Orgullosos de contar con el respaldo de Vontier. Compartimos una visión común impulsada por la innovación.

Más información
Contactanos

Acuerdo de procesamiento de datos

El presente Acuerdo de procesamiento de datos («DPA») ha sido celebrado por Driivz . y sus filiales, para transacciones con sede en los Estados Unidos de América o Norteamérica, o por Driivz . y sus filiales, para transacciones en cualquier otra parte del mundo (ambas, «Driivz»), con efecto a partir de la fecha de entrada en vigor de cualquier condición de uso entre usted («Empresa») y Driivz el«Acuerdo»).

Dado que usted y Driivz celebrado el Acuerdo, que puede requerir el tratamiento de datos personales por parte de Driivz de proveedor de servicios (tal y como se define en las leyes de protección de datos aplicables) («Procesador») para o en nombre de la Empresa que actúa como la Empresa (tal y como se define en las leyes de protección de datos aplicables) y/o sus clientes (si procede) («Controlador»), este DPA establecerá los requisitos, términos y condiciones adicionales en los que el Procesador tratará la Información personal hasta el momento en que el Procesador cese todo el Tratamiento de la Información personal en nombre del Controlador.

1. Definiciones e interpretación

Los términos en mayúsculas utilizados pero no definidos en el presente DPA tendrán el significado que se establece en el Acuerdo. Cuando se hayan utilizado definiciones diferentes para el mismo término en el Acuerdo y en el presente DPA, prevalecerán las definiciones proporcionadas en el presente DPA en relación con los términos del mismo. A los efectos del presente DPA, las siguientes palabras y frases tendrán el siguiente significado, salvo que el contexto requiera lo contrario:

«Información personal del responsable del tratamiento»se refiere a toda la información personal y los datos personales, independientemente de su forma o medio, que el encargado del tratamiento procesa para y en nombre del responsable del tratamiento y/o los clientes del responsable del tratamiento (si procede), independientemente de que dicha información personal y dichos datos personales se faciliten (mediante transferencia o acceso) y/o se produzcan o generen por o en nombre del encargado del tratamiento en relación con el Acuerdo o el presente DPA, incluido lo establecido en el Apéndice 1.

«Interesado»,«Datospersonales»,«Empresa»,«Proveedor de servicios»,«Información personal»,«Violación de datos personales»,«Tratamiento»e«Información personal sensible»(o«Categorías especiales de datos personales») tienen los significados que se les atribuyen en las Leyes de protección de datos aplicables (y los términos relacionados, como «Proceso», tienen los significados correspondientes). Si alguno de estos términos no está definido en las leyes de protección de datos aplicables, el término tendrá el significado que se le da en el RGPD.

«Exportador de datos»tiene el significado establecido en las Cláusulas Contractuales Tipo de la UE.

«Importador de datos»tiene el significado establecido en las Cláusulas contractuales tipo de la UE.

«Leyes de protección de datos»se refiere a todas las leyes, reglamentos, requisitos legislativos y reglamentarios, y códigos de prácticas legalmente vinculantes aplicables al tratamiento, la privacidad, la integridad, la seguridad, la confidencialidad y el uso de la información personal del responsable del tratamiento, según corresponda al responsable del tratamiento, los clientes del responsable del tratamiento y/o el proveedor, incluyendo, sin limitación y cuando sea aplicable (i) el RGPD junto con las leyes nacionales de aplicación en cualquier Estado miembro del EEE; (ii) el RGPD tal y como se ha incorporado a la legislación del Reino Unido; (iii) la Ley de Protección de Datos de 2018 del Reino Unido; (iv) la Ley Federal Suiza de Protección de Datos; (v) la Ley de Privacidad del Consumidor de California; (vi) la Ley de Derechos de Privacidad de California; (viii) la Lei Geral de Proteção de Dados; (ix) la Ley de Protección de Datos Personales de 2013 de Sudáfrica; y cualquier legislación que modifique o sustituya a las anteriores.

