Monitoreo GPS y Protección de Activos
Acuerdo de protección de datos
Este Acuerdo de protección de datos (el "DPA") entra en vigencia el 25 de mayo de 2018.
El Cliente pondrá a disposición de la Compañía y el Cliente autoriza a la Compañía a procesar la información, incluidos los Datos personales, para la prestación de los Servicios en virtud del Acuerdo. Las partes acordaron celebrar este DPA para confirmar las disposiciones de protección de datos relacionadas con su relación y para cumplir con los requisitos de la Ley de Protección de Datos aplicable.
1. Definiciones
1.1. A los efectos de este DPA: “Datos personales” significa cualquier información relacionada con una persona física identificada o identificable ('sujeto de datos'); una persona física identificable es aquella que puede identificarse, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea o a uno o más factores específicos del estado físico, fisiológico, identidad genética, psíquica, económica, cultural o social de esa persona física; “Ley de Protección de Datos” hace referencia a todas las leyes, reglamentos y otros requisitos legales aplicables relacionados con (a) la privacidad, la seguridad de los datos, la protección del consumidor, el marketing, la promoción y los mensajes de texto, correo electrónico y otras comunicaciones; y (b) el uso, la recopilación, la retención, el almacenamiento, la seguridad, la divulgación, la transferencia, la eliminación y otros procesamientos de los Datos personales; “el Afiliado de la Compañía” significa cualquier entidad que directa o indirectamente controle, sea controlada o esté bajo el control común de la Compañía. “Control”, para efectos de esta definición, significa propiedad o control directo o indirecto de más del 50% de los intereses con derecho a voto de la entidad en cuestión; "Servicios" se refiere a cualquiera de los siguientes servicios proporcionados por la Compañía: (a) ofertas de productos con la marca de la Compañía disponibles a través del sitio web de la Compañía, (b) servicios de consultoría o capacitación proporcionados por la Compañía, ya sea de forma remota a través de Internet o en persona. , y (c) cualquier servicio de apoyo provisto por el Empresa, incluido el acceso a la mesa de ayuda de la Empresa; los términos "controlador de datos", "procesador de datos", "sujeto de datos", "datos personales", "procesamiento" y "medidas técnicas y organizativas apropiadas" tendrán el significado que se les otorga en la Ley de Protección de Datos aplicable.
2. Objeto, naturaleza y propósito del procesamiento de datos personales por parte de la empresa 2.1. El objeto, la naturaleza y el propósito del procesamiento de Datos personales en virtud de este DPA es la prestación de los Servicios por parte de la Compañía según las instrucciones adicionales por escrito del Cliente en su uso de los Servicios, a menos que la Ley de protección de datos exija hacerlo de otro modo, en en cuyo caso, en la medida en que lo permita la Ley de Protección de Datos, la Empresa informará al Cliente de este requisito legal con carácter previo a la realización del tratamiento. La Compañía solo recopilará o procesará Datos personales durante el período de prestación de los Servicios en la medida y de la manera que sea necesaria para la prestación de los Servicios y de conformidad con el DPA y la Ley de protección de datos aplicable a la Compañía.
3. Duración 3.1. La Compañía llevará a cabo el procesamiento de Datos Personales mientras exista la Cuenta de Servicios del Cliente o según sea necesario para el cumplimiento de las obligaciones y derechos entre la Compañía y el Cliente, a menos que se acuerde lo contrario por escrito.
4. Tipo de Datos Personales Procesados 4.1. El Cliente puede enviar Datos personales del Cliente a los Servicios, cuyo alcance está determinado y controlado por el Cliente a su exclusivo criterio, y que puede incluir, entre otros, las siguientes categorías de Datos personales:
Información de la cuenta. Cuando el Cliente se registra en una Cuenta de Servicios, se requiere cierta información como el nombre y el correo electrónico. El Cliente puede actualizar o corregir su información y preferencias de correo electrónico en cualquier momento visitando la Cuenta de Servicios. La Compañía puede brindarle al Cliente soporte adicional para acceder, corregir, eliminar o modificar la información que el Cliente proporcionada a la Compañía y asociada con la Cuenta de Servicios del Cliente. Para proteger la seguridad, la Compañía toma medidas razonables (como solicitar cualquier información legal) para verificar la identidad del Cliente antes de realizar correcciones. El Cliente es responsable de mantener en secreto la contraseña y la información de la Cuenta de Servicios del Cliente en todo momento.
