Acuerdo de Protección de Datos
Este Acuerdo de Protección de Datos (el “APD”) entra en vigencia el 25 de mayo de 2018.
El Cliente pondrá a disposición de Sistemas de Telemetría Site y el Cliente autoriza a Sistemas de Telemetría Site a procesar información, incluidos los Datos personales, para la prestación de los Servicios en virtud del Acuerdo. Las partes han acordado celebrar este APD para confirmar las disposiciones de protección de datos relacionadas con su relación y para cumplir con los requisitos de la Ley de Protección de Datos aplicable.
1. Definiciones
1.1 A los efectos de este APD:
“Datos personales”: cualquier información relativa a una persona física identificada o identificable («interesado»); una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea o uno o más factores específicos del estado físico, identidad fisiológica, genética, mental, económica, cultural o social de esa persona física;
“Ley de Protección de Datos” significa todas las leyes, regulaciones y otros requisitos legales aplicables relacionados con (a) privacidad, seguridad de datos, protección del consumidor, marketing, promoción y mensajes de texto, correo electrónico y otras comunicaciones; y (b) el uso, recopilación, retención, almacenamiento, seguridad, divulgación, transferencia, eliminación y otro procesamiento de cualquier Dato Personal;
“Afiliado de Sistemas de Telemetría Site” significa cualquier entidad que directa o indirectamente controla, está controlada por, o está bajo control común con Sistemas de Telemetría Site. “Control”, para los propósitos de esta definición, significa propiedad o control directo o indirecto de más del 50% de los intereses de voto de la entidad sujeta;
“Servicios” significa cualquiera de los siguientes servicios proporcionados por Sistemas de Telemetría Site: (a) ofertas de productos de la marca Site Track disponibles a través de Internet en https://sitetrack.mx, (b) servicios de consultoría o capacitación proporcionados por Sistemas de Telemetría Site ya sea de forma remota a través de Internet o en persona, y (c) cualquier servicio de soporte proporcionado por Sistemas de Telemetría Site, incluido el acceso a la mesa de ayuda de Sistemas de Telemetría Site; los términos “controlador de datos“, “procesador de datos”, “sujeto de datos”, “datos personales“, “procesamiento” y “medidas técnicas y organizativas apropiadas” tendrán los significados que se les dan en virtud de la Ley de Protección de Datos aplicable.
2. Objeto, naturaleza y finalidad del tratamiento de datos personales por parte de Sistemas de Telemetría Site
2.1 El objeto, la naturaleza y el propósito del procesamiento de Datos personales bajo este APD es el rendimiento de Sistemas de Telemetría Site de los Servicios de la Plataforma Site Track (los “Servicios) según las instrucciones por escrito del Cliente en su uso de los Servicios, a menos que la Ley de Protección de Datos exija lo contrario, en cuyo caso en la medida permitida por la Ley de Protección de Datos, Sistemas de Telemetría Site informará al Cliente de este requisito legal antes de llevar a cabo el procesamiento. Sistemas de Telemetría Site solo recopilará o procesará Datos Personales durante el período de prestación de los Servicios en la medida y de la manera que sea necesaria para la prestación de los Servicios y de acuerdo con el APD y la Ley de Protección de Datos aplicable a Sistemas de Telemetría Site.
3. Duración
3.1 El procesamiento de los Datos personales será llevado a cabo por Sistemas de Telemetría Site mientras exista la Cuenta Site Track del Cliente o según sea necesario para el cumplimiento de las obligaciones y derechos entre Sistemas de Telemetría Site y el Cliente, a menos que se acuerde lo contrario por escrito.
4. Tipo de datos personales tratados
4.1 El Cliente puede enviar Datos personales del Cliente a los Servicios, cuyo alcance es determinado y controlado por el Cliente a su entera discreción, y que puede incluir, entre otros, las siguientes categorías de Datos personales:
Información de la cuenta. Cuando el Cliente se registra para obtener una Cuenta Site Track, se requiere cierta información, como el nombre y el correo electrónico. El Cliente puede actualizar o corregir su información y preferencias de correo electrónico en cualquier momento visitando la Cuenta Site Track. Sistemas de Telemetría Site puede proporcionar al Cliente soporte adicional para acceder, corregir, eliminar o modificar la información que el Cliente proporcionó a Sistemas de Telemetría Site y asociada con la Cuenta Site Track del Cliente. Para proteger la seguridad, Sistemas de Telemetría Site toma medidas razonables (como solicitar cualquier información legal) para verificar la identidad del Cliente antes de realizar correcciones. El Cliente es responsable de mantener en secreto la contraseña y la información de la Cuenta Site Track del Cliente en todo momento.
