Contract
El presente Anexo de procesamiento de datos de Xxxxxx («APD») forma parte del Acuerdo de licencia de usuario final y de servicios de Ivanti («Acuerdo») y se celebra a partir de la última fecha de firma indicada a continuación (la «Fecha de Entrada en Vigor») por y entre el cliente identificado a continuación o en el Acuerdo («Controlador») y la entidad Ivanti aplicable identificada en este APD («Ivanti» o «Procesador») (individualmente, una «Parte»; colectivamente, las «Partes»). Los términos en mayúsculas que no se definen en el presente documento tendrán el significado respectivo que se les atribuye en el Acuerdo.
CONSIDERANDOS
CONSIDERANDO que las Partes han celebrado el Acuerdo.
CONSIDERANDO que, en el curso de la prestación de los Servicios al Controlador de conformidad con el Acuerdo, el Procesador puede Procesar Datos Personales en nombre del Controlador;
CONSIDERANDO que, a fin de garantizar las salvaguardias adecuadas con respecto al Procesamiento de Datos Personales proporcionados por el Controlador al Procesador, las Partes acuerdan cumplir las siguientes disposiciones con respecto a los Datos Personales, actuando cada una de ellas razonablemente y de buena fe.
AHORA, POR LO TANTO, en consideración de las premisas anteriores y de las promesas y convenios mutuos que se establecen a continuación, el Controlador y el Procesador acuerdan lo siguiente:
ACUERDO
1. DEFINICIONES
Todos los términos en mayúsculas no definidos en el presente documento tendrán el significado establecido en el Acuerdo.
«Filial»: se refiere a cualquier entidad que directa o indirectamente controle, sea controlada o esté bajo el control común de la entidad en cuestión. «Control», a efectos de esta definición, se refiere a la propiedad o el control directo o indirecto de más del 50 % de las participaciones con derecho a voto de la entidad en cuestión.
«Leyes de protección de datos aplicables»: hace referencia a todas las leyes, reglamentos, orientaciones normativas o requisitos aplicables en cualquier jurisdicción relacionados con la protección de datos, la privacidad o la confidencialidad de los Datos Personales, incluidos, entre otros, a) el GDPR junto con cualquier legislación de transposición, aplicación o complemento, y b) la CCPA.
«Filial autorizada» se refiere a cualquiera de las Filiales del Controlador que a) están sujetas a las leyes y reglamentos de protección de datos del Espacio Económico Europeo y/o sus Estados miembros, el Xxxxx Unido y Suiza, b) están sujetas a las leyes y reglamentos de protección de datos fuera del Espacio Económico Europeo y/o sus Estados miembros, Suiza y el Xxxxx Unido (según corresponda), y c) están autorizadas a utilizar al Procesador para el Procesamiento en virtud del Acuerdo.
«CCPA»: hace referencia a la Ley de Privacidad del Consumidor de California, Cal. Código Civil, artículo 1798.100 et seq., y sus reglamentos de ejecución.
«Controlador»: se refiere a la entidad que determina los fines y los medios del Procesamiento de Datos Personales. Para evitar dudas, la Parte identificada anteriormente como «Controlador» es un Controlador en virtud de este APD.
«Violación de datos»: se refiere a una violación de la seguridad que conduzca a la destrucción accidental, no autorizada o ilegal, la pérdida, la alteración, la divulgación, el acceso u otro Procesamiento de Datos Personales transmitidos, almacenados o Procesados de otra manera.
«Autoridad de Protección de Datos»: se refiere a cualquier representante o agente de una entidad o agencia gubernamental que tenga la autoridad para hacer cumplir las Leyes de Protección de Datos aplicables.
«Sujeto de Datos»: designa a una persona física a la que se refieren los Datos Personales.
«RGPD»: se refiere al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 xx xxxxx de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
«Ivanti»: se refiere a la entidad identificada a continuación en la misma región geográfica que el Cliente:
- Ivanti, Inc., una sociedad de Delaware, en las Américas, excepto Brasil.