«Cláusulas contractuales tipode la UE»se refiere a las cláusulas aprobadas mediante la Decisión de Ejecución (UE) 2021/914 de la Comisión, de 4 de junio de 2021, sobre las cláusulas contractuales tipo para la transferencia de datos personales a terceros países con arreglo al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, (cuya copia está disponible en: www.vontier.com/EU_Contractual_Clauses).

«RGPD»significa el Reglamento General de Protección de Datos (UE) 2016/679.

«Servicios»tendrá el significado que se le atribuye en el Acuerdo o, cuando este término no esté definido, se referirá a los servicios descritos en el Acuerdo y acordados entre el Responsable del tratamiento y el Encargado del tratamiento en cada momento.

«Autoridad supervisora»se refiere a cualquier autoridad competente en materia de protección de datos o privacidad en cualquier jurisdicción en la que el Responsable del tratamiento, los clientes del Responsable del tratamiento (si procede) o el Encargado del tratamiento estén establecidos, el Encargado del tratamiento preste los Servicios o en la que el Encargado del tratamiento trate la Información personal del Responsable del tratamiento.

«Anexodel Reino Unido»se refiere al anexo del Apéndice 5 disponible en: www.vontier.com/EU_Contractual_Clauses.

2. Nombramiento y función de las partes

  1. El Responsable del tratamiento designa al Encargado del tratamiento para que trate la Información personal del Responsable del tratamiento en su nombre, según sea necesario para la prestación de los Servicios y el cumplimiento del Acuerdo.
  2. Cuando la Información personal del Controlador consista en Información personal para la que el cliente del Controlador sea un «controlador» (tal y como se entiende este término en el RGPD), el Controlador garantiza que ha obtenido la autorización previa y todos los consentimientos y licencias aplicables de los clientes del Controlador para designar al Procesador como «procesador» (tal y como se entiende este término en el RGPD).

3. Detalles del tratamiento

  1. El tratamiento de los datos personales del responsable del tratamiento por parte del encargado del tratamiento en virtud del presente DPA se realizará con arreglo a: (a) la materia; (b) la duración; (c) la naturaleza y la finalidad; y (d) el tipo de datos personales y las categorías de interesados, establecidos en el presente DPA.
  2. Las instrucciones de tratamiento, la naturaleza y la finalidad del tratamiento se describen en el apéndice 1.
  3. Las obligaciones y derechos del Responsable del tratamiento se establecen en el presente DPA y en la Ley de Protección de Datos.

4. Cumplimiento de la Ley de Protección de Datos

  1. En todos los casos, cada parte tratará la información personal del responsable del tratamiento de conformidad con las leyes de protección de datos.
  2. El Responsable del tratamiento tendrá derecho a adoptar medidas razonables y adecuadas para garantizar que el Encargado del tratamiento utilice la Información personal del Responsable del tratamiento de manera coherente con las obligaciones del Responsable del tratamiento en virtud de las Leyes de protección de datos.
  3. El Responsable del tratamiento tendrá derecho, previa notificación, a tomar las medidas razonables y adecuadas para detener y remediar el uso no autorizado de la Información personal del Responsable del tratamiento.
  4. El Encargado del Tratamiento se compromete a notificar inmediatamente al Responsable del Tratamiento, y en cualquier caso en un plazo máximo de cuarenta y ocho (48) horas desde el momento en que tome la decisión, si determina que ya no puede cumplir con sus obligaciones en virtud de las Leyes de Protección de Datos.
  5. El Responsable del tratamiento garantiza que el suministro por su parte de cualquier Información personal del responsable del tratamiento cumple con las Leyes de protección de datos.
  6. Ninguna de las partes provocará que la otra parte, por acción u omisión, incumpla las leyes de protección de datos.

