Acuerdo de protección de datos

Este Acuerdo de protección de datos (el "DPA") entra en vigencia el 25 de mayo de 2018. 

El Cliente pondrá a disposición de UTRACK y el Cliente autoriza a UTRACK a procesar la información, incluidos los Datos personales, para la prestación de los Servicios en virtud del Acuerdo. Las partes acordaron celebrar este DPA para confirmar las disposiciones de protección de datos relacionadas con su relación y para cumplir con los requisitos de la Ley de Protección de Datos aplicable. 

1. Definiciones

1.1 A los efectos de este DPA:

“ Datos personales”  significa cualquier información relacionada con una persona física identificada o identificable ('sujeto de datos'); una persona física identificable es aquella que puede identificarse, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea o a uno o más factores específicos del estado físico, fisiológico, identidad genética, psíquica, económica, cultural o social de esa persona física; 

“ Ley de Protección de Datos ” hace referencia a todas las leyes, reglamentos y otros requisitos legales aplicables relacionados con (a) la privacidad, la seguridad de los datos, la protección del consumidor, el marketing, la promoción y los mensajes de texto, correo electrónico y otras comunicaciones; y (b) el uso, la recopilación, la retención, el almacenamiento, la seguridad, la divulgación, la transferencia, la eliminación y otros procesamientos de los Datos personales;

“ Afiliado de UTRACK ” significa cualquier entidad que directa o indirectamente controle, sea controlada o esté bajo el control común de UTRACK. “ Control ”, a efectos de esta definición, significa propiedad o control directo o indirecto de más del 50% de los derechos de voto de la entidad en cuestión;

“ Servicios ” significa cualquiera de los siguientes servicios proporcionados por UTRACK: (a) ofertas de productos de la marca UTRACK disponibles a través de Internet en  https://utrack.com.ec , (b) servicios de consultoría o capacitación proporcionados por UTRACK de forma remota a través de Internet o en persona, y (c) cualquier servicio de soporte proporcionado por UTRACK, incluido el acceso a la mesa de ayuda de UTRACK;

Los términos " controlador de datos " , " procesador de datos ", " sujeto de datos ", " datos personales ", " procesamiento " y " medidas técnicas y organizativas apropiadas " tendrán el significado que se les otorga en la Ley de Protección de Datos aplicable.

2. Objeto, naturaleza y finalidad del tratamiento de datos personales por parte de UTRACK

2.1 El objeto, la naturaleza y el propósito del procesamiento de Datos personales en virtud de este DPA es el desempeño de UTRACK de los Servicios de la plataforma de Utrack según las instrucciones adicionales por escrito del Cliente en su uso de los Servicios, a menos que se le solicite hacerlo en caso contrario por la Ley de Protección de Datos, en cuyo caso en la medida permitida por la Ley de Protección de Datos, UTRACK informará al Cliente de este requisito legal con carácter previo a la realización del tratamiento. UTRACK solo recopilará o procesará Datos personales durante el período de prestación de los Servicios en la medida y de la manera que sea necesaria para la prestación de los Servicios y de conformidad con el DPA y la Ley de protección de datos aplicable a UTRACK.

 

3. Duración

 

3.1 UTRACK llevará a cabo el procesamiento de los Datos personales  mientras exista la Cuenta del Cliente o según sea necesario para el cumplimiento de las obligaciones y derechos entre UTRACK y el Cliente  , a menos que se acuerde lo contrario por escrito.

 

4. Tipo de Datos Personales Procesados

4.1 El Cliente puede enviar Datos personales del Cliente a los Servicios, cuyo alcance está determinado y controlado por el Cliente a su exclusivo criterio, y que puede incluir, entre otros, las siguientes categorías de Datos personales:

  • Información de la cuenta.  Cuando el Cliente se registra en una Cuenta de  Utrack, se requiere cierta información, como el nombre y el correo electrónico. El Cliente puede actualizar o corregir su información y preferencias de correo electrónico en cualquier momento visitando la  Cuenta de Utrack. UTRACK puede brindarle al Cliente soporte adicional para acceder, corregir, eliminar o modificar la información que el Cliente proporcionó a UTRACK y está asociada con la Cuenta de  Utrack  del Cliente . Para proteger la seguridad, UTRACK toma medidas razonables (como solicitar cualquier información legal) para verificar la identidad del Cliente antes de realizar correcciones. El Cliente es responsable de mantener en secreto la contraseña y la información del  Utrack  del Cliente. Cuenta en todo momento. 

