Acuerdo de protección de datos

Este Acuerdo de protección de datos (el "APD") entra en vigencia el 25 de mayo de 2018.

El Cliente pondrá a disposición de la Compañía y el Cliente autoriza a la Compañía a procesar la información, incluidos los Datos personales, para la prestación de los Servicios en virtud del Acuerdo. Las partes acordaron celebrar este APD para confirmar las disposiciones de protección de datos relacionadas con su relación y para cumplir con los requisitos de la Ley de Protección de Datos aplicable.

1. Definiciones

1.1  A los efectos de este APD:

“Información personal” significa cualquier información relacionada con una persona física identificada o identificable ('sujeto de datos'); una persona física identificable es aquella que puede identificarse, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea o a uno o más factores específicos del estado físico, fisiológico, identidad genética, psíquica, económica, cultural o social de esa persona física;
“Ley de Protección de Datos” hace referencia a todas las leyes, reglamentos y otros requisitos legales aplicables relacionados con (a) la privacidad, la seguridad de los datos, la protección del consumidor, el marketing, la promoción y los mensajes de texto, correo electrónico y otras comunicaciones; y (b) el uso, la recopilación, la retención, el almacenamiento, la seguridad, la divulgación, la transferencia, la eliminación y otros procesamientos de los Datos personales;
“El afiliado de la empresa” significa cualquier entidad que directa o indirectamente controle, sea controlada o esté bajo el control común de la Compañía. “Control,” para efectos de esta definición, significa propiedad o control directo o indirecto de más del 50% de los intereses con derecho a voto de la entidad en cuestión;
“Servicios” se refiere a cualquiera de los siguientes servicios proporcionados por la Compañía: (a) ofertas de productos con la marca de la Compañía disponibles a través del sitio web de la Compañía, (b) servicios de consultoría o capacitación proporcionados por la Compañía, ya sea de forma remota a través de Internet o en persona, y (c) cualquier servicio de soporte proporcionado por la Compañía, incluido el acceso a la mesa de ayuda de la Compañía;
los términos "controlador de datos”, “procesador de datos”, “sujeto de datos”, “información personal”, “Procesando" y " medidas técnicas y organizativas apropiadas” tendrán el significado que se les atribuye en la Ley de Protección de Datos aplicable.

2. Objeto, naturaleza y propósito del procesamiento de datos personales por parte de la empresa

2.1  El objeto, la naturaleza y el propósito del procesamiento de Datos personales en virtud de este APD es el desempeño de los Servicios por parte de la Compañía según las instrucciones adicionales por escrito del Cliente en su uso de los Servicios, a menos que la Ley de Protección de Datos lo exija de otro modo, en cuyo caso, en la medida en que lo permita la Ley de Protección de Datos, la Empresa informará al Cliente de este requisito legal con carácter previo a la realización del tratamiento. La Compañía solo recopilará o procesará Datos personales durante el período de prestación de los Servicios en la medida y de la manera que sea necesaria para la prestación de los Servicios y de conformidad con el APD y la Ley de protección de datos aplicable a la Compañía.

3. Duración

3.1  La Compañía llevará a cabo el procesamiento de Datos Personales mientras exista la Cuenta de Servicios del Cliente o según sea necesario para el cumplimiento de las obligaciones y derechos entre la Compañía y el Cliente, a menos que se acuerde lo contrario por escrito.

4. Tipo de datos personales procesados

4.1  El Cliente puede enviar Datos personales del Cliente a los Servicios, cuyo alcance está determinado y controlado por el Cliente a su exclusivo criterio, y que puede incluir, entre otros, las siguientes categorías de Datos personales:

• El Cliente puede enviar Datos personales del Cliente a los Servicios, cuyo alcance está determinado y controlado por el Cliente a su exclusivo criterio, y que puede incluir, entre otros, las siguientes categorías de Datos personales: Información de la cuenta. Cuando el Cliente se registra en una Cuenta de Servicios, se requiere cierta información como el nombre y el correo electrónico. El Cliente puede actualizar o corregir su información y preferencias de correo electrónico en cualquier momento visitando la Cuenta de Servicios. La Compañía puede brindar al Cliente soporte adicional para acceder, corregir, eliminar o modificar la información que el Cliente proporcione a la Compañía y asociada con la Cuenta de Servicios del Cliente. Para proteger la seguridad, la Compañía toma medidas razonables (como solicitar cualquier información legal) para verificar la identidad del Cliente antes de realizar correcciones. El Cliente es responsable de mantener en secreto la contraseña y la información de la Cuenta de Servicios del Cliente en todo momento.

