Anexo de protección de datos de Nexusguard

Atrás
Última actualización: 11 de diciembre de 2020

Nexusguard y sus filiales («Nexusguard») y la contraparte que acepta estos términos («Cliente») han celebrado un Acuerdo maestro de servicios (MSA), un Acuerdo de socio registrado de Nexusguard (Acuerdo NRP) u otro acuerdo escrito o electrónico para los Servicios proporcionados por Nexusguard (el «Acuerdo principal»). Este anexo de procesamiento de datos, incluidos los apéndices (el «DPA»), forma parte del Acuerdo principal.

Este DPA entrará en vigor y reemplazará cualquier término previamente aplicable relacionado con su tema (incluida cualquier enmienda, acuerdo o anexo sobre el procesamiento de datos relacionado con los Servicios), a partir de la fecha en que el Cliente hizo clic para aceptar o las partes acordaron de otro modo este DPA («Fecha de entrada en vigor del DPA»).

Si acepta este DPA en nombre del Cliente, garantiza que: (a) tiene plena autoridad legal para vincular al Cliente a este DPA; (b) ha leído y entendido este DPA; y (c) acepta, en nombre del Cliente, este DPA. Si no tiene la autoridad legal para vincular al Cliente, no acepte este DPA.

TÉRMINOS DE PROCESAMIENTO DE DATOS
Este DPA se aplica donde y solo en la medida en que Nexusguard procese los datos personales enviados por o para el Cliente a Nexusguard o recopilados y procesados por o para el Cliente que utiliza el Servicio, cuando dichos datos personales estén sujetos a las leyes de protección de datos aplicables (tal como se define a continuación).

Las partes han acordado celebrar este DPA para garantizar que se establezcan las salvaguardias adecuadas con respecto a la protección de dichos datos personales, tal como lo exigen las leyes de protección de datos aplicables. En consecuencia, Nexusguard se compromete a cumplir con las siguientes disposiciones con respecto a cualquier dato personal enviado por o para el Cliente a Nexusguard o recopilado y procesado por o para el Cliente que utilice el Servicio.

1. Definiciones

1.1 En este DPA se utilizan las siguientes definiciones:

un. »País adecuado» se refiere a un país o territorio que, según las leyes de protección de datos de la UE y el Reino Unido, reconoce que brinda una protección adecuada para los datos personales.

b. »Afiliado» significa, con respecto a una parte, cualquier entidad corporativa que, directa o indirectamente, controle, esté controlada o esté bajo el control común de dicha parte (pero solo mientras exista dicho control).

c. »Leyes de protección de datos aplicables» se refiere a todas las leyes y reglamentos de las jurisdicciones en las que una empresa del Grupo Nexusguard tiene una presencia física que son aplicables al procesamiento de datos personales en virtud del Acuerdo principal, incluidas las leyes de protección de datos de la UE y el Reino Unido y la CCPA.

d. »CCPA» se refiere a la Ley de Privacidad del Consumidor de California de 2018 (Cal. Civ. Código § 1798.100 - 1798.199, 2018).

e. »Nexus guard» se refiere a Nexusguard y a cualquiera de sus filiales.

f. »Grupo de clientes» se refiere al Cliente y a cualquiera de sus Filiales establecidas o que operen en el Espacio Económico Europeo, Suiza o el Reino Unido.
Anexo de procesamiento de datos de Nexusguard, versión 1 de diciembre de 2020

g. »Procesador de datos » se refiere a una entidad que procesa datos personales en nombre del controlador y a la que otra entidad divulga la información personal de una persona física con fines comerciales de conformidad con un contrato escrito que exige que la entidad que recibe la información solo retenga, use o divulgue la información de datos personales con el fin de prestar los Servicios.

h. »Leyes de protección de datos de la UE y el Reino Unido» se refiere a todas las leyes y reglamentos de la Unión Europea, el Espacio Económico Europeo, sus estados miembros, Suiza y el Reino Unido aplicables al procesamiento de datos personales en virtud del Acuerdo principal, incluidos (cuando corresponda) el GDPR, la Ley Federal Suiza de Protección de Datos y la Ley de Protección de Datos del Reino Unido.

i. »GDPR» se refiere al Reglamento general de protección de datos (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos).

j. »Datos personales» se refiere a todos los datos que se definen como «datos personales» en virtud de las leyes de protección de datos de la UE y el Reino Unido y a todos los datos definidos como «información personal» en virtud de la CCPA y que Nexusguard, en su función de procesador de datos, recibe del Cliente o accede, almacena o procesa de otro modo en nombre del Cliente como parte de la prestación del Servicio al Cliente por parte de Nexusguard.

