DPA - Data Processing Agreement

Disposiciones generales

art. 1 - Locales
1.01Como parte integral de este acuerdo, CORETECH y el CLIENTE acuerdan las siguientes premisas fácticas:
(a) como se indica en el contrato de servicio, CORETECH proporciona servicios informaticos (IaaS, SaaS, servicios de mantenimiento relacionados) que involucran la necesidad de acceder, incluso potencialmente, a los datos del CLIENTE, como prerrequisito técnico para poder prestar los servicios o prestar la asistencia correspondiente;
(b) ello implica por lo tanto que CORETECH realiza tratamientos sobre los datos personales gestionados por el CLIENTE a través de los servicios prestados, operando estos tratamientos exclusivamente por cuenta de este último;
(c) los datos personales gestionados por el CLIENTE a través de los servicios en cuestión pueden ser de cualquier tipo, comunes, particulares o incluso relacionados con condenas penales o delitos, siendo únicamente el CLIENTE quien decide cómo utilizar los servicios y por tanto qué datos personales ingresar y qué procesamiento, limitándose CORETECH a brindar únicamente los servicios informaticos;
(d) el CLIENTE también puede llevar a cabo el procesamiento de datos personales decidiendo los fines y los medios de procesamiento o puede, a su vez, procesar los datos en nombre de otro sujeto, del cual recibe instrucciones sobre el procesamiento de dichos datos personales;
(e) el CLIENTE puede, por tanto, ser directamente responsable del tratamiento (o copropietario) o encargado del tratamiento o subadministrador según el tipo de servicio que el CLIENTE a su vez preste a terceros;
(f) dadas estas premisas, es necesario regular las formas en que CORETECH gestiona el tratamiento de los datos personales por cuenta del CLIENTE, con el fin de asegurar que el tratamiento respeta la normativa de privacidad y garantiza la protección de los derechos y libertades de los interesados;
(g) este acuerdo pretende regular las obligaciones y derechos de las partes, CORETECH y el CLIENTE, en relación con el cumplimiento de los requisitos de la legislación de privacidad, en particular el reglamento (UE) 2016/679 (en adelante RGPD) y la privacidad código al que se refiere el Decreto Legislativo 30/06/2003 n. 196, modificado por Decreto Legislativo. 10.08.2018 n. 101 y cualesquiera modificaciones o adiciones posteriores, así como la disciplina regulatoria relacionada que se derive de ella;
(h) CORETECH ha adoptado las medidas técnicas y organizativas con el fin de asegurar que los servicios ofrecidos a sus clientes tengan la protección adecuada, de acuerdo con los estándares técnicos del mercado, a fin de garantizar una protección eficaz de los derechos y libertades de los interesados en relación a sus datos personales.
1.02 Este contrato debe entenderse como parte integrante del contrato de prestación de servicios de CORETECH, teniendo como objeto la disciplina de las obligaciones consiguientes conforme al art. 28 RGDP, compartiéndolos entre CORETECH y el CLIENTE según el principio de responsabilidad compartida que se especifica a continuación.

arte. 2 - Definiciones
2.01 Para efectos de la aplicación e interpretación de este contrato, los términos y expresiones utilizados deben entenderse como se indica a continuación:
(a) Se tomarán las definiciones que se hayan indicado en el contrato de servicios celebrado entre CORETECH y el CLIENTE. en cuenta;
(b) También se opondrá a las definiciones reglamentarias previstas por la normativa de privacidad, incluyendo en primer lugar lo dispuesto en el art. 4 § 1 RGDP, así como lo consolidado por la práctica de aplicación propuesta por los organismos europeos competentes en la materia y por la Autoridad Italiana de Protección de Datos, además de la jurisprudencia europea e italiana pertinente;
(c) Por claridad, la persona que procesa datos en nombre de un titular de datos se denomina "responsable del tratamiento", mientras que la persona que procesa datos en nombre responsable del tratamiento se llama “sub-responsable” del procesamiento;
(d) En este acuerdo, por sencillez en la exposición, CORETECH se indica como el responsable del tratamiento, incluso sea clasificable como un sub-responsable en relación con el papel desempeñado por el CLIENTE.