  • Información adicional del perfil. El Cliente puede optar por proporcionar información adicional como parte de su  perfil de Utrack. La información del perfil ayuda al Cliente a obtener más de la  Plataforma Utrack. Es decisión del Cliente incluir información confidencial en su  perfil de Utrack .

  • Otra información.  De lo contrario, el Cliente puede optar por proporcionar información de UTRACK cuando complete un formulario, realice una búsqueda, actualice o agregue información a su Cuenta de Utrack, responda a encuestas, publique en foros de la comunidad, participe en promociones o use otras funciones de Utrack. Plataforma.

 

5. Obligaciones de UTRACK 

5.1 UTRACK acepta y/o garantiza: 

(a) procesar los Datos personales solo en nombre del Cliente y de conformidad con sus instrucciones y el DPA; si no puede proporcionar dicho cumplimiento por cualquier motivo, se compromete a informar de inmediato al Cliente de su incapacidad para cumplir, en cuyo caso el Cliente tiene derecho a suspender la transferencia de datos y/o cancelar los Servicios;

(b) que todos los Datos personales procesados ​​en nombre del Cliente siguen siendo propiedad del Cliente y/o de los interesados ​​correspondientes;

(c) que no tiene motivos para creer que la legislación que le es aplicable le impide cumplir las instrucciones recibidas del Cliente y sus obligaciones en virtud del DPA y que, en caso de que se produzca un cambio en esta legislación que pueda tener un efecto sustancial efecto adverso en las garantías y obligaciones previstas por el DPA, notificará oportunamente el cambio al Cliente tan pronto como tenga conocimiento, en cuyo caso el Cliente tiene derecho a suspender la transferencia de datos y/o dar por terminados los Servicios;

(d) que ha implementado las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 1  antes de procesar los Datos personales transferidos;

(e) que notificará de inmediato al Cliente acerca de:

i. cualquier solicitud legalmente vinculante para la divulgación de los Datos personales por parte de una autoridad encargada de hacer cumplir la ley, a menos que esté prohibido, como una prohibición en virtud de la ley penal para preservar la confidencialidad de una investigación policial;

ii. cualquier acceso accidental o no autorizado; y

iii. cualquier solicitud recibida directamente de los interesados ​​sin responder a esa solicitud, a menos que haya sido autorizado para hacerlo;

(f) atender de manera rápida y adecuada todas las consultas del Cliente relacionadas con el procesamiento de los Datos personales sujetos a la transferencia y cumplir con el consejo de la autoridad supervisora ​​con respecto al procesamiento de los datos transferidos;

(g) a solicitud del Cliente, presentar sus instalaciones de procesamiento de datos para la auditoría de las actividades de procesamiento cubiertas por el DPA;

(h) que, en caso de subtratamiento, haya informado previamente al Cliente y obtenido su consentimiento previo por escrito;

(i) que los servicios de procesamiento por parte del subprocesador se llevarán a cabo de conformidad con la Sección 8;

(j) nombrar un delegado de protección de datos, que ejerza sus funciones de conformidad con la Ley de Protección de Datos. Los datos de contacto de los delegados de protección de datos están disponibles en la página web de UTRACK.

(k) confiar solo a aquellos empleados con el procesamiento de datos descrito en este DPA que han estado obligados a la confidencialidad y previamente se han familiarizado con las disposiciones de protección de datos relevantes para su trabajo. UTRACK y cualquier persona que actúe bajo su autoridad que tenga acceso a Datos Personales, no procesará esos datos salvo por instrucciones del Cliente, salvo que así lo exija la Ley de Protección de Datos; 

(l) monitorear periódicamente los procesos internos para garantizar que el procesamiento dentro del área de responsabilidad de UTRACK sea de acuerdo con los requisitos de la Ley de Protección de Datos y la protección de los derechos del interesado.