- Ivanti Comércio de Software Brasil Ltda, una empresa brasileña, en Brasil.
- Ivanti Software K.K., una empresa japonesa, en Japón.
- Ivanti Software Technology (Beijing) Co., Ltd., una empresa china, en China.
- Ivanti International Limited, una empresa irlandesa, para los productos y servicios de las marcas Wavelink y Naurtech en Europa, Oriente Medio, África y la región de Asia-Pacífico.
- Ivanti UK Limited, una sociedad limitada registrada en Inglaterra y Gales, en todos los demás lugares.
«Datos Personales»: se refiere a cualquier información que identifique, se refiera, describa, pueda asociarse o pueda razonablemente vincularse, directa o indirectamente, con una persona física identificada o identificable o con un hogar particular. Una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de localización, un identificador en línea o a uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de dicha persona física.
«Procesamiento»: se refiere a cualquier operación o conjunto de operaciones que se realicen sobre los Datos Personales por o en relación con la prestación de los Servicios y a los efectos de la misma, se realicen o no por medios automatizados, tales como la recogida, el registro, la organización, el almacenamiento, la adaptación o alteración, la recuperación, la consulta, el uso, la revelación por transmisión, la difusión o cualquier otra forma de puesta a disposición, la alineación o la combinación, el bloqueo, el borrado o la destrucción; y según lo definido por las Leyes de Protección de Datos aplicables.
«Procesador»: se refiere a la entidad que Procesa los Datos Personales en nombre del Controlador. Para evitar dudas, la Parte identificada como «Procesador» anteriormente es un Procesador a los efectos de este APD.
«Servicios»: se refiere al Procesamiento de Datos Personales por parte del Procesador en relación con y a los efectos de la prestación de los servicios que debe proporcionar el Procesador en virtud del Acuerdo.
«Proveedor de Servicios»: se refiere a una empresa unipersonal, una sociedad, una sociedad de responsabilidad limitada, una corporación, una asociación u otra entidad legal que se organiza o funciona para el lucro o el beneficio financiero de sus accionistas u otros propietarios, que procesan información en nombre de un Controlador de Datos y a la que el Controlador de Datos revela los Datos Personales de un Sujeto de Datos para un Propósito de Negocios en virtud de un contrato escrito, siempre que el contrato prohíba al Proveedor de Servicios conservar, utilizar o divulgar los Datos Personales para cualquier fin distinto del específico de la prestación de los servicios especificados en el contrato, o según lo permitido por la CCPA, incluida la conservación, utilización o divulgación de los Datos Personales para un Propósito Comercial distinto de la prestación de los servicios especificados en el contrato con el Controlador de Datos. Los términos «Propósito de Negocios» y «Propósito Comercial» tienen el mismo significado que el utilizado en la CCPA. Para evitar dudas, el Procesador es un Proveedor de Servicios.
«Subprocesador»: se refiere a cualquier entidad que Procese Datos Personales en nombre del Procesador.
2. PROCESAMIENTO DE DATOS PERSONALES
2.1 Funciones de las Partes. Las partes reconocen y acuerdan que sobre el Procesamiento de Datos Personales, el Controlador es el Controlador, el Procesador es el Procesador o Proveedor de Servicios. El objeto, la duración y la finalidad del Procesamiento, así como los tipos de Datos Personales y las categorías de Sujetos de Datos Procesados en virtud del presente APD se especifican con más detalle en el anexo 1.
2.2 Obligaciones del Controlador. Las instrucciones del Controlador para el Procesamiento de Datos Personales deberán cumplir con las Leyes y Reglamentos de Protección de Datos. El Controlador será el único responsable de la exactitud, calidad y legalidad de los Datos Personales y de los medios por los que el Controlador adquiere los Datos Personales y los proporciona al Procesador.