art. 3 - Nombramiento de CORETECH como responsable del tratamiento
3.01 El CLIENTE designa a CORETECH como responsable del tratamiento de los datos personales que son tratados a través de los servicios informáticos, objeto del contrato de suministro pactado con el segundo, autorizando este último (CoreTech) a tratar, en nombre de el primero (CLIENTE), los datos personales relacionados, solo en la medida necesaria para la prestación de los propios servicios informáticos, de conformidad con las condiciones contractuales de suministro y de conformidad con las disposiciones del presente contrato.
3.02 En relación con el nombramiento, se acuerda que:
(a) Las finalidades del tratamiento de los datos personales transmitidos por el CLIENTE son exclusivamente las de prestación de los servicios informáticos a que se refiere el párrafo anterior y que se realizan por cuenta del CLIENTE por CORETECH, como responsable del tratamiento, de acuerdo con las indicaciones de este acuerdo o también en la instrucción expresa por escrito de este último, siempre que cumpla con la normativa de privacidad y en cumplimiento de los términos contractuales del servicio;
(b) Como parte del tratamiento permitido al responsable del tratamiento al que se refiere la carta anterior, se incluye también la asistencia técnica, actualización y mantenimiento de los sistemas informáticos solicitados por el CLIENTE, si es necesario también en el "on premise", y puede consistir en todas las operaciones de soporte relacionadas y, por lo tanto, a modo de ejemplo: - actividades de migración de datos destinadas a instalar y probar software o servicios de TI; - servicios de asistencia y actualización que implican (aunque ocasionalmente) acceso remoto a los datos del CLIENTE (por ejemplo, a través de herramientas de acceso remoto, por ejemplo, TeamViewer, VPN, etc.); - análisis de datos (DB, pantallas, exportación de datos, etc.) del CLIENTE para verificar problemas técnicos y realizar actividades de mantenimiento o soporte técnico;
(c) El responsable del tratamiento podrá realizar los tratamientos de forma automatizada o en papel, siempre que sea necesario para las finalidades anteriormente indicadas;
(d) El CLIENTE decide el tipo de datos personales a tratar a través de los servicios informáticos proporcionados por el responsable del tratamiento, que pueden ser datos personales comunes, de una categoría particular o relacionados con condenas o delitos;
(e) La categoría de interesados se refiere a personas físicas tales como clientes, proveedores o empleados del CLIENTE, según el tipo de actividad o servicios ofrecidos a su vez por éste a terceros, directa o indirectamente;
(f) La duración del tratamiento se limita a la duración del servicio tal y como se describe en las condiciones generales de suministro y al final los datos personales serán eliminados según lo establecido contractualmente, salvo que el CLIENTE indique lo contrario por escrito, siempre si en cumplimiento de la normativa de privacidad y en cumplimiento de los términos contractuales del servicio. La hipótesis prevista por el art. 28 § 3 lett. g) RGPD en relación con el caso en el que la ley de la Unión Europea o la ley italiana prevé la retención de datos;
g) El CLIENTE declara y garantiza que dispone de todas las facultades necesarias para designar al responsable en relación con los datos personales que éste tratará en su nombre, en cumplimiento de la legislación sobre privacidad.

art. 4 - Posición del CLIENTE respecto a los datos personales objeto del tratamiento
4.01 Las partes reconocen que el CLIENTE puede tomar diferentes posiciones en relación a la normativa de privacidad, pudiendo ser el titular (o copropietario) del tratamiento para el datos para los que él decide los fines y los medios de procesamiento o si procesa datos personales por instrucción y en nombre de otros, el controlador de datos o subprocesador, según sea el caso.
4.02 En el caso de que el CLIENTE realice las operaciones de tratamiento por cuenta de un responsable o encargado del tratamiento o un subprocesador, el CLIENTE garantiza que este acuerdo cumple con las instrucciones recibidas y las facultades conferidas, habiendo verificado la regularidad de su cargo ante firma de las condiciones de suministro de CORETECH y este contrato.
4.03 Nel caso previsto dai commi precedenti, CORETECH assumerà il ruolo di responsabile del trattamento o sub-responsabile a seconda del ruolo rivestito dal CLIENTE
4.04 Al firmar el contrato de prestación de los servicios ofrecidos por CORETECH, el CLIENTE deberá especificar en el formulario de pedido su rol respecto a los datos personales que serán tratados con los servicios solicitados y a falta de indicación se entenderá que este último asume el papel de responsable del tratamiento.
4.05 Si durante el transcurso del contrato de suministro cambia el rol del CLIENTE, éste será obligado a comunicarlo al responsable del tratamiento, en la forma allí indicada.
4.06 CORETECH rellenará el registro del controlador de datos de conformidad con el art. 30 co. 2 RGPD, indicando el rol del CLIENTE, respecto de los datos personales amparados por el contrato de suministro, según lo señalado por este último como se indicó anteriormente.