5. Actuar según las instrucciones documentadas del responsable del tratamiento.

  1. El Encargado del Tratamiento tratará los Datos Personales del Responsable únicamente siguiendo las instrucciones documentadas del Responsable, incluidas las establecidas en el presente ATD y en el Acuerdo. El Encargado del Tratamiento también tiene derecho a tratar los Datos Personales del Responsable en la medida en que lo exija la ley, previa notificación del Encargado del Tratamiento al Responsable, salvo que la legislación aplicable obligatoria prohíba dicha notificación. El Encargado del Tratamiento notificará sin demora al Responsable del Tratamiento si, en su opinión razonable, alguna instrucción del Responsable del Tratamiento infringe la Ley de Protección de Datos, incluyendo en dicha notificación una explicación de los motivos por los que el Encargado del Tratamiento ha llegado a tal conclusión, y el Encargado del Tratamiento tendrá derecho a suspender el Tratamiento de la Información Personal del Responsable del Tratamiento afectada hasta que este modifique sus instrucciones para cumplir con la Ley de Protección de Datos.
  2. El Procesador reconoce que tiene prohibido:
  3. vender o compartir la información personal del responsable del tratamiento, salvo que lo permitan las leyes de protección de datos o el presente DPA;
  4. retener, utilizar o divulgar la Información personal del responsable del tratamiento para cualquier fin distinto de los especificados en el Apéndice 1 o de los permitidos por las Leyes de protección de datos; o
  5. combinar la información personal del controlador con la información personal que recibe de otra persona o personas, o en nombre de estas, o que recopila a partir de su propia interacción con el interesado, salvo que las leyes de protección de datos o el presente DPA permitan lo contrario.
  6. El responsable del tratamiento autoriza al encargado del tratamiento a crear un conjunto de datos agregados o totalmente anonimizados basados en la información personal del responsable del tratamiento. El responsable del tratamiento y el encargado del tratamiento acuerdan que el conjunto de datos agregados o totalmente anonimizados no constituye datos personales y será propiedad del encargado del tratamiento, que se encargará de su conservación.

6. Garantizar la confidencialidad de los empleados.

El encargado del tratamiento velará por que cualquier persona que actúe bajo su autoridad y que pueda tener acceso a los datos personales del responsable del tratamiento o que, de otro modo, los trate, esté sujeta a obligaciones de confidencialidad legalmente vinculantes.

7. Adoptar las medidas técnicas y organizativas adecuadas, incluidas las relativas a la seguridad.

  1. El encargado del tratamiento aplicará las medidas técnicas y organizativas adecuadas:
    1. diseñado para ayudar al responsable del tratamiento a responder a las solicitudes de los interesados para ejercer sus derechos en virtud de la Ley de Protección de Datos; y
    2. diseñadas para garantizar un nivel de seguridad para la Información Personal del Controlador adecuado al riesgo que supone el Tratamiento de dicha Información Personal del Controlador por parte del Procesador, con el fin de protegerla contra la divulgación, el acceso, la pérdida o la alteración no autorizados, accidentales o ilegales, y que incluirán, como mínimo, las medidas establecidas en el Apéndice 2.

8. Notificación y asistencia en caso de violación de datos

  1. El Encargado del Tratamiento notificará al Responsable por escrito y sin demora injustificada si tiene conocimiento de una Violación de Datos Personales que afecte a la Información Personal del Responsable (una «Violación de datos”), y proporcionar al Responsable del tratamiento, tan pronto como sea razonablemente posible, la siguiente información relativa a la violación de datos:
    1. la naturaleza de la información personal afectada;
    2. las categorías y el número de interesados afectados;
    3. el número de registros de información personal afectados;
    4. medidas adoptadas para hacer frente a la violación de datos; y
    5. las posibles consecuencias y efectos adversos de la violación de datos.
    6. El Encargado del tratamiento, a cargo del Responsable del tratamiento, prestará a este toda la asistencia razonable en relación con el cumplimiento por parte del Responsable del tratamiento de los artículos 32 a 34 del RGPD o de los requisitos equivalentes de otras leyes de protección de datos. El Encargado del tratamiento prestará dicha asistencia de manera oportuna y de conformidad con los plazos establecidos en las leyes de protección de datos.