Información de perfil adicional. El Cliente puede optar por proporcionar información adicional como parte de su perfil. La información del perfil ayuda al Cliente a obtener más de los Servicios. Es elección del Cliente incluir información sensible en su perfil.
Otra información. De lo contrario, el Cliente puede optar por proporcionar información a la Compañía cuando el Cliente complete un formulario, realice una búsqueda, actualice o agregue información a su Cuenta de Servicios, responda a encuestas, publique en foros de la comunidad, participe en promociones o use otras funciones del Plataforma de servicios.
3. Obligaciones de la empresa
3.1. La Compañía acuerda y/o garantiza:
(a) procesar los Datos personales solo en nombre del Cliente y de conformidad con sus instrucciones y el DPA; si no puede proporcionar dicho cumplimiento por cualquier motivo, se compromete a informar sin demora al Cliente de su incapacidad para cumplir, en cuyo caso el Cliente tiene derecho a suspender la transferencia de datos y/o terminar los Servicios;
(b) que todos los Datos personales procesados en nombre del Cliente siguen siendo propiedad del Cliente y/o los Interesados correspondientes;
(c) que no tiene motivos para creer que la legislación que le es aplicable le impide cumplir las instrucciones recibidas del Cliente y sus obligaciones en virtud del DPA y que, en caso de que se produzca un cambio en esta legislación que pueda tener un efecto sustancial efecto adverso en las garantías y obligaciones previstas por el DPA, notificará oportunamente el cambio al Cliente tan pronto como tenga conocimiento, en cuyo caso el Cliente tiene derecho a suspender la transferencia de datos y/o dar por terminados los Servicios;
(d) que ha implementado las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 1 antes procesar los Datos Personales transferidos; (e) que notificará de inmediato al Cliente acerca de:
i. cualquier solicitud legalmente vinculante para la divulgación de los Datos personales por parte de una autoridad encargada de hacer cumplir la ley, a menos que esté prohibido, como una prohibición en virtud de la ley penal para preservar la confidencialidad de una investigación policial;
ii. cualquier acceso accidental o no autorizado; y
iii. cualquier solicitud recibida directamente de los interesados sin responder a esa solicitud, a menos que tenga sido autorizado de otro modo para hacerlo;
(f) para tratar con prontitud y de manera adecuada todas las consultas del Cliente relacionadas con su procesamiento de la
Datos Personales objeto de la transferencia y acatar los consejos de la autoridad de control con respecto al procesamiento de los datos transferidos;
(g) a solicitud del Cliente para enviar sus instalaciones de procesamiento de datos para la auditoría de las actividades de procesamiento cubiertos por la DPA;
(h) que, en caso de subtratamiento, haya informado previamente al Cliente y obtenido su consentimiento previo consentimiento por escrito;
(i) que los servicios de procesamiento por parte del subprocesador se llevarán a cabo de conformidad con la Sección 7;
(j) designar un delegado de protección de datos, que ejerza sus funciones de conformidad con la Ley de Protección de Datos Ley. Los datos de contacto de los delegados de protección de datos están disponibles en la página web de la Compañía.
(k) encomendar el procesamiento de datos descrito en este DPA solo a aquellos empleados que hayan estado obligados a mantener la confidencialidad y hayan estado familiarizados previamente con las disposiciones de protección de datos relevantes para su trabajo. La Compañía y cualquier persona que actúe bajo su autoridad que tenga acceso a Datos Personales, no
procesar esos datos a menos que reciba instrucciones del Cliente, a menos que así lo requiera el Data Ley de Protección;
(l) monitorear periódicamente los procesos internos para garantizar que el procesamiento dentro del área de responsabilidad de la Compañía se ajuste a los requisitos de la Ley de Protección de Datos y la protección de los derechos del interesado.
