ES
ES EN FR DE JA AR

Política de Procesamiento de Datos

Esta Política de Procesamiento de Datos (“PPD“) serán aplicables entre las Partes y se considerarán incorporadas automáticamente al Acuerdo. Todos los términos en mayúscula utilizados en este DPP tienen los mismos significados que se les otorgan en el Acuerdo, a menos que se definan a continuación. Los términos definidos a continuación se aplican solo al DPP.

Definiciones

País adecuado”significa un país o territorio reconocido según las Leyes de Protección de Datos aplicables como proveedor de protección adecuada para los datos personales.

Afiliado autorizado” significa cualquier Afiliada(o) del Cliente que (a) esté directa o indirectamente Controlada por el Cliente, (b) esté sujeta a las Leyes de Protección de Datos y (c) tenga permiso para usar los Servicios según el Acuerdo, pero no haya firmado el Acuerdo.

CCPA” significa la Ley de Privacidad del Consumidor de California de 2018, incluidas todas sus enmiendas.

Leyes de Protección de Datos”significa todas las leyes y regulaciones, incluidas las leyes y regulaciones de la Unión Europea (incluido el RGPD), el Espacio Económico Europeo, sus estados miembros, Suiza, el Reino Unido y/o las autoridades gubernamentales federales, estatales o locales de los Estados Unidos de América, aplicables al procesamiento de Datos Personales en virtud del Acuerdo.

RGPD” significa Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas con respecto al tratamiento de datos personales y a la libre circulación de dichos datos.

Datos Personales”significa cualquier dato que sea procesado por CybelAngel como parte de los Servicios y que también sea “datos personales” según se define en el RGPD, el RGPD del Reino Unido y/o se defina como “información personal” en la CCPA.

Violación de datos personales” significa cualquier incumplimiento de la seguridad que conduzca a la destrucción, pérdida, alteración, divulgación o acceso no autorizado, accidental o ilícito, de Datos Personales en posesión de CybelAngel o bajo su control, donde dicho incumplimiento se origine y se documente como originado únicamente de los propios sistemas de CybelAngel y no esté relacionado con ningún incumplimiento que pueda haberse detectado en relación con los Servicios o las actividades comerciales diarias de CybelAngel.

Cláusulas Contractuales Estándar”o (“SCC”) significa las cláusulas contractuales tipo más recientes aprobadas por la Comisión Europea para la transferencia de datos personales a procesadores establecidos en terceros países que no garantizan un nivel adecuado de protección de datos.

procesando““controlador de datos““sujeto de datos““autoridad supervisora” y “procesador de datos”tienen los significados que se les atribuyen en el RGPD.

“RGPD del Reino Unido”: La Regulación General de Protección de Datos del Reino Unido después del Brexit.

1. ESTADO DE LAS PARTES

Las Partes reconocen y acuerdan que el Cliente es el controlador de datos y CybelAngel es el procesador de datos con respecto a los Datos Personales. Cada Parte acepta cumplir, y se asegurará de que cada una de sus Afiliadas cumpla, con las Leyes de Protección de Datos aplicables en relación con los Datos Personales. Entre las Partes, el Cliente es el único responsable de obtener, y ha obtenido u obtendrá, todos los consentimientos, licencias y aprobaciones necesarios para el procesamiento de Datos Personales en relación con el uso de los Servicios.

2. DESCRIPCIÓN DEL PROCESAMIENTO

2.1. CybelAngel solo procesará Datos Personales con el fin de prestar los Servicios o para fines comerciales relacionados con los Servicios, según se define en el Acuerdo (por ejemplo, la creación de credenciales para nuevos Usuarios Autorizados). Si las Leyes de Protección de Datos exigen que CybelAngel procese Datos Personales de manera distinta a la permitida por el Acuerdo, CybelAngel notificará al Cliente antes de procesar, a menos que la ley aplicable se lo prohíba.

2.2. El tipo de Datos Personales que se procesan en virtud del Acuerdo y el objeto, la duración, la naturaleza y el propósito del procesamiento, así como las categorías de interesados, serán los siguientes:

2.2.1. Categorías de Sujetos de Datos

· Empleados del Cliente y sus filiales

· Clientes, proveedores u otros socios comerciales del Cliente

· Personas cuyos identificadores personales se encuentren en fuentes monitoreadas (por ejemplo, direcciones de correo electrónico o nombres detectados en filtraciones)

2.2.2. Categorías de Datos Personales Procesados

Las categorías típicas de datos personales procesadas como parte de los Servicios incluyen:

ContextoDatos de ejemploFuente
Credenciales y Detección de BrechasDirecciones de correo electrónico, nombres de usuario, contraseñas cifradas, IPsBases de datos violadas, fuentes de la dark web
Protección de dominio y cuentaDirecciones de correo electrónico profesionales, datos de titularidad de dominiosWHOIS, rastreos web
Monitoreo Ejecutivo y de MarcaNombres ejecutivos disponibles públicamente, identificadores de redes socialesRedes sociales y fuentes abiertas
Atención al cliente y entrega de serviciosInformación de contacto (nombre, correo electrónico, teléfono), metadatos de usoInteracciones de la plataforma del cliente

Todo el procesamiento de datos se alinea con los principios de minimización de datos y limitación de finalidad del RGPD, restringido a lo necesario para la detección de ciberamenazas y los fines de protección del cliente definidos en el Acuerdo.

2.2.3. Naturaleza del procesamiento

Recogida, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, utilización, divulgación por transmisión al responsable del tratamiento, difusión o cualquier otra forma de puesta a disposición del responsable del tratamiento, cotejo o combinación, limitación, supresión o destrucción.