k. »Procesamiento»,»Controlador de datos»,»Sujeto de datos», y»Autoridad supervisora» tendrán los significados que se les atribuyen en las leyes de protección de datos de la UE y el Reino Unido.

l. »Servicios» se referirá a todas las soluciones basadas en la nube ofrecidas, comercializadas o vendidas por Nexusguard o sus socios autorizados que están diseñadas para aumentar el rendimiento, la seguridad y la disponibilidad de las propiedades, aplicaciones y redes de Internet, junto con cualquier software, kits de desarrollo de software e interfaces de programación de aplicaciones («API») disponibles en relación con lo anterior.

m. »SCC» se refieren a las cláusulas contractuales estándar, que son las cláusulas estándar de protección de datos para la transferencia de datos personales a procesadores establecidos en terceros países, tal como se describe en el artículo 46 del RGPD, según lo modifique, modifique o sustituya de vez en cuando por la Comisión Europea.


1.2 Una entidad «controla» a otra entidad si: (a) posee la mayoría de los derechos de voto de la misma; (b) es miembro o accionista de la misma y tiene derecho a destituir a la mayoría de su consejo de administración u órgano de administración equivalente; (c) es miembro o accionista de la misma y controla, por sí sola o en virtud de un acuerdo con otros accionistas o miembros, la mayoría de los derechos de voto de la misma; o (d) tiene el derecho a ejercer una posición dominante influencia sobre ella de conformidad con sus documentos constitucionales o en virtud de un contrato; y dos entidades se consideran «en común» Control» si uno controla al otro (directa o indirectamente) o ambos están controlados (directa o indirectamente) por la misma entidad.


2. Estatuto de las partes

2.1 El tipo de datos personales procesados de conformidad con esta DPA y el tema, la duración, la naturaleza y el propósito del procesamiento, y las categorías de interesados, se describen en el anexo 1.

2.2 En relación con los datos personales, cada una de las partes garantiza que cumplirá (y se asegurará de que cualquier miembro de su personal cumpla y haga todos los esfuerzos razonables desde el punto de vista comercial para garantizar que sus subprocesadores cumplan) con las leyes de protección de datos aplicables. Entre las partes, el Cliente será el único responsable de la precisión, la calidad y la legalidad de los datos personales y de los medios por los que el cliente adquirió los datos personales.

2.3 Con respecto a los derechos y obligaciones de las partes en virtud de esta DPA con respecto a los datos personales, las partes reconocen y aceptan que el Cliente es el controlador o procesador de datos y Nexusguard es un procesador o subprocesador de datos, según corresponda, y en consecuencia:

a. Nexusguard acepta que procesará todos los datos personales de acuerdo con sus obligaciones en virtud de esta DPA;
b. Las partes reconocen que el Cliente divulga datos personales a Nexusguard únicamente para la prestación del Servicio tal como se define en el Acuerdo principal y que esto constituye un propósito comercial válido para el procesamiento de dichos datos.

2.4 Si el Cliente es un procesador de datos, el Cliente garantiza a Nexusguard que las instrucciones y acciones del Cliente con respecto a los Datos personales, incluida la designación de Nexusguard como otro procesador y, en su caso, la conclusión de las SCC, han sido autorizadas por el controlador correspondiente.

2,5 Cuando y en la medida en que Nexusguard procese datos que se definen como «datos personales» en virtud de las leyes de protección de datos de la UE y el Reino Unido como controlador de datos, tal como se establece en la Política de privacidad de Nexusguard, Nexusguard cumplirá con las leyes de protección de datos de la UE y el Reino Unido aplicables con respecto a ese procesamiento.

2,6 Cada parte designará a una persona dentro de su organización autorizada para responder de vez en cuando a las consultas relacionadas con los datos personales y cada parte tramitará dichas consultas con prontitud.

