contraseña de usuario, nombre de computadora, nombre de dominio, dirección IP e información de seguimiento de patrón de uso de software: es decir, cookies);
4. Contenido de correos electrónicos del interesado y datos de transmisión que estén disponibles de forma fortuita para la provisión de consultoría, soporte y servicios de tecnología de la información (el acceso fortuito puede incluir el acceso a contenido de las comunicaciones por correo electrónico y datos relacionados con el envío, el enrutamiento y la entrega de correos electrónicos);
5. Detalles de bienes o servicios provistos en beneficio de los interesados;
6. Detalles financieros (por ejemplo, detalles bancarios, de pago o de crédito).
CATEGORÍAS ESPECIALES DE DATOS (SI CORRESPONDE). Los datos personales que revelan origen racial o étnico; opiniones políticas; creencias religiosas o filosóficas; opiniones, membresías o actividades sindicalistas; archivos de seguro social y datos relacionados con la salud (incluso condición o salud física o mental); vida sexual e información relacionada con delitos criminales o presuntos delitos y cualquier procedimiento legal relacionado, e incluirán categorías especiales de datos según lo definido en la legislación local.
OPERACIONES DE PROCESAMIENTO. Los datos personales transferidos pueden estar sujetos a las siguientes actividades de procesamiento: cualquier operación con respecto a los datos personales independientemente de los medios aplicados y los procedimientos, en particular la obtención, la recopilación, la grabación, la organización, el almacenamiento, la conservación, el uso, la enmienda, la adaptación, la alteración, la divulgación, la difusión o cualquier otro método que ponga los datos a disposición, la alineación, la combinación, la recuperación, la consulta, el archivado, la transmisión, el bloqueo, el borrado o la destrucción de los datos, la operación y el mantenimiento de sistemas, la administración y las funciones de auditoría, legales, de cumplimiento, de administración de riesgos, de informes financieros y de informes administrativos, e incluirán “procesamiento” que tendrá el significado otorgado a dicho término en la legislación local.
Descripción general de la seguridad de la información del importador de datos
Estas Cláusulas se adjuntan a y forman parte del Acuerdo de protección de datos (“DPA”) entre Dell y el Proveedor. En este Apéndice 2, se estipula una descripción de las medidas de seguridad empresariales y técnicas implementadas por el importador de datos de acuerdo con las Cláusulas 4(d) y 5(c). El importador de datos toma la seguridad de la información seriamente y este enfoque se cumple a lo largo de su procesamiento y sus transferencias de datos personales. Esta descripción general de la seguridad de la información se aplica a los controles corporativos del importador de datos para proteger los datos personales que se procesan y transfieren entre las compañías del grupo del importador de datos. El programa de seguridad de la información del importador de datos le permite al personal comprender sus responsabilidades. Algunas soluciones de los clientes pueden tener protecciones alternativas detalladas en la declaración de trabajo aplicable según lo acordado con cada cliente.
PRÁCTICAS DE SEGURIDAD. El importador de datos ha implementado prácticas y estándares corporativos de seguridad de la información que están diseñados para proteger el entorno corporativo del importador de datos y tratar los objetivos comerciales en las siguientes áreas: (1) seguridad de la información, (2) administración de activos y sistemas, (3) desarrollo, y (4) gestión. Estas prácticas y estos estándares son aprobados por la gerencia ejecutiva del importador de datos, y se revisan y se actualizan periódicamente donde sea necesario. El importador de datos debe mantener un programa apropiado de seguridad de la información y de políticas de los datos, lo cual incluye políticas y procedimientos para las restricciones de acceso lógico y físico, clasificación de los datos, derechos de acceso, programas de generación de credenciales, retención de registros, privacidad de los datos, seguridad de la información y el tratamiento de los datos personales y los datos personales confidenciales a lo largo de su ciclo de vida. Las políticas clave se deben revisar como mínimo anualmente.