 

6. Obligaciones del Cliente 

6.1 El Cliente acepta y/o garantiza: 

(a) que el procesamiento, incluida la transferencia misma, de los Datos personales se ha realizado y se seguirá realizando de conformidad con las disposiciones pertinentes de la Ley de protección de datos y no infringe las disposiciones pertinentes;

(b) que ha instruido y durante la duración de los servicios de procesamiento de datos personales instruirá a UTRACK para procesar los Datos personales transferidos solo en nombre del Cliente y de conformidad con la Ley de Protección de Datos y el DPA;   

(c) que UTRACK proporcionará garantías suficientes con respecto a las medidas de seguridad técnicas y organizativas especificadas en el  Apéndice 1 de este DPA; 

(d) que después de la evaluación de los requisitos de la Ley de Protección de Datos, las medidas de seguridad son apropiadas para proteger los Datos Personales contra la destrucción accidental o ilegal o pérdida accidental, alteración, divulgación o acceso no autorizado, en particular cuando el procesamiento implica la transmisión de datos a través de una red, y contra todas las demás formas ilegales de procesamiento, y que estas medidas garanticen un nivel de seguridad adecuado a los riesgos presentados por el procesamiento y la naturaleza de los datos a proteger teniendo en cuenta el estado de la técnica y el costo de su implementación;   

(e) que velará por el cumplimiento de las medidas de seguridad;  

(f)  acceder y utilizar los Servicios solo para fines legales, autorizados y aceptables . propósitos El Cliente no utilizará (ni ayudará a otros a utilizar) los Servicios de formas que: (a) violen, se apropien indebidamente o infrinjan los derechos de UTRACK, sus usuarios u otros, incluidos los derechos de privacidad, publicidad, propiedad intelectual u otros derechos de propiedad ; (b) son ilegales, obscenas, difamatorias, amenazantes, intimidatorias, acosadoras, odiosas, racial o étnicamente ofensivas, o instigan o alientan conductas que serían ilegales o inapropiadas; (c) involucren la publicación de falsedades, tergiversaciones o declaraciones engañosas; (d) hacerse pasar por alguien; (e) involucren el envío de comunicaciones ilegales o no permitidas, como mensajes masivos, mensajes automáticos, marcación automática y similares; o (f) implique cualquier otro uso de los Servicios prescritos en este DPA a menos que UTRACK autorice lo contrario; 

(g)  no acceder, usar, copiar, adaptar, modificar, preparar trabajos derivados basados ​​en, distribuir, otorgar licencias, sublicenciar, transferir, exhibir, ejecutar o explotar de otro modo la Plataforma de Utrack de manera no permitida o no autorizada (ni ayudar a otros a) manera, o en formas que cargan, perjudican o dañan a UTRACK, la Plataforma de Utrack , los sistemas, otros usuarios u otros, incluido que el Cliente no podrá, directamente o a través de medios automatizados: (a) realizar ingeniería inversa, alterar, modificar, crear derivados trabaja, descompila o extrae código de la plataforma de Utrack; (b) enviar, almacenar o transmitir virus u otros códigos informáticos dañinos a través o en la Plataforma de Utrack; (c) obtener o intentar obtener acceso no autorizado a la Plataforma o sistemas de Utrack; (d) interferir o interrumpir la integridad o el rendimiento de la Plataforma de Utrack; (e) crear cuentas para la Plataforma de Utrack a través de medios no autorizados o automatizados; (f) recopilar la información de o sobre otros usuarios de cualquier manera no permitida o no autorizada; (g) vender, revender, alquilar o cobrar por la Plataforma de Utrack ; o (h) distribuir o hacer que la Plataforma de Utrack  esté disponible a través de una red en la que varios dispositivos puedan utilizarla al mismo tiempo;

(h) que el Cliente  es responsable de mantener la Cuenta de Utrack del Cliente segura y protegida, y el Cliente notificará a UTRACK de inmediato sobre cualquier uso no autorizado o violación de la seguridad de la Cuenta del Cliente o la Plataforma de Utrack;

(i) que UTRACK  otorga al Cliente una licencia limitada, revocable, no exclusiva, no sublicenciable e intransferible para usar la Plataforma Utrack. Esta licencia tiene el único propósito de permitir que el Cliente use la Plataforma de Utrack, de la manera permitida por este DPA. No se otorgan licencias ni derechos al Cliente por implicación o de otra manera, excepto las licencias y derechos otorgados expresamente al Cliente. 