9. Subcontratación

  1. El Responsable del tratamiento autoriza al Encargado del tratamiento a contratar a terceros para que realicen actividades de tratamiento con respecto a la Información personal del Responsable del tratamiento en nombre del Responsable del tratamiento («Subencargados del tratamiento»). El Encargado del Tratamiento notificará por escrito y con antelación al Responsable del Tratamiento si tiene intención de sustituir o añadir Subencargados del Tratamiento, y el Responsable del Tratamiento tendrá derecho, actuando de forma razonable, a rechazar dicha sustitución o subencargado adicional. Si el Responsable del Tratamiento no notifica por escrito al Encargado del Tratamiento su objeción al subencargado adicional o sustitutivo en un plazo de 20 días a partir de la notificación de dicha adición o sustitución, el Encargado del Tratamiento podrá proceder a contratar al subencargado adicional o sustitutivo para tratar la Información Personal del Responsable del Tratamiento. Si el Responsable del tratamiento notifica al Encargado del tratamiento su objeción de conformidad con la presente cláusula, las partes trabajarán de buena fe para encontrar una solución al problema. Si no se llega a una solución en un plazo de 30 días a partir de la objeción del Responsable del tratamiento, cualquiera de las partes tendrá derecho a rescindir el presente DPA y el Acuerdo mediante notificación por escrito a la otra parte con 30 días de antelación.
  2. El Encargado del Tratamiento celebrará un acuerdo por escrito con cada Subencargado del Tratamiento que contenga obligaciones coherentes con las responsabilidades y requisitos establecidos en el presente DPA y que, como mínimo, no sean inferiores a estos.

10. Transferencias transfronterizas de información personal

  1. El Procesador no transferirá, y se asegurará de que ningún Subprocesador transfiera, ninguna Información Personal del Controlador a ningún país o territorio fuera del país o territorio de origen de la Información Personal del Controlador, sin garantizar que se hayan establecido las medidas de seguridad adecuadas para proteger la Información Personal del Controlador, de conformidad con los requisitos de las Leyes de Protección de Datos.
  2. Con sujeción a las cláusulas 10.4 y 10.5 (según corresponda), si la información personal del responsable del tratamiento procedente del EEE, el Reino Unido o Suiza se transfiere del responsable del tratamiento al encargado del tratamiento como parte del presente DPA y/o del Acuerdo, el módulo dos de las cláusulas contractuales tipo de la UE se incorpora por referencia al presente DPA y se aplicará al responsable del tratamiento como exportador de datos y al encargado del tratamiento como importador de datos.
  3. Con sujeción a las cláusulas 10.4 y 10.5 (según corresponda), si la información personal del responsable del tratamiento procedente del EEE, el Reino Unido o Suiza se transfiere del encargado del tratamiento al responsable del tratamiento como parte del presente DPA y/o del Acuerdo, el módulo cuatro de las cláusulas contractuales tipo de la UE se incorpora por referencia al presente DPA y se aplicará al encargado del tratamiento como exportador de datos y al responsable del tratamiento como importador de datos.
  4. Con respecto a la información personal del responsable del tratamiento procedente de Suiza, el contrato tipo de la UE se modificará de la siguiente manera: (i) el término «Estado miembro» no se interpretará de manera que excluya a los interesados en Suiza de la posibilidad de ejercer sus derechos en su lugar de residencia habitual (Suiza) de conformidad con la cláusula 18, letra c), de las cláusulas contractuales tipo de la UE; y (ii) las referencias al «Reglamento (UE) 2016/679» o «dicho Reglamento» se entenderán como referencias a la Ley Federal Suiza de Protección de Datos; (iii) todas las referencias a la «Comisión» se considerarán referencias al Comisionado Federal de Protección de Datos e Información; (iv) todas las referencias a la «Unión Europea», «UE», «Estado miembro» y «Unión» se considerarán referencias a Suiza; y (v) se eliminan las notas al pie.
  5. Con respecto a la información personal del controlador procedente del Reino Unido, las cláusulas contractuales tipo de la UE se modificarán de conformidad con el anexo del Reino Unido.