• Información adicional del perfil. El Cliente puede optar por proporcionar información adicional como parte de su perfil. La información del perfil ayuda al Cliente a obtener más de los Servicios. Es elección del Cliente incluir información sensible en su perfil.

• Otra información. De lo contrario, el Cliente puede optar por proporcionar información a la Compañía cuando el Cliente complete un formulario, realice una búsqueda, actualice o agregue información a su Cuenta de Servicios, responda a encuestas, publique en foros de la comunidad, participe en promociones o use otras funciones del Plataforma de servicios.

5. Obligaciones de la empresa

5.1  La compañía acuerda y/o garantiza:

(a) procesar los Datos personales solo en nombre del Cliente y de conformidad con sus instrucciones y el APD; si no puede proporcionar dicho cumplimiento por cualquier motivo, se compromete a informar de inmediato al Cliente de su incapacidad para cumplir, en cuyo caso el Cliente tiene derecho a suspender la transferencia de datos y/o cancelar los Servicios;

(b) que todos los Datos personales procesados en nombre del Cliente siguen siendo propiedad del Cliente y/o de los interesados correspondientes;

(c) que no tiene motivos para creer que la legislación que le es aplicable le impide cumplir las instrucciones recibidas del Cliente y sus obligaciones en virtud del APD y que, en caso de que se produzca un cambio en esta legislación que pueda tener un efecto sustancial efecto adverso en las garantías y obligaciones previstas por el APD, notificará oportunamente el cambio al Cliente tan pronto como tenga conocimiento, en cuyo caso el Cliente tiene derecho a suspender la transferencia de datos y/o dar por terminados los Servicios;

(d) que ha implementado las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 1 antes de procesar los Datos personales transferidos;

(e) que notificará de inmediato al Cliente acerca de:

      i. cualquier solicitud legalmente vinculante para la divulgación de los Datos personales por parte de una autoridad encargada de hacer cumplir la ley, a                  menos que esté prohibido, como una prohibición en virtud de la ley penal para preservar la confidencialidad de una investigación policial;

      ii. cualquier acceso accidental o no autorizado; y

      iii. cualquier solicitud recibida directamente de los interesados sin responder a esa solicitud, a menos que haya sido autorizado para hacerlo;

(f) atender de manera rápida y adecuada todas las consultas del Cliente relacionadas con el procesamiento de los Datos personales sujetos a la transferencia y cumplir con el consejo de la autoridad supervisora con respecto al procesamiento de los datos transferidos;

(g) a solicitud del Cliente, presentar sus instalaciones de procesamiento de datos para la auditoría de las actividades de procesamiento cubiertas por el APD;

(h) que, en caso de subprocesador haya informado previamente al Cliente y obtenido su consentimiento previo por escrito;

(i) que los servicios de procesamiento por parte del subprocesador se llevarán a cabo de conformidad con la Sección 7;

(j) nombrar un delegado de protección de datos, que ejerza sus funciones de conformidad con la Ley de Protección de Datos. Los datos de contacto de los delegados de protección de datos están disponibles en la página web de la Compañía.

(k) confiar solo a aquellos empleados con el procesamiento de datos descrito en este APD que han estado obligados a la confidencialidad y previamente se han familiarizado con las disposiciones de protección de datos relevantes para su trabajo. La Compañía y cualquier persona que actúe bajo su autoridad que tenga acceso a Datos Personales, no procesar esos datos a menos que por instrucciones del Cliente, a menos que así lo exija la Ley de Protección de Datos;

(l) monitorear periódicamente los procesos internos para garantizar que el procesamiento dentro del área de responsabilidad de la Compañía se ajuste a los requisitos de la Ley de Protección de Datos y la protección de los derechos del interesado.