Información adicional del perfil. El Cliente puede optar por proporcionar información adicional como parte de su perfil de Site Track. La información del perfil ayuda al Cliente a obtener más de la Plataforma Site Track. Es elección del Cliente incluir información confidencial en su perfil de Site Track.
Otra información. De lo contrario, el Cliente puede optar por proporcionar información de SEGUIMIENTO DEL SITIO cuando el Cliente rellene un formulario, realice una búsqueda, actualice o agregue información a su Cuenta Site Track, responda a encuestas, publique en foros de la comunidad, participe en promociones o utilice otras funciones de la Plataforma Site Track.
5. Obligaciones de Sistemas de Telemetría Site
5.1 Sistemas de Telemetría Site acepta y/o garantiza:
(a) Procesar los Datos personales solo en nombre del Cliente y de conformidad con sus instrucciones y el APD; si no puede proporcionar dicho cumplimiento por cualquier motivo, acepta informar sin demora al Cliente de su incapacidad para cumplir, en cuyo caso el Cliente tiene derecho a suspender la transferencia de datos y / o rescindir los Servicios;
(b) Que todos los Datos Personales procesados en nombre del Cliente siguen siendo propiedad del Cliente y/o de los Interesados pertinentes;
(c) Que no tiene motivos para creer que la legislación que le es aplicable le impide cumplir las instrucciones recibidas del Cliente y sus obligaciones en virtud del APD y que, en caso de un cambio en esta legislación que pueda tener un efecto adverso sustancial en las garantías y obligaciones proporcionadas por el APD, notificará de inmediato el cambio al Cliente tan pronto como tenga conocimiento, en cuyo caso el Cliente tiene derecho a suspender la transferencia de datos y / o rescindir los Servicios;
(d) Que ha implementado las medidas de seguridad técnicas y organizativas especificadas en el Anexo 1 antes de procesar los Datos Personales transferidos;
(e) Que notificará sin demora al Cliente sobre:
I. Cualquier solicitud legalmente vinculante de divulgación de los Datos personales por parte de una autoridad policial a menos que se prohíba lo contrario, como una prohibición en virtud del derecho penal para preservar la confidencialidad de una investigación policial;
II. Cualquier acceso accidental o no autorizado; y
III. Cualquier solicitud recibida directamente de los interesados sin responder a dicha solicitud, a menos que haya sido autorizado para hacerlo;
(f) Tratar rápida y adecuadamente todas las consultas del Cliente relacionadas con su procesamiento de los Datos personales sujetos a la transferencia y cumplir con el asesoramiento de la autoridad supervisora con respecto al procesamiento de los datos transferidos;
(g) A petición del Cliente para someter sus instalaciones de procesamiento de datos a la auditoría de las actividades de procesamiento cubiertas por el APD;
(h) Que, en caso de subprocesamiento, ha informado previamente al Cliente y ha obtenido su consentimiento previo por escrito;
(i) Que los servicios de procesamiento por parte del subprocesador se llevarán a cabo de acuerdo con la Sección 8;
(j) Nombrar un delegado de protección de datos, que desempeñe sus funciones de conformidad con la Ley de Protección de Datos. Los datos de contacto de los delegados de protección de datos están disponibles en la página web de Sistemas de Telemetría Site.
(k) Confiar solo a aquellos empleados con el procesamiento de datos descrito en este APD que hayan estado obligados a la confidencialidad y que hayan estado previamente familiarizados con las disposiciones de protección de datos relevantes para su trabajo. Sistemas de Telemetría Site y cualquier persona que actúe bajo su autoridad que tenga acceso a los Datos Personales, no procesarán esos datos a menos que sean instrucciones del Cliente, a menos que así lo exija la Ley de Protección de Datos;
(l) Supervisar periódicamente los procesos internos para garantizar que el procesamiento dentro del área de responsabilidad de Sistemas de Telemetría Site esté de acuerdo con los requisitos de la Ley de Protección de Datos y la protección de los derechos del interesado.