3. Obligaciones de Nexusguard


3.1 Con respecto a todos los datos personales que procesa en su función de procesador o subprocesador de datos, Nexusguard garantiza que:

un. procesar datos personales únicamente para prestar el Servicio y actuar únicamente de conformidad con: (i)
este DPA, (ii) las instrucciones escritas del Cliente tal como se representan en el Acuerdo principal y este DPA, y (iii) los requisitos de las leyes de protección de datos aplicables;

b. no vender, retener, usar ni divulgar los Datos personales para ningún otro propósito que no sea el propósito específico de prestar el Servicio, incluso para un propósito comercial distinto de la prestación del Servicio. La prestación del Servicio por parte de Nexusguard puede incluir la divulgación de datos personales a los subprocesadores cuando sea pertinente, de conformidad con la sección 4 de la presente DPA.

c. en la medida en que los datos personales estén sujetos a las leyes de protección de datos de la UE y el Reino Unido, al tener conocimiento, informe al cliente si, en opinión de Nexusguard, alguna instrucción proporcionada por el cliente en virtud de la cláusula 3.1 (a) infringe el RGPD;

d. implementar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado a los riesgos que presenta el procesamiento de datos personales, en particular la protección contra la destrucción accidental o ilegal, la pérdida, la alteración, la divulgación no autorizada o el acceso a los datos personales. Estas medidas incluyen, entre otras, las medidas de seguridad establecidas en el anexo 2 («Medidas de seguridad»). El cliente reconoce que las medidas de seguridad están sujetas al progreso y al desarrollo técnicos y que Nexusguard puede actualizar o modificar las medidas de seguridad de vez en cuando, siempre que dichas actualizaciones y modificaciones no degraden ni disminuyan la seguridad general del Servicio;

e. tomar medidas razonables para garantizar que solo el personal autorizado tenga acceso a dichos datos personales y que cualquier persona a la que autorice a tener acceso a los datos personales tenga obligaciones de confidencialidad;

f. sin demora indebida tras tener conocimiento, notificar al Cliente cualquier violación de la seguridad que provoque la destrucción, la pérdida, la alteración o la divulgación no autorizada o el acceso no autorizados a los Datos personales transmitidos, almacenados o procesados de otro modo por Nexusguard, sus subprocesadores o cualquier otro tercero identificado o no identificado (una «violación de datos personales»);

g. proporcionar sin demora al Cliente una cooperación y asistencia razonables con respecto a una violación de datos personales y toda la información razonable en poder de Nexusguard sobre
dicha violación de datos personales en la medida en que afecte al Cliente, incluidas las siguientes en la medida en que se conozca en ese momento:

i. la posible causa y consecuencias para los interesados de la violación de datos personales;
ii. las categorías de datos personales involucradas;
iii. un resumen de las posibles consecuencias para los interesados pertinentes;
iv. un resumen de los destinatarios no autorizados de los datos personales; y
v. las medidas adoptadas por Nexusguard para mitigar cualquier daño;

h. no hará ningún anuncio público sobre una violación de datos personales (una «notificación de violación») sin el consentimiento previo por escrito del Cliente, a menos que lo exija la ley aplicable;

i. en la medida en que Nexusguard pueda verificar que un sujeto de datos está asociado con el Cliente, Nexusguard notificará de inmediato al Cliente si recibe una solicitud de un sujeto de datos para acceder, rectificar o borrar los Datos personales de esa persona, o si un sujeto de datos se opone al procesamiento de dichos Datos personales o presenta una solicitud de portabilidad de datos con respecto a dichos Datos personales (cada uno de ellos, una «Solicitud del sujeto de datos»). Nexusguard no responderá a una solicitud de un sujeto de datos sin el consentimiento previo por escrito del Cliente, excepto para confirmar que dicha solicitud se refiere al Cliente, lo que el Cliente acepta por la presente.

j. en la medida en que Nexusguard pueda, y de conformidad con la ley aplicable, proporcionará una asistencia razonable al Cliente para responder a la solicitud de un interesado para acceder, rectificar, corregir o borrar los datos personales de esa persona en caso de que el cliente no pueda atender una solicitud del interesado sin la ayuda de Nexusguard. El cliente es responsable de verificar que el solicitante es el sujeto de los datos cuya información se busca. Nexusguard no asume ninguna responsabilidad por la información proporcionada de buena fe al Cliente en virtud de esta subsección. El Cliente cubrirá todos los costos en los que incurra Nexusguard en relación con la prestación de dicha asistencia;

k. salvo en la medida en que sea necesario para cumplir con la ley aplicable, tras la rescisión o el vencimiento del Acuerdo principal o la finalización del Servicio, Nexusguard eliminará todos los datos personales
(incluidas sus copias) procesadas de conformidad con esta DPA;

l. teniendo en cuenta la naturaleza del procesamiento y la información disponible para Nexusguard, Nexusguard proporcionará al Cliente la asistencia que el Cliente solicite razonablemente en relación con las obligaciones de Nexusguard en virtud de las leyes de protección de datos aplicables con respecto a:

i. evaluaciones de impacto en la protección de datos (tal como se define dicho término en el GDPR);
ii. notificaciones a la autoridad supervisora en virtud de las leyes de protección de datos aplicables y/o comunicaciones a los interesados por parte del Cliente en respuesta a cualquier violación de datos personales; y
iii. el cumplimiento por parte del Cliente de sus obligaciones en virtud de las leyes de protección de datos aplicables con respecto a la seguridad del procesamiento;
iv. siempre que el Cliente cubra todos los costos incurridos por Nexusguard en relación con la prestación de dicha asistencia.