Específicamente, las operaciones de procesamiento incluyen:

· Recopilación, organización y análisis de activos digitales e indicadores de inteligencia de amenazas

· Correspondencia de datos expuestos con las entidades monitorizadas del cliente

· Generación de alertas y notificación al Cliente

· Soporte a interacciones (análisis de incidentes, asistencia para desmantelamiento, informes)

2.2.4. Propósito(s) del tratamiento de los datos

El propósito del procesamiento es garantizar la TI del controlador y sus afiliados, trabajando para prevenir y detectar fugas de datos en Internet.

2.2.5. Duración del tratamiento de los datos

El procesamiento de datos se realizará durante el plazo del Acuerdo.

2.2.6. Período de retención de datos

Los datos personales serán conservados por el encargado del tratamiento por un período máximo de seis (6) meses tras la terminación de todos los contratos de servicios prestados al responsable por el encargado. Los datos de detección operativa normalmente se rotan o anonimizan una vez completado su propósito de investigación.

3. DERECHOS Y OBLIGACIONES DEL ENCARGADO DEL TRATAMIENTO

3.1. El encargado del tratamiento solo tratará los datos personales siguiendo instrucciones documentadas del responsable del tratamiento, a menos que esté obligado por el Derecho de la Unión o del Estado miembro a que esté sujeto el encargado del tratamiento. En tal caso, el encargado del tratamiento informará al responsable del tratamiento de dicho requisito legal antes del tratamiento, salvo que la ley lo prohíba por importantes motivos de interés público. A lo largo de la actividad de tratamiento de datos personales, el responsable del tratamiento podrá dar instrucciones posteriores, que se documentarán siempre.

A los efectos del presente párrafo, el Acuerdo, esta DPP y el uso de los Servicios por parte del Cliente, constituyen las instrucciones escritas del Cliente a CybelAngel en relación con el tratamiento de Datos Personales.

3.1.1. Para mayor claridad, las instrucciones documentadas del Cliente a CybelAngel consisten en:

(a) Instrucciones contractuales: El alcance, la naturaleza, el propósito y la duración del procesamiento según se definen en esta Sección 2.2 del DPP y en el Acuerdo;

(b) Instrucciones Operacionales: Los Criterios de Búsqueda (palabras clave, identificadores de datos y parámetros de búsqueda) proporcionados por el Cliente a través de los Servicios, que especifican qué Datos Personales debe buscar y procesar CybelAngel;

(c) Instrucciones continuas: Cualquier instrucción adicional, escrita o electrónica, proporcionada por el Cliente durante la vigencia del Acuerdo con respecto al procesamiento de Datos Personales. El Cliente reconoce que al firmar este Acuerdo, proporcionar Criterios de Búsqueda y utilizar los Servicios, está proporcionando instrucciones documentadas a CybelAngel en el sentido del Artículo 28(3)(a) del RGPD.

3.1.2. Procesamiento de IA y Autorización de Subprocesadores:

El Cliente reconoce que los Servicios de CybelAngel incorporan capacidades habilitadas por IA (incluida la resúmenes automatizados de contenido, enriquecimiento, automatizaciones de tareas, análisis y traducciones) como componentes integrales de los Servicios. Al firmar este Acuerdo y consentir la lista de subprocesadores en el ANEXO II, el Cliente proporciona instrucciones documentadas que autorizan el uso por parte de CybelAngel de proveedores de servicios de IA de terceros para procesar Datos Personales de acuerdo con las salvaguardias especificadas en el presente. El Cliente reconoce que:

(a) Procesamiento de IA y aprendizaje automático: los Servicios utilizan proveedores de IA que figuran en el ANEXO II para análisis de contenido, resumen, enriquecimiento, automatización de tareas y capacidades de traducción, limitados al alcance necesario para prestar los Servicios;

(b) Análisis de Plataforma – Los Servicios utilizan proveedores de análisis (según se identifica en el Anexo II) para optimizar los algoritmos de detección, reducir los falsos positivos y mejorar el rendimiento de la plataforma específico del entorno y los patrones de uso del Cliente;

(c) Ningún uso para entrenamiento – Los acuerdos de CybelAngel con los subprocesadores de IA prohíben el uso de Datos Personales del Cliente para el entrenamiento de modelos o la mejora de servicios de terceros no relacionados con la prestación de los Servicios al Cliente.

Derecho de objeción: Si el Cliente se opone al uso de cualquier subprocesador (incluidos los proveedores de IA) por motivos de protección de datos, el Cliente podrá ejercer sus derechos de objeción según lo establecido en la Sección 6.1.

3.2. Teniendo en cuenta la naturaleza del procesamiento y la información disponible para CybelAngel, CybelAngel asistirá al Cliente, cuando se solicite razonablemente, en relación con las obligaciones del Cliente conforme a las Leyes de Protección de Datos con respecto a (i) las evaluaciones de impacto relativas a la protección de datos (tal como se define dicho término en el RGPD), (ii) las notificaciones a la autoridad de control conforme a las Leyes de Protección de Datos y (iii) las consultas previas con las autoridades de control.

3.3. CybelAngel empleará esfuerzos comercialmente razonables para ayudar al Cliente a responder a solicitudes de interesados, realizadas por sujetos de datos que buscan ejercer sus derechos bajo la Ley de Protección de Datos y cuyos Datos Personales se encuentran en posesión o control de CybelAngel. CybelAngel notificará al Cliente sobre las solicitudes de interesados relevantes para el Cliente después de que sean recibidas por CybelAngel, a más tardar cinco (5) días hábiles, a menos que la ley aplicable exija lo contrario.