11. Eliminación o devolución de Responsable del tratamiento Información personal

  1. El Encargado del Tratamiento deberá, sin demora y, en cualquier caso, en un plazo de treinta (30) días: (a) desde la rescisión o expiración del Acuerdo, por cualquier motivo; (b) tras la finalización de la prestación de los Servicios pertinentes relacionados con el Tratamiento; o (c) si es anterior, tan pronto como el Tratamiento por parte del Encargado del Tratamiento de cualquier Información Personal del Responsable ya no sea necesario para el cumplimiento por parte del Encargado del Tratamiento de sus obligaciones en virtud del presente Acuerdo, cesar todo uso de dicha Información Personal del Responsable y destruir de forma segura o devolver al Responsable (siguiendo las instrucciones de este) toda dicha Información Personal del Responsable.
  2. Sin perjuicio de lo dispuesto en la cláusula 11.1, si el encargado del tratamiento está obligado por la legislación aplicable a almacenar cualquier información personal del responsable del tratamiento, el encargado del tratamiento notificará al responsable del tratamiento dicho requisito, garantizará la confidencialidad continua de toda la información personal del responsable del tratamiento y se asegurará de que la información personal del responsable del tratamiento solo se trate cuando sea necesario para los fines especificados en la legislación aplicable que exige su almacenamiento y para ningún otro fin.

12. Registros y auditoría.

  1. El Encargado del tratamiento mantendrá registros escritos completos, precisos y actualizados de todas las actividades de tratamiento realizadas en nombre del Responsable del tratamiento y pondrá a disposición de este, previa solicitud por escrito, dichos registros y cualquier otra información que el Responsable del tratamiento considere razonablemente necesaria para demostrar el cumplimiento por parte del Encargado del tratamiento de sus obligaciones en virtud del presente ATD.
  2. Si el Responsable del tratamiento no está convencido (actuando de forma razonable) de que la información facilitada por el Encargado del tratamiento de conformidad con la cláusula 12.1 demuestra el cumplimiento por parte del Encargado del tratamiento del presente DPA, el Responsable del tratamiento tendrá derecho a llevar a cabo, por sí mismo o mediante un tercero independiente que actúe bajo sus instrucciones y que no sea competidor del Encargado del tratamiento, a cargo del Responsable del tratamiento, una inspección, incluida una auditoría, de los procedimientos de seguridad y privacidad de los datos del Encargado del tratamiento en relación con el tratamiento de la Información personal del Responsable del tratamiento y el cumplimiento del presente ATD. Dicha inspección o auditoría solo podrá realizarse una vez por año natural, durante el horario laboral habitual del Encargado del Tratamiento, tras la recepción por parte del Encargado del Tratamiento de una notificación por escrito con 30 días de antelación de dicha inspección y auditoría, y el acuerdo entre las partes sobre el alcance de la inspección o auditoría. Para evitar dudas, dicha inspección o auditoría no causará una interrupción irrazonable de la actividad del Encargado del tratamiento y no incluirá una inspección o auditoría que comprometa la Información personal o la información confidencial Tratada por el Encargado del tratamiento en nombre de terceros.