SEGURIDAD EMPRESARIAL. Es responsabilidad de los individuos dentro de la organización del importador de datos cumplir con estas prácticas y estos estándares. Para facilitar la adhesión corporativa a estas prácticas y estos estándares, la función de Seguridad de la información (“SI”) del importador de datos es responsable de las siguientes actividades:
1. Estrategia de seguridad: la función SI controla la dirección de la seguridad del importador de datos. La función SI trabaja para garantizar el cumplimiento de las regulaciones, las políticas y los estándares relacionados con la seguridad, y para concientizar y educar a los usuarios. La función SI también lleva a cabo evaluaciones de riesgos y actividades de administración de riesgos, y gestiona requisitos contractuales de seguridad.
2. Ingeniería de seguridad: la función SI administra las pruebas, el diseño y la implementación de soluciones de seguridad para permitir la adopción de controles de seguridad en el entorno.
3. Operaciones de seguridad: la función SI administra el soporte de las soluciones de seguridad implementadas, supervisa y analiza el entorno y los activos, y administra la respuesta ante incidentes.
4. Investigaciones forenses: la función SI trabaja con los departamentos de Operaciones de seguridad, Legales, Recursos humanos y Oficina de privacidad global para llevar a cabo investigaciones, que incluyen eDiscovery y eForensics.
5. Pruebas y consultas de seguridad: la función SI trabaja con los desarrolladores de software en el desarrollo de las mejores prácticas de seguridad, consultas sobre el desarrollo de aplicaciones y la arquitectura para proyectos de software, y lleva a cabo pruebas de garantía.
CONTROL Y CLASIFICACIÓN DE ACTIVOS. La práctica del importador de datos es realizar un seguimiento y administrar información clave y activos físicos, lógicos y de software. Los ejemplos de los activos a los que el importador de datos podría realizarles un seguimiento incluyen:
• activos de información, como bases de datos, planes de recuperación ante desastres, planes de continuidad empresarial, clasificación de datos e información archivada identificados;
• activos de software, como software de sistemas y aplicaciones identificados; y
• activos físicos, como servidores, equipos de escritorio/laptops, cintas de archivo/respaldo, impresoras y equipos de comunicaciones identificados.
Los activos se clasifican según la importancia para la empresa para determinar los requisitos de confidencialidad. Las pautas de la industria para el manejo de los datos personales proporcionan el marco para las protecciones físicas, empresariales y técnicas. Estas protecciones pueden incluir controles como la administración del acceso, el cifrado, el registro y la supervisión, y la destrucción de datos.
SELECCIÓN, CAPACITACIÓN Y SEGURIDAD DE LOS EMPLEADOS
1. Verificaciones de antecedentes/selección: donde sea razonablemente práctico y adecuado, como parte de proceso de reclutamiento/empleo, el importador de datos realizará verificaciones de antecedentes/selección de los empleados (que variará de un país a otro según las regulaciones y leyes locales), donde dichos empleados tendrán acceso a las instalaciones, los sistemas y las redes del importador de datos.
2. Identificación: el importador de datos les requerirá a todos los empleados que proporcionen prueba de su identificación y cualquier documentación adicional que pudiera ser requerida según el país de contratación o si así lo requieren otras entidades del importador de datos o los clientes para los cuales el empleado proporciona servicios.
3. Capacitación: el programa de capacitación de cumplimiento anual del importador de datos incluye un requisito para los empleados mediante el cual deben completar un curso de concientización sobre la seguridad de la información y la protección de datos y pasar una evaluación al final del curso. El curso de concientización sobre la seguridad también puede proporcionar materiales específicos a ciertas funciones laborales.
4. Confidencialidad: el importador de datos garantizará que sus empleados están legalmente obligados a proteger y mantener la confidencialidad de todos los datos personales que manejen conforme a los acuerdos estándares.