 

7. Medidas Técnicas y Organizativas

7.1 UTRACK tomará las medidas técnicas y organizativas apropiadas para proteger adecuadamente los Datos personales contra la destrucción, pérdida, alteración, divulgación no autorizada o acceso a los Datos personales accidental o ilegalmente, descritas en el Apéndice 1.  Dichas medidas incluyen, entre otras, medidas físicas y de TI. medidas y medidas organizativas para:

(a) la prevención de que personas no autorizadas accedan a los sistemas de procesamiento de Datos Personales (control de acceso físico),

(b) la prevención del uso sin autorización de los sistemas de procesamiento de Datos Personales (control de acceso lógico),

(c) garantizar que las personas con derecho a usar un sistema de procesamiento de Datos Personales obtengan acceso solo a los Datos Personales a los que tienen derecho a acceder de acuerdo con sus derechos de acceso, y que, en el curso del procesamiento o uso y después del almacenamiento, los Datos Personales no se puede leer, copiar, modificar o eliminar sin autorización (control de acceso a datos),

(d) garantizar que los Datos personales no se puedan leer, copiar, modificar o eliminar sin autorización durante la transmisión electrónica, el transporte o el almacenamiento en medios de almacenamiento, y que se puedan establecer las entidades de destino para cualquier transferencia de Datos personales por medio de instalaciones de transmisión de datos y verificado (control de transferencia de datos),

(e) asegurar el establecimiento de un registro de auditoría para documentar si los Datos Personales han sido ingresados, modificados o eliminados de los sistemas de procesamiento de Datos Personales (control de entrada), y por quién;

(f) garantizar que los Datos personales estén protegidos contra la destrucción o pérdida accidental (control de disponibilidad).

7.2 Las medidas técnicas y organizativas están sujetas al progreso técnico y al desarrollo posterior. En este sentido, UTRACK puede implementar medidas alternativas adecuadas, sin embargo, el nivel de seguridad de las medidas definidas nunca debe reducirse. Los cambios importantes deben documentarse.

 

8. Subprocesadores

8.1 El Cliente acepta que UTRACK puede contratar a Afiliados de UTRACK o a terceros para que procesen Datos personales a fin de ayudar a UTRACK a prestar los Servicios en nombre del Cliente ("Subprocesadores"). UTRACK ha celebrado o celebrará un contrato por escrito con cada Subencargado del tratamiento que contiene obligaciones de protección de datos no menos protectoras que las de este DPA en la medida aplicable a la naturaleza de los Servicios prestados por dicho Subencargado del tratamiento. Si el Subprocesador procesa los Servicios fuera de la UE/EEE, UTRACK se asegurará de que la transferencia se realice de conformidad con las cláusulas contractuales estándar aprobadas por la Comisión Europea para la transferencia de Datos personales que el Cliente autoriza a UTRACK a celebrar en su nombre, o que se utilizan otros mecanismos legales apropiados de transferencia de datos.

8.2 Los Subprocesadores actuales para los Servicios se establecen en  https://utrack.com/en/sub-processors/  ("Lista de subprocesadores") y el Cliente acepta y aprueba que UTRACK ha contratado a dichos Subprocesadores para procesar datos personales como se establece en la lista. UTRACK notificará a un nuevo Subprocesador antes de autorizar a cualquier nuevo Subprocesador a procesar Datos personales en relación con la prestación del Servicio correspondiente.

8.3 UTRACK notificará al Cliente con treinta (30) días de anticipación cualquier cambio previsto con respecto a la adición o reemplazo de cualquier Subprocesador, período durante el cual el Cliente puede presentar objeciones a la designación del Subprocesador. Cualquier objeción debe presentarse con prontitud (y, en cualquier caso, a más tardar catorce (14) días después de la notificación de UTRACK de los cambios previstos). En caso de que UTRACK decida retener al Subprocesador objetado, UTRACK notificará al cliente al menos catorce (14) días antes de autorizar al Subprocesador a procesar Datos personales y luego el Cliente podrá suspender inmediatamente el uso de la parte relevante de los Servicios y podrá rescindir la parte correspondiente de los Servicios.