6. Obligaciones del cliente

6.1 El cliente acepta y/o garantiza:

(a) que el procesamiento, incluida la transferencia misma, de los Datos personales se ha realizado y se seguirá realizando de conformidad con las disposiciones pertinentes de la Ley de protección de datos y no infringe las disposiciones pertinentes;

(b) que ha instruido y durante la duración de los servicios de procesamiento de datos personales instruirá a la Compañía para que procese los Datos personales transferidos solo en nombre del Cliente y de conformidad con la Ley de Protección de Datos y la APD;

(c) que la Compañía proporcionará garantías suficientes con respecto a las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 1 de este APD;

(d) que después de la evaluación de los requisitos de la Ley de Protección de Datos, las medidas de seguridad son apropiadas para proteger los Datos Personales contra la destrucción accidental o ilegal o pérdida accidental, alteración, divulgación o acceso no autorizado, en particular cuando el procesamiento implica la transmisión de datos a través de una red, y contra todas las demás formas ilegales de procesamiento, y que estas medidas garanticen un nivel de seguridad adecuado a los riesgos presentados por el procesamiento y la naturaleza de los datos a proteger teniendo en cuenta el estado de la técnica y el costo de su implementación;

(e) que velará por el cumplimiento de las medidas de seguridad;

(f) acceder y utilizar los Servicios solo para fines legales, autorizados y aceptables. El Cliente no usará (ni ayudará a otros a usar) los Servicios de manera que: (a) viole, se apropie indebidamente o infrinja los derechos de la Compañía, sus usuarios u otros, incluida la privacidad, la publicidad, la propiedad intelectual u otros derechos de propiedad derechos; (b) son ilegales, obscenas, difamatorias, amenazantes, intimidatorias, acosadoras, odiosas, racial o étnicamente ofensivas, o instigan o alientan conductas que serían ilegales o inapropiadas; (c) involucren la publicación de falsedades, tergiversaciones o declaraciones engañosas; (d) hacerse pasar por alguien;  (e) involucren el envío de comunicaciones ilegales o no permitidas, como mensajes masivos, mensajes automáticos, marcación automática y similares; o (f) implique cualquier otro uso de los Servicios prescritos en este APD a menos que la Compañía autorice lo contrario;

(g) no acceda, use, copie, adapte, modifique, prepare trabajos derivados basados en, distribuya, otorgue licencias, sublicencias, transfiera, muestre, realice o explote de otro modo la plataforma de Servicios de manera no permitida o no autorizada (o ayude a otros a) maneras, o en formas que carguen, perjudiquen o perjudiquen a la Compañía, la plataforma de Servicios, los sistemas, otros usuarios u otros, incluido que el Cliente no podrá, directamente o a través de medios automatizados: (a) realizar ingeniería inversa, alterar, modificar, crear trabajos derivados, descompilados o extraídos de código de la plataforma de Servicios; (b) enviar, almacenar o transmitir virus u otro código informático dañino a través o en la plataforma de Servicios; (c) obtener o intentar obtener acceso no autorizado a la plataforma o los sistemas de los Servicios; (d) interferir o interrumpir la integridad o el rendimiento de la plataforma de Servicios; (e) crear cuentas para la plataforma de Servicios a través de medios no autorizados o automatizados; (f) recopilar la información de o sobre otros usuarios de cualquier manera no permitida o no autorizada; (g) vender, revender, alquilar o cobrar por la plataforma de Servicios; o (h) distribuir o hacer que la plataforma de Servicios esté disponible a través de una red donde podría ser utilizada por múltiples dispositivos al mismo tiempo;

(h) que el Cliente es responsable de mantener la Cuenta de Servicios del Cliente segura y protegida, y el Cliente notificará a la Compañía de inmediato sobre cualquier uso no autorizado o violación de la seguridad de la Cuenta del Cliente o la plataforma de Servicios;


(i) que la Compañía otorga al Cliente una licencia limitada, revocable, no exclusiva, no sublicenciable e intransferible para usar la plataforma de Servicios. Esta licencia tiene el único propósito de permitir que el Cliente use la plataforma de Servicios, en la forma permitida por este APD. No se conceden licencias ni derechos otorgado al Cliente por implicación o de otra manera, a excepción de las licencias y derechos otorgados expresamente al Cliente.