4. Subprocesamiento

4.1 Nexusguard solo divulgará los datos personales a los subprocesadores con el propósito específico de llevar a cabo el Servicio en nombre de Nexusguard. Nexusguard no vende ni divulga datos personales a terceros con fines comerciales.

4,2 El Cliente otorga una autorización general: (a) a Nexusguard para designar a otros miembros del Grupo Nexusguard como subprocesadores, y (b) a Nexusguard y a otros miembros del Grupo Nexusguard para designar a operadores de centros de datos externos y a proveedores subcontratados de marketing, negocios, ingeniería y atención al cliente como subprocesadores para respaldar el desempeño del Servicio.

4.3 Nexusguard mantendrá una lista de subprocesadores que el Cliente puede obtener a petición de Nexusguard. Si el Cliente tiene una objeción razonable contra cualquier subprocesador, deberá notificar dichas objeciones a Nexusguard por escrito y las partes tratarán de resolver el asunto de buena fe. Si Nexusguard está razonablemente en condiciones de prestar el Servicio al Cliente de conformidad con el contrato principal sin recurrir al subprocesador y decide hacerlo a su entera discreción, el Cliente no tendrá ningún otro derecho en virtud de esta cláusula 4.3 con respecto al uso propuesto del subprocesador. Si Nexusguard exige el uso del subprocesador a su entera discreción y no puede convencer al Cliente sobre la idoneidad del subprocesador o de la documentación y las protecciones vigentes entre Nexusguard y el subprocesador en un plazo de noventa (90) días a partir de la notificación de las objeciones por parte del Cliente, el Cliente podrá, dentro de los treinta (30) días siguientes al final del período de noventa (90) días mencionado anteriormente, rescindir el formulario de pedido y/o los pedidos de inserción aplicables con al menos notificación por escrito de treinta (30) días, únicamente con respecto a los servicios a los que se refiere al procesamiento de datos personales por parte del nuevo subprocesador propuesto. Si el Cliente no se opone oportunamente a un subprocesador nuevo o de reemplazo de conformidad con esta cláusula 4.3, se considerará que el Cliente ha dado su consentimiento al subprocesador y ha renunciado a su derecho de oposición. Nexusguard podrá utilizar un subprocesador nuevo o de sustitución mientras esté en curso el procedimiento de oposición previsto en esta cláusula 4.3.

4.4 Nexusguard se asegurará de que cualquier subprocesador al que contrate para proporcionar un aspecto del Servicio en su nombre en relación con esta DPA lo haga únicamente sobre la base de un contrato escrito que imponga a dicho subprocesador condiciones sustancialmente no menos protectoras de los datos personales que las impuestas a Nexusguard en esta DPA (las «Condiciones relevantes»). Nexusguard procurará que dicho subprocesador cumpla los Términos relevantes y será responsable ante el Cliente por cualquier incumplimiento por parte de dicha persona de cualquiera de los Términos relevantes.

5. Auditoría y registros

5.1 Nexusguard, de conformidad con las leyes de protección de datos aplicables, pondrá a disposición del Cliente la información que esté en posesión o control de Nexusguard y que el Cliente pueda solicitar razonablemente con el fin de demostrar el cumplimiento por parte de Nexusguard de las obligaciones de los procesadores de datos en virtud de la Ley de protección de datos aplicable en relación con el procesamiento de datos personales.

5.2 El Cliente puede ejercer su derecho de auditoría en virtud de las leyes de protección aplicables en relación con los datos personales, a través de Nexusguard, siempre que:
(a) un informe de auditoría que no tenga más de dieciocho (18) meses, preparado por un auditor externo independiente que demuestre que las medidas técnicas y organizativas de Nexusguard son suficientes y se ajustan a una norma de auditoría industrial aceptada; y
b) información adicional en posesión o control de Nexusguard a una autoridad supervisora de protección de datos cuando solicite o requiera información adicional en relación con el procesamiento de datos personales llevado a cabo por Nexusguard en virtud de esta DPA.