8.4 Para evitar dudas, cuando un Subprocesador no cumpla con sus obligaciones en virtud de cualquier acuerdo de subprocesamiento o en virtud de la ley aplicable, UTRACK seguirá siendo totalmente responsable ante el Cliente por el cumplimiento de sus obligaciones en virtud de este DPA.

 

9. Auditoría

9.1 Para confirmar el cumplimiento de este DPA, el Cliente tendrá la libertad de realizar una auditoría designando a un tercero independiente que estará obligado a observar la confidencialidad a este respecto. Cualquier auditoría de este tipo debe realizarse durante el horario comercial normal de UTRACK y solo se permitirá en la medida necesaria para que el Cliente evalúe el cumplimiento de UTRACK con este DPA. En relación con dicha auditoría, el Cliente se asegurará de que el auditor: (a) revise cualquier información en las instalaciones de UTRACK; (b) observar el acceso razonable en el sitio y otras restricciones razonablemente impuestas por UTRACK; (c) cumplir con las políticas y procedimientos de UTRACK, y (d) no interferir injustificadamente con las actividades comerciales de UTRACK. UTRACK se reserva el derecho de restringir o suspender cualquier auditoría en caso de incumplimiento de las condiciones especificadas en esta Sección 9. 

9.2 En caso de que el Cliente, un regulador o una autoridad de protección de datos requiera información adicional o una auditoría relacionada con los Servicios, entonces, UTRACK acepta enviar sus instalaciones de procesamiento de datos, archivos de datos y documentación necesarios para procesar Datos personales para que el Cliente los audite. (o cualquier tercero, como agentes de inspección o auditores, seleccionados por el Cliente) para determinar el cumplimiento de este DPA, sujeto a que se le notifique y el auditor celebre un acuerdo de confidencialidad directamente con UTRACK. UTRACK acepta brindar una cooperación razonable al Cliente en el curso de tales operaciones, lo que incluye brindar toda la información relevante y acceso a todos los equipos, software, datos, archivos, sistemas de información, etc. utilizados para la prestación de los Servicios, incluido el procesamiento de Datos personales.

9.3 La auditoría solo podrá llevarse a cabo cuando existan motivos específicos para sospechar el uso indebido de los Datos personales, y no antes de dos semanas después de que el Cliente haya notificado por escrito a UTRACK.

9.4 Los hallazgos con respecto a la auditoría realizada serán discutidos y evaluados por las partes y, cuando corresponda, implementados en consecuencia, según sea el caso, por una de las partes o conjuntamente por ambas partes. Los costes de la auditoría correrán a cargo del Cliente.

 

10. Notificación de una violación de datos

10.1 En caso de que UTRACK tenga conocimiento de cualquier violación de la seguridad que resulte en la destrucción accidental, no autorizada o ilegal o la divulgación o el acceso no autorizados a los Datos personales, UTRACK deberá, en la medida de sus posibilidades, notificarlo al Cliente con una demora indebida, después de lo cual el Cliente determinará si informa o no a los interesados ​​y/oa la(s) autoridad(es) reguladora(s) pertinente(s). Este deber de informar se aplica independientemente del impacto de la fuga. UTRACK procurará que la información proporcionada sea completa, correcta y precisa.

10.2 Si lo exige la ley y/o el reglamento, UTRACK cooperará para notificar a las autoridades pertinentes y/o a los interesados. El Cliente sigue siendo la parte responsable de cualquier obligación legal al respecto.

10.3 El deber de informar incluye en todo caso el deber de informar del hecho de que se ha producido una fuga, incluyendo detalles sobre:

  • la (supuesta) causa de la fuga;

  • las consecuencias (actualmente conocidas y/o previstas) de los mismos;

  • la solución (propuesta);

  • las medidas que ya se han tomado.

 

11. Eliminación y devolución de datos personales

11.1 Las partes acuerdan que al finalizar la prestación de los servicios de procesamiento de datos, UTRACK y sus subcontratistas, a elección del Cliente, devolverán todos los Datos Personales transferidos y las copias de los mismos al Cliente o destruirán todos los Datos Personales. Datos y certificar al Cliente que así lo ha hecho, salvo que la legislación impuesta a UTRACK le impida devolver o destruir la totalidad o parte de los Datos Personales transferidos. En ese caso, UTRACK garantiza que garantizará la confidencialidad de los Datos Personales transferidos y no procesará activamente más los Datos Personales transferidos. UTRACK y sus subcontratistas garantizan que a solicitud del Cliente y/o de la autoridad de control, someterá sus instalaciones de procesamiento de datos para una auditoría de las medidas a que se refiere la Sección 9 . 