arte. 5 - Instrucciones y límites del CLIENTE
5.01 Como parte de la ejecución de este contrato, CORETECH, como encargado del tratamiento, cumplirá con las instrucciones del CLIENTE, en relación con los datos personales que se tratan, salvo que las operaciones solicitadas con las instrucciones no estén previstas en este acuerdo o involucrar cambios en los recursos informáticos y organizacionales no incluidos en el contrato de suministro de servicios.
5.02 En este último caso, CORETECH evaluará la viabilidad de las instrucciones y, de ser factible, acordará con el CLIENTE las variaciones y costos relativos antes mencionados. En ausencia de un acuerdo, las instrucciones no serán implementadas, como se rige por este acuerdo.
5.03Se entiende que las instrucciones del CLIENTE también comprendidas en este contrato y en todo caso los tratamientos que se realicen como responsable del tratamiento, se llevarán a cabo siempre que no supongan, a juicio de CORETECH, una vulneración de la legislación sobre privacidad o una orden impuesta por una autoridad pública.
5.04 En este último caso CORETECH remitirá por escrito al CLIENTE las razones sin demora, sin perjuicio de las prohibiciones que establezca la ley.

arte. 6 - Nombramiento de otros subprocesadores por parte de CORETECH
6.01 EL CLIENTE generalmente autoriza a CORETCH, como encargado del tratamiento, a designar subprocesadores para el desempeño de parte de sus funciones siempre que cumplan con el contrato de suministro y este contrato.
6.02 La autorización antes mencionada conlleva la facultad de agregar nuevos subprocesadores o reemplazarlos, y modificar los acuerdos contractuales relacionados.
6.03La autorización general otorgada se rige de la siguiente manera:
(a) La persona designada deberá presentar adecuadas garantías de adecuación tanto en relación a la seguridad del tratamiento como en relación a la protección de los derechos y libertades de los interesados y en todo caso respetuoso de los estándares de mercado del sector;
(b) El tratamiento de datos personales realizado por el subgerente se limitará únicamente a lo necesario para la prestación de los servicios subcontratados y en lo pertinente y útil para la ejecución de una parte de los servicios cubiertos por el contrato de suministro de CORETECH;
(c) El nombramiento del subgerente se hará por escrito, imponiendo obligaciones de protección no menores a las previstas en este convenio y en el art. 28 del RGPD;
(d) El CLIENTE será notificado con anticipación y por escrito del nombramiento dentro del término de 30 (treinta) días, que dentro del referido término podrá oponerse por escrito. En caso de oposición por parte del CLIENTE, CORETECH podrá rescindir el contrato de suministro con 30 días de preaviso, sin proceder al nombramiento del subgerente en relación a los servicios a prestar con el CLIENTE;
(e) La lista de subprocesadores designados por CORETECH se puede encontrar en el área reservada del CLIENTE, en el área de "comunicaciones contractuales".