4. MEDIDAS TÉCNICAS Y ORGANIZATIVAS

Teniendo en cuenta (i) la práctica estándar de la industria, (ii) los costos de implementación y (iii) la naturaleza, el alcance, el contexto y los propósitos del procesamiento, CybelAngel implementará medidas técnicas y organizativas apropiadas según lo dispuesto en el Anexo 1, para garantizar un nivel de seguridad adecuado a los riesgos que presenta el procesamiento de Datos Personales, incluso en relación con la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilegal a Datos Personales en posesión de CybelAngel o bajo su control.

5. VIOLACIONES DE DATOS PERSONALES

CybelAngel notificará al Cliente de cualquier Brecha de Datos Personales no más tarde de setenta y dos (72) horas después de tener conocimiento de ella. CybelAngel proporcionará al Cliente cooperación, asistencia e información comercialmente razonables en relación con dicha Brecha de Datos Personales, incluyendo, en la medida de lo conocido por CybelAngel, (i) la naturaleza de la Brecha de Datos Personales, (ii) las categorías y el número aproximado de interesados afectados, (iii) las categorías y el número aproximado de registros de Datos Personales afectados, y (iv) las medidas ya tomadas o planeadas por CybelAngel para abordar la Brecha de Datos Personales, incluyendo, cuando corresponda, medidas para mitigar posibles efectos adversos. A menos que la ley aplicable exija la divulgación de información sobre una Brecha de Datos Personales, CybelAngel no divulgará ninguna información sobre una Brecha de Datos Personales y tratará toda esa información como Información Confidencial.

6. SUBPROCESAMIENTO

6.1 El Cliente da su consentimiento para que CybelAngel utilice los subprocesadores incluidos en la Lista de subprocesadores (adjunta como Anexo II) para prestar los Servicios, y para que CybelAngel revele y proporcione Datos personales a dichos subprocesadores. Por la presente, el Cliente autoriza la lista de subprocesadores a la fecha de ejecución del Acuerdo. CybelAngel notificará por escrito a los principales puntos de contacto del Cliente con antelación la designación de nuevos subencargados del tratamiento mediante cambios en la lista de subencargados del tratamiento. En cualquier caso, la lista actualizada de subencargados del tratamiento se considerará autorizada por el Cliente a menos que presente una objeción razonable por escrito a [email protected] por motivos relacionados con el GDPR en los treinta (30) días hábiles siguientes a la notificación del cambio en la lista de subencargados del tratamiento. En este caso, si las partes no encuentran una solución de buena fe a la cuestión en cuestión, el Cliente podrá, como único recurso, rescindir el Acuerdo aplicable con respecto únicamente a aquellos Servicios que CybelAngel no pueda prestar sin el uso del subprocesador objetado mediante notificación por escrito a CybelAngel, siempre que todos los importes adeudados en virtud del Acuerdo antes de la fecha de rescisión con respecto al Procesamiento en cuestión se abonen debidamente a CybelAngel. El cliente no tendrá más reclamaciones contra CybelAngel debido a (i) el uso anterior de subprocesadores aprobados antes de la fecha de la objeción o (ii) la rescisión del Acuerdo (incluyendo, sin limitación, la solicitud de reembolsos) en la situación descrita en este párrafo.

6.2 CybelAngel se asegurará de que sus subprocesadores estén obligados por acuerdos contractuales que proporcionen un nivel de protección de los Datos Personales sustancialmente similar al requerido en esta DPP. CybelAngel seguirá siendo responsable del cumplimiento de las obligaciones por parte de sus subprocesadores, pero no se compromete a permitir o facilitar auditorías de sus subprocesadores por parte del Cliente o de terceros.

7. AUDITORÍAS

En virtud de la legislación aplicable en materia de protección de datos, el Cliente podrá realizar una (1) auditoría al año en su propio nombre y a su propio cargo, siempre y cuando el Cliente notifique por escrito a CybelAngel cualquier auditoría con quince (15) días laborables de antelación. La duración máxima de cualquier auditoría será de cinco (5) días laborables (tal y como se define en Francia) y sólo podrá realizarse durante el horario laboral de CybelAngel. CybelAngel se reserva el derecho de aprobar la elección de un auditor externo designado por el Cliente en caso de que el Cliente no realice la auditoría por sí mismo y podrá rechazar a dicho auditor a su discreción razonable. El alcance, el método y el calendario de cualquier auditoría se acordarán mutuamente por adelantado y no interferirán de forma injustificada en las operaciones comerciales, herramientas o infraestructura de CybelAngel, y todas las auditorías se limitarán en su alcance a los sistemas e infraestructura de CybelAngel responsables del procesamiento de los datos del Cliente en virtud del presente documento. El Cliente acepta utilizar certificaciones e informes de auditoría de terceros (por ejemplo, SOC 2, ISO) puestos a disposición por CybelAngel en lugar de solicitar una auditoría siempre que sea posible.

8. TRANSFERENCIAS DE DATOS

Esta Sección 8 se aplica a cualquier procesamiento de Datos Personales sujetos al RGPD por parte de CybelAngel o sus subprocesadores.

8.1 CybelAngel no divulgará ni transferirá Datos Personales a un tercero (i) sin el permiso previo por escrito del Cliente, (ii) según lo permitido por el Acuerdo, (iii) cuando dicha divulgación o transferencia sea requerida por cualquier ley, regulación o autoridad pública aplicable o (iv) de conformidad con la Sección 6.1.