5. Obligaciones del Cliente
5.1. El Cliente acepta y/o garantiza:
(a) que el procesamiento, incluida la transferencia misma, de los Datos personales se ha realizado y se seguirá realizando de conformidad con las disposiciones pertinentes de la Ley de protección de datos y no infringe las disposiciones pertinentes;
(b) que ha instruido y durante la duración de los servicios de tratamiento de datos personales instruirá al Compañía para procesar los Datos Personales transferidos solo en nombre del Cliente y de conformidad con la Ley de Protección de Datos y el DPA;
(c) que la Compañía proporcionará garantías suficientes con respecto a las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 1 de este DPA;
(d) que después de la evaluación de los requisitos de la Ley de Protección de Datos, las medidas de seguridad son apropiadas para proteger los Datos Personales contra la destrucción accidental o ilegal o pérdida accidental, alteración, divulgación o acceso no autorizado, en particular cuando el procesamiento implica la transmisión de datos a través de una red, y contra todas las demás formas ilegales de procesamiento, y que estas medidas garanticen un nivel de seguridad adecuado a los riesgos presentados por el procesamiento y la naturaleza de los datos a proteger teniendo en cuenta el estado de la técnica y el costo de su implementación;
(e) que velará por el cumplimiento de las medidas de seguridad;
(f) acceder y utilizar los Servicios solo para fines legales, autorizados y aceptables. El Cliente no usará (ni ayudará a otros a usar) los Servicios de manera que: (a) viole, se apropie indebidamente o infrinja los derechos de la Compañía, sus usuarios u otros, incluida la privacidad, la publicidad, la propiedad intelectual u otros derechos de propiedad derechos; (b) son ilegales, obscenas, difamatorias, amenazantes, intimidatorias, acosadoras, odiosas, racial o étnicamente ofensivas, o instigan o alientan conductas que serían ilegales o inapropiadas; (c) involucren la publicación de falsedades, tergiversaciones o declaraciones engañosas; (d) hacerse pasar por alguien; (e) involucren el envío de comunicaciones ilegales o no permitidas, como mensajes masivos, mensajes automáticos, marcación automática y similares; o (f) implique cualquier otro uso de los Servicios prescritos en este DPA a menos que la Compañía autorice lo contrario;
(g) no acceder, usar, copiar, adaptar, modificar, preparar trabajos derivados basados en, distribuir, otorgar licencias, sublicenciar, transferir, exhibir, realizar o explotar de otro modo la plataforma de Servicios de manera no permitida o no autorizada (ni ayudar a otros a) maneras, o de manera que carguen, perjudiquen o perjudiquen a la Compañía, el Plataforma de Servicios, sistemas, otros usuarios u otros, incluido que el Cliente no podrá, directamente o a través de medios automatizados: (a) realizar ingeniería inversa, alterar, modificar, crear trabajos derivados, descompilar o extraer código de la plataforma de Servicios; (b) enviar, almacenar o transmitir virus u otro código informático dañino a través o en la plataforma de Servicios; (c) obtener o intentar obtener acceso no autorizado a la plataforma o los sistemas de los Servicios; (d) interferir o interrumpir la integridad o el rendimiento de la plataforma de Servicios; (e) crear cuentas para la plataforma de Servicios a través de medios no autorizados o automatizados; (f) recopilar la información de o sobre otros usuarios de cualquier manera no permitida o no autorizada; (g) vender, revender, alquilar o cobrar por la plataforma de Servicios; o (h) distribuir o hacer que la plataforma de Servicios esté disponible a través de una red donde podría ser utilizada por múltiples dispositivos al mismo tiempo;
(h) que el Cliente es responsable de mantener la Cuenta de Servicios del Cliente segura y protegida, y la El Cliente notificará a la Compañía de inmediato sobre cualquier uso no autorizado o violación de la seguridad de la información del Cliente.
Cuenta o la plataforma de Servicios;
(i) que la Compañía otorga al Cliente una licencia limitada, revocable, no exclusiva, no sublicenciable e intransferible para usar la plataforma de Servicios. Esta licencia tiene el único propósito de permitir que el Cliente use la plataforma de Servicios, en la forma permitida por este DPA. No se conceden licencias ni derechos otorgado al Cliente por implicación o de otra manera, a excepción de las licencias y derechos otorgados expresamente al Cliente.