6. Obligaciones del cliente
6.1 El Cliente acepta y/o garantiza:
(a) Que el procesamiento, incluida la transferencia en sí, de los Datos personales se ha llevado a cabo y continuará llevándose a cabo de acuerdo con las disposiciones pertinentes de la Ley de Protección de Datos y no viola las disposiciones pertinentes;
(b) Que ha instruido y durante toda la duración de los servicios de procesamiento de datos personales instruirá a Sistemas de Telemetría Site para procesar los Datos personales transferidos solo en nombre del Cliente y de acuerdo con la Ley de Protección de Datos y el APD;
(c) Que Sistemas de Telemetría Site proporcionará garantías suficientes con respecto a las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 1 de este APD;
(d) Que después de evaluar los requisitos de la Ley de Protección de Datos, las medidas de seguridad son apropiadas para proteger los Datos personales contra la destrucción accidental o ilegal o la pérdida accidental, alteración, divulgación o acceso no autorizados, en particular cuando el procesamiento implique la transmisión de datos a través de una red, y contra cualquier otra forma ilegal de procesamiento, y que estas medidas garanticen un nivel de seguridad adecuado a los riesgos presentados por el procesamiento y el naturaleza de los datos que deben protegerse teniendo en cuenta el estado de la técnica y el coste de su aplicación;
(e) Que garantizará el cumplimiento de las medidas de seguridad;
(f) Acceder y utilizar los Servicios solo para fines legales, autorizados y aceptables. El Cliente no usará (ni ayudará a otros a usar) los Servicios de manera que: (a) violen, se apropien indebidamente o infrinjan los derechos de Sistemas de Telemetría Site, sus usuarios u otros, incluidos los derechos de privacidad, publicidad, propiedad intelectual u otros derechos de propiedad; (b) sean ilegales, obscenos, difamatorios, amenazantes, intimidantes, acosadores, odiosos, racialmente o étnicamente ofensivos, o instiguen o alienten conductas que serían ilegales o inapropiadas; (c) impliquen la publicación de falsedades, tergiversaciones o declaraciones engañosas; (d) hacerse pasar por alguien; (e) impliquen el envío de comunicaciones ilegales o no permitidas, como mensajes masivos, mensajes automáticos, marcación automática y similares; o (f) impliquen cualquier otro uso de los Servicios prescritos en este APD a menos que Sistemas de Telemetría Site autorice lo contrario;
(g) No acceder (o ayudar a otros a) acceder, usar, copiar, adaptar, modificar, preparar trabajos derivados basados en, distribuir, licenciar, sublicenciar, transferir, mostrar, ejecutar o explotar de otro modo la Plataforma Site Track de manera inadmisible o no autorizada, o de manera que cargue, perjudique o perjudique Sistemas de Telemetría Site, la Plataforma Site Track, sistemas, otros usuarios u otros, incluido que el Cliente no lo hará directamente o a través de medios automatizados: (a) realizar ingeniería inversa, alterar, modificar, crear trabajos derivados, descompilar o extraer código de la Plataforma Site Track; (b) enviar, almacenar o transmitir virus u otro código informático dañino a través o en la Plataforma Site Track; (c) obtener o intentar obtener acceso no autorizado a la Plataforma Site Track o a los sistemas; (d) interferir o interrumpir la integridad o el rendimiento de la Plataforma Site Track; (e) crear cuentas para la Plataforma Site Track a través de medios no autorizados o automatizados; (f) recopilar la información de o sobre otros usuarios de cualquier manera inadmisible o no autorizada; (g) vender, revender, alquilar o cobrar por la Plataforma Site Track; o (h) distribuir o hacer que la Plataforma Site Track esté disponible a través de una red donde pueda ser utilizada por múltiples dispositivos al mismo tiempo;
(h) Que el Cliente es responsable de mantener la Cuenta Site Track del Cliente segura y protegida, y el Cliente notificará a Sistemas de Telemetría Site de inmediato sobre cualquier uso no autorizado o violación de seguridad de la Cuenta del Cliente o de la Plataforma Site Track;
(i) Que Sistemas de Telemetría Site concede al Cliente una licencia limitada, revocable, no exclusiva, no sublicenciable e intransferible para utilizar la Plataforma Site Track. Esta licencia tiene el único propósito de permitir al Cliente utilizar la Plataforma Site Track, de la manera permitida por este APD. No se otorgan licencias o derechos al Cliente por implicación o de otra manera, excepto las licencias y derechos expresamente otorgados al Cliente.