arte. 7 - Limitaciones a la transferencia de datos personales fuera del Espacio Económico Europeo (EEE)
7.01 Siempre en cumplimiento de la legislación de privacidad, el controlador de datos puede transferir datos personales, si es posible técnicamente a través de sistemas de encriptación de acuerdo con estándares técnicos reconocidos internacionalmente, incluso fuera del Espacio Económico Europeo (EEE) o desde un país que no lo hace. gozar de una decisión de adecuación por parte de la Comisión Europea de conformidad con el art. 45 del RGPD, respetando una de las siguientes condiciones:
(a) las cláusulas contractuales tipo previstas en la Decisión 2010/87 / UE de la Comisión Europea, de 5 de febrero de 2010, se estipulan con el subprocesador designado por CORETECH, que está autorizado hasta ahora por parte del CLIENTE para el rol;
(b) o si el subprocesador está ubicado en los Estados Unidos, también mediante la aplicación del "Privacy Shield", www.privacyshield.gov, mencionado en la Decisión de la Comisión Europea 2016/1250 / EU de 12 de julio de 2016;
(c) o, si el subprocesador es parte de un grupo empresarial en relación con transferencias intragrupo, este último ha obtenido la aprobación BCR (Binding Corporate Rules).
7.02 El responsable del tratamiento facilita al CLIENTE la información y documentación adecuada en relación con lo anterior.
7.03 En el formulario de pedido, el CLIENTE puede optar por no aplicar esta cláusula, marcando la opción correspondiente y en este caso los datos personales serán tratados por CORETECH exclusivamente dentro del Espacio Económico Europeo (EEE).
7.04 Queda un acuerdo diferente entre las partes.

art. 8 - Responsabilidad compartida y obligación de cooperación mutua en materia de privacidad
8.01 Las partes reconocen que la eficiencia, seguridad y cumplimiento de la legislación de privacidad de los servicios en la nube prestados por CORETECH son objeto de una responsabilidad compartida entre este último y el CLIENTE, lo que obliga que ambas partes actúen con la debida diligencia para la gestión del área de TI dentro de su competencia y bajo su propia responsabilidad.
8.02 Como ejemplo, con el fin de comprender el concepto de responsabilidad compartida, se resume en la página web gdpr.php, del cual se extrajo el archivo pdf correspondiente y se envió a las partes del pie de imprenta
sha256 5c548cea59adc7229b8b3e9d7
c85a63b13ae7fc998562dbcb84ce586c7199 la asignación de tareas al CLIENTE, relativo a los servicios ofrecidos por CORETECH. Los contenidos de la citada página pueden ser actualizados con el tiempo en relación al desarrollo tecnológico de los servicios ofertados.
8.03 Asimismo, cada parte se compromete a respetar sus obligaciones derivadas de las normas de privacidad y a cooperar de buena fe en la aplicación de este acuerdo para garantizar los derechos y libertades de las partes interesadas.

art. 9 - Modalidades de comunicación entre las partes
9.01 La modalidad de comunicación se realiza con las mismas formas previstas en las condiciones generales de suministro.

art. 10 - Ley aplicable, idioma aplicable, controversias y tribunal exclusivo
10.01 En cuanto a la ley aplicable, el idioma aplicable y el tribunal aplicable, se hace referencia a las condiciones generales de suministro.

Medidas de seguridad

art. 11 - Medidas de seguridad adecuadas por el responsable del tratamiento
11.01 CORETECH, como responsable del tratamiento, se compromete en el marco de los tratamientos previstos en este contrato, relativos a la prestación de los servicios informáticos descritos anteriormente, por adoptar las medidas técnicas y organizativas adecuadas, según los técnicos del mercado, a fin de permitir la protección de la licitud del tratamiento de los datos personales, su confidencialidad, integridad, disponibilidad y resiliencia por los servicios prestados.
11.02CORETECH declara haber elaborado un plan de gestión del cumplimiento por la seguridad y privacidad de la información, que resume las medidas de protección para gestionar sus servicios en cumplimiento del párrafo anterior.
11.03 Un resumen de las medidas de protección adoptadas se encuentran contenidas en la ficha técnica A) adjunta al presente contrato.
11.04 CORETECH podrá actualizar las medidas de protección para mantener o incrementar los niveles de seguridad de los servicios y para tal efecto se aplicará el contrato de servicio relativo a los procedimientos operativos.
11.05 En todo caso, se entiende que CORETECH, con el fin de proteger los datos personales que le son encomendados en este contrato, podrá tomar todas las medidas, incluidas las extraordinarias, previstas en el contrato de suministro, incluida la suspensión de los servicios.
11.06 Si el CLIENTE solicita adoptar medidas técnicas y organizativas adicionales, CORETECH se reserva el derecho de verificar la viabilidad de la solicitud y acordar, si es necesario, los métodos y costos relativos.
11.07 El CLIENTE, antes de aceptar este contrato, ha comprobado las medidas de seguridad indicadas anteriormente, encontrándose adecuadas al alcance del tratamiento de datos que realiza.