13. Condiciones generales

  1. El presente DPA constituye el acuerdo íntegro entre las partes y sustituye, rescinde y extingue todos los acuerdos, promesas, garantías y entendimientos anteriores y contemporáneos entre ellas, ya sean escritos u orales, relacionados con su objeto.
  2. Ambas partes reconocen y entienden que la información personal del controlador puede estar sujeta a leyes de protección de datos que exigen determinados compromisos y/o la celebración de acuerdos, incluso en relación con la transferencia transfronteriza de la información personal del controlador. Ambas partes acuerdan que celebrarán cualquier acuerdo o arreglo alternativo o adicional, o aplicarán cualquier medida adicional que pueda ser necesaria en virtud de las leyes de protección de datos en relación con el tratamiento y/o la transferencia transfronteriza de la información personal del controlador.
  3. En caso de conflicto entre las disposiciones del presente DPA, el Acuerdo y las Cláusulas Contractuales Tipo de la UE, se aplicará el siguiente orden de prelación: las Cláusulas Contractuales Tipo de la UE; las disposiciones del presente DPA y, a continuación, el Acuerdo.
  4. Cualquier modificación o enmienda del presente Acuerdo solo será válida tras la firma de un acuerdo por escrito por ambas partes.
  5. Si alguna disposición del presente DPA fuera inválida o inaplicable, el resto del DPA seguirá siendo válido y vigente. La disposición inválida o inaplicable será (i) modificada según sea necesario para garantizar su validez y aplicabilidad, preservando al mismo tiempo las intenciones de las partes en la medida de lo posible o, si esto no fuera posible, (ii) interpretada de tal manera que la parte inválida o inaplicable nunca hubiera estado incluida en el mismo.
  6. Salvo en los casos en que las partes no puedan limitar o excluir su responsabilidad en virtud de la legislación aplicable, la responsabilidad total de cada parte que se derive o esté relacionada con el presente DPA, ya sea por contrato, agravio (incluida la negligencia), incumplimiento de obligaciones legales o de otro tipo, estará sujeta a las limitaciones y exclusiones de responsabilidad establecidas en el Acuerdo, y cualquier referencia en el Acuerdo a la responsabilidad de una parte se referirá a la responsabilidad total de dicha parte y de todas sus filiales en virtud del Acuerdo y del DPA conjuntamente.
  7. Cualquier controversia o reclamación (incluidas las controversias o reclamaciones no contractuales) que surja de o en relación con el presente DPA se regirá por las leyes establecidas en el Acuerdo, y los tribunales del territorio establecido en el Acuerdo tendrán jurisdicción para resolver dichas controversias o reclamaciones.

 

Apéndice 1:

Detalles del procesamiento de Responsable del tratamiento Información personal

El presente Apéndice 1 incluye determinados detalles sobre el tratamiento de los datos personales del responsable del tratamiento, tal y como exige el artículo 28, apartado 3, del RGPD o requisitos equivalentes de otras leyes de protección de datos.

1. Objeto y duración del tratamiento de Responsable del tratamiento Información personal

El objeto del tratamiento de los datos personales del responsable del tratamiento es la prestación de los servicios al responsable del tratamiento. Los datos personales del responsable del tratamiento se tratarán durante la vigencia del acuerdo entre las partes, con sujeción a lo dispuesto en la sección 11 del presente DPA.

2. Naturaleza y finalidad del tratamiento de Responsable del tratamiento Información personal

El procesador alojará, mantendrá y procesará la información personal del controlador únicamente en relación con la prestación de los servicios de conformidad con los términos del acuerdo y este DPA.

3. Tipos de Responsable del tratamiento Información personal tratada

Información personal introducida por (o bajo las instrucciones de) el Responsable del tratamiento o por los Interesados en el sistema del Encargado del tratamiento, o que el Encargado del tratamiento procesa en nombre del Responsable del tratamiento en relación con la prestación de los Servicios de conformidad con los términos del Acuerdo y del presente DPA, incluyendo el nombre de los usuarios, la información de contacto (incluyendo, entre otros: teléfono, email , dirección de facturación), la información y el historial de pagos, la información sobre los vehículos y las interacciones autorizadas de los usuarios de la plataforma.