 

12. Ley Aplicable/Foro

12.1 Este DPA se regirá e interpretará de conformidad con las leyes de Lituania.

12.2 Todos y cada uno de los reclamos, disputas o controversias que surjan de, o en relación con este DPA, incumplimiento, terminación o validez del mismo, que no hayan sido resueltos mediante negociaciones de buena fe entre UTRACK y el Cliente dentro de un período de treinta (30) días calendario posteriores a la recepción de una notificación de una parte a la otra solicitando negociaciones se resolverán mediante arbitraje final y vinculante en el Tribunal de Arbitraje Comercial de Vilnius de acuerdo con sus Reglas de Arbitraje vigentes en la fecha del DPA. Las disputas serán resueltas por un solo árbitro. Los procedimientos de arbitraje se llevarán a cabo en Vilnius, Lituania. El lugar del arbitraje será Vilnius, Lituania. El idioma del arbitraje será el inglés. Los documentos pertinentes en otros idiomas se traducirán al inglés si los árbitros así lo ordenan. Todos los gastos y costos de los árbitros y el arbitraje en relación con el mismo se compartirán por igual, excepto que UTRACK y el Cliente correrán con los costos de su propio procesamiento y defensa, incluidos, entre otros, los honorarios de los abogados y la presentación de testigos y otras pruebas. Cualquier laudo dictado en dicho arbitraje será definitivo y podrá ser ejecutado por cualquiera de las partes.

12.3 Las partes acuerdan mantener todos los detalles de los procedimientos de arbitraje y el laudo arbitral estrictamente confidenciales y harán todos los esfuerzos razonables para tomar las medidas que sean apropiadas para evitar la divulgación no autorizada de los procedimientos, cualquier información divulgada en relación con los mismos y el laudo otorgado. .

 

Apéndice No. 1

Descripción de las medidas técnicas y organizativas implementadas por UTRACK:

UTRACK implementará las medidas descritas en este anexo, siempre que las medidas directa o indirectamente contribuyan o puedan contribuir a la protección de los Datos Personales durante el período de prestación de los Servicios de UTRACK al Cliente. Si UTRACK considera que una medida no es necesaria para el Servicio respectivo o parte del mismo, UTRACK lo justificará y llegará a un acuerdo con el Cliente.

Las medidas técnicas y organizativas están sujetas al progreso y desarrollo técnico. A este respecto, UTRACK tiene permitido implementar medidas alternativas adecuadas. El nivel de seguridad debe alinearse con las mejores prácticas de seguridad de la industria y no menos que las medidas establecidas en este documento. Todos los cambios importantes deben ser acordados con el Cliente y documentados.

 

1. Gestión de riesgos

1.1 Gestión de riesgos de seguridad

1.1.1 UTRACK identificará y evaluará los riesgos de seguridad relacionados con la confidencialidad, la integridad y la disponibilidad y, en función de dicha evaluación, implementará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.

1.1.2 UTRACK deberá contar con procesos y rutinas documentados para el manejo de riesgos dentro de sus operaciones.

1.1.3 UTRACK evaluará periódicamente los riesgos relacionados con los sistemas de información y el procesamiento, almacenamiento y transmisión de información.

1.2 Gestión de riesgos de seguridad para datos personales

1.2.1 UTRACK identificará y evaluará los riesgos de seguridad relacionados con la confidencialidad, la integridad y la disponibilidad y, en función de dicha evaluación, implementará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad que sea apropiado para el riesgo de los tipos y fines de datos personales específicos que se procesan. por UTRACK, incluyendo, entre otras cosas, según corresponda:

  • La seudonimización y encriptación de Datos Personales;

  • La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de procesamiento;

  • La capacidad de restaurar la disponibilidad y el acceso a los Datos del Cliente de manera oportuna en caso de un incidente físico o técnico;

  • Un proceso para probar, evaluar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento.