7. Medidas técnicas y organizativas
7.1 Sistemas de Telemetría Site tomará las medidas técnicas y organizativas apropiadas para proteger adecuadamente los Datos personales contra la destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o acceso a los Datos personales, descritos en el Apéndice 1. Dichas medidas incluyen, entre otras, medidas físicas y de TI, y medidas organizativas para:
(a) La prevención de que personas no autorizadas obtengan acceso a los sistemas de procesamiento de datos personales (control de acceso físico),
(b) La prevención de que los sistemas de procesamiento de datos personales se utilicen sin autorización (control de acceso lógico),
(c) Garantizar que las personas con derecho a utilizar un sistema de procesamiento de datos personales solo tengan acceso a los datos personales a los que tengan derecho a acceder de acuerdo con sus derechos de acceso, y que, en el curso del procesamiento o uso y después del almacenamiento, los datos personales no puedan leerse, copiarse, modificarse o eliminarse sin autorización (control de acceso a los datos),
(d) Garantizar que los Datos personales no puedan leerse, copiarse, modificarse o eliminarse sin autorización durante la transmisión, el transporte o el almacenamiento electrónicos en medios de almacenamiento, y que las entidades objetivo de cualquier transferencia de Datos personales por medio de instalaciones de transmisión de datos puedan establecerse y verificarse (control de transferencia de datos),
(e) Garantizar el establecimiento de una pista de auditoría para documentar si los datos personales han sido introducidos, modificados o eliminados de los sistemas de tratamiento de datos personales (control de entrada) y por quién;
(f) Garantizar que los Datos personales estén protegidos contra la destrucción o pérdida accidental (control de disponibilidad).
7.2 Las medidas técnicas y organizativas están sujetas al progreso técnico y al desarrollo ulterior. En este sentido, Sistemas de Telemetría Site puede implementar medidas alternativas adecuadas, sin embargo, el nivel de seguridad de las medidas definidas nunca debe reducirse. Los cambios importantes deben documentarse.
8. Subprocesadores
8.1 El Cliente acepta que Sistemas de Telemetría Site puede contratar al Afiliado de Sistemas de Telemetría Site o a terceros para procesar Datos Personales con el fin de ayudar a Sistemas de Telemetría Site a prestar los Servicios en nombre del Cliente (“Subprocesadores”). Sistemas de Telemetría Site tiene o celebrará un acuerdo por escrito con cada Subprocesador que contenga obligaciones de protección de datos no menos protectoras que las de este APD en la medida aplicable a la naturaleza de los Servicios proporcionados por dicho Subprocesador. Si el Subprocesador procesa los Servicios fuera de la UE / EEE, Site Track se asegurará de que la transferencia se realice de conformidad con las cláusulas contractuales estándar aprobadas por la Comisión Europea para la transferencia de Datos personales que el Cliente autoriza a Sistemas de Telemetría Site a realizar en su nombre, o que se utilicen otros mecanismos legales apropiados de transferencia de datos.
8.2 Los Subprocesadores actuales para los Servicios se establecen en https://sitetrack.mx/subprocesadores/ (“Lista de Subprocesadores”) y el Cliente acepta y aprueba que Sistemas de Telemetría Site ha contratado a dichos Subprocesadores para procesar Datos personales como se establece en la lista. Sistemas de Telemetría Site notificará a un nuevo Subprocesador (s) antes de autorizar a cualquier nuevo Subprocesador (s) a procesar Datos personales en relación con la prestación del Servicio aplicable.
8.3 Sistemas de Telemetría Site notificará al Cliente con treinta (30) días de anticipación cualquier cambio previsto relacionado con la adición o reemplazo de cualquier Subprocesador, período durante el cual el Cliente puede presentar objeciones al nombramiento del Subprocesador. Cualquier objeción debe plantearse con prontitud (y en cualquier caso a más tardar catorce (14) días después de la notificación de Sistemas de Telemetría Site de los cambios previstos). En caso de que Sistemas de Telemetría Site decida retener al Subprocesador objetado, Sistemas de Telemetría Site notificará al cliente al menos catorce (14) días antes de autorizar al Subprocesador a procesar Datos personales y luego el Cliente puede dejar de usar inmediatamente la parte relevante de los Servicios y puede terminar la parte relevante de los Servicios.
8.4 Para evitar dudas, cuando cualquier Subprocesador no cumpla con sus obligaciones en virtud de cualquier acuerdo de subprocesamiento o bajo la ley aplicable, Sistemas de Telemetría Site seguirá siendo totalmente responsable ante el Cliente por el cumplimiento de sus obligaciones en virtud de este APD.