6. Transferencias de datos desde el EEE, Suiza y el Reino Unido

6.1 En relación con el Servicio, las partes anticipan que Nexusguard puede procesar fuera del Espacio Económico Europeo («EEE»), Suiza y el Reino Unido, ciertos datos personales protegidos por las leyes de protección de datos de la UE y el Reino Unido respecto de los cuales el Cliente o cualquier miembro del Grupo de clientes puede ser un controlador o procesador de datos, según corresponda, en virtud de dichas leyes de protección de datos de la UE y el Reino Unido.

6.2 En la medida en que Nexusguard reciba y procese datos personales protegidos por las leyes de protección de datos de la UE y el Reino Unido en un país que no proporciona un nivel adecuado de protección para los datos personales (en el sentido del RGPD):

un. Nexusguard se compromete a acatar y procesar dichos datos personales de acuerdo con las SCC.
Nexusguard cumplirá con las obligaciones del «importador de datos» en las SCC y el Cliente cumplirá con las obligaciones del «exportador de datos». Se considerará que el cliente (en su calidad de «exportador de datos») ha suscrito las SCC con Nexusguard (en calidad de «importador de datos»).

b. Además, aunque Nexusguard no depende de la UE-EE. UU. El marco del Escudo de la privacidad como base jurídica para las transferencias de datos personales a la luz de la sentencia del Tribunal de Justicia de la UE en el asunto C-311/18, mientras Nexusguard esté autocertificada en la UE, EE. UU. y Suiza y EE. UU. En los marcos del Escudo de la privacidad, seguirá procesando dichos datos personales de conformidad con los Principios del Escudo de la privacidad, y Nexusguard se compromete a notificar al Cliente si determina que ya no puede cumplir con su obligación de proporcionar el mismo nivel de protección que exigen los Principios del Escudo de la privacidad.

c. En caso de que el Cliente desee llevar a cabo una evaluación de la idoneidad de los SCC, Nexusguard, en la medida de lo posible, proporcionará al Cliente una asistencia razonable a los efectos de dicha evaluación, siempre que el Cliente cubra todos los costos en los que incurra Nexusguard en relación con la prestación de dicha asistencia.

6.3 En la medida en que Nexusguard adopte un mecanismo de exportación de datos alternativo (incluida cualquier versión nueva o sucesora del Escudo de la privacidad adoptada de conformidad con las leyes de protección de datos aplicables de la UE y el Reino Unido) para la transferencia de datos personales no descritos en esta DPA («Mecanismo de transferencia alternativo»), se aplicará el mecanismo de transferencia alternativo en lugar de cualquier mecanismo de transferencia aplicable descrito en esta DPA (pero solo en la medida en que dicho mecanismo de transferencia alternativo cumpla con la Ley de protección de datos europea y se extienda a los territorios en los que Los datos personales son transferido), y el Cliente se compromete a ejecutar esos otros documentos y a tomar cualquier otra medida que sea razonablemente necesaria para dar efecto legal a dicho Mecanismo de transferencia alternativo.

6,4 El Cliente reconoce y acepta que la prestación del Servicio en virtud del Acuerdo principal puede requerir el procesamiento de datos personales por parte de subprocesadores en países fuera del EEE, Suiza o el Reino Unido.

6,5 Si, en cumplimiento de esta DPA, Nexusguard transfiere datos personales a un subprocesador ubicado fuera del EEE, Suiza o el Reino Unido (sin perjuicio de las obligaciones del exportador de datos en virtud de las SCC), Nexusguard se asegurará, antes de cualquier transferencia de este tipo, de que existe un mecanismo legal para lograr la adecuación con respecto a ese procesamiento, como:
el requisito de que Nexusguard ejecute o procure que el subprocesador se ejecute en beneficio de los SCC del cliente o
la existencia de cualquier otra salvaguarda aprobada específicamente para las transferencias de datos (tal como se reconoce en las leyes de protección de datos de la UE y el Reino Unido) y/o una conclusión de adecuación de la Comisión Europea.

6.6 Los siguientes términos se aplicarán a los SCC:
El Cliente puede ejercer su derecho de auditoría en virtud de las SCC tal como se establece en la cláusula 5.2 de esta DPA y con sujeción a los requisitos de la misma; y
Nexusguard puede designar subprocesadores según lo establecido en las cláusulas 4 y 6.5 de esta DPA y con sujeción a los requisitos de las mismas.