6. Medidas Técnicas y Organizativas
6.1. La Compañía tomará las medidas técnicas y organizativas apropiadas para proteger adecuadamente los Datos personales contra la destrucción, pérdida, alteración, divulgación no autorizada o acceso a los Datos personales accidental o ilegalmente, descritas en el Apéndice 1. Dichas medidas incluyen, entre otras, medidas físicas y de TI. medidas y medidas organizativas para:
(a) la prevención de que personas no autorizadas accedan a los sistemas de procesamiento de datos personales (físicos control de acceso),
(b) la prevención de que los sistemas de procesamiento de Datos Personales sean utilizados sin autorización (acceso lógico control),
(c) garantizar que las personas autorizadas a utilizar un sistema de procesamiento de Datos Personales obtengan acceso únicamente a dichos Datos Personales; Datos a los que tienen derecho a acceder de acuerdo con sus derechos de acceso, y que, en el curso del procesamiento o uso y después del almacenamiento, los Datos personales no pueden leerse, copiarse, modificarse o eliminarse sin autorización (control de
acceso a datos),
(d) garantizar que los Datos personales no se puedan leer, copiar, modificar o eliminar sin autorización durante la transmisión electrónica, el transporte o el almacenamiento en medios de almacenamiento, y que se puedan establecer las entidades de destino para cualquier transferencia de Datos personales por medio de instalaciones de transmisión de datos y verificado (control de transferencia de datos),
(e) asegurar el establecimiento de un registro de auditoría para documentar si los Datos Personales han sido ingresados, modificados o eliminados de los sistemas de procesamiento de Datos Personales (control de entrada), y por quién;
(f) garantizar que los Datos personales estén protegidos contra la destrucción o pérdida accidental (control de disponibilidad).
6.2. Las medidas técnicas y organizativas están sujetas al progreso técnico y al desarrollo posterior. En este sentido, la Compañía podrá implementar medidas alternativas adecuadas, sin embargo, nunca se debe reducir el nivel de seguridad de las medidas definidas. Los cambios importantes deben documentarse.
7. Subprocesadores
7.1. El Cliente acepta que la Compañía puede contratar a Afiliados de la Compañía o a terceros para que procesen Datos personales a fin de ayudar a la Compañía a brindar los Servicios en nombre del Cliente ("Subprocesadores"). La Compañía ha celebrado o celebrará un acuerdo por escrito con cada Subprocesador que contiene obligaciones de protección de datos no menos protectoras que las de este DPA en la medida aplicable a la naturaleza de los Servicios proporcionados por dicho Subprocesador. Si el Subprocesador procesa los Servicios fuera de la UE/EEE, la Empresa se asegurará de que la transferencia se realice de conformidad con las cláusulas contractuales estándar aprobadas por la Comisión Europea para la transferencia de Datos personales que el Cliente autoriza a la Empresa a celebrar en su nombre. o que se utilicen otros mecanismos legales apropiados de transferencia de datos.
7.2. Los Subprocesadores actuales para los Servicios se establecen en el sitio web de la Compañía ("Lista de subprocesadores") y el Cliente acepta y aprueba que la Compañía ha contratado a dichos Subprocesadores para procesar Datos personales como se establece en la lista. La Compañía notificará a un nuevo Subprocesador antes de autorizar a cualquier nuevo Subprocesador a procesar Datos personales en relación con la prestación del Servicio correspondiente.
7.3. La Compañía notificará al Cliente con treinta (30) días de anticipación cualquier cambio previsto con respecto a la adición o reemplazo de cualquier Subprocesador, período durante el cual el Cliente puede presentar objeciones a la designación del Subprocesador. Cualquier objeción debe presentarse de inmediato (y, en cualquier caso, a más tardar catorce (14) días después de la notificación de los cambios previstos por parte de la Compañía). Si la Compañía opta por retener al Subprocesador objetado, la Compañía notificará al cliente al menos catorce (14) días antes de autorizar al Subprocesador a procesar Datos personales y luego el Cliente puede suspender inmediatamente el uso de la parte relevante de los Servicios. y puede rescindir la parte correspondiente de los Servicios.
7.4. Para evitar dudas, cuando un Subprocesador no cumpla con sus obligaciones en virtud de cualquier acuerdo de subprocesamiento o en virtud de la ley aplicable, la Compañía seguirá siendo totalmente responsable ante el Cliente por el cumplimiento de sus obligaciones en virtud de este DPA.