art. 12 - Comprobaciones y controles
12.01 El responsable del tratamiento audita periódicamente su sistema de gestión de la información y plan de cumplimiento de la privacidad, del que elabora un informe escrito. Si lo considera oportuno, el mismo también realizará auditorías de terceros de acuerdo con los estándares y prácticas internacionales.
12.02 Para demostrar el cumplimiento de este contrato, el responsable del tratamiento también podrá mostrar al CLIENTE, en su sede, la documentación a que se refiere el párrafo anterior, sin extraer copia y se registrará la verificación y los resultados.
12.03 El CLIENTE tiene derecho a realizar, por cuenta propia, auditorías de terceros para verificar el cumplimiento del presente contrato, a través de personal propio especializado o de profesionales de probada experiencia, en todo caso ligados por escrito a obligaciones de confidencialidad. CORETECH podrá oponerse al nombramiento de profesionales que se encuentren en conflicto de intereses, no suficientemente cualificados o no independientes y en este caso el CLIENTE deberá proponer una denominación diferente o realizar directamente la auditoría. El informe de auditoría se pondrá a disposición del responsable del procedimiento de forma gratuita.
12.04 Los métodos para la realización de la auditoría a que se refiere el punto anterior serán acordados por las partes y CORETECH comunicará el coste horario de su personal designado para asistirlo, en ningún caso menor a la tarifa horaria por asistencia técnica.
12.05 Las actividades de verificación que involucren a los subprocesadores designados por CORETECH se llevarán a cabo en la forma acordada con este último, en cumplimiento de sus políticas de cumplimiento de privacidad.

art. 13 - Medidas de seguridad del CLIENTE

13.01 El CLIENTE es consciente de que el uso y seguridad de los servicios adquiridos por CORETECH requiere una adecuada configuración de los servicios, la cual es decidida de forma autónoma por el CLIENTE según las condiciones generales de suministro.
13.02 El CLIENTE se compromete a configurar, en la medida de su competencia, los servicios antes mencionados con el fin de garantizar un nivel adecuado de protección en relación con su área de tratamiento de datos personales en conformidad con la legislación de privacidad.
13.03 En todo caso, el CLIENTE informará puntualmente a CORETECH en caso de sospecha o constatación de violaciones de seguridad de los servicios adquiridos, aportando la documentación adecuada al respecto.

art. 14 - Productos de terceros
4.01 Se entiende entre las partes que si el CLIENTE utiliza componentes o servicios de terceros en los servicios de CORETECH, este último no será responsable de su gestión también en relación con las medidas de protección para el cumplimiento de la legislación de privacidad.

arte. 15 - Violaciones de datos personales (Data Breach)
15.01 En caso de que CORETECH tenga conocimiento de un evento que esté dando lugar o pueda haber dado lugar a una violación de los datos personales a los que se refiere este acuerdo, informará al CLIENTE lo antes posible , con los métodos previstos en el contrato de asistencia, transfiriendo la información a su disposición.
En todo caso, CORETECH remitirá al CLIENTE, sin demora y en la medida de lo razonablemente posible, un informe escrito, describiendo los posibles daños ocasionados, las causas, si se conocen, las medidas de protección adoptadas para evitar o mitigar los posibles riesgos y sugiriendo las medidas oportunas para el CLIENTE para proteger los datos personales tratados. Sin embargo, este último siempre se mantendrá actualizado constantemente.
15.02 Se entiende que la comunicación anterior no constituye reconocimiento de un incumplimiento o responsabilidades del responsable del tratamiento, en relación con la infracción denunciada en la misma.
15.03 Las partes acuerdan que en cumplimiento del art. 33 y 34 del RGPD, corresponde al CLIENTE realizar las comunicaciones allí previstas a la Autoridad Garante bajo su exclusiva responsabilidad.

art. 16 - Asistencia al CLIENTE para el cumplimiento de la legislación sobre privacidad
16.01 El responsable del tratamiento se compromete en ayudar al CLIENTE a garantizar el cumplimiento de las obligaciones establecidas por la legislación sobre privacidad en relación con los servicios prestados, en particular también con respecto a las obligaciones relativas a la principios de minimización del tratamiento de datos personales (privacidad por diseño y privacidad por defecto), así como con respecto a la evaluación de impacto de protección de datos (DPIA) y consulta previa.