1.2.2 UTRACK deberá contar con procesos y rutinas documentados para el manejo de riesgos al procesar Datos Personales en nombre del Cliente.

1.2.3 UTRACK evaluará periódicamente los riesgos relacionados con los sistemas de información y el procesamiento, almacenamiento y transmisión de Datos Personales.

1.3  Políticas de seguridad de la información 

1.3.1 UTRACK deberá contar con un sistema de gestión de seguridad de la información definido y documentado que incluya una política y procedimientos de seguridad de la información implementados, que deberán ser aprobados por la gerencia de UTRACK. Se publicarán dentro de la organización de UTRACK y se comunicarán al personal pertinente de UTRACK.

1.3.2 UTRACK revisará periódicamente las políticas y procedimientos de seguridad de UTRACK y los actualizará si es necesario para garantizar su cumplimiento con este Apéndice.

 

2. Organización de la seguridad de la información

2.1 UTRACK deberá tener funciones y responsabilidades de seguridad definidas y documentadas dentro de su organización.

2.2 UTRACK designará al menos un oficial de protección de datos que tenga la competencia de seguridad adecuada y que tenga la responsabilidad general de implementar las medidas de seguridad en virtud de este Apéndice y que será la persona de contacto para el personal de seguridad del Cliente.

 

3. Seguridad de los recursos humanos

3.1 UTRACK se asegurará de que el personal de UTRACK maneje la información de acuerdo con el nivel de confidencialidad requerido por el DPA.

3.2 UTRACK se asegurará de que el personal pertinente de UTRACK conozca el uso aprobado (incluidas las restricciones de uso, según sea el caso) de la información, las instalaciones y los sistemas en virtud de la DPA.

3.3 UTRACK se asegurará de que todo el personal de UTRACK que realice asignaciones en virtud del Acuerdo sea confiable, cumpla con los criterios de seguridad establecidos y haya estado, y seguirá estando sujeto a la verificación adecuada de antecedentes durante el período de la asignación.

3.4 UTRACK se asegurará de que el personal de UTRACK con responsabilidades de seguridad esté adecuadamente capacitado para llevar a cabo tareas relacionadas con la seguridad.

3.5 UTRACK brindará o garantizará capacitación periódica en materia de seguridad para el personal pertinente de UTRACK. Dicha capacitación de UTRACK incluirá, entre otros:

(a) Cómo manejar la seguridad de la información del cliente (es decir, la protección de la confidencialidad, integridad y disponibilidad de la información);

(b) Por qué es necesaria la seguridad de la información para proteger la información y los sistemas de los clientes;

(c) Los tipos comunes de amenazas a la seguridad (como robo de identidad, malware, piratería, fuga de información y amenazas internas);

(d) La importancia de cumplir con las políticas de seguridad de la información y aplicar los estándares/procedimientos asociados;

(e) Responsabilidad personal por la seguridad de la información (como proteger la información relacionada con la privacidad del cliente y reportar violaciones de datos reales y sospechadas).

 

4. Control de acceso

UTRACK deberá tener una política de control de acceso definida y documentada para instalaciones, sitios, red, sistema, aplicación y acceso a información/datos (incluidos controles de acceso físico, lógico y remoto), un proceso de autorización para acceso y privilegios de usuarios, procedimientos para revocar derechos de acceso y un uso aceptable de los privilegios de acceso para el personal de UTRACK.

UTRACK tendrá implementado un proceso formal y documentado de registro y baja de usuarios para permitir la asignación de derechos de acceso.

UTRACK asignará todos los privilegios de acceso según el principio de necesidad de saber y el principio de privilegio mínimo.

UTRACK utilizará una autenticación sólida (multifactor) para los usuarios de acceso remoto y los usuarios que se conectan desde una red no confiable.

UTRACK se asegurará de que el personal de UTRACK tenga un identificador personal y único (ID de usuario), y utilice una técnica de autenticación adecuada, que confirme y asegure la identidad de los usuarios.

 

5. Seguridad física y ambiental

UTRACK protegerá las instalaciones de procesamiento de información contra amenazas y peligros externos y ambientales, incluidas fallas de energía/cableado y otras interrupciones causadas por fallas en los servicios de apoyo. Esto incluye protección perimetral física y de acceso.