8. Auditoría
8.1. Para confirmar el cumplimiento de este DPA, el Cliente tendrá la libertad de realizar una auditoría designando a un tercero independiente que estará obligado a observar la confidencialidad a este respecto. Cualquier auditoría de este tipo debe realizarse durante el horario comercial normal de la Empresa y solo se permitirá en la medida necesaria para que el Cliente evalúe el cumplimiento de la Empresa con este DPA. En relación con dicha auditoría, el Cliente se asegurará de que el auditor: (a) revise cualquier información en las instalaciones de la Compañía; (b) observar el acceso razonable en el sitio y otras restricciones razonablemente impuestas por la Compañía; (c) cumplir con las políticas y procedimientos de la Compañía, y (d) no interferir de manera irrazonable con las actividades comerciales de la Compañía. La Compañía se reserva el derecho de restringir o suspender cualquier auditoría en caso de incumplimiento de las condiciones especificadas en esta Sección 8.
8.2. En caso de que el Cliente, un regulador o una autoridad de protección de datos requieran información adicional o una auditoría relacionada con los Servicios, entonces, la Compañía acepta enviar sus instalaciones de procesamiento de datos, archivos de datos y documentación necesarios para procesar Datos personales para que el Cliente los audite. (o cualquier tercero, como agentes de inspección o auditores, seleccionados por el Cliente) para verificar el cumplimiento de este DPA, sujeto a que se le notifique y el auditor celebre un acuerdo de confidencialidad directamente con la Compañía. La Compañía acepta brindar una cooperación razonable al Cliente en el curso de dichas operaciones, incluido el suministro de toda la información relevante y el acceso a todos los equipos, software, datos, archivos,
sistemas de información, etc. utilizados para la prestación de los Servicios, incluido el procesamiento de Datos personales. Dichas auditorías se llevarán a cabo por cuenta y cargo del Cliente.
8.3.La auditoría solo se puede realizar cuando existen motivos específicos para sospechar el uso indebido de los Datos personales, y no antes de dos semanas después de que el Cliente haya notificado por escrito a la Compañía.
8.4. Los hallazgos con respecto a la auditoría realizada serán discutidos y evaluados por las partes y, en su caso, implementados en consecuencia, según sea el caso, por una de las partes o conjuntamente por ambas partes. Los costes de la auditoría correrán a cargo del Cliente.
9. Notificación de una violación de datos
9.1. En caso de que la Compañía tenga conocimiento de cualquier violación de la seguridad que resulte en la destrucción accidental, no autorizada o ilegal o la divulgación o el acceso no autorizados a los Datos personales, la Compañía, en la medida de sus posibilidades, notificará al Cliente al respecto con una demora indebida, después de que el Cliente
determinará si informa o no a los interesados y/o a la(s) autoridad(es) reguladora(s) pertinente(s). Este deber de informar se aplica independientemente del impacto de la fuga. La Compañía se esforzará para que la información proporcionada sea completa, correcta y precisa.
9.2.Si lo exige la ley y/o el reglamento, la Compañía cooperará para notificar a las autoridades pertinentes y/o a los interesados. El Cliente sigue siendo la parte responsable de cualquier obligación legal al respecto.
9.3.El deber de informar incluye en todo caso el deber de comunicar el hecho de que se ha producido una fuga, incluyendo detalles sobre:
la (supuesta) causa de la fuga; las consecuencias (actualmente conocidas y/o previstas) de los mismos; la solución (propuesta); las medidas que ya se han tomado.
10. Eliminación y devolución de datos personales
10.1. Las partes acuerdan que al finalizar la prestación de los servicios de procesamiento de datos, la Compañía y sus subcontratistas, a elección del Cliente, devolverán todos los Datos personales transferidos y las copias de los mismos al Cliente o destruirán todos los Datos personales. y certificar al Cliente que así lo ha hecho, salvo que la legislación impuesta a la Empresa le impida devolver o destruir la totalidad o parte de los Datos Personales transferidos. En ese caso, la Compañía garantiza que garantizará la confidencialidad de los Datos personales transferidos y no procesará activamente los Datos personales transferidos.
ya no. La Compañía y sus subcontratistas garantizan que, a solicitud del Cliente y/o de la autoridad de control, someterá sus instalaciones de procesamiento de datos para una auditoría de las medidas a que se refiere la Sección 8.