2.3 Obligaciones del Procesador. Todos los Datos Personales Procesados por el Procesador en virtud del Acuerdo son Información Confidencial y el Procesador procesará los Datos Personales únicamente de acuerdo con las instrucciones documentadas del Controlador establecidas en el anexo 1 o según lo dispuesto por el Controlador por escrito. El Procesador no venderá los Datos Personales Procesados en virtud del presente APD y no retendrá, utilizará o divulgará los Datos Personales fuera de la relación comercial directa entre el Procesador y el Controlador. El Procesador se adherirá a todas las Leyes de Protección de Datos aplicables con respecto al Procesamiento de Datos Personales. El Procesador no combinará los datos personales proporcionados por el Responsable del tratamiento con los datos personales que reciba de otras fuentes. Cuando el Procesador considere que el cumplimiento de cualquier instrucción del Controlador podría dar lugar a una violación de cualquier Ley de
Protección de Datos Aplicable, el Procesador lo notificará por escrito al Controlador sin demora. El Procesador pondrá a disposición del Controlador toda la información necesaria para demostrar el cumplimiento por parte del Procesador de sus obligaciones en virtud del presente APD.
2.3.1. Requisitos de Asistencia. El Procesador asistirá al Controlador en relación con: el cumplimiento de las Leyes de Protección de Datos Aplicables; las sospechas y las Violaciones de Datos relevantes; las notificaciones a, o las consultas de, una Autoridad de Protección de Datos; las notificaciones a, y las consultas de, los Sujetos de Datos; y la obligación del Controlador de llevar a cabo evaluaciones de impacto de protección de datos y consultas previas con una Autoridad de Protección de Datos.
3. OBLIGACIONES DE NOTIFICACIÓN
3.1 Obligaciones de Notificación del Procesador. El Procesador deberá notificar inmediatamente al Controlador, por escrito, lo siguiente:
3.1.1 La solicitud de un Sujeto de Datos para ejercer sus derechos de privacidad, tales como acceder, rectificar, borrar, transportar, objetar o restringir sus Datos Personales;
3.1.2 Cualquier solicitud o queja recibida de los clientes o empleados del Controlador;
3.1.3 Cualquier pregunta, queja, investigación u otra consulta de una Autoridad de Protección de Datos;
3.1.4 Cualquier solicitud de divulgación de Datos Personales que esté relacionada de algún modo con el Procesamiento de Datos Personales por parte del Procesador en virtud del presente APD;
3.1.5 Una Violación de Datos conforme a las obligaciones de notificación establecidas en el apartado 7.1; y
3.1.6 Si los Datos Personales son objeto de registro e incautación, una orden de embargo, confiscación durante un procedimiento de quiebra o insolvencia, o eventos o medidas similares por parte de terceros mientras se Procesan.
El Procesador ayudará al Controlador a cumplir con las obligaciones del Controlador para responder a las solicitudes relacionadas con los puntos 3.1.1 a 3.1.6 anteriores y no responderá a dichas solicitudes sin el consentimiento previo por escrito del Controlador, a menos que el Procesador esté obligado a responder por ley.
4. CONFIDENCIALIDAD
4.1 Información Confidencial. Toda la Información proporcionada al Procesador en virtud del Acuerdo es Información Confidencial.
4.2 Personal del Procesador. El Procesador se asegurará de que su personal que participe en el Procesamiento de Datos Personales esté informado de la naturaleza confidencial de los Datos Personales, haya recibido la formación adecuada sobre sus responsabilidades y haya firmado acuerdos de confidencialidad por escrito. El Procesador se asegurará de que dichas obligaciones de confidencialidad sobrevivan a la terminación de su respectiva relación laboral con dichas personas.
4.3 Limitación del Acceso. El Procesador se asegurará de que el acceso del Procesador a los Datos Personales se limite al personal que preste los Servicios de conformidad con el Acuerdo.