7. Medidas técnicas y organizativas


7.1 La Compañía tomará las medidas técnicas y organizativas apropiadas para proteger adecuadamente los Datos personales contra la destrucción, pérdida, alteración, divulgación no autorizada o acceso a los Datos personales accidental o ilegalmente, descritas en el Apéndice 1. Dichas medidas incluyen, entre otras, medidas físicas y de TI. medidas y medidas organizativas para:
(a) la prevención de que personas no autorizadas accedan a los sistemas de procesamiento de Datos Personales (control de acceso físico),

(b) la prevención del uso sin autorización de los sistemas de procesamiento de Datos Personales (control de acceso lógico),

(c) garantizar que las personas con derecho a usar un sistema de procesamiento de Datos Personales obtengan acceso solo a los Datos Personales a los que tienen derecho a acceder de acuerdo con sus derechos de acceso, y que, en el curso del procesamiento o uso y después del almacenamiento, los Datos Personales no se puede leer, copiar, modificar o eliminar sin autorización (control de acceso a datos),

(d) garantizar que los Datos personales no se puedan leer, copiar, modificar o eliminar sin autorización durante la transmisión electrónica, el transporte o el almacenamiento en medios de almacenamiento, y que se puedan establecer las entidades objetivo para cualquier transferencia de Datos personales por medio de instalaciones de transmisión de datos y verificado (control de transferencia de datos),

(e) asegurar el establecimiento de un registro de auditoría para documentar si los Datos Personales han sido ingresados, modificados o eliminados de los sistemas de procesamiento de Datos Personales (control de entrada), y por quién;


(f) garantizar que los Datos personales estén protegidos contra la destrucción o pérdida accidental (control de disponibilidad).

7.2 Las medidas técnicas y organizativas están sujetas al progreso técnico y al desarrollo posterior. En este sentido, la Compañía podrá implementar medidas alternativas adecuadas, sin embargo, nunca se debe reducir el nivel de seguridad de las medidas definidas. Los cambios importantes deben documentarse.

8.  Subprocesadores


8.1  El Cliente acepta que la Empresa puede contratar a Afiliados de la Empresa o a terceros para que procesen Datos personales a fin de ayudar a la Empresa a prestar los Servicios en nombre del Cliente (“Subprocesadores”). La Compañía ha celebrado o celebrará un acuerdo por escrito con cada Subprocesador que contiene obligaciones de protección de datos no menos protectoras que las de este APD en la medida aplicable a la naturaleza de los Servicios proporcionados por dicho Subprocesador. Si el Subprocesador procesa los Servicios fuera de la UE/EEE, la Empresa se asegurará de que la transferencia se realice de conformidad con las cláusulas contractuales estándar aprobadas por la Comisión Europea para la transferencia de Datos personales que el Cliente autoriza a la Empresa a celebrar en su nombre. o que se utilicen otros mecanismos legales apropiados de transferencia de datos.

8.2 Los Subprocesadores actuales para los Servicios se establecen en el sitio web de la Compañía ("Lista de subprocesadores") y el Cliente acepta y aprueba que la Compañía ha contratado a dichos Subprocesadores para procesar Datos personales como se establece en la lista. La Compañía notificará a un nuevo Subprocesador antes de autorizar a cualquier nuevo Subprocesador a procesar Datos personales en relación con la prestación del Servicio correspondiente.

8.3 La Compañía notificará al Cliente con treinta (30) días de anticipación sobre cualquier cambio previsto con respecto a la adición o reemplazo de cualquier Subprocesador, período durante el cual el Cliente puede presentar objeciones a la designación del Subprocesador. Cualquier objeción debe presentarse de inmediato (y, en cualquier caso, a más tardar catorce (14) días después de la notificación de los cambios previstos por parte de la Compañía). Si la Compañía decide retener al Subprocesador objetado, la Compañía notificará al cliente al menos catorce (14) días antes de autorizar al Subprocesador a procesar Datos personales y luego el Cliente puede suspender inmediatamente el uso de la parte relevante de los Servicios. y puede rescindir la parte correspondiente de los Servicios.