11. Ley Aplicable/Foro
11.1. Este DPA se regirá e interpretará de conformidad con las leyes de Lituania.
11.2. Todos y cada uno de los reclamos, disputas o controversias que surjan de, o en relación con este DPA, incumplimiento, terminación o validez del mismo, que no hayan sido resueltos mediante negociaciones de buena fe entre la Compañía y el Cliente dentro de un período de treinta (30) días calendario posteriores a la recepción de una notificación de una parte a la otra solicitando negociaciones se resolverán mediante arbitraje final y vinculante en el Tribunal de Arbitraje Comercial de Vilnius de conformidad con sus Reglas de Arbitraje en vigor y efecto en la fecha del DPA. Las disputas serán resueltas por un solo árbitro. Los procedimientos de arbitraje se llevarán a cabo en Vilnius, Lituania. El lugar del arbitraje será Vilnius, Lituania. El idioma del arbitraje será el inglés. Los documentos pertinentes en otros idiomas se traducirán al inglés si los árbitros así lo ordenan. Todos los gastos y costos de los árbitros y el arbitraje en relación con el mismo se compartirán por igual, excepto que la Compañía y el Cliente correrán con los costos de su propio procesamiento y defensa, incluidos, entre otros, los honorarios de los abogados y la presentación de testigos y otras pruebas. . Cualquier laudo dictado en dicho arbitraje será definitivo y podrá ser ejecutado por cualquiera de las partes.
11.3. Las partes acuerdan mantener todos los detalles de los procedimientos de arbitraje y el laudo arbitral estrictamente confidenciales y harán todos los esfuerzos razonables para tomar las medidas que sean apropiadas para evitar la divulgación no autorizada de los procedimientos, cualquier información divulgada en relación con los mismos y el laudo otorgado.
Apéndice No. 1
Descripción de las medidas técnicas y organizativas implantadas por la Sociedad:
la Empresa implementará las medidas descritas en este anexo, siempre que las medidas directa o indirectamente contribuyan o puedan contribuir a la protección de los Datos Personales durante el período de prestación de los Servicios de la Empresa al Cliente. Si la Compañía cree que una medida no es necesaria para el Servicio respectivo o parte del mismo, la Compañía lo justificará y llegará a un acuerdo con el Cliente.
Las medidas técnicas y organizativas están sujetas al progreso y desarrollo técnico. A este respecto, la Compañía está autorizada a implementar medidas alternativas adecuadas. El nivel de seguridad debe alinearse con las mejores prácticas de seguridad de la industria y no menos que las medidas establecidas en este documento. Todos los cambios importantes deben ser acordados con el Cliente y documentados.
1. Gestión de riesgos
1.1. Gestión de riesgos de seguridad
1. La Empresa identificará y evaluará los riesgos de seguridad relacionados con la confidencialidad, la integridad y la disponibilidad y, basándose en dicha evaluación, implementará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.
2. La Compañía deberá contar con procesos y rutinas documentados para el manejo de riesgos dentro de sus operaciones.
3. La Sociedad evaluará periódicamente los riesgos relacionados con los sistemas de información y el tratamiento, almacenamiento y transmisión de la información.
1.2. Gestión de riesgos de seguridad para datos personales
1.2.1. La Compañía identificará y evaluará los riesgos de seguridad relacionados con la confidencialidad, la integridad y la disponibilidad y, en función de dicha evaluación, implementará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad que sea apropiado para el riesgo de los tipos y fines de Datos personales específicos que procesa el Empresa, incluyendo, entre otros, según corresponda:
• La seudonimización y encriptación de Datos Personales;
• La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de sistemas y servicios de procesamiento;
• La capacidad de restaurar la disponibilidad y el acceso a los Datos del Cliente de manera oportuna en caso de un incidente físico o técnico;
• Un proceso para probar, evaluar y evaluar periódicamente la eficacia de los servicios técnicos y medidas organizativas para garantizar la seguridad del tratamiento.