8.2 El Cliente reconoce que la prestación de los Servicios en virtud del Acuerdo puede requerir el procesamiento de Datos Personales por parte de subprocesadores en países fuera del EEE. Si CybelAngel transfiere cualquier Dato Personal a un subprocesador (incluido cualquier Afiliado de CybelAngel que actúe como subprocesador) donde dicho subprocesador procesará Datos Personales fuera del EEE (que no sea exclusivamente en un País Adecuado), entonces CybelAngel se asegurará de que exista un mecanismo para lograr la adecuación con respecto a dicho procesamiento, como (i) la ejecución de Cláusulas Contractuales Tipo (basadas en el Módulo 2 Transferencia de Encargado a Procesador) entre CybelAngel y un subprocesador; (ii) certificación EU-U.S. Data Privacy Framework (cuando sea aplicable para subprocesadores con sede en EE. UU.); (iii) Extensión del Reino Unido al EU-U.S. Data Privacy Framework (cuando sea aplicable para transferencias de datos personales del Reino Unido); o (iv) cualquier otra salvaguarda aprobada para transferencias de datos según lo reconocido por las Leyes de Protección de Datos.

9. AFILIADOS AUTORIZADOS

9.1 Al ejecutar el Acuerdo, el Cliente se compromete por la presente a la DPP en nombre propio y en nombre de sus Afiliados Autorizados. Cada Afiliado Autorizado acepta cumplir con las obligaciones del Cliente bajo esta DPP y, cuando sea aplicable, el Acuerdo.

9.2 El Cliente que sea parte contratante del Acuerdo seguirá siendo el responsable de coordinar todas las comunicaciones relacionadas con los Datos Personales con CybelAngel y tendrá derecho a realizar y recibirá cualquier comunicación en relación con los Datos Personales en nombre de sus Afiliados Autorizados.

9.3 Donde un Afiliado Autorizado sea parte del Acuerdo con CybelAngel, en la medida requerida por las leyes de protección de datos aplicables y de conformidad con las disposiciones del presente, tendrá derecho a ejercer los derechos y buscar soluciones sujetas a lo siguiente:

9.3.1 Salvo donde las Leyes de Protección de Datos aplicables exijan que el Afiliado Autorizado ejerza un derecho o busque un remedio contra CybelAngel directamente por sí mismo, de conformidad con las disposiciones del presente, las partes acuerdan que (i) únicamente el Cliente que es parte contratante del Acuerdo ejercerá dicho derecho o buscará dicho remedio en nombre del Afiliado Autorizado, y (ii) el Cliente que es parte contratante del Acuerdo ejercerá dichos derechos en virtud de las disposiciones del presente, no de forma separada para cada Afiliado Autorizado individualmente, sino de manera combinada para sí mismo y para todos sus Afiliados Autorizados conjuntamente.

9.3.2 El Cliente, que es la parte contratante del Acuerdo, al llevar a cabo cualquier auditoría de los procedimientos relacionados con la protección de Datos Personales, tomará todas las medidas razonables para limitar cualquier impacto en CybelAngel y sus subprocesadores, combinando, en la medida de lo posible, todas las solicitudes de auditoría propias y de sus Afiliados Autorizados en una única auditoría.

10. LIMITACIÓN DE RESPONSABILIDAD

La responsabilidad de cada Parte y de todas sus Afiliadas, en conjunto y en su totalidad, que surja de o se relacione con las disposiciones del presente, ya sea en virtud de contrato, agravio o cualquier otra teoría de responsabilidad, está sujeta a la Sección 10 (Limitación de Responsabilidad) del Acuerdo, y cualquier referencia en dicha sección a la responsabilidad de una parte significa la responsabilidad agregada de esa parte y de todas sus Afiliadas en virtud del Acuerdo. Para evitar dudas, la responsabilidad total de CybelAngel y sus Afiliadas por todas las reclamaciones de el Cliente y todas las Afiliadas Autorizadas no se entenderá que se aplica individual y solidariamente a el Cliente y/o a cualquier Afiliada Autorizada que sea parte contractual de cualquier DDP tales.

11. ORDEN DE PRECEDENCIA

Este DPP se emite sin perjuicio de los derechos y obligaciones de las partes en virtud del Acuerdo, que seguirán en pleno vigor y efecto. En caso de conflicto entre los términos del presente y los términos del Acuerdo, los términos de este DPP prevalecerán en lo que respecta a la materia del procesamiento de Datos Personales.

12. MISCELÁNEO

Todas las comunicaciones y notificaciones en virtud de las disposiciones del presente se enviarán por el responsable del tratamiento al delegado de protección de datos del encargado en:

Nombre: CybelAngel SAS Dirección: Piso 8 – Mañana Clichy, 1-5 rue du 8 Mai 1945, 92110 Clichy, Francia

Nombre, cargo y datos de contacto de la persona de contacto:

Heather Kuch Oficial de Protección de Datos [email protected]

ANEXO I

MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS

A. Control de Acceso Físico

Se debe negar el acceso de personas no autorizadas a los equipos de procesamiento de datos con los que se procesan o utilizan datos personales.

El procesador deberá adoptar las siguientes medidas de control de acceso físico, en la medida en que los datos personales se procesen en las instalaciones/edificios del procesador. No se permite el acceso a dichos datos personales fuera de estas instalaciones/edificios:

  1. Restringir los derechos de acceso a edificios de oficinas, centros de datos y salas de servidores a lo mínimo necesario.
  2. Control efectivo de los derechos de acceso mediante un sistema de cierre adecuado (por ejemplo, llave de seguridad con gestión de llaves documentada, sistemas de cierre electrónicos con gestión documentada de autorizaciones).
  3. Deben existir procesos completos y totalmente documentados para la obtención, el cambio y la retirada de la autorización de acceso.
  4. Revisión periódica y documentada de las autorizaciones de acceso otorgadas hasta la fecha.
  5. Medidas razonables para la prevención y detección de accesos no autorizados y intentos de acceso (por ejemplo, revisión periódica de la protección contra robos de las puertas, portones y ventanas, sistemas de alarma, videovigilancia, guardias de seguridad, patrullas de seguridad).
  6. Regulaciones escritas para empleados y visitantes para el manejo de medidas de seguridad de acceso técnico.