16.02 En relación con el punto anterior, el responsable del tratamiento únicamente estará obligado a facilitar información relativa a los servicios prestados que puedan ser de utilidad al CLIENTE y que representen los métodos estándar con los que se configuran y facilitan.

16.03 Si el CLIENTE solicita asistencia personalizada en relación al tipo de servicio que pretende configurar dentro de su autonomía, CORETECH tendrá derecho a una tarifa que será pactada con el CLIENTE junto con los trámites relativos para la realización de la asistencia solicitada.

Protección de los derechos de los interesados

art. 17 - Solicitudes de las partes interesadas al controlador de datos y obligaciones de las partes de los interesados
17.01 En el caso de que el controlador de datos reciba solicitudes para el ejercicio de derechos por parte de los interesados en relación con los datos personales que procesa en nombre del CLIENTE en virtud de este acuerdo, será necesario que las envíe sin dilación al CLIENTE, quien gestionará las solicitudes antes mencionadas, directamente o incluso a través del responsable del tratamiento si es distinto por el propio CLIENTE.
17.02 El responsable del tratamiento asistirá al CLIENTE facilitando toda la información en relación con los servicios gestionados por CORETECH en base a lo dispuesto en este contrato e invita al interesado a ponerse en contacto con el CLIENTE para el ejercicio de sus derechos, destacando su puesto como responsable del tratamiento.
17.03 El CLIENTE asume, por tanto, todos los cumplimientos en cuanto a la gestión de los derechos de los interesados, salvo lo indicado en los dos párrafos anteriores relativos al responsable del tratamiento.

art. 18 - Solicitudes de interesados dirigidas al CLIENTE de datos personales tratados en su nombre por el responsable del tratamiento
18.01 En caso de que el CLIENTE deba atender solicitudes relativas a interesados para el ejercicio de sus derechos en relación con los datos personales objeto del presente contrato , el encargado del tratamiento facilitará la información solicitada por el CLIENTE en relación con este contrato, en relación con los servicios adquiridos por el CLIENTE.
18.02 En todo caso, el CLIENTE atenderá directamente la solicitud antes mencionada, limitando al responsable del tratamiento en cumplir con lo anterior.

arte. 19 - Portabilidad de datos personales
19.01 En el caso de que sea necesario que el CLIENTE satisfaga solicitudes de portabilidad de datos personales, el responsable del tratamiento proporcionará, exclusivamente en relación con los servicios adquiridos por el CLIENTE, únicamente la información útil para extraerlos en un formato que cumpla con la legislación de privacidad y siempre que esto sea razonablemente posible.
19.02 En el caso de que el CLIENTE solicite la asistencia técnica necesaria para realizar la extracción antes mencionada, CORETECH evaluará la viabilidad técnica y acordará con el primero, si es necesario, los trámites y costos relativos a cargo del CLIENTE.

Disposiciones finales

art. 20 - Facultad de modificar el contrato por parte del responsable del tratamiento
20.01 CORETECH se reserva el derecho a modificar las condiciones previstas para este contrato en cumplimiento a la legislación de privacidad, de acuerdo con las condiciones generales de suministro, con el derecho del CLIENTE a poder desistir.

art. 21 - Obligación del CLIENTE de indemnización
21.01 Para todas las actividades que realice el CLIENTE utilizando los servicios prestados por CORETECH, de las que pueda surgir cualquier reclamación extrajudicial o judicial de cualquier tipo por parte de cualquier persona, relacionada con la infracción de algunas o estas condiciones, el CLIENTE se compromete en asumirse toda la responsabilidad y a indemnizar CoreTech con la mayor brevedad, liberándola de las reclamaciones antes mencionadas.
21.02 El CLIENTE deberá asumir directamente cualquier tipo de coste, indemnización por daños y perjuicios, incluidos los gastos profesionales que pudieran derivarse de tales reclamaciones, además de cualquier daño ulterior que sufra CORETECH.
21.03 El CLIENTE tiene derecho a probar la responsabilidad de CORETECH por la violación de este acuerdo.
21.04 El CLIENTE informará a CORETECH de las acciones que se le puedan acusar e intentar.

arte. 22 - Prevalencia de este acuerdo
22.01 Este acuerdo reemplaza cualquier otro acuerdo o instrucción anterior relacionado con la gestión de datos personales en relación con los servicios prestados por CORETECH.