9. Auditoría
9.1 Para confirmar el cumplimiento de este APD, el Cliente tendrá la libertad de realizar una auditoría mediante la asignación de un tercero independiente que estará obligado a observar la confidencialidad a este respecto. Cualquier auditoría de este tipo debe ocurrir durante el horario comercial normal de Sistemas de Telemetría Site y se permitirá solo en la medida requerida para que el Cliente evalúe el cumplimiento de Sistemas de Telemetría Site con este APD. En relación con dicha auditoría, el Cliente se asegurará de que el auditor: (a) revise cualquier información en las instalaciones de Sistemas de Telemetría Site; (b) observar el acceso razonable en el sitio y otras restricciones razonablemente impuestas por Sistemas de Telemetría Site; (c) cumplir con las políticas y procedimientos de Sistemas de Telemetría Site, y (d) no interferir irrazonablemente con las actividades comerciales de Sistemas de Telemetría Site. Sistemas de Telemetría Site se reserva el derecho de restringir o suspender cualquier auditoría en caso de incumplimiento de las condiciones especificadas en esta Sección 9.
9.2 En el caso de que el Cliente, un regulador o una autoridad de protección de datos requiera información adicional o una auditoría relacionada con los Servicios, entonces, Sistemas de Telemetría Site acepta enviar sus instalaciones de procesamiento de datos, archivos de datos y documentación necesaria para procesar Datos personales a auditoría por parte del Cliente (o cualquier tercero, como agentes de inspección o auditores, seleccionado por el Cliente) para verificar el cumplimiento de este APD, sujeto a que se le notifique y el auditor celebre un acuerdo de confidencialidad directamente con Sistemas de Telemetría Site. Sistemas de Telemetría Site acepta proporcionar una cooperación razonable al Cliente en el curso de dichas operaciones, incluido el suministro de toda la información relevante y el acceso a todos los equipos, software, datos, archivos, sistemas de información, etc. utilizados para la prestación de los Servicios, incluido el procesamiento de Datos personales. Dichas auditorías se llevarán a cabo a expensas y gastos del Cliente.
9.3 La auditoría solo puede llevarse a cabo cuando existan motivos específicos para sospechar el uso indebido de los Datos personales, y no antes de dos semanas después de que el Cliente haya proporcionado una notificación por escrito a Sistemas de Telemetría Site.
9.4 Los hallazgos con respecto a la auditoría realizada serán discutidos y evaluados por las partes y, cuando corresponda, implementados en consecuencia, según sea el caso, por una de las partes o conjuntamente por ambas partes. Los costes de la auditoría correrán a cargo del Cliente.
10. Notificación de una violación de datos
10.1 En caso de que Sistemas de Telemetría Site tenga conocimiento de cualquier violación de seguridad que resulte en la destrucción accidental, no autorizada o ilegal o la divulgación no autorizada o el acceso a los Datos personales, Sistemas de Telemetría Site notificará al Cliente lo mejor que pueda con demora indebida, después de lo cual el Cliente determinará si informa o no a los interesados y / o a la(s) autoridad(es) reguladora(es) pertinente(s). Esta obligación de informar se aplica independientemente del impacto de la fuga. Sistemas de Telemetría Site se esforzará para que la información proporcionada sea completa, correcta y precisa.
10.2 Si así lo exige la ley y/o el reglamento, Sistemas de Telemetría Site cooperará en la notificación a las autoridades y/o interesados pertinentes. El Cliente sigue siendo la parte responsable de cualquier obligación legal al respecto.
10.3 El deber de informar incluye, en cualquier caso, el deber de informar del hecho de que se ha producido una fuga, incluidos los detalles relativos a:
– La causa (sospechada) de la fuga;
– Las consecuencias (actualmente conocidas y/o previstas) de la misma;
– La solución (propuesta);
– Las medidas que ya se han tomado.
11. Eliminación y devolución de datos personales
11.1 Las partes acuerdan que al finalizar la prestación de servicios de procesamiento de datos, Sistemas de Telemetría Site y sus subcontratistas deberán, a elección del Cliente, devolver todos los Datos Personales transferidos y las copias de los mismos al Cliente o destruirán todos los Datos Personales y certificarán al Cliente que lo ha hecho, a menos que la legislación impuesta a Sistemas de Telemetría Site impida que devuelva o destruya la totalidad o parte de los Datos personales transferidos. En ese caso, Sistemas de Telemetría Site garantiza que garantizará la confidencialidad de los Datos Personales transferidos y ya no procesará activamente los Datos Personales transferidos. Sistemas de Telemetría Site y sus subcontratistas garantizan que, a petición del Cliente y/o de la autoridad supervisora, someterán sus instalaciones de procesamiento de datos a una auditoría de las medidas mencionadas en la Sección 9.
12. Ley aplicable/foro
12.1 Este APD se regirá e interpretará de acuerdo con la Ley de Protección de Datos Personales en Posesión de Particulares en México.