B. Control de acceso lógico a los sistemas

Se debe impedir el uso de los sistemas de tratamiento de datos personales por parte de personas no autorizadas.

El procesador adoptará las siguientes medidas para controlar el acceso a los sistemas y redes en los que se procesen Datos Personales o a través de los cuales sea posible el acceso a los Datos Personales:

  1. Restricción de los derechos de acceso a los sistemas de TI y a las redes no públicas al mínimo necesario.
  2. Control efectivo de Autenticación, Autorización y Contabilidad a través de identificaciones de usuario personalizadas y únicas, y un proceso de autenticación seguro.
  3. Al usar contraseñas para autenticación, se adoptarán reglas para asegurar la calidad de las contraseñas en términos de longitud, complejidad y frecuencia de cambio. Se implementarán métodos de prueba técnicos para garantizar la calidad de las contraseñas.
  4. Al utilizar métodos de clave asimétrica (por ejemplo, certificados, métodos de clave pública-privada) para la autenticación, se debe garantizar que las claves secretas (privadas) siempre estén protegidas con una contraseña (frase de contraseña). Se deben observar los requisitos de acuerdo con el párrafo 3 anterior.
  5. Las revisiones completas de todas las cuentas deben realizarse regularmente y el acceso debe eliminarse si no se requiere de forma habitual.
  6. Revisión regular y documentada de las autorizaciones de acceso lógico concedidas hasta la fecha.
  7. Deben adoptarse las medidas apropiadas para asegurar la infraestructura de red (p. ej., seguridad de puertos de red IEEE 802.1X, sistemas de detección de intrusos, uso de autenticación de 2 factores para acceso remoto, separación de redes, filtrado de contenido, protocolos de red cifrados, etc.).
  8. Reglamento escrito para empleados al tratar con las medidas de seguridad mencionadas y el uso seguro de contraseñas.
  9. Asegurar la instalación inmediata de actualizaciones/parches de seguridad críticos o importantes: a. en los sistemas operativos de los controladores, b. en los sistemas operativos de servidores accesibles a través de redes públicas (por ejemplo, servidor web); c. en programas de aplicación (incluyendo navegador, plugins, lector de PDF, etc.); y d. en la infraestructura de seguridad (escáneres de virus, firewalls, sistemas IDS, filtros de contenido, routers, etc.) dentro de las 48 horas posteriores a su publicación por el fabricante, así como en los sistemas operativos de servidores internos dentro de la semana posterior a su publicación por el fabricante.

C. Control de Acceso a Datos Personales

Solo las personas autorizadas a utilizar un sistema de tratamiento de datos personales pueden acceder a los datos personales, en función de su autorización de acceso, y estos datos personales no pueden ser leídos, copiados, modificados o eliminados sin autorización durante el tratamiento, uso y después del almacenamiento.

Donde el encargado del tratamiento sea responsable de la autorización de acceso a los Datos Personales, el encargado del tratamiento adoptará las siguientes medidas de control de acceso:

  1. Restricción del acceso a los datos personales a lo mínimo indispensable.
  2. Control efectivo de la autorización de acceso mediante un concepto adecuado de derechos y roles.
  3. Debe existir un proceso integral y completamente documentado para autorizar el acceso, cambio, copia y retiro de Datos Personales.
  4. Revisiones periódicas y documentadas de las autorizaciones de acceso asignadas hasta la fecha.
  5. Se deben adoptar medidas razonables para la protección de equipos terminales, servidores y otros elementos de infraestructura contra el acceso no autorizado (por ejemplo, concepto de protección antivirus multinivel, filtrado de contenido, firewall de aplicaciones, sistemas de detección de intrusiones, firewalls de escritorio, endurecimiento del sistema, cifrado de contenido).
  6. Cifrado de datos personales en soportes – alineado al estado actual de la tecnología – algoritmos que se deben implementar para la protección de dispositivos móviles (portátiles, tabletas, teléfonos inteligentes, etc.) y soportes de datos personales (discos duros externos, memorias USB, tarjetas de memoria, etc.).
  7. Registro de accesos a Datos Personales por parte de todos los usuarios, incluidos los administradores.
  8. Medidas técnicas de seguridad para interfaces de exportación e importación (relacionadas con hardware y aplicaciones).

Donde el procesador no sea responsable de la autorización de acceso a los Datos Personales, el procesador tendrá las siguientes obligaciones de cooperar con el control de acceso:

  1. Un proceso integral y completamente documentado para la solicitud, cambio y revocación de autorizaciones de acceso en su área de responsabilidad.
  2. Revisión regular y documentada de las autorizaciones de acceso asignadas hasta la fecha, en la medida de lo posible.
  3. Notificación inmediata al controlador si las autorizaciones de acceso existentes ya no son necesarias.

D. Control de Transmisión

El procesador proporcionará los Datos Personales a procesar en un procedimiento de transmisión que se definirá en un contrato/pedido. Los resultados del procesamiento también se transmitirán de regreso al responsable en un procedimiento de transmisión definido. El método de transmisión, así como las medidas de seguridad de la transmisión (control de transmisión), se establecerán de acuerdo con los requisitos; en particular, se prevé el uso de tecnología de cifrado de última generación.