4. Categorías de datos sujetos a los que se aplica el Responsable del tratamiento información personal

Empleados autorizados de la empresa/del responsable del tratamiento, contratistas y usuarios finales.

5. Países en los que el Encargado del Tratamiento tratará la Información Personal del Responsable del Tratamiento

Estados Unidos, Israel, India

Apéndice 2:

MEDIDAS TÉCNICAS Y ORGANIZATIVAS, INCLUIDAS LAS MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS

Descripción de la organización técnica y organizativas aplicadas por el importador o importadores de datos (incluidas las certificaciones pertinentes) para garantizar un nivel adecuado de seguridad, teniendo en cuenta la naturaleza, el alcance, el contexto y la finalidad del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas personas físicas.

Medidas técnicas

Medida técnica Descripción
1. Inventario y control de Hardware Gestiona activamente todos hardware de la red para que solo los dispositivos autorizados tengan acceso y los dispositivos no autorizados y no gestionados sean detectados y se les impida el acceso.
2. Inventario y control de Software Gestiona activamente todo software la red para que solo software instale y ejecute software autorizado, y para que software detecte y se impida la instalación o ejecución de software no autorizado y no gestionado.
3. Gestión continua de vulnerabilidades Adquirir, evaluar y actuar continuamente sobre la nueva información con el fin de identificar vulnerabilidades, remediarlas y minimizar las oportunidades para los atacantes.
4. Uso controlado de los privilegios administrativos Mantener procesos y herramientas para rastrear, controlar, prevenir y corregir el uso, la asignación y la configuración de privilegios administrativos en computadoras, redes, aplicaciones y datos.
5. Configuración segura para Hardware Software dispositivos móviles, ordenadores portátiles, estaciones de trabajo y servidores. Implementar y gestionar activamente (realizar un seguimiento, informar y corregir) la configuración de seguridad de los dispositivos móviles, ordenadores portátiles, servidores y estaciones de trabajo mediante un proceso de gestión de la configuración y control de cambios, con el fin de evitar que los atacantes aprovechen los servicios y ajustes vulnerables.
6. Mantenimiento, supervisión y análisis de los registros de auditoría Recopilar, gestionar y analizar registros de auditoría y seguridad de eventos que podrían ayudar a detectar, comprender o recuperarse de un posible ataque.
7. Protecciones para Email el navegador web Implemente controles automatizados para minimizar la superficie de ataque y las oportunidades de los atacantes de manipular el comportamiento humano a través de su interacción con navegadores web y email o contenidos email .
8. Defensas contra malware Controle la instalación, propagación y ejecución de código malicioso en múltiples puntos de la empresa, al tiempo que optimiza el uso de la automatización para permitir una rápida actualización de la defensa, la recopilación de datos y las medidas correctivas.
9. Limitación y control de puertos, protocolos y servicios de red Gestionar (supervisar, controlar, corregir) el uso operativo continuo de puertos, protocolos, servicios y aplicaciones en dispositivos conectados en red con el fin de minimizar las ventanas de vulnerabilidad y exposición disponibles para los atacantes.
10. Capacidades de recuperación de datos Mantener procesos y herramientas para realizar copias de seguridad adecuadas de los datos personales con una metodología probada que garantice la confidencialidad, integridad, disponibilidad y recuperabilidad de dichos datos.
11. Configuración segura para dispositivos de red, como cortafuegos, enrutadores y conmutadores. Implementar y gestionar activamente (realizar un seguimiento, informar y corregir) la configuración de seguridad de los dispositivos de infraestructura de red mediante un proceso de gestión de la configuración y control de cambios, con el fin de evitar que los atacantes aprovechen los servicios y ajustes vulnerables.
12. Defensas fronterizas Detectar, prevenir y corregir el flujo de información que se transfiere entre redes con diferentes niveles de confianza, prestando especial atención a los datos personales.
13. Protección de datos Mantener los procesos y herramientas utilizados para prevenir la filtración de datos, mitigar los efectos de los datos filtrados y garantizar la confidencialidad e integridad de los datos personales.
14. Acceso controlado basado en la necesidad de conocer la información Mantener procesos y herramientas para rastrear, controlar, prevenir y corregir el acceso seguro a activos críticos o controlados (por ejemplo, información, recursos, sistemas) de acuerdo con la determinación formal de qué personas, computadoras y aplicaciones tienen la necesidad y el derecho de acceder a estos activos críticos o controlados en función de una clasificación aprobada.
15. Control de acceso inalámbrico Mantener procesos y herramientas para supervisar, controlar, prevenir y corregir el uso seguro de redes de área local inalámbricas (WLAN), puntos de acceso y sistemas cliente inalámbricos.
16. Supervisión y control de cuentas Gestiona activamente el ciclo de vida de las cuentas del sistema y de las aplicaciones, su creación, uso, inactividad y eliminación, con el fin de minimizar las oportunidades de uso no autorizado, inapropiado o malintencionado.