12.2 Todas y cada una de las reclamaciones, disputas o controversias que surjan de, fuera de, o en conexión con este APD, incumplimiento, terminación o validez del mismo, que no se hayan resuelto mediante negociaciones de buena fe entre Sistemas de Telemetría Site y el Cliente dentro del período de treinta (30) días calendario posteriores a la recepción de una notificación de una parte a la otra solicitando negociaciones se resolverán mediante arbitraje final y vinculante en el Tribunal Federal de Conciliación y Arbitraje en Ciudad de México de acuerdo con con sus Reglas de Arbitraje vigentes y vigentes en la fecha de la APD. Las disputas serán resueltas por un solo árbitro. Los procedimientos de arbitraje se llevarán a cabo en Ciudad de México, México. El lugar del arbitraje será Ciudad de México, México. El idioma del arbitraje será el español. Los documentos pertinentes en otros idiomas se traducirán al español si los árbitros así lo indican. Todos los gastos y costos de los árbitros y el arbitraje en relación con los mismos se compartirán por igual, excepto que Sistemas de Telemetría Site y el Cliente asumirán los costos de su propio enjuiciamiento y defensa, incluidos, entre otros, los honorarios de abogados y la producción de testigos y otras pruebas. Cualquier laudo dictado en dicho arbitraje será definitivo y podrá ser ejecutado por cualquiera de las partes.
12.3 Las partes acuerdan mantener todos los detalles de los procedimientos de arbitraje y el laudo arbitral estrictamente confidenciales y harán todos los esfuerzos razonables para tomar las medidas que sean apropiadas para evitar la divulgación no autorizada de los procedimientos, cualquier información divulgada en relación con el mismo y el laudo otorgado.
Apéndice No. 1
Descripción de las medidas técnicas y organizativas implementadas por Sistemas de Telemetría Site:
Sistemas de Telemetría Site implementará las medidas descritas en este apéndice, siempre que las medidas contribuyan directa o indirectamente o puedan contribuir a la protección de los Datos Personales durante el período de prestación de los Servicios de Sistemas de Telemetría Site al Cliente. Si Sistemas de Telemetría Site cree que una medida no es necesaria para el Servicio respectivo o parte del mismo, Sistemas de Telemetría Site lo justificará y llegará a un acuerdo con el Cliente.
Las medidas técnicas y organizativas están sujetas al progreso y desarrollo técnico. En este sentido, Sistemas de Telemetría Site está autorizado a implementar medidas alternativas adecuadas. El nivel de seguridad debe alinearse con las mejores prácticas de seguridad de la industria y no menos que las medidas establecidas en este documento. Todos los cambios importantes deben acordarse con el Cliente y documentarse.
1. Gestión de riesgos
1.1 Gestión de riesgos de seguridad
1.1.1 Sistemas de Telemetría Site identificará y evaluará los riesgos de seguridad relacionados con la confidencialidad, integridad y disponibilidad y, sobre la base de dicha evaluación, implementará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad que sea apropiado para el riesgo.
1.1.2 Sistemas de Telemetría Site deberá tener procesos y rutinas documentados para manejar los riesgos dentro de sus operaciones.
1.1.3 Sistemas de Telemetría Site evaluará periódicamente los riesgos relacionados con los sistemas de información y el procesamiento, almacenamiento y transmisión de información.
1.2 Gestión de riesgos de seguridad para datos personales
1.2.1 Sistemas de Telemetría Site identificará y evaluará los riesgos de seguridad relacionados con la confidencialidad, integridad y disponibilidad y, sobre la base de dicha evaluación, implementará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad que sea apropiado para el riesgo de los tipos y propósitos específicos de Datos personales procesados por Sistemas de Telemetría Site, incluyendo, entre otros, según corresponda:
– La seudonimización y el cifrado de los Datos personales;
– La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de procesamiento;
– La capacidad de restaurar la disponibilidad y el acceso a los Datos del Cliente de manera oportuna en caso de un incidente físico o técnico;
– Un proceso para probar, evaluar y evaluar regularmente la efectividad de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento.
1.2.2 Sistemas de Telemetría Site tendrá procesos y rutinas documentados para manejar los riesgos al procesar Datos personales en nombre del Cliente.
1.2.3 Sistemas de Telemetría Site evaluará periódicamente los riesgos relacionados con los sistemas de información y el procesamiento, almacenamiento y transmisión de Datos personales.