 

6. Seguridad de las operaciones

UTRACK tendrá un sistema de gestión de cambios establecido para realizar cambios en los procesos comerciales, las instalaciones y los sistemas de procesamiento de información. El sistema de gestión de cambios incluirá pruebas y revisiones antes de que se implementen los cambios, como procedimientos para manejar cambios urgentes, procedimientos de reversión para recuperarse de cambios fallidos, registros que muestren qué se ha cambiado, cuándo y por quién.

UTRACK implementará la protección contra malware para garantizar que cualquier software utilizado para la prestación de los Servicios al Cliente por parte de UTRACK esté protegido contra malware.

UTRACK realizará copias de seguridad de la información crítica y copias de seguridad de prueba para garantizar que la información pueda restaurarse según lo acordado con el Cliente.

UTRACK registrará y controlará las actividades, como la creación, lectura, copia, modificación y eliminación de los datos procesados, así como las excepciones, las fallas y los eventos de seguridad de la información, y los revisará periódicamente. Además, UTRACK protegerá y almacenará (durante al menos 6 meses o el período establecido por la Ley de Protección de Datos) la información de registro y, si así lo solicita, entregará los datos de seguimiento al Cliente. Las anomalías/incidentes/indicadores de compromiso se informarán de acuerdo con los requisitos de gestión de violaciones de datos establecidos en la  cláusula 9 a continuación.

UTRACK gestionará las vulnerabilidades de todas las tecnologías relevantes, como sistemas operativos, bases de datos, aplicaciones de manera proactiva y oportuna.

UTRACK establecerá líneas de base de seguridad (endurecimiento) para todas las tecnologías relevantes, como sistemas operativos, bases de datos, aplicaciones.

UTRACK se asegurará de que el desarrollo esté separado del entorno de prueba y producción.

 

7. Seguridad de las comunicaciones

UTRACK implementará controles de seguridad de la red, como nivel de servicio, cortafuegos y segregación para proteger los sistemas de información.

 

8. Relación de UTRACK con subproveedores

UTRACK deberá reflejar el contenido de este Apéndice en sus acuerdos con Subprocesadores que realizan tareas asignadas bajo el DPA.

UTRACK deberá monitorear, revisar y auditar regularmente el cumplimiento del Subprocesador con este Apéndice.

UTRACK, a solicitud del Cliente, proporcionará al Cliente evidencia sobre el cumplimiento del Subprocesador con este Apéndice.

 

9. Gestión de violaciones de datos

UTRACK tendrá establecidos procedimientos para la gestión de violaciones de datos.

UTRACK informará al Cliente sobre cualquier violación de datos (incluidos, entre otros, los incidentes relacionados con el procesamiento de Datos personales) tan pronto como sea posible, pero a más tardar dentro de las 36 horas posteriores a la identificación de la violación de datos.

Todos los informes de incidentes relacionados con la seguridad se tratarán como información confidencial y se encriptarán utilizando métodos de encriptación estándar de la industria.

El informe de violación de datos contendrá al menos la siguiente información:

(a) La naturaleza de la violación de datos,

(b) La naturaleza de los Datos Personales afectados,

c) las categorías y el número de interesados ​​afectados,

(d) El número de registros de Datos Personales en cuestión,

(e) Medidas tomadas para abordar la violación de datos,

(f) Las posibles consecuencias y efectos adversos de la violación de datos, y

(g) Cualquier otra información que el Cliente deba informar al regulador correspondiente o al interesado.

En la medida de lo legalmente posible, UTRACK puede reclamar una compensación por los servicios de soporte en virtud de esta cláusula 9  que no sean atribuibles a fallas por parte de UTRACK.

 

10. Gestión de la continuidad del negocio

UTRACK identificará los riesgos de continuidad del negocio y tomará las medidas necesarias para controlar y mitigar dichos riesgos.

UTRACK deberá tener procesos y rutinas documentados para manejar la continuidad del negocio.

UTRACK garantizará que la seguridad de la información esté integrada en los planes de continuidad del negocio.

UTRACK evaluará periódicamente la eficiencia de su gestión de continuidad del negocio y el cumplimiento de los requisitos de disponibilidad (si los hubiere).