1.2.2. La Compañía deberá contar con procesos y rutinas documentados para el manejo de riesgos al procesar
Datos personales en nombre del Cliente.
1.2.3. La Sociedad evaluará periódicamente los riesgos relacionados con los sistemas de información y el tratamiento, almacenamiento y transmisión de Datos Personales.
1.3. Políticas de seguridad de la información
1.3.1. La Empresa deberá contar con un sistema de gestión de seguridad de la información definido y documentado que incluya una política y procedimientos de seguridad de la información, que deberán ser aprobados por la gerencia de la Empresa. Se publicarán dentro de la organización de la Compañía y se comunicarán al personal relevante de la Compañía.
1.3.2. La Compañía revisará periódicamente las políticas y procedimientos de seguridad de la Compañía y los actualizará. si es necesario para asegurar su cumplimiento con este Apéndice.
2. Organización de la seguridad de la información
• La Compañía deberá tener funciones y responsabilidades de seguridad definidas y documentadas dentro de su organización.
• La Compañía designará al menos un oficial de protección de datos que tenga la competencia de seguridad adecuada y que tenga la responsabilidad general de implementar las medidas de seguridad en virtud de este Apéndice y que será la persona de contacto para el personal de seguridad del Cliente.
3. Seguridad de los recursos humanos
• La Compañía se asegurará de que el personal de la Compañía maneje la información de acuerdo con las nivel de confidencialidad requerido bajo el DPA.
• La Compañía se asegurará de que el personal relevante de la Compañía conozca el uso aprobado (incluyendo restricciones de uso según sea el caso) de información, instalaciones y sistemas bajo la DPA.
• La Compañía se asegurará de que todo el personal de la Compañía que realice asignaciones en virtud del Acuerdo sea confiable, cumpla con los criterios de seguridad establecidos y haya estado, y seguirá estando sujeto a la verificación adecuada de antecedentes durante el período de la asignación.
• La Compañía se asegurará de que el personal de la Compañía con responsabilidades de seguridad esté adecuadamente capacitados para llevar a cabo funciones relacionadas con la seguridad.
• La Empresa proporcionará o garantizará formación periódica sobre concienciación en materia de seguridad para el personal pertinente de la Empresa. Dicha capacitación de la Compañía incluirá, entre otros:
(a) Cómo manejar la seguridad de la información del cliente (es decir, la protección de la confidencialidad, integridad y disponibilidad de la información);
(b) Por qué es necesaria la seguridad de la información para proteger la información y los sistemas de los clientes;
(c) Los tipos comunes de amenazas a la seguridad (como robo de identidad, malware, piratería, fuga de información y amenazas internas);
(d) La importancia de cumplir con las políticas de seguridad de la información y aplicar los estándares/procedimientos asociados;
(e) Responsabilidad personal por la seguridad de la información (como proteger la información relacionada con la privacidad del cliente y reportar violaciones de datos reales y sospechadas).
4. Control de acceso
La Compañía deberá tener una política de control de acceso definida y documentada para las instalaciones, los sitios, la red, el sistema, la aplicación y el acceso a la información/datos (incluidos los controles de acceso físico, lógico y remoto), un proceso de autorización para el acceso y los privilegios de los usuarios, procedimientos para revocar el acceso derechos y un uso aceptable de los privilegios de acceso para el personal de la Compañía en su lugar.
La Compañía deberá contar con un proceso formal y documentado de registro y baja de usuarios implementado para permitir la asignación de derechos de acceso.
La Compañía asignará todos los privilegios de acceso según el principio de necesidad de saber y el principio de privilegio mínimo.
La Empresa utilizará una autenticación sólida (multifactor) para los usuarios de acceso remoto y los usuarios que se conectan desde una red que no es de confianza.
La Compañía se asegurará de que el personal de la Compañía tenga un identificador personal y único (ID de usuario) y utilice una técnica de autenticación adecuada, que confirme y asegure la identidad de los usuarios.
5. Seguridad física y ambiental
La Compañía protegerá las instalaciones de procesamiento de información contra amenazas y peligros externos y ambientales, incluidas fallas de energía/cableado y otras interrupciones causadas por fallas en los servicios públicos de apoyo. Esto incluye protección perimetral física y de acceso.