7. Solicitudes de acceso a datos de terceros

7,1 En el papel de Nexusguard como procesador o subprocesador de datos, según corresponda, puede estar sujeto a un proceso legal de terceros que solicite el acceso o la divulgación de datos personales que sean incompatibles con las leyes de protección de datos aplicables. Si Nexusguard tiene conocimiento de algún proceso legal de terceros que solicite datos personales que Nexusguard procese en nombre del Cliente en su función de procesador o subprocesador de datos (según corresponda), en la medida en que Nexusguard pueda identificar que dicho proceso legal de terceros que solicita datos personales plantea un conflicto de leyes, Nexusguard:

i. notificar inmediatamente al Cliente la solicitud, a menos que dicha notificación esté legalmente prohibida;
ii. informar al tercero de que es un procesador o subprocesador (según corresponda) de los Datos personales y que no está autorizado a divulgar los Datos personales sin el consentimiento del Cliente;
iii. dar instrucciones al tercero para que dirija su solicitud de datos al Cliente; y
iv. interponer recursos legales antes de producir datos en la medida necesaria.

7.2 Si Nexusguard proporciona acceso a datos personales o los divulga en respuesta a un proceso legal de terceros, ya sea con la autorización del cliente o debido a una obligación legal obligatoria, Nexusguard solo divulgará dichos datos personales en la medida en que esté legalmente obligado a hacerlo y de acuerdo con el proceso legal aplicable.

7.3 Las cláusulas 7.1 y 7.2 no se aplicarán en caso de que Nexusguard considere de buena fe que la solicitud gubernamental es necesaria debido a una emergencia que implique el peligro de muerte o lesiones físicas graves para una persona. En tal caso, Nexusguard notificará al Cliente la divulgación de los datos tan pronto como sea posible tras la divulgación y le proporcionará al Cliente todos los detalles de la misma, a menos que dicha divulgación esté legalmente prohibida.

8. General

8.1 Este DPA se entiende sin perjuicio de los derechos y obligaciones de las partes en virtud del Acuerdo Principal, que seguirá teniendo pleno vigor y efecto. En caso de conflicto entre los términos de este DPA y los términos del Acuerdo principal, prevalecerán los términos de este DPA en la medida en que el tema se refiera al procesamiento de datos personales.

8.2 La responsabilidad de Nexusguard en virtud de esta DPA o en relación con ella, incluidas las SCC, está sujeta a las exclusiones y limitaciones de responsabilidad contenidas en el Acuerdo principal.

8.3 Esta DPA no confiere ningún derecho de beneficiario a terceros, está destinada únicamente a beneficiar a las partes del presente documento y a sus respectivos sucesores y cesionarios autorizados, y no beneficia a ninguna otra persona ni puede hacer cumplir ninguna de las disposiciones del presente documento.

8,4 Este DPA y cualquier acción relacionada con el mismo se regirán e interpretarán de acuerdo con las leyes del estado de California, sin dar efecto a ningún conflicto de principios legales. Las partes aceptan la jurisdicción personal y la competencia de los tribunales de San Francisco, California.

8,5 Si alguna disposición de esta DPA se considera, por cualquier motivo, inválida o inaplicable, las demás disposiciones de la DPA seguirán siendo aplicables y la disposición inválida o inaplicable se considerará modificada para que sea válida y aplicable en la máxima medida permitida por la ley. Sin limitar la generalidad de lo anterior, el Cliente acepta que la Sección 8.2 (Limitación de responsabilidad) permanecerá en vigor a pesar de la inaplicabilidad de cualquier disposición de esta DPA.

8,6 Este DPA es el acuerdo final, completo y exclusivo de las partes con respecto al tema del presente documento y reemplaza y fusiona todas las discusiones y acuerdos anteriores entre las partes con respecto a dicho tema. Salvo en lo que respecta a las declaraciones realizadas de manera fraudulenta, ninguna otra declaración o condición se aplicará ni formará parte de esta DPA. Ninguna modificación, enmienda o renuncia a ningún derecho en virtud del DPA entrará en vigor a menos que se haga por escrito y esté firmada por un firmante autorizado de cada una de las partes. Este DPA puede ejecutarse en contrapartes, cada una de las cuales se considerará original, pero todas juntas constituirán un mismo acuerdo. Cada una de las personas que firmen el presente documento garantiza que está debidamente autorizada y que tiene capacidad legal para ejecutar y entregar este DPA. Cada una de las partes garantiza a la otra que la ejecución y entrega de este DPA, así como el cumplimiento de sus obligaciones en virtud del presente documento, han sido debidamente autorizados y que este DPA es un acuerdo válido y legalmente vinculante para cada una de esas partes, exigible de conformidad con sus términos.