Ficha técnica

Medidas de protección adoptadas por el responsable del tratamiento

A) Medidas organizativas
A-1) Adopción de una política de gestión de seguridad de la información y una política de protección de datos personales en cumplimiento a la legislación de privacidad, basada en análisis de riesgos, con el fin de garantizar la confidencialidad , disponibilidad e integridad de los datos personales para proteger los derechos y libertades de las partes interesadas; A-2) Procedimientos de acceso a las estructuras físicas, debidamente protegidas, únicamente a sujetos autorizados y sujetos al adecuado reconocimiento; A-3) Política de Usuario y Disciplina: Se aplican políticas y regulaciones detalladas, las cuales deben cumplir todos los usuarios con acceso a los servicios informáticos para garantizar la seguridad de los sistemas; A-4) Autorización de acceso lógico - Todos los sistemas informáticos son accesibles solo con perfiles de acceso para la tarea realizada. Los perfiles de autorización se identifican y configuran antes del acceso; A-5) Existe un procedimiento de gestión de accidentes conectado a herramientas técnicas de seguimiento de los sistemas a los que se propone personal especializado, con identificación, en caso de accidente, de las intervenciones según un orden lógicamente determinado, con el objetivo de garantizar la restitución de los servicios en el menor tiempo posible, así como verificar las consecuencias, elaborar un informe del resultado de las medidas de protección adicionales y en todo caso la verificación de la adecuación de la protección de los sistemas en su lugar; A-6) Procedimiento de gestión de la asistencia - Las intervenciones de asistencia se gestionan mediante un procedimiento que verifica la autenticidad de la solicitud y entrega el soporte minimizando el procesamiento de datos personales, mediante personal debidamente capacitado y herramientas técnicas respetando los estándares de seguridad. Incluso a través de un servicio de sistema de tickets puesto a disposición del CLIENTE, siempre será posible conocer los detalles de la intervención, duración, fecha y el operador (a través de un código único que se le asigna), así como verificar, por parte del responsable del tratamiento la autenticidad de la solicitud; A-7) En todo caso, los niveles de acceso a los sistemas del CLIENTE para brindar asistencia técnica serán asignados únicamente a algunos empleados específicamente autorizados con credenciales de autenticación conforme a estándares internacionales; A-8) Compromiso por escrito con la confidencialidad de todos los empleados antes de acceder a los sistemas; A-9) Cada colaborador solo podrá tratar la información para la que haya sido autorizado en relación con las funciones desempeñadas y debidamente capacitado, mediante actualizaciones periódicas, para tratar los datos con la máxima confidencialidad y seguridad, en cumplimiento de la legislación de privacidad; A-10) Regulaciones internas para los empleados, respecto al uso de herramientas informáticas y controles potenciales del empleador; A-11) Procedimientos de protección contra ataques a través de la ingeniería social con capacitación específica del personal relacionada; A-12) Procedimientos para la elección de proveedores idóneos enfocados a verificar la calidad, seguridad y cumplimiento de la legislación vigente de los bienes o servicios ofertados; A-13) Procedimiento para verificar la necesidad de una EIPD, Evaluación de impacto de protección de datos en relación con los sistemas informáticos utilizados de acuerdo con la legislación de privacidad; A-14) Violación de datos - Existe un procedimiento para la gestión de incidencias que puedan afectar a los datos personales, basado en la distribución de roles según competencia, verificación del potencial perjuicio (presunto o comprobado), gestión de contramedidas así como los métodos de compartir con el CLIENTE información relacionada con violaciones de datos personales y para la adopción de las obligaciones relacionadas previstas por la legislación de privacidad; A-15) Procedimientos para la eliminación de documentación analógica y sistemas informáticos que puedan contener información, utilizando herramientas adecuadas (como trituradoras de documentos y empresas de eliminación certificadas); A-16) Actualización de las medidas organizativas que se verificarán semestralmente;