1.3 Políticas de seguridad de la información
1.3.1 Sistemas de Telemetría Site tendrá un sistema de gestión de seguridad de la información definido y documentado que incluya una política y procedimientos de seguridad de la información, que serán aprobados por la administración de Sistemas de Telemetría Site. Se publicarán dentro de la organización de Sistemas de Telemetría Site y se comunicarán al personal pertinente de Sistemas de Telemetría Site.
1.3.2 Sistemas de Telemetría Site revisará periódicamente las políticas y procedimientos de seguridad de Sistemas de Telemetría Site y los actualizará si es necesario para garantizar su cumplimiento con este Apéndice.
2. Organización de la seguridad de la información
2.1 Sistemas de Telemetría Site debe tener roles y responsabilidades de seguridad definidos y documentados dentro de su organización.
2.2 Sistemas de Telemetría Site designará al menos un delegado de protección de datos que tenga la competencia de seguridad adecuada y que tenga la responsabilidad general de implementar las medidas de seguridad en virtud de este Apéndice y que será la persona de contacto para el personal de seguridad del Cliente.
3. Seguridad de los recursos humanos
3.1 Sistemas de Telemetría Site se asegurará de que el personal de Sistemas de Telemetría Site maneje la información de acuerdo con el nivel de confidencialidad requerido por el APD.
3.2 Sistemas de Telemetría Site se asegurará de que el personal relevante de Sistemas de Telemetría Site conozca el uso aprobado (incluidas las restricciones de uso, según sea el caso) de la información, las instalaciones y los sistemas bajo el APD.
3.3 Sistemas de Telemetría Site se asegurará de que cualquier personal de Sistemas de Telemetría Site que realice tareas en virtud del Acuerdo sea confiable, cumpla con los criterios de seguridad establecidos y haya estado, y durante el plazo de la asignación seguirá estando, sujeto a una selección y verificación de antecedentes adecuadas.
3.4 Sistemas de Telemetría Site se asegurará de que el personal de Sistemas de Telemetría Site con responsabilidades de seguridad esté adecuadamente capacitado para llevar a cabo tareas relacionadas con la seguridad.
3.5 Sistemas de Telemetría Site proporcionará o garantizará capacitación periódica en materia de seguridad al personal relevante de Sistemas de Telemetría Site. Dicha capacitación de Sistemas de Telemetría Site incluirá, sin limitación:
(a) Cómo gestionar la seguridad de la información del cliente (es decir, la protección de la confidencialidad, integridad y disponibilidad de la información);
(b) Por qué se necesita la seguridad de la información para proteger la información y los sistemas de los clientes;
(c) Los tipos comunes de amenazas a la seguridad (como el robo de identidad, el uso de programas maliciosos, la piratería, la fuga de información y las amenazas internas);
(d) La importancia de cumplir las políticas de seguridad de la información y aplicar las normas y procedimientos conexos;
(e) Responsabilidad personal por la seguridad de la información (como proteger la información relacionada con la privacidad del cliente y reportar violaciones de datos reales y sospechadas).
4. Control de acceso
Sistemas de Telemetría Site tendrá una política de control de acceso definida y documentada para instalaciones, sitios, redes, sistemas, aplicaciones y acceso a información / datos (incluidos los controles de acceso físico, lógico y remoto), un proceso de autorización para el acceso y privilegios de los usuarios, procedimientos para revocar los derechos de acceso y un uso aceptable de los privilegios de acceso para el personal de Sistemas de Telemetría Site en su lugar.
Sistemas de Telemetría Site tendrá un proceso formal y documentado de registro y cancelación de registro de usuarios implementado para permitir la asignación de derechos de acceso.
Sistemas de Telemetría Site asignará todos los privilegios de acceso basados en el principio de necesidad de saber y el principio de privilegio mínimo.
Sistemas de Telemetría Site utilizará autenticación reforzada (multifactor) para usuarios de acceso remoto y usuarios que se conecten desde una red que no sea de confianza.
Sistemas de Telemetría Site se asegurará de que el personal de Sistemas de Telemetría Site tenga un identificador personal y único (ID de usuario) y utilice una técnica de autenticación adecuada, que confirme y garantice la identidad de los usuarios.
5. Seguridad física y ambiental
Sistemas de Telemetría Site protegerá las instalaciones de procesamiento de información contra amenazas y peligros externos y ambientales, incluidos fallos de energía / cableado y otras interrupciones causadas por fallas en los servicios públicos de soporte. Esto incluye el perímetro físico y la protección de acceso.