CONTROLES DE ACCESO FÍSICO Y SEGURIDAD DEL MEDIOAMBIENTE
1. Programa de seguridad física: el importador de datos usará un número de enfoques tecnológicos y operativos en su programa de seguridad física para mitigar los riesgos de seguridad en la medida en que sean razonablemente posibles. El equipo de seguridad del importador de datos trabaja en conjunto con cada sitio para determinar si están implementadas las medidas adecuadas para evitar que personas no autorizadas obtengan acceso a los sistemas dentro de los cuales se procesan datos personales y para supervisar continuamente cualquier cambio a la infraestructura física, al negocio y a las amenazas conocidas. También supervisan las medidas de mejores prácticas utilizadas por otros en la industria y seleccionan cuidadosamente los enfoques que satisfacen tanto la singularidad en la práctica comercial como las expectativas del importador de datos. El importador de datos equilibra su enfoque hacia la seguridad al considerar elementos de control que incluyen la arquitectura, las operaciones y los sistemas.
2. Controles de acceso físico: los controles de acceso físico/las medidas de seguridad en las instalaciones del importador de datos están diseñados para cumplir con los siguientes requisitos:
(a) El acceso al edificio, a las instalaciones y a otros lugares físicos del importador de datos estará controlado y será según la necesidad comercial, la confidencialidad de los activos y el rol y la relación del individuo con el importador de datos. Solo el personal asociado con el importador de datos recibirá acceso a las instalaciones y los recursos físicos del importador de datos de una manera coherente con su rol y sus responsabilidades dentro de la organización.
(b) Las instalaciones relevantes del importador de datos estarán protegidas con un sistema de control de acceso. El acceso a dichas instalaciones se otorgará con una tarjeta activada únicamente.
(c) Todas las personas que requieran acceso a las instalaciones o los recursos recibirán las credenciales de acceso físico adecuadas y exclusivas (por ejemplo, una tarjeta de acceso o un distintivo asignado a un individuo) que proporcionará la función SI. Los individuos que cuenten con credenciales de acceso físico exclusivas reciben instrucciones de que no podrán permitir ni habilitar el acceso a otros individuos a las instalaciones o los recursos del importador de datos con sus credenciales exclusivas (por ejemplo, se prohíbe el ingreso de dos personas con un solo acceso autorizado). Se pueden proporcionar credenciales temporales (de hasta 14 días) a individuos que no tengan identidades activas donde esto es necesario (i) para el acceso a instalaciones específicas y (ii) por necesidades comerciales válidas. Las credenciales exclusivas no son transferibles y, si un individuo no puede generar sus credenciales cuando se lo soliciten, no podrá ingresar a las instalaciones del importador de datos o será acompañada hasta la salida de las mismas. En las entradas con personal, los individuos deberán presentar una identificación con foto válida o credenciales válidas al representante de seguridad antes de ingresar. Los individuos que pierdan o se olviden sus credenciales u otra identificación deberán ingresar por una entrada con personal, donde un representante de seguridad les proporcionará un distintivo temporal.
(d) Los empleados reciben capacitación y recordatorios regularmente sobre llevar siempre consigo sus credenciales, almacenar sus laptops, dispositivos portátiles y documentos en un lugar seguro (especialmente cuando viajan) y cerrar las sesiones o apagar sus computadoras cuando se alejan de sus escritorios.
(e) Los visitantes que requieren acceso a las instalaciones del importador de datos deberán ingresar por una entrada principal de las instalaciones o con personal. Los visitantes deberán registrar la fecha y la hora de su llegada, la hora de egreso del edificio y el nombre de la persona a la que visitarán. Los visitantes deberán completar un formulario actual emitido por el gobierno de identificación para validar su identidad. Para evitar el acceso a la información de propiedad de la empresa, o su divulgación, los visitantes no podrán acceder sin compañía a las áreas controladas o restringidas.
(f) Ciertas instalaciones del importador de datos utilizan televigilancia, guardias de seguridad y otras medidas físicas cuando es pertinente y lo permite la ley.
(g) Se proporcionan compartimentos cerrados en la mayoría de los sitios para permitir la destrucción segura de datos personales o información confidencial.
(h) Para los centros de datos principales del importador de datos, están disponibles guardias de seguridad, UPS y generadores, y estándares de control de cambios.
(i) Para los proyectos de desarrollo de infraestructura y de software, la función SI utiliza un proceso de evaluación de riesgos y un programa de clasificación de datos para administrar los riesgos que surgen de dichas actividades.