B) Medidas técnicas
B-1) Credenciales de autenticación: el acceso a los sistemas se basa exclusivamente en credenciales de autenticación únicas, basadas en un PIN o clave de acceso confidencial y con medidas de seguridad que cumplen con los estándares internacionales; B-2) Manejo de contraseñas de acceso de acuerdo a las mejores prácticas, en base a la extensión, complejidad, caducidad, robustez encomendada a sujetos debidamente instruidos sobre su uso y almacenamiento; B-3) Administradores del Sistema - Para los usuarios con rol de Administradores del Sistema, cuyas funciones se le atribuyen con nominaciones específicas y por escrito, se implementa un sistema de gestión de logs no alterable, debidamente configurado para rastrear las actividades realizadas y permitir el seguimiento posterior a verificar la regularidad de las transacciones. Luego se activa un procedimiento para verificar el trabajo de los administradores del sistema como parte del plan de seguridad de la información desarrollado internamente y para el cumplimiento de la legislación de privacidad y también con el propósito de mejorar las medidas de protección; B-4) Uso de sistemas de encriptación basados en algoritmos y protocolos informáticos que cumplan con los estándares internacionales; B-5) Sistema de detección de intrusiones IDS / IPS y sistema de prevención de intrusiones como sistemas de detección de intrusos, para detectar ciberataques por adelantado; B-6) Adopción de sistemas firewalls como componentes de defensa perimetral de redes informáticas y para proteger las líneas de comunicación; B-7) Antivirus y Malware actualizados periódicamente contra el riesgo de intrusión y acción ilegal de programas; B-8) Sistemas de registro con el propósito de monitoreo de sistemas, almacenamiento de eventos ocurridos e identificación de accesos; B-9) Sistemas de copia de seguridad y restauración, con procedimiento de gestión relativo; B-10) Continuidad del negocio para la resiliencia de los sistemas en caso de accidente; B-11) Evaluación de Vulnerabilidad y Prueba de Penetración - Las actividades de análisis de vulnerabilidad del sistema se realizan periódicamente tanto en relación a las áreas de infraestructura y aplicaciones, como también Pruebas de Penetración periódicas, asumiendo diferentes escenarios de ataque, con el objetivo de verificar el nivel de seguridad de las aplicaciones / sistemas. / redes y, por lo tanto, sobre la base de los informes relativos, mejorar las medidas de seguridad; B-12) Elección del CENTRO DE DATOS con estándar TIER 4; B-13) Actualización constante de los sistemas informáticos, medidas técnicas y tecnología con verificación constante según tiempos preestablecidos así desde fuentes confiables, de los problemas de seguridad de los productos y servicios informáticos en uso para las actualizaciones.

Avisos legales

Servicios SLA
RGDP

Contrato
Contrato

DPA | Data Processing Agreement
DPA | Data Processing Agreement

Informaciones del documento

Título del documento:	DPA
Versión del documento:	V.1.2
Fecha de la última modificación:	19/11/2024

DPA - Data Processing Agreement

Disposiciones generales

Medidas de seguridad

Protección de los derechos de los interesados

Disposiciones finales

Ficha técnica

Medidas de protección adoptadas por el responsable del tratamiento

Avisos legales

Informaciones del documento

Eventos

Pagos atrasados

Consulta el estado de tus facturas

consultar el Área Clientes

Seguir CoreTech

Manténgase actualizado sobre productos, eventos y seminarios web.

DPA - Data Processing Agreement

Disposiciones generales

Medidas de seguridad

Protección de los derechos de los interesados

Disposiciones finales

Ficha técnica

Medidas de protección adoptadas por el responsable del tratamiento

Avisos legales

Informaciones del documento

Eventos

Pagos atrasados

Consulta el estado de tus facturas consultar el Área Clientes

Seguir CoreTech

Manténgase actualizado sobre productos, eventos y seminarios web.

Iniciar sesión o crear la cuenta

Consulta el estado de tus facturas

consultar el Área Clientes