5. SUBPROCESADORES
5.1 Designación de Subprocesadores. El Controlador reconoce y acepta que el Procesador y las Filiales del Procesador pueden contratar a terceros Subprocesadores en relación con la prestación de los Servicios. El Procesador o la Filial del Procesador celebrará un acuerdo por escrito con cada Subprocesador que contenga obligaciones de protección de datos no menos protectoras que las del presente APD en la medida en que sean aplicables a la naturaleza de los Servicios prestados por dicho Subprocesador. Por la presente, el Controlador autoriza al Procesador a contratar su lista actual de Subprocesadores, tal y como se indica en xxxxx://xxx.xxxxxx.xxx/xxxxxxx/xxxxx/xxxxxx-xxxxxxxxxxxxx, para el Procesamiento de Datos Personales de conformidad con el presente APD. El Controlador no se comunicará directamente con los Subprocesadores del Procesador acerca de los Servicios, a menos que el Procesador lo acepte a su entera discreción.
5.2 Notificación de Cambios a los Subprocesadores. El Procesador informará al Controlador de cualquier cambio previsto en relación con la adición o sustitución de Subprocesadores, proporcionando al Controlador un mecanismo para suscribirse a las notificaciones de nuevos Subprocesadores en xxxxx://xxx.xxxxxx.xxx/xxxxxxx/xxxxx/xxxxxx-
subprocessors. El Procesador notificará al Controlador cualquier cambio previsto en relación con la adición o la sustitución de Subprocesadores antes de utilizar al Subprocesador.
5.3 Derecho de Objeción para Nuevos Subprocesadores. El Controlador puede objetar razonablemente el uso por parte del Procesador de un nuevo Subprocesador notificando al Procesador rápidamente por escrito dentro de los quince (15) días hábiles siguientes a la recepción de la notificación del Procesador. En caso de que el Controlador se oponga a un nuevo Subprocesador, el Procesador hará esfuerzos razonables para poner a disposición del Controlador un cambio en los Servicios para evitar el Procesamiento de Datos Personales por el nuevo Subprocesador objetado. Si el Procesador no puede poner a disposición dicho cambio, el Controlador podrá rescindir el Acuerdo aplicable con respecto a aquellos Servicios que no puedan ser prestados por el Procesador sin el uso del nuevo Subprocesador objetado.
5.4 Responsabilidad por los Actos de los Subprocesadores. El Procesador será responsable de los actos y omisiones de sus Subprocesadores en la misma medida en que el Procesador sería responsable si realizara los servicios de cada Subprocesador directamente bajo los términos de este APD.
6. SEGURIDAD
6.1 Protección de los Datos Personales. El Procesador mantendrá las medidas técnicas y organizativas apropiadas para la protección de la seguridad (incluida la protección contra el procesamiento no autorizado o ilegal y contra la destrucción accidental o ilegal, pérdida o alteración o daño, divulgación no autorizada o acceso a los Datos Personales), confidencialidad e integridad de los Datos Personales.
6.2 Derechos de Auditoría. El Controlador acepta que su derecho a auditar al Procesador puede satisfacerse mediante la presentación de atestados, informes o extractos actualizados de organismos independientes, incluidos, entre otros, auditores externos o internos, el responsable de la protección de datos del Procesador, el departamento de seguridad de TI, auditores de protección de datos o de calidad u otros terceros acordados mutuamente o la certificación mediante una auditoría de seguridad de TI o de protección de datos. En la medida en que no sea posible cumplir con una obligación de auditoría exigida por las Leyes y Reglamentos de Protección de Datos aplicables a través de tales atestados, informes o extractos, el Controlador, o la persona designada por el Controlador, tiene el derecho de auditar e inspeccionar, a expensas del Controlador, las instalaciones, las políticas, los procedimientos y los sistemas computarizados del Procesador para asegurarse de que el Procesador cumple los requisitos de este APD. El Controlador, o la persona designada por el Controlador, proporcionará al menos treinta (30) días de notificación antes de realizar una auditoría, a menos que dicha auditoría sea necesaria debido a una Violación de Datos que involucre al Procesador. Las Auditorías realizadas por el Controlador o la persona designada por el Controlador no violarán las obligaciones de confidencialidad del Procesador con los otros clientes del Procesador. Todas las auditorías se llevarán a cabo durante el horario laboral normal, en la sede principal del Procesador o en otras ubicaciones del Procesador en las que se acceda a los Datos Personales, se procesen o se administren, y no interferirán injustificadamente con las operaciones diarias del Procesador. Antes del comienzo de cualquier auditoría, el Procesador y el Controlador deberán acordar mutuamente el momento, el alcance y la duración de la auditoría. El Controlador podrá solicitar un informe resumido de auditoría o auditar al Procesador no más de una vez al año.