Anexo 1
Detalles de los datos personales y las actividades de procesamiento

un. Datos personales procesados: en relación con los visitantes y/o usuarios autorizados de los dominios, redes, sitios web, interfaces de programación de aplicaciones («API») o aplicaciones del Cliente, datos de identificación, datos de vida profesional, datos de vida personal, datos de conexión, datos de localización (incluidas las direcciones IP) y cualquier otro dato que el Cliente reciba de dichos visitantes o usuarios autorizados. El Cliente, sus visitantes en línea, usuarios autorizados y/u otros socios también pueden subir contenido a las propiedades en línea del Cliente, que puede incluir datos personales y categorías especiales de datos, cuyo alcance es determinado y controlado por el Cliente a su entera discreción. Estas categorías especiales de datos incluyen, pero no se limitan a, la información que revela los orígenes raciales o étnicos, las opiniones políticas, las creencias religiosas o filosóficas, la afiliación a sindicatos y el procesamiento de datos relacionados con la salud o la vida sexual de una persona.

b. Duración del procesamiento: hasta (i) el vencimiento o la rescisión del Acuerdo principal, o (ii) la fecha en la que el procesamiento ya no sea necesario para que cualquiera de las partes cumpla con sus obligaciones en virtud del Acuerdo principal (en la medida en que corresponda);

c. Actividad de procesamiento: procesamiento necesario para proporcionar el Servicio al Cliente, de conformidad con el Acuerdo principal;

d. El (los) propósito (s) del procesamiento es/son: necesarios para la prestación del Servicio;

e. Los datos personales pueden referirse a los siguientes interesados: personas físicas que (i) acceden o utilizan los dominios, redes, sitios web, interfaces de programación de aplicaciones («API») y aplicaciones del Cliente.

Anexo 2
Medidas de seguridad

UN. Nexusguard ha implementado y mantendrá un programa de seguridad de acuerdo con los estándares de la industria.
B. Más específicamente, el programa de seguridad de Nexusguard incluirá:


Control de acceso a las áreas de procesamiento

Nexusguard implementa las medidas adecuadas para evitar que personas no autorizadas accedan al equipo de procesamiento de datos (es decir, teléfonos, servidores de bases de datos y aplicaciones y hardware relacionado) donde se procesan o utilizan los datos personales, que incluyen:

  • establecer áreas de seguridad;
  • protección y restricción de las rutas de acceso;
  • establecer autorizaciones de acceso para empleados y terceros, incluida la documentación respectiva;
  • todos los accesos al centro de datos donde se alojan los datos personales se registran, supervisan y rastrean; y
  • el centro de datos donde se alojan los datos personales está protegido por un sistema de alarma de seguridad y otras medidas de seguridad apropiadas.

Control de acceso a los sistemas de procesamiento de datos

Nexusguard implementa las medidas adecuadas para evitar que sus sistemas de procesamiento de datos sean utilizados por personas no autorizadas, que incluyen:

  • uso de tecnologías de cifrado adecuadas;
  • identificación del terminal y/o del usuario del terminal ante el Nexusguard y los sistemas de procesamiento;
  • bloqueo temporal automático del terminal de usuario si se deja inactivo; se requieren una identificación y una contraseña para volver a abrir;
  • bloqueo temporal automático de la identificación de usuario cuando se introducen varias contraseñas erróneas, archivo de registro de eventos, monitoreo de intentos de robo (alertas); y
  • todo el acceso al contenido de los datos se registra, monitorea y rastrea.
Control de acceso para usar áreas específicas de los sistemas de procesamiento de datos

Nexusguard se compromete a que las personas con derecho a utilizar su sistema de procesamiento de datos solo puedan acceder a los datos dentro del alcance y en la medida en que lo permita su respectivo permiso de acceso (autorización) y a que los datos personales no se puedan leer, copiar, modificar o eliminar sin autorización. Esto se logrará mediante diversas medidas, entre las que se incluyen:

  • políticas y formación de los empleados con respecto a los derechos de acceso de cada empleado a los datos personales;
  • asignación de terminales individuales y/o usuarios de terminales y características de identificación exclusivas para funciones específicas;
  • capacidad de supervisión con respecto a las personas que eliminan, añaden o modifican los datos personales;
  • la divulgación de datos solo a las personas autorizadas, incluida la asignación de funciones y derechos de acceso diferenciados;
  • el uso de tecnologías de cifrado adecuadas; y
  • control de archivos, destrucción controlada y documentada de datos.