Se garantizará que los Datos Personales no sean leídos, copiados, modificados o eliminados sin autorización durante la transferencia electrónica o durante el transporte o almacenamiento en soportes de Datos Personales, y que se pueda verificar y establecer en qué lugares se prevé una transferencia de Datos Personales por medio de equipos de transmisión de datos.

El procesador adoptará las siguientes medidas para el control de la transmisión, en la medida en que el procesador reciba, transfiera o transporte datos personales:

  1. Deben aplicarse medidas apropiadas para proteger la infraestructura de red (por ejemplo, seguridad de puertos de red IEEE 802.1X, sistemas de detección de intrusiones, uso de autenticación de 2 factores para acceso remoto, separación de redes, filtrado de contenido, protocolos de red encriptados, etc.).
  2. Cifrado de medios de datos personales con – según el estado actual de la tecnología – algoritmos que pueden clasificarse como seguros para la protección de dispositivos móviles (portátiles, tabletas, smartphones, etc.) y soportes de datos (discos duros externos, memorias USB, tarjetas de memoria, etc.).
  3. Uso de protocolos de comunicación cifrada (como los protocolos basados en TLS).
  4. Mecanismos de inspección para identificar terminales remotos durante las transmisiones.
  5. Ajuste de sumas de verificación con Datos Personales recibidos.
  6. Reglamento escrito para empleados sobre el manejo y la seguridad de dispositivos móviles y soportes de datos.

E. Control de Entrada de Datos

Se garantizará que posteriormente se pueda comprobar y verificar si los datos personales han sido accedidos, modificados o eliminados de los sistemas de procesamiento de datos y por quién.

El encargado del tratamiento adoptará las siguientes medidas para controlar la entrada en sus sistemas que sirvan para el tratamiento de datos o permitan o faciliten el acceso a dichos sistemas:

  1. Creación y almacenamiento seguro de revisiones de protocolos de procesos.
  2. Seguridad de los archivos de registro de copias de seguridad contra manipulaciones.
  3. Registro y análisis de intentos de inicio de sesión fallidos.
  4. Asegurar que ningún grupo de cuentas (incluidos administradores o root) pueda ser utilizado.

Control de Procesamiento de Datos

Es necesario garantizar que cualquier dato personal que se procese solo pueda procesarse de acuerdo con las instrucciones del responsable del tratamiento.

El procesador implementará procesos y documentación para:

  1. la selección de (sub)procesadores bajo la legislación de protección de datos y aspectos técnicos;
  2. asegurar la inspección preliminar estatutaria prescrita de los subprocesadores de acuerdo con la legislación de protección de datos;
  3. a la instrucción oportuna de los delegados de protección de datos operativos al introducir nuevos procedimientos o realizar cambios en los existentes para el tratamiento de datos personales;
  4. obligaciones de todas las personas responsables del tratamiento de Datos Personales de mantener el secreto de los datos de conformidad con la Legislación de Protección de Datos;
  5. verificación regular de la corrección de la aplicación de programas de procesamiento de datos mediante los cuales se procesan datos personales;
  6. garantizar la familiarización de las personas encargadas del tratamiento de datos con la legislación pertinente en materia de protección de datos;
  7. mantenimiento de la cualificación del delegado de protección de datos operativo (si se nombra);
  8. asegurando la notificación del controlador sin demora indebida en el caso de una adquisición ilícita de conocimiento de Datos Personales; y
  9. garantizar la rectificación, el bloqueo y la supresión inmediatos de los Datos Personales por orden del responsable del tratamiento.

G. Control de Disponibilidad

Se garantizará que los Datos Personales estén protegidos contra la destrucción o pérdida accidental.

El transformador aplicará las siguientes medidas para controlar la disponibilidad:

  1. Operación y mantenimiento regular de sistemas de alarma contra incendios en salas de servidores, centros de datos y espacios de infraestructura crítica.
  2. Crear copias de seguridad diarias y garantizar la implantación de una capacidad sólida y resistente de recuperación en caso de catástrofe.
  3. Garantizar el almacenamiento de reserva en un compartimento de incendios separado.
  4. Revisión y comprobación periódicas de la integridad de las copias de seguridad.
  5. Procesos y documentación para la recuperación de sistemas y Datos Personales.

H. Control de los créditos

Se garantizará que los Datos Personales recogidos para diferentes fines puedan tratarse por separado.

El encargado del tratamiento adoptará las siguientes medidas para la separación de los Datos Personales, siempre que se encuentren en su ámbito de responsabilidad:

  1. Separación lógica y/o física de los sistemas de prueba, desarrollo y producción.
  2. Separación de controladores dentro de los sistemas de procesamiento y en las interfaces.
  3. Garantizar la identificabilidad continua de los Datos Personales.

I. Retención y Eliminación de Datos Personales

Los Datos Personales se conservarán solo durante el tiempo necesario y se eliminarán cuando se haya completado el fin del tratamiento.

El procesador tomará las siguientes medidas para garantizar la supresión de los Datos Personales, siempre que estos se encuentren dentro de su ámbito de responsabilidad:

  1. Garantizar la continua posibilidad de supresión de datos a petición del responsable del tratamiento.
  2. Procesos, herramientas y documentación para la eliminación segura de forma que la recuperación de los datos no sea posible utilizando la tecnología de vanguardia actual.
  3. Directrices para los empleados sobre cómo y cuándo se deben eliminar los datos.

G. Certificaciones

CybelAngel es titular de una certificación SOC 2 TIPO I. Se puede proporcionar prueba de dicho certificado al controlador si se solicita.