7. VIOLACIONES DE DATOS
7.1 Notificación de Violaciones de Datos. El Procesador notificará al Controlador por escrito sin demora indebida después de tener conocimiento de una presunta Violación de Datos. En ningún caso dicha notificación se realizará más tarde de las 72 horas siguientes al descubrimiento de la Violación de Datos por parte del Procesador.
7.2 Gestión de las Violaciones de Datos. El Procesador hará esfuerzos razonables para identificar la causa de dicha Violación de Datos y tomará las medidas que el Procesador considere necesarias y razonables para remediar la causa de dicha Violación de Datos en la medida en que la remediación esté dentro del control razonable del Procesador.
8. RESCISIÓN
8.1 Rescisión. El presente APD concluirá automáticamente en el momento en que se produzca lo último de los siguientes hechos: a) la terminación o el vencimiento del Acuerdo o b) la supresión o devolución de los Datos Personales por parte del Procesador. El Controlador tendrá además derecho a rescindir el presente APD por causa justificada si el Procesador, a juicio exclusivo del Controlador, incurre en un incumplimiento material o persistente del presente APD que, en el caso de un incumplimiento subsanable, no haya sido subsanado en el plazo xx xxxx (10) días a partir de la fecha de recepción por el Procesador de una notificación del Controlador en la que se identifique el incumplimiento y se solicite su subsanación.
8.2 Devolución o Supresión de Datos. A la rescisión del presente APD, el Procesador borrará o devolverá todas las copias existentes de los Datos Personales, a menos que la legislación aplicable exija que se sigan conservando los Datos Personales. A petición del Controlador, el Procesador confirmará el cumplimiento de dichas obligaciones por escrito y eliminará todas las copias existentes. En los casos en los que la legislación local exija que el Procesador conserve los Datos Personales, este protegerá la confidencialidad, integridad y accesibilidad de los Datos Personales; no Procesará activamente los Datos Personales; y continuará cumpliendo los términos de este APD.
9. MECANISMOS PARA LAS TRANSFERENCIAS INTERNACIONALES
9.1 Transferencias Fuera de la UE. En el transcurso de la prestación de Servicios en virtud del APD, puede ser necesario que el Controlador transfiera Datos Personales desde la Unión Europea, el Espacio Económico Europeo y/o sus Estados miembros, Suiza o el Xxxxx Unido, al Procesador en un país que no tenga una decisión de adecuación de la Comisión Europea o que no esté ubicado en el Espacio Económico Europeo.