Medida organizativa

Medida organizativa Descripción
1. Implementar un programa integral de seguridad de la información. Mediante la implementación de un Programa Integral de Seguridad de la Información (CISP), mantenga diversas medidas administrativas de protección de los datos personales. Estas medidas están diseñadas para garantizar:

  • seguridad, confidencialidad e integridad de los datos personales
  • protección contra el acceso o uso no autorizado de datos personales (almacenados) de una manera que genere un riesgo sustancial de robo de identidad o fraude
  • que los empleados, contratistas, consultores, trabajadores temporales y otros trabajadores que tengan acceso a datos personales solo traten dichos datos siguiendo las instrucciones del responsable del tratamiento.
2. Implementar un programa de concienciación y formación en materia de seguridad. Para todas las funciones (priorizando aquellas que son fundamentales para la empresa, su seguridad y la protección de los datos personales), identifique los conocimientos, habilidades y capacidades específicos necesarios para respaldar la protección y defensa de los datos personales; desarrolle y ejecute un plan integrado para evaluar, identificar deficiencias y subsanarlas mediante políticas, planificación organizativa, formación y programas de sensibilización.
3. Software de aplicación Gestionar el ciclo de vida de la seguridad de todo software desarrollado internamente y adquirido software el fin de prevenir, detectar y corregir las deficiencias de seguridad.
4. Respuesta y gestión de incidentes Proteja la información de la organización, incluidos los datos personales, así como su reputación, mediante el desarrollo y la implementación de una infraestructura de respuesta a incidentes (por ejemplo, planes, funciones definidas, formación, comunicaciones, supervisión de la gestión, contratos de servicios y seguros) para detectar rápidamente un ataque y, a continuación, contener eficazmente los daños, erradicar la presencia del atacante y restaurar la integridad de la red y los sistemas de la organización.
5. Evaluaciones de seguridad y privacidad, pruebas de penetración y ejercicios del equipo rojo. Pruebe la solidez general de la defensa de la organización (la tecnología, los procesos y las personas) simulando los objetivos y las acciones de un atacante; además, evalúe y valide los controles, las políticas y los procedimientos de protección de la privacidad y los datos personales de la organización.
6. Seguridad física y control de acceso Exigir que todas las instalaciones cumplan con los más altos estándares de protección de datos posibles y razonables, según las circunstancias relevantes para la instalación y los datos que contiene, procesa o transmite.

Apéndice 3

UE CLAUSULAS CONTRACTUALES TIPO

Las cláusulas contractuales tipo y los anexos relacionados, así como el apéndice del Reino Unido, están disponibles en: www.vontier.com/EU_Contractual_Clauses y se incorporan e integran en el presente Acuerdo.