ANEXO II

Lista de subprocesadores de CYBELANGEL a los que se pueden transferir partes de los datos personales de nuestros clientes

Para mayor transparencia y facilidad de consulta, los subprocesadores se agrupan a continuación por función dentro de la entrega y operación de los Servicios. Estas categorías se proporcionan únicamente para mayor claridad organizativa y no reflejan diferentes niveles de acceso a datos o procesamiento opcional. Todos los subprocesadores listados participan según sea necesario para proporcionar, asegurar, mantener y mejorar los Servicios de acuerdo con la Política de Procesamiento de Datos.

Proveedores de Infraestructura Central, Procesamiento de Datos y Alojamiento

Subprocesadores necesarios para la operación principal, el procesamiento de datos y la entrega de los Servicios

Estos proveedores dan soporte a la plataforma de alojamiento, almacenamiento de procesamiento, identidad/autenticación e infraestructura esencial sobre la que el servicio CybelAngel se construye y opera:

SubprocesadorUbicaciónNaturaleza del SubprocesamientoCategorías de Datos IdentificablesSalvaguardas
FIVETRAN
Fivetran, Inc., 1221 Broadway St Piso 20, Oakland, CA 94612,
Estados Unidos
[email protected]		EuropaSincronización de datosInformación de identificación profesional (dirección de correo electrónico, nombre, apellido, empresa, puesto, idioma, teléfono, PII presente en la firma) y cualquier otra información compartida durante la interacción con el equipo de soporteRGPD
• ISO 27001
• SOC 2 Tipo I y II
• Eliminación casi instantánea
GOOGLE
Google Ireland Limited, Gordon House, Barrow Street, Dublín 4,
Irlanda
[email protected]		Irlanda, Países Bajos, Finlandia, BélgicaProveedor de alojamiento, servicio de intercambio de correo electrónico, procesamiento de aprendizaje automático (incluido análisis de contenido, resumen, enriquecimiento y traducciones)Cualquier tipo de información personal identificable, profesional o no, proporcionada o detectada al usar el ServicioRGPD
• ISO 27001
• SOC 2 Tipo II
Neo4j
Neo4j, Inc., 111 East 5th Avenue, San Mateo, CA 99401, EE. UU.
[email protected]		BélgicaMapa de activosDirecciones IP proporcionadas como palabras clave, direcciones de correo electrónico detectadas al usar el Servicio• Marco de Privacidad de Datos UE-EE. UU.
RGPD
• SOC 2 Tipo II
OKTA (anteriormente Auth0)
Okta, Inc., 100 First Street, Piso 6, San Francisco, CA 94105, EE. UU.
[email protected]		Alemania, Estados UnidosAutenticaciónInformación personal identificable profesional (dirección de correo electrónico, nombre, apellido, número de teléfono)• Marco de Privacidad de Datos UE-EE. UU.
Extensión del Reino Unido
• DPF Suizo-estadounidense
RGPD
Cláusulas contractuales estándar
• SOC 2 Tipo II
OPENAI
OpenAI, 1455 3rd Street, San Francisco, CA 94158, EE. UU.
[email protected]		Estados UnidosAutomatización de tareas; resumen de contenido, enriquecimientoCualquier tipo de información personal identificable, profesional o no, proporcionada o detectada al usar el ServicioRGPD
CCPA
Cláusulas contractuales estándar
• SOC 2 Tipo I y III
• ISO 27001
ISO 27018

Proveedores de Monitoreo, Analítica y Seguridad de Plataformas

Subprocesadores que brindan soporte para rendimiento, confiabilidad, registro y monitoreo de seguridad

Estos proveedores ofrecen observabilidad, telemetría, seguridad de puntos finales/amenazas, análisis y registro, lo que ayuda a mantener el rendimiento de la plataforma, la fiabilidad, la monitorización de incidentes y la integridad de la seguridad.

SubprocesadorUbicaciónNaturaleza del SubprocesamientoCategorías de Datos IdentificablesSalvaguardas
AMPLITUD
Amplitude, Inc., 631 Howard Street, Floor 5, San Francisco, CA 94105,
Estados Unidos
[email protected]		Estados UnidosAgregación y análisis de telemetría y métricas de uso anonimizadas o seudonimizadas para producir informes estadísticos y paneles para mejorar la detección y la calidad del servicioInformación personal identificable (dirección de correo electrónico, nombre, apellido, rol de usuario de la plataforma, idioma, dirección IP) y hábitos de uso del Servicio.• Marco de Privacidad de Datos UE-EE. UU.
Cláusulas contractuales estándar
• SOC 2 Tipo II
• ISO 27001
DATADOG
Datadog, Inc., 620 8th Avenue, Piso 45, Nueva York, NY 10018,
Estados Unidos [email protected]		EuropaServicios de registro de aplicaciones, monitoreo del rendimiento de aplicaciones (APM) y monitoreo de usuarios reales (RUM) necesarios para garantizar la confiabilidad, seguridad, depuración y optimización del rendimiento de la plataforma de los Servicios.Direcciones IP proporcionadas como palabras clave, identificadores de cuentas de usuario profesionalmente identificables (como direcciones de correo electrónico), direcciones IP proporcionadas como palabras clave y metadatos de uso relacionados con las interacciones de la plataforma del cliente (como la actividad de la sesión y la telemetría de interacción de funciones) únicamente para fines de monitoreo operativo y mejora del servicio.RGPD
• SOC 2 Tipo II
SEGMENTO
Twilio Inc., 375 Beale Street, Suite 300, San Francisco, CA 94105
Estados Unidos
[email protected]		Estados UnidosAgregación y análisis de telemetría y métricas de uso anonimizadas o seudonimizadas para producir informes estadísticos y paneles para mejorar la detección y la calidad del servicioInformación personal identificable profesional (dirección de correo electrónico, nombre, apellido, rol de usuario de la plataforma, idioma, dirección IP) y hábitos de uso de la plataforma• Marco de Privacidad de Datos UE-EE. UU.
Cláusulas contractuales estándar
• SOC 2 Tipo II
• ISO 27001
CENTINELAUNO
SentinelOne, 444 Castro Street, Suite 400, Mountain View, CA 94041,
Estados Unidos
[email protected]		Estados UnidosAnálisis antivirusMetadatos de servidores descargados por analistas, contenido descargado como resultado de búsquedas realizadas con palabras clave e información profesional identificable (dirección de correo electrónico, nombre, apellido, rol de usuario de la plataforma, idioma, empresa, puesto, teléfono) presente en documentos compartidos.• Marco de Privacidad de Datos UE-EE. UU.
• SOC 2 Tipo II
• ISO 27001