9.1.1. En relación con los Datos Personales que están sujetos al RGPD: i) el Procesador se considerará el
«importador de datos» y el Controlador será el «exportador de datos»; ii) los términos del Módulo Dos se aplicarán cuando el Controlador sea un Controlador de Datos y cuando el Procesador sea un Procesador de Datos; iii) en la cláusula 7, se suprimirá la cláusula de acoplamiento opcional; iv) en la cláusula 9 del Módulo Dos, se aplicará la opción 2 y la lista de Subprocesadores y el plazo de notificación de los cambios serán los acordados en el apartado 5 del presente APD; v) en la cláusula 11, se suprimirá el lenguaje opcional vi) en la cláusula 17, se aplicará la opción 1 y las Cláusulas Contractuales Tipo se regirán por el Estado miembro en el que esté domiciliado el Controlador;
vii) en la cláusula 18, letra b), los litigios se resolverán ante los tribunales del Estado miembro en el que esté domiciliado el Controlador; viii) el anexo I y el anexo II se considerarán completados con la información establecida en el anexo 1 del presente APD, respectivamente; y ix) si las Cláusulas Contractuales Tipo entran en conflicto con cualquier disposición del Acuerdo (incluido el presente APD), y en la medida en que lo hagan, las Cláusulas Contractuales Tipo prevalecerán en la medida de dicho conflicto. A efectos de este apartado, las Cláusulas Contractuales Tipo de la Decisión de Ejecución (UE) 2021/914 de la Comisión se incorporan por referencia y están disponibles aquí: xxxxx://xx.xxxxxx.xx/xxxx/xxx/xxx-xxxxx/xxxx-xxxxxxxxxx/xxxxxxxxxxxxx-xxxxxxxxx-xxxx- protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en.
9.1.2. En relación con los Datos Personales que están sujetos a las Leyes de Protección de Datos del Reino Unido, se aplicará el Acuerdo Internacional de Transferencia de Datos («IDTA») con las siguientes modificaciones: i) la información de contacto sobre las partes del Acuerdo es la información de contacto del IDTA; ii) el Controlador es el exportador de datos y el Procesador es el importador de datos; iii) las leyes que rigen el IDTA y la ubicación donde se pueden hacer reclamaciones legales es Inglaterra y Gales; iv) el RGPD del Reino Unido no se aplica al procesamiento de datos transferidos del importador de datos; v) las Partes no utilizan las cláusulas comerciales o de seguridad adicionales del IDTA; y vi) la información en este APD y en el anexo 1 se puede utilizar para las tablas 1 a 4. A efectos de este apartado, las Cláusulas Contractuales Tipo de la Oficina del Comisionado de Información se incorporan por referencia y están disponibles aquí: xxxxx://xxx.xxx.xx/xxx-xxxxxxxxxxxxx/xxxxx-xx-xxxx- protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and- guidance/.
9.1.3. En relación con los Datos Personales que están sujetos al APD de Suiza, las Cláusulas Contractuales Tipo a las que se hace referencia en el apartado 9.1.1 se aplicarán con las siguientes modificaciones: i) las referencias al
«Reglamento (UE) 2016/679» se interpretarán como referencias al APD de Suiza; ii) las referencias a la «UE», la
«Unión» y la «legislación de los Estados miembros» se interpretarán como referencias a la legislación suiza; y iii) las referencias a la «autoridad de supervisión competente» y a los «tribunales competentes» se sustituirán por el
«Comisionado Federal Suizo de Protección de Datos e Información» y los «tribunales pertinentes de Suiza».
9.2. Mecanismos Alternativos de Transferencia de Datos. Las Partes reconocen que las leyes, las normas y los reglamentos relativos a las transferencias internacionales de datos evolucionan rápidamente. En el caso de que el Controlador adopte otro mecanismo autorizado por las leyes, las normas o los reglamentos aplicables para transferir Datos Personales (cada uno de ellos un «Mecanismo Alternativo de Transferencia de Datos»), las Partes acuerdan colaborar de buena fe para implementar cualquier modificación del presente Acuerdo necesaria para implementar el Mecanismo Alternativo de Transferencia de Datos.
10. DISPOSICIONES VARIAS
10.1. Enmiendas. El presente APD no podrá ser enmendado o complementado, ni se considerará que se ha renunciado a alguna de sus disposiciones o que se ha modificado de otro modo, salvo mediante un escrito debidamente firmado por los representantes autorizados de ambas partes.
10.2 Legislación aplicable. El presente APD se regirá por la legislación aplicable establecida en el Acuerdo.
EN TESTIMONIO DE LO CUAL, las partes han suscrito el presente Acuerdo en la Fecha de Entrada en Vigor.