ADMINISTRACIÓN DE CAMBIOS. La organización de TI administra cambios en la infraestructura, las aplicaciones y los sistemas corporativos a través de un programa centralizado de administración de cambios, que puede incluir pruebas, análisis del impacto comercial y aprobación de administración donde corresponda. Todos los desarrollos de aplicaciones y sistemas relevantes se adhieren a un proceso de administración de cambios aprobado.
INCIDENTES DE SEGURIDAD Y PLAN DE RESPUESTA.
1. Plan de respuesta ante incidentes de seguridad: el importador de datos mantiene una política de respuesta ante incidentes de seguridad y un plan y procedimientos relacionados que tratan las medidas que el importador de datos tomará en el caso de pérdida del control, robo, divulgación no autorizada, acceso no autorizado o adquisición sin autorización de datos personales. Estas medidas pueden incluir análisis de incidentes, contención, respuesta, corrección, generación de informes y el restablecimiento del funcionamiento normal.
2. Controles de respuesta: los controles se implementan para proteger contra, y respaldar la detección de, uso malicioso de los activos y software malintencionado, y para informar posibles incidentes al equipo de la Mesa de servicio o la función SI del importador de datos para que se realice la acción correspondiente. Los controles pueden incluir, pero sin limitarse a: estándares y políticas de seguridad de la información; acceso restringido; entornos de pruebas y desarrollo designados; detección de virus en servidores, equipos de escritorio y laptops; análisis de virus en adjuntos de correo electrónico; análisis de cumplimiento de los sistemas; supervisión de prevención de intrusión y respuesta; reglas de firewall; registro y alerta sobre eventos clave; procedimientos de manejo de la información según el tipo de datos; seguridad de redes y aplicaciones de comercio electrónico; y análisis de vulnerabilidades de aplicaciones y sistemas. Se pueden implementar controles adicionales según el riesgo.
CIFRADO Y CONTROL DE TRANSMISIÓN DE DATOS. El importador de datos deberá, en la medida en que tenga control sobre cualquier transmisión o transferencia electrónica de datos personales, realizar todos los pasos razonables para garantizar que dicha transmisión o transferencia no se pueda leer, copiar, alterar o eliminar sin la autoridad correspondiente durante su curso. En particular, el importador de datos deberá:
1. Implementar prácticas de cifrado estándares de la industria en su transmisión de datos personales. Los métodos de cifrado estándares de la industria utilizados por el importador de datos incluyen Capa de sockets seguros (SSL), Seguridad de la capa de transporte (TLS), un programa de shell seguro como SSH o Seguridad de protocolo de Internet (IPSec).
2. Si es técnicamente factible, cifrar todos los datos personales, incluso, en particular cualquier dato personal confidencial o información confidencial, al transmitir o transferir esos datos a través de cualquier red pública o cualquier red que no sea de la propiedad y que no mantenga el importador de datos. La política del importador de datos reconoce que el cifrado no será efectivo, a menos que los individuos no autorizados no puedan acceder a la clave de cifrado y que se instruya al personal que nunca debe proporcionar una clave de cifrado a través del mismo canal que el documento cifrado.
3. Para aplicaciones con conexión a Internet que pueden manejar datos personales confidenciales o proporcionar integración en tiempo real con sistemas en una red que contenga dicha información (incluso la red principal del importador de datos), comprometerse a que se utilizará un Firewall de aplicaciones web (WAF) para proporcionar una capa adicional de verificación de ingreso y mitigación de ataques. El WAF se configurará para mitigar posibles vulnerabilidades como ataques por inyección, desbordamientos de búfer, manipulación de cookies y otros métodos comunes de ataque.
CONTROLES DE ACCESO A SISTEMAS. El acceso a los sistemas del importador de datos está restringido a usuarios autorizados. El acceso se otorga siguiendo procedimientos formales designados para garantizar que se otorguen aprobaciones adecuadas a fin de evitar el acceso de individuos no autorizados. Tales procedimientos incluyen:
1. Controles de admisión (es decir, medidas para evitar que personas no autorizadas usen sistemas de procesamiento de datos):
(a) El acceso se proporciona según el aislamiento de deberes y los privilegios mínimos para reducir el riesgo de uso indebido, intención u otra cuestión.