8.4 Para evitar dudas, cuando un Subprocesador no cumpla con sus obligaciones en virtud de cualquier acuerdo de subprocesamiento o en virtud de la ley aplicable, la Compañía seguirá siendo totalmente responsable ante el Cliente por el cumplimiento de sus obligaciones en virtud de este APD.

9. Auditoria


9.1  Para confirmar el cumplimiento de este APD, el Cliente tendrá la libertad de realizar una auditoría designando a un tercero independiente que estará obligado a observar la confidencialidad a este respecto. Cualquier auditoría de este tipo debe realizarse durante el horario comercial normal de la Empresa y solo se permitirá en la medida necesaria para que el Cliente evalúe el cumplimiento de la Empresa con este APD. En relación con dicha auditoría, el Cliente se asegurará de que el auditor: (a) revise cualquier información en las instalaciones de la Compañía; (b) observar el acceso razonable en el sitio y otras restricciones razonablemente impuestas por la Compañía; (c) cumplir con las políticas y procedimientos de la Compañía, y (d) no interferir de manera irrazonable con las actividades comerciales de la Compañía.

9.2 En el caso de que el Cliente, un regulador o una autoridad de protección de datos requiera información adicional o una auditoría relacionada con los Servicios, entonces, la Compañía acepta enviar sus instalaciones de procesamiento de datos, archivos de datos y documentación necesarios para procesar Datos personales para que el Cliente los audite. (o cualquier tercero, como agentes de inspección o auditores, seleccionados por el Cliente) para verificar el cumplimiento de este APD, sujeto a que se le notifique y el auditor celebre un acuerdo de confidencialidad directamente con la Compañía. La Compañía acepta brindar una cooperación razonable al Cliente en el curso de dichas operaciones, incluido el suministro de toda la información relevante y el acceso a todos los equipos, software, datos, archivos, sistemas de información, etc. utilizados para la prestación de los Servicios, incluido el procesamiento de Datos personales.


9.3 La auditoría solo se puede realizar cuando existen motivos específicos para sospechar el uso indebido de los Datos personales, y no antes de dos semanas después de que el Cliente haya notificado por escrito a la Compañía.


9.4 Los hallazgos con respecto a la auditoría realizada serán discutidos y evaluados por las partes y, en su caso, implementados en consecuencia, según sea el caso, por una de las partes o conjuntamente por ambas partes. Los costes de la auditoría correrán a cargo del Cliente.


10. Notificación de violación de datos


10.1   En caso de que la Compañía tenga conocimiento de cualquier violación de la seguridad que resulte en la destrucción accidental, no autorizada o ilegal o la divulgación o el acceso no autorizados a los Datos personales, la Compañía, en la medida de sus posibilidades, notificará al Cliente al respecto con una demora indebida, después de que el Cliente determinará si informa o no a los interesados y/o a la(s) autoridad(es) reguladora(s) pertinente(s). Este deber de informar se aplica independientemente del impacto de la fuga. La Compañía se esforzará para que la información proporcionada sea completa, correcta y precisa.


10.2  Si lo exige la ley y/o el reglamento, la Compañía cooperará para notificar a las autoridades pertinentes y/o a los interesados. El Cliente sigue siendo la parte responsable de cualquier obligación legal al respecto.


10.3  El deber de informar comprende, en todo caso, el deber de comunicar el hecho de que se ha producido una fuga, incluyendo los detalles relativos a: la (supuesta) causa de la fuga;  las consecuencias (actualmente conocidas y/o previstas) de los mismos; la solución (propuesta); las medidas que ya se han tomado.