CONTROLADOR: XXXXXX
Firma: Firma:
Nombre: Nombre:
Cargo: Cargo:
Fecha: Fecha:
Anexo 1: Descripción del Procesamiento
ANEXO 1
Descripción del Procesamiento
Información de contacto de Xxxxxx:
Ivanti
00000 Xxxxx Xxxxxx Xxxxxxx Xxxxx 000
Xxxxx Xxxxxx, Xxxx 00000
Contacto RPD: xxxxxxx@xxxxxx.xxx
Asunto
Objeto del Procesamiento:
Suministro de licencias de software de TI, servicios de soporte e implementación, ya sea en las instalaciones o como solución SaaS alojada, en relación con la administración y facilitación de procesos empresariales esenciales en el ámbito o ámbitos de la gestión unificada de puntos finales, la gestión de servicios de TI, la gestión de activos de TI, la seguridad, la elaboración de informes y análisis, y la cadena de suministro.
Los servicios de TI incluyen el uso de software como una instalación local o una solución SaaS, lo que incluye la instalación de módulos (incluidos, entre otros, los módulos de gestión de incidentes, cambios, activos, configuración y versiones); los catálogos de autoservicio y de servicios; el soporte y el mantenimiento, incluido, entre otros, el acceso remoto; y los parches, el control de aplicaciones, la seguridad de puntos finales/móviles y la gestión de privilegios.
Frecuencia de Procesamiento:
Continua.
Duración
Duración del procesamiento:
Según lo establecido en el Acuerdo.
Alcance, Tipo y Finalidad del Procesamiento
El alcance, el tipo y la finalidad del procesamiento son los siguientes:
Según lo establecido en el Acuerdo.
Sujetos de Datos
El Procesamiento de Datos Personales puede referirse a las siguientes categorías de Sujetos de Datos:
Clientes, clientes potenciales; empleados; proveedores; representantes comerciales; contactos; contratistas (incluidos los trabajadores eventuales); voluntarios; trabajadores temporales y ocasionales; autónomos, agentes, consultores y otros profesionales demandados, y sus respectivos dependientes, beneficiarios y contactos de emergencia; empleados potenciales y personal temporal de los clientes; reclamantes, corresponsales e informantes; asesores, consultores y otros expertos profesionales; empleados o personas de contacto de los clientes potenciales, clientes, socios comerciales y vendedores; socios comerciales y vendedores del exportador de datos (que sean personas físicas); y usuarios del exportador de datos autorizados por el exportador de datos para utilizar el software y los servicios relacionados.
Categorías de Datos
Los Datos Personales Procesados pueden referirse a las siguientes categorías de datos:
Datos del cliente cargados en los Servicios en el marco de los servicios y cuentas del Cliente.
Medidas Técnicas y Organizativas
A continuación se describen las medidas de seguridad técnicas y organizativas aplicadas por el Procesador:
Formación sobre concienciación en materia de seguridad
El Procesador tiene formación sobre concienciación en materia de seguridad que incluye formación obligatoria sobre el manejo y la protección de la información confidencial y sensible, como la información de identificación personal, la información de cuentas financieras y la información de salud, de acuerdo con la legislación aplicable, y comunicaciones periódicas de concienciación en materia de seguridad y cursos de seguridad que se centran en la concienciación del usuario final.
Políticas y procedimientos de seguridad
l Procesador tiene políticas de seguridad, uso y gestión de la información que dictan las acciones de los empleados y contratistas en relación con el uso apropiado, el acceso y el almacenamiento de la información confidencial y sensible; restringen el acceso a la información confidencial y sensible a los miembros de la plantilla del Procesador que tienen una «necesidad de conocer» dicha información; impiden que los empleados despedidos accedan a la información del Procesador después de su despido; e imponen medidas disciplinarias por el incumplimiento de dichas políticas. Se niega el acceso del sistema a los recursos del Procesador a menos que se evalúe específicamente y se conceda el acceso. El Procesador realiza comprobaciones de los antecedentes de sus empleados en el momento de la contratación, tal y como permite la ley.