(b) El acceso a los sistemas de TI se otorgará solo cuando un usuario esté registrado con un nombre de usuario válido y una contraseña válida.
(c) El importador de datos tiene una política de contraseñas implementada que requiere contraseñas seguras para el inicio de sesión de los usuarios en laptops proporcionadas, prohíbe el uso compartido de contraseñas, prohíbe el uso de contraseñas que también son utilizadas para funciones no laborales, y advierte a los usuarios sobre qué deben hacer en el caso de que se pierdan, roben o comprometan sus contraseñas u otras credenciales de inicio de sesión.
(d) La contraseña obligatoria cambia regularmente.
(e) Bloqueo automático de la computadora con acceso renovado a la PC solo después de un nuevo registro con un nombre de usuario válido y una contraseña válida.
(f) La clasificación de los datos y los usuarios determina el tipo de autenticación que se debe usar en cada sistema.
(g) Las capacidades de computación inalámbrica y acceso remoto son restringidas y requieren que se implementen protecciones tanto de los usuarios como de los sistemas, así como también la autenticación de usuarios.
2. Controles de acceso (es decir, medidas para evitar el acceso no autorizado a los sistemas):
(a) La autorización de acceso se otorga de acuerdo con el área específica de trabajo a la que está asignada un individuo (es decir, su rol laboral).
(b) El ajuste de las autorizaciones de acceso en cada de cambios en el área de trabajo, o en caso de que el empleo de un empleado termine por algún motivo.
(c) El otorgamiento, la revocación y la revisión de los privilegios de administrador con los controles adicionales correspondientes y solo según sea necesario para respaldar los sistemas en cuestión.
(d) Los registros de eventos de dispositivos y sistemas clave se recopilan de forma centralizada y se informan según las excepciones para permitir las investigaciones forenses y la respuesta ante incidentes.
CONTROL DE ACCESO A DATOS. El importador de datos aplica los controles que se estipulan a continuación para el acceso y el uso de datos personales:
1. El personal recibe instrucciones de que solo podrá usar la cantidad mínima de datos personales necesarios para lograr los propósitos comerciales relevantes del importador de datos.
2. El personal recibe instrucciones de que no se pueden leer, copiar, modificar ni eliminar los datos personales, a menos que sea necesario para llevar a cabo sus deberes laborales.
3. El uso de datos personales por parte de terceros se rige por los términos y condiciones contractuales entre terceros y el importador de datos que impone límites al uso de datos personales por parte de terceros y restringe dicho uso a lo que sea necesario para que los terceros proporcionen sus servicios.
CONTROL DE SEPARACIÓN. Donde sea legalmente requerido, el importador de datos garantizará que los datos personales recopilados para diferentes propósitos se podrán procesar por separado. El importador de datos también garantizará que habrá separación entre los sistemas de producción y prueba.
CONTROL DE DISPONIBILIDAD. El importador de datos protege los datos personales contra la pérdida o la destrucción accidental mediante los siguientes controles:
1. Los datos personales se retienen de acuerdo con el contrato del cliente o, en su ausencia, las políticas y las prácticas de gestión de registros del importador de datos, así como también los requisitos de retención legal.
2. Las copias impresas de datos personales se deben eliminar en un contenedor de residuos seguro o en una trituradora de papeles para que la información ya no pueda ser descifrable.
3. Los datos personales electrónicos se deben proporcionar al equipo de Administración de activos de TI del importador de datos para su correcta eliminación.
4. Hay medidas técnicas apropiadas implementadas, lo que incluye (pero sin limitación a): software antivirus instalado en todos los sistemas; protección de las redes provista a través de firewall; segmentación de redes; uso de filtros de contenido/proxies; fuente de alimentación sin interrupciones; generación regular de respaldos; replicación de discos duros donde se requiera; sistema de seguridad contra incendios; sistemas de protección con el agua donde correspondan; planes de emergencia; y salas de servidores con aire acondicionado.