6. Seguridad de las operaciones
Sistemas de Telemetría Site tendrá un sistema de gestión de cambios establecido para realizar cambios en los procesos comerciales, las instalaciones y los sistemas de procesamiento de información. El sistema de gestión de cambios incluirá pruebas y revisiones antes de que se implementen los cambios, como procedimientos para manejar cambios urgentes, procedimientos de reversión para recuperarse de cambios fallidos, registros que muestren qué se ha cambiado, cuándo y por quién.
Sistemas de Telemetría Site implementará protección contra malware para garantizar que cualquier software utilizado para la prestación de los Servicios al Cliente por parte de Sistemas de Telemetría Site esté protegido contra malware.
Sistemas de Telemetría Site realizará copias de seguridad de la información crítica y copias de seguridad de prueba para garantizar que la información pueda restaurarse según lo acordado con el Cliente.
Sistemas de Telemetría Site registrará y supervisará las actividades, como la creación, lectura, copia, modificación y eliminación de datos procesados, así como excepciones, fallas y eventos de seguridad de la información, y los revisará regularmente. Además, Sistemas de Telemetría Site protegerá y almacenará (durante al menos 6 meses o los períodos establecidos por la Ley de Protección de Datos) la información de registro y, previa solicitud, entregará los datos de monitoreo al Cliente. Las anomalías / incidentes / indicadores de compromiso se informarán de acuerdo con los requisitos de gestión de violaciones de datos establecidos en la cláusula 9, a continuación.
Sistemas de Telemetría Site gestionará las vulnerabilidades de todas las tecnologías pertinentes, como sistemas operativos, bases de datos, aplicaciones de forma proactiva y oportuna.
Sistemas de Telemetría Site establecerá líneas de base de seguridad (endurecimiento) para todas las tecnologías pertinentes, como sistemas operativos, bases de datos y aplicaciones.
Sistemas de Telemetría Site garantizará que el desarrollo esté separado del entorno de prueba y producción.
7. Seguridad de las comunicaciones
Sistemas de Telemetría Site implementará controles de seguridad de red tales como nivel de servicio, cortafuegos y segregación para proteger los sistemas de información.
8. Relación de Sistemas de Telemetría Site con subproveedores
Sistemas de Telemetría Site reflejará el contenido de este Apéndice en sus acuerdos con los Subprocesadores que realizan tareas asignadas bajo el APD.
Sistemas de Telemetría Site supervisará, revisará y auditará regularmente el cumplimiento del Subprocesador con este Apéndice.
Sistemas de Telemetría Site deberá, a petición del Cliente, proporcionar al Cliente pruebas sobre el cumplimiento del Subprocesador con este Apéndice.
9. Gestión de la violación de datos
Sistemas de Telemetría Site deberá haber establecido procedimientos para la gestión de la violación de datos.
Sistemas de Telemetría Site informará al Cliente sobre cualquier violación de datos (incluidos, entre otros, incidentes relacionados con el procesamiento de Datos personales) tan pronto como sea posible, pero a más tardar dentro de las 36 horas posteriores a la identificación de la violación de datos.
Todos los informes de incidentes relacionados con la seguridad se tratarán como información confidencial y se cifrarán, utilizando métodos de cifrado estándar de la industria.
El informe de violación de datos contendrá, como mínimo, la siguiente información:
(a) La naturaleza de la violación de datos,
(b) La naturaleza de los Datos Personales afectados,
(c) Las categorías y el número de interesados afectados,
(d) El número de registros de datos personales en cuestión,
(e) Medidas adoptadas para hacer frente a la violación de datos,
(f) Las posibles consecuencias y efectos adversos de la violación de datos, y
(g) Cualquier otra información que el Cliente deba informar al regulador o sujeto de datos relevante.
En la medida en que sea legalmente posible, Sistemas de Telemetría Site puede reclamar una compensación por los servicios de soporte en virtud de esta cláusula 9 que no sean atribuibles a fallas por parte de Sistemas de Telemetría Site.
10. Gestión de la continuidad del negocio
Sistemas de Telemetría Site identificará los riesgos de continuidad del negocio y tomará las medidas necesarias para controlar y mitigar dichos riesgos.
Sistemas de Telemetría Site debe tener procesos y rutinas documentados para manejar la continuidad del negocio.
Sistemas de Telemetría Site garantizará que la seguridad de la información esté integrada en los planes de continuidad del negocio.
Sistemas de Telemetría Site evaluará periódicamente la eficiencia de su gestión de la continuidad del negocio y el cumplimiento de los requisitos de disponibilidad (si los hubiera).