Controles de acceso físico y ambiental
El Procesador limita el acceso físico a sus sistemas de información e instalaciones utilizando controles físicos (por ejemplo, acceso con pases codificados) que proporcionan una garantía razonable de que el acceso a sus centros de datos está limitado a las personas autorizadas y emplea sistemas de vigilancia por cámara o vídeo en los puntos de entrada críticos internos y externos. El Procesador aplica controles de temperatura y humedad del aire para sus centros de datos y los protege contra las pérdidas debidas x xxxxxx de energía.
Controles de acceso lógico
El Procesador emplea tecnología de registro y supervisión para ayudar a detectar y prevenir los intentos de acceso no autorizado a sus redes y sistemas de producción. La supervisión del Procesador incluye una revisión de los cambios que afectan a la autenticación, autorización y auditoría de los sistemas; el acceso privilegiado a los sistemas de producción del Procesador.
Controles de cifrado
El Procesador aplica controles de cifrado apropiados para el negocio en todos nuestros productos. El Procesador evalúa y aplica el cifrado en tránsito y en reposo utilizando las mejores prácticas del sector para los códigos. Se utilizan las mejores prácticas para la gestión del ciclo de vida de las claves de cifrado, lo que incluye la generación, el almacenamiento, el control de acceso y la rotación.
Gestión de la vulnerabilidad
El Procesador realiza regularmente escaneos de vulnerabilidad y aborda las vulnerabilidades detectadas de acuerdo con su riesgo. Los productos del Procesador también se someten a evaluaciones periódicas de vulnerabilidad y pruebas de intrusión.
Controles de recuperación en caso de desastre y de copias de seguridad
El Procesador realiza copias de seguridad periódicas de los sistemas de archivos de producción y de las bases de datos de acuerdo con un calendario definido y mantiene un plan formal de recuperación en caso de desastre para el centro de datos en la nube de producción, que incluye pruebas periódicas.
Plan de respuesta a incidentes cibernéticos
El Procesador emplea un plan de respuesta a incidentes para gestionar y minimizar los efectos de los eventos cibernéticos no planificados que comprende los procedimientos que se deben seguir en caso de una brecha de seguridad real o potencial, lo que incluye: un equipo interno de respuesta a incidentes con un líder de respuesta; un equipo de investigación que realiza un análisis de las causas raíz e identifica a las partes afectadas; procesos de notificación e informes internos; documentación de las acciones de respuesta y planes de remediación; y una revisión de los eventos después del incidente.
Seguridad de almacenamiento y transmisión
El Procesador emplea medidas técnicas de seguridad para evitar el acceso no autorizado a los datos del Procesador que se transmiten a través de una red pública de comunicaciones electrónicas o se almacenan electrónicamente.
Eliminación segura
El Procesador emplea políticas y procedimientos relativos a la eliminación de los bienes tangibles e intangibles que contienen datos del Procesador, de manera que los datos del Procesador no puedan ser leídos o reconstruidos de manera práctica.
Identificación y evaluación de riesgos
El Procesador emplea un programa de evaluación de riesgos para ayudar a identificar razonablemente los riesgos internos y externos previsibles para los recursos de información del Procesador y determinar si los controles, las políticas y los procedimientos existentes son adecuados para abordar los riesgos identificados.
Vendedores y proveedores de servicios
Los proveedores de servicios o vendedores de terceros (colectivamente, «Proveedores») con acceso a la información confidencial del Procesador están sujetos a evaluaciones de riesgo para calibrar la sensibilidad de la información del Procesador que se comparte. Se espera que los Proveedores cumplan los términos contractuales pertinentes relacionados con la seguridad de los datos del Procesador, así como cualquier política o procedimiento aplicable del Procesador. Periódicamente, el Procesador puede pedir a un Proveedor que reevalúe su postura de seguridad para ayudar a garantizar el cumplimiento.