11. Eliminación y devolución de datos personales


11.1   Las partes acuerdan que, al finalizar la prestación de los servicios de procesamiento de datos, la Compañía y sus subcontratistas, a elección del Cliente, devolverán todos los Datos personales transferidos y las copias de estos al Cliente o destruirán todos los Datos personales. y certificar al Cliente que así lo ha hecho, salvo que la legislación impuesta a la Empresa le impida devolver o destruir la totalidad o parte de los Datos Personales transferidos. En ese caso, la Compañía garantiza que garantizará la confidencialidad de los Datos personales transferidos y ya no procesará activamente los Datos personales transferidos. La Compañía y sus subcontratistas garantizan que, a solicitud del Cliente y/o de la autoridad de control, someterá sus instalaciones de procesamiento de datos para una auditoría de las medidas a que se refiere la Sección 8.

12. Ley Aplicable/ Foro

12. 1 Este APD se regirá e interpretará de conformidad con las leyes de Lituania.

12.2 Todos y cada uno de los reclamos, disputas o controversias que surjan de, o en relación con este APD, incumplimiento, terminación o validez del mismo, que no hayan sido resueltos mediante negociaciones de buena fe entre la Compañía y el Cliente dentro de un período de treinta (30) días calendario posteriores a la recepción de una notificación de una parte a la otra solicitando negociaciones se resolverán mediante arbitraje final y vinculante en el Tribunal de Arbitraje Comercial de Vilnius de acuerdo con sus Reglas de Arbitraje vigentes en la fecha del APD. Las disputas serán resueltas por un solo árbitro. Los procedimientos de arbitraje se llevarán a cabo en Vilnius, Lituania. El lugar del arbitraje será Vilnius, Lituania. El idioma del arbitraje será el inglés. Los documentos pertinentes en otros idiomas se traducirán al inglés si los árbitros así lo ordenan. Todos los gastos y costos de los árbitros y el arbitraje en relación con el mismo se compartirán por igual, excepto que la Compañía y el Cliente correrán con los costos de su propio procesamiento y defensa, incluidos, entre otros, los honorarios de los abogados y la producción de testigos y otras pruebas. Cualquier laudo dictado en dicho arbitraje será definitivo y podrá ser ejecutado por cualquiera de las partes.

12.3 Las partes acuerdan mantener todos los detalles de los procedimientos de arbitraje y el laudo arbitral estrictamente confidenciales y harán todos los esfuerzos razonables para tomar las medidas que sean apropiadas para evitar la divulgación no autorizada de los procedimientos, cualquier información divulgada en relación con los mismos y el laudo otorgado.

Apéndice No. 1

Descripción de las medidas técnicas y organizativas implantadas por la Sociedad:

la Empresa implementará las medidas descritas en este anexo, siempre que las medidas directa o indirectamente contribuyan o puedan contribuir a la protección de los Datos Personales durante el período de prestación de los Servicios de la Empresa al Cliente. Si la Compañía cree que una medida no es necesaria para el Servicio respectivo o parte de este, la Compañía lo justificará y llegará a un acuerdo con el Cliente.

Las medidas técnicas y organizativas están sujetas al progreso y desarrollo técnico. A este respecto, la Compañía está autorizada a implementar medidas alternativas adecuadas. El nivel de seguridad debe alinearse con las mejores prácticas de seguridad de la industria y no menos que las medidas establecidas en este documento. Todos los cambios importantes deben ser acordados con el Cliente y documentados.

1. Gestión de riesgos

1.1  Gestión de riesgos de seguridad

1.1.1 La Empresa identificará y evaluará los riesgos de seguridad relacionados con la confidencialidad, la integridad y la disponibilidad y, basándose en dicha evaluación, implementará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.

1.1.2 La Compañía deberá contar con procesos y rutinas documentados para el manejo de riesgos dentro de sus operaciones.

1.1.3 La Sociedad evaluará periódicamente los riesgos relacionados con los sistemas de información y el tratamiento, almacenamiento y transmisión de la información.


1.2 Gestión de riesgos de seguridad para rasgos personales

1.2.1 La Compañía identificará y evaluará los riesgos de seguridad relacionados con la confidencialidad, la integridad y la disponibilidad y, en función de dicha evaluación, implementará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad que sea apropiado para el riesgo de los tipos y propósitos de Datos personales específicos que procesa el Empresa, incluyendo, entre otros, según corresponda:

  • La pseudonimización y encriptación de Datos Personales;

  • La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de procesamiento;

  • La capacidad de restaurar la disponibilidad y el acceso a los Datos del Cliente de manera oportuna en caso de un incidente físico o técnico;

  • Un proceso para probar, evaluar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento.