6. Seguridad de las operaciones
La Compañía deberá contar con un sistema de gestión de cambios establecido para realizar cambios en los procesos comerciales, las instalaciones y los sistemas de procesamiento de información. El sistema de gestión de cambios incluirá pruebas y revisiones antes de que se implementen los cambios, como procedimientos para manejar cambios urgentes, procedimientos de reversión para recuperarse de cambios fallidos, registros que muestren qué se ha cambiado, cuándo y por quién.
La Compañía implementará la protección contra malware para garantizar que cualquier software utilizado para la prestación de los Servicios al Cliente por parte de la Compañía esté protegido contra malware.
La Compañía realizará copias de seguridad de la información crítica y copias de seguridad de prueba para garantizar que la información pueda restaurarse según lo acordado con el Cliente.
La Compañía registrará y controlará las actividades, como la creación, lectura, copia, modificación y eliminación de los datos procesados, así como las excepciones, las fallas y los eventos de seguridad de la información, y los revisará regularmente.
Además, la Compañía protegerá y almacenará (durante al menos 6 meses o el período establecido por la Ley de Protección de Datos) la información de registro y, previa solicitud, entregará datos de seguimiento al Cliente. Las anomalías/incidentes/indicadores de compromiso se informarán de acuerdo con los requisitos de gestión de violaciones de datos que se establecen en la cláusula 9 a continuación.
La Compañía gestionará las vulnerabilidades de todas las tecnologías relevantes, como sistemas operativos, bases de datos, aplicaciones de manera proactiva y oportuna.
La Compañía establecerá líneas de base de seguridad (endurecimiento) para todas las tecnologías relevantes, como sistemas operativos, bases de datos, aplicaciones.
La Compañía se asegurará de que el desarrollo esté separado del entorno de prueba y producción.
7. Seguridad de las comunicaciones
La Compañía implementará controles de seguridad de la red, como nivel de servicio, cortafuegos y segregación para proteger los sistemas de información.
8. Relación de la empresa con los subproveedores
La Compañía deberá reflejar el contenido de este Apéndice en sus acuerdos con Subprocesadores que realizan tareas asignadas bajo el DPA.
La Compañía deberá monitorear, revisar y auditar regularmente el cumplimiento del Subprocesador con este Apéndice.
La Compañía deberá, a solicitud del Cliente, proporcionarle evidencia sobre el cumplimiento del Subprocesador con este Apéndice.
9. Gestión de violaciones de datos
La Compañía deberá tener procedimientos establecidos para la gestión de violaciones de datos.
La Compañía informará al Cliente sobre cualquier violación de datos (incluidos, entre otros, los incidentes relacionados con el
procesamiento de Datos personales) tan pronto como sea posible, pero a más tardar dentro de las 36 horas posteriores a la identificación de la violación de datos.
Todos los informes de incidentes relacionados con la seguridad se tratarán como información confidencial y se encriptarán utilizando métodos de encriptación estándar de la industria.
El informe de violación de datos contendrá al menos la siguiente información:
(a) La naturaleza de la violación de datos,
(b) La naturaleza de los Datos Personales afectados,
c) las categorías y el número de interesados afectados,
(d) El número de registros de Datos Personales en cuestión,
(e) Medidas tomadas para abordar la violación de datos,
(f) Las posibles consecuencias y efectos adversos de la violación de datos, y
(g) Cualquier otra información que el Cliente deba informar al regulador correspondiente o al interesado.
En la medida de lo legalmente posible, la Compañía puede reclamar una compensación por los servicios de soporte en virtud de esta cláusula 9 que no sean atribuibles a fallas por parte de la Compañía.
10. Gestión de la continuidad del negocio
Machine Translated by Google
La Compañía identificará los riesgos de continuidad del negocio y tomará las acciones necesarias para controlar y mitigar dichos riesgos.
La Compañía deberá tener procesos y rutinas documentados para manejar la continuidad del negocio.
La Compañía garantizará que la seguridad de la información esté integrada en los planes de continuidad del negocio.
La Compañía evaluará periódicamente la eficiencia de su gestión de continuidad del negocio y el cumplimiento de l