Control de disponibilidad

Nexusguard implementa las medidas adecuadas para garantizar que los datos personales estén protegidos contra la destrucción o pérdida accidental, que incluyen:

  • redundancia de infraestructura; y
  • la copia de seguridad se almacena en un sitio alternativo y está disponible para su restauración en caso de fallo del sistema principal.

Control de transmisión

Nexusguard implementa las medidas adecuadas para evitar que partes no autorizadas lean, copien, alteren o eliminen los datos personales durante la transmisión de los mismos o durante el transporte de los medios de datos. Esto se logra mediante diversas medidas, entre las que se incluyen:

  • uso de tecnologías adecuadas de firewall, VPN y cifrado para proteger las pasarelas y tuberías a través de las cuales viajan los datos;
  • ciertos datos altamente confidenciales de los empleados (por ejemplo, información de identificación personal, como números de identificación nacional o números de tarjetas de crédito o débito) también se cifran en el sistema; y avisan al usuario en caso de que la transferencia de datos sea incompleta (verificación de principio a fin); y
  • en la medida de lo posible, todas las transmisiones de datos se registran, supervisan y rastrean.

Control de entrada

Nexusguard implementa medidas de control de entrada adecuadas, que incluyen:

  • una política de autorización para la entrada, lectura, modificación y eliminación de datos;
  • autenticación del personal autorizado;
  • medidas de protección para la entrada de datos en la memoria, así como para la lectura, modificación y eliminación de los datos almacenados;
  • utilización de credenciales o códigos de autenticación únicos (contraseñas);
  • disponer que las entradas a las instalaciones de procesamiento de datos (las salas que albergan el hardware informático y el equipo relacionado) se mantengan cerradas;
  • cierre automático de sesión de los ID de usuario que no se hayan utilizado durante un período de tiempo considerable; y prueba acreditada dentro de la organización de Nexusguard de la autorización de entrada; y
  • registro electrónico de las entradas.
Separación del procesamiento para diferentes propósitos

Nexusguard implementa las medidas adecuadas para garantizar que los datos recopilados para diferentes propósitos se puedan procesar por separado, que incluyen:

  • el acceso a los datos se separa mediante la seguridad de la aplicación para los usuarios correspondientes;
  • los módulos de la base de datos de Nexusguard separan qué datos se utilizan para qué propósito, es decir, por funcionalidad y función;
  • a nivel de base de datos, los datos se almacenan en diferentes tablas normalizadas, separadas por módulo, por cliente controlador o función que admiten; y
  • las interfaces, los procesos por lotes y los informes están diseñados únicamente para fines y funciones específicos, por lo que los datos recopilados para fines específicos se procesan por separado.
Documentación

Nexusguard guardará la documentación de las medidas técnicas y organizativas en caso de auditorías y para la conservación de las pruebas. Nexusguard adoptará las medidas razonables para garantizar que sus empleados y otras personas del lugar de trabajo en cuestión conozcan y cumplan las medidas técnicas y organizativas establecidas en el presente apéndice 2.

Monitorización

Nexusguard implementará las medidas adecuadas para supervisar las restricciones de acceso a los administradores del sistema de Nexusguard y garantizar que actúan de acuerdo con las instrucciones recibidas. Esto se logra mediante diversas medidas, entre las que se incluyen:

  • nombramiento individual de administradores de sistemas;
  • la adopción de medidas adecuadas para registrar los registros de acceso de los administradores del sistema a la infraestructura y mantenerlos seguros, precisos y sin modificaciones durante al menos seis meses;
  • auditorías anuales de la actividad de los administradores del sistema para evaluar el cumplimiento de las tareas asignadas, las instrucciones recibidas por Nexusguard y las leyes aplicables;
  • mantener una lista actualizada con los detalles de identificación de los administradores del sistema (por ejemplo, nombre, apellidos, función o área organizativa) y las tareas asignadas y proporcionarla rápidamente al exportador de datos si lo solicita.
Atrás

Mejore la ciberseguridad gubernamental con Nexusguard Bastions

Comuníquese con nosotros ahora para explorar cómo nuestra solución puede reforzar las ofertas de ciberseguridad de su gobierno como proveedor de servicios de comunicaciones.
Póngase en contacto con nosotros