1.2.2 La Compañía deberá tener procesos y rutinas documentados para el manejo de riesgos al procesar Datos personales en nombre del Cliente.

1.2.3 La Compañía evaluará periódicamente los riesgos relacionados con los sistemas de información y el procesamiento, almacenamiento y transmisión de Datos Personales.

1.3 Políticas de seguridad de la información
1.3.1  La Empresa deberá contar con un sistema de gestión de seguridad de la información definido y documentado que incluya una política y procedimientos de seguridad de la información, que deberán ser aprobados por la gerencia de la Empresa. Se publicarán dentro de la organización de la Compañía y se comunicarán al personal relevante de la Compañía.

1.3.2  La Compañía revisará periódicamente las políticas y los procedimientos de seguridad de la Compañía y los actualizará si es necesario para garantizar su cumplimiento con este Apéndice.

2. Organización de seguridad de la información

  • La Compañía deberá tener funciones y responsabilidades de seguridad definidas y documentadas dentro de su organización.  

  • La Empresa designará al menos un delegado de protección de datos que disponga de los medios de seguridad adecuados competencia y quién tiene la responsabilidad general de implementar las medidas de seguridad bajo este Apéndice y quién será la persona de contacto para el personal de seguridad del Cliente.

3. Seguridad de los recursos humanos
  • La Compañía se asegurará de que el personal de la Compañía maneje la información de acuerdo con las

  • nivel de confidencialidad requerido bajo el APD.

  • La Compañía se asegurará de que el personal relevante de la Compañía conozca el uso aprobado

  • (incluyendo restricciones de uso según sea el caso) de información, instalaciones y sistemas bajo la APD.

  • La Compañía se asegurará de que todo el personal de la Compañía que realice tareas bajo el

  • El acuerdo es confiable, cumple con los criterios de seguridad establecidos y ha estado, y seguirá estando sujeto durante el período de la asignación, a la selección y verificación de antecedentes apropiadas.

  • La Compañía se asegurará de que el personal de la Compañía con responsabilidades de seguridad esté adecuadamente

  • capacitados para llevar a cabo funciones relacionadas con la seguridad.

  • La Empresa proporcionará o garantizará formación periódica sobre concienciación en materia de seguridad a los

  • personal. Dicha capacitación de la Compañía incluirá, entre otros:

(a) Cómo manejar la seguridad de la información del cliente (es decir, la protección de la confidencialidad, integridad y disponibilidad de la información);

(b) Por qué es necesaria la seguridad de la información para proteger la información y los sistemas de los clientes;

(c) Los tipos comunes de amenazas a la seguridad (como robo de identidad, malware, piratería, fuga de información y amenazas internas);

(d) La importancia de cumplir con las políticas de seguridad de la información y aplicar los estándares/ procedimientos asociados;

(e) Responsabilidad personal por la seguridad de la información (como proteger la información relacionada con la privacidad del cliente y reportar violaciones de datos reales y sospechadas)

4. Control de acceso

La Compañía deberá tener una política de control de acceso definida y documentada para las instalaciones, los sitios, la red, el sistema, la aplicación y el acceso a la información/datos (incluidos los controles de acceso físico, lógico y remoto), un proceso de autorización para el acceso y los privilegios de los usuarios, procedimientos para revocar el acceso derechos y un uso aceptable de los privilegios de acceso para el personal de la Compañía en su lugar.

La Compañía deberá contar con un proceso formal y documentado de registro y baja de usuarios implementado para permitir la asignación de derechos de acceso.

La Compañía asignará todos los privilegios de acceso según el principio de necesidad de saber y el principio de privilegio mínimo.

La Empresa utilizará una autenticación sólida (multifactor) para los usuarios de acceso remoto y los usuarios que se conectan desde una red que no es de confianza.

La Compañía se asegurará de que el personal de la Compañía tenga un identificador personal y único (ID de usuario) y utilice una técnica de autenticación adecuada, que confirme y asegure la identidad de los usuarios.

5. Seguridad física y ambiental