Proveedores de atención al cliente y gestión de relaciones

Subprocesadores que brindan soporte para comunicaciones con clientes, atención al cliente, CRM, incorporación y gestión de servicios

Estos proveedores ayudan a CybelAngel a gestionar interacciones, puntos de contacto de entrega de servicios, flujos de trabajo de atención al cliente, orientación dentro de la aplicación y CRM:

SubprocesadorUbicaciónNaturaleza del SubprocesamientoCategorías de Datos IdentificablesSalvaguardas
APPCUES
Appcues, Inc., 177 Huntington Ave Ste 1703, Boston, MA 02115,
Estados Unidos
[email protected]		Estados UnidosNotificaciones personalizadas dentro de la aplicaciónInformación personal identificable profesional (dirección de correo electrónico, nombre, apellido, rol de usuario de la plataforma, idioma)• Marco de Privacidad de Datos UE-EE. UU.
Cláusulas contractuales estándar
• SOC 2 Tipo II
FRESHDESK
Freshworks Inc., 2950 S. Delaware Street, San Mateo, CA 94403,
Estados Unidos
[email protected]		EuropaAplicación de Soporte TécnicoInformación personal identificable (dirección de correo electrónico, PII presente en la firma) y cualquier otra información compartida durante la interacción con el equipo de soporte.RGPD
• SOC 2 Tipo II
• ISO 27001
HUBSPOT
HubSpot, Inc., 25 First Street, 2nd Floor, Cambridge, MA 02141,
Estados Unidos		Estados UnidosAutomatización de marketing, activación de funciones, formularios de consentimientoInformación personal identificable (dirección de correo electrónico, nombre, apellido, empresa, cargo, idioma, teléfono)• Marco de privacidad de datos UE-EE. UU. • Cláusulas contractuales tipo
• SOC 2 Tipo II
MATCHMYEMAIL
RAE Internet, Inc., 30 Cricket Lane, Dobbs Ferry, NY 10522,
Estados Unidos		AlemaniaSincronización de correo electrónico con SalesforceInformación personal identificable (dirección de correo electrónico, nombre, apellido, empresa)RGPD
• SOC 2 Tipo II
SALESFORCE Salesforce.com EMEA Limited, Village 9, Floor 26, 110 Bishopsgate, Londres,
Reino Unido EC2N 4AY
[email protected]		Francia, AlemaniaRelación comercial, automatización de marketingInformación personal identificable (dirección de correo electrónico, nombre, apellido, empresa, cargo, idioma, teléfono)RGPD
• ISO 27001
• SOC 2 Tipo II

Proveedores de Comunicaciones y Habilitación Operacional

Subprocesadores que apoyan la mensajería operativa, las integraciones y la habilitación de flujos de trabajo necesarios para la prestación y administración de servicios.

Estos proveedores ayudan a CybelAngel a administrar, integrar y operar los Servicios al respaldar las comunicaciones relacionadas con el servicio, la interoperabilidad del sistema, la automatización del flujo de trabajo y los procesos operativos necesarios para la entrega y gestión efectivas de los Servicios.

SubprocesadorUbicaciónNaturaleza del SubprocesamientoCategorías de Datos IdentificablesSalvaguardas
SENDGRID
Twilio Inc., 375 Beale Street, Suite 300, San Francisco, CA 94105, EE. UU. [email protected]		Estados UnidosCorreos de solicitudInformación personal identificable (dirección de correo electrónico)• Marco de Privacidad de Datos UE-EE. UU.
Cláusulas contractuales estándar
• SOC 2 Tipo II
• ISO 27001
ISO 27017
ISO 27018
TWILIO
Twilio Inc.,
375 Calle Beale,
Suite 300,
San Francisco,
EE. UU. [email protected]		Estados UnidosMensaje de texto 2FA de la aplicaciónInformación personal identificable (número de teléfono) profesional o personal• Marco de Privacidad de Datos UE-EE. UU.
Cláusulas contractuales estándar
• SOC 2 Tipo II
• ISO 27001
ISO 27017
ISO 27018
WORKATO
Workato, Inc.,
215 Castro St,
Mountain View,
CA 94041, EE. UU.
[email protected]		EuropaConector de tercerosInformación profesional identificable (dirección de correo electrónico) y cualquier tipo de información personal o información personal identificable detectada al utilizar el Servicio.Cláusulas contractuales estándar
RGPD
• SOC 2 Tipo II
ZAPIER
Zapier Inc.,
548 Market St #62411,
San Francisco,
CA 94104, EE. UU.
[email protected]		Estados UnidosAutomatizaciones de tareas, flujos de trabajo de notificaciones e integraciones de herramientasInformación profesional identificable (dirección de correo electrónico, nombre, apellido, empresa, rol de usuario de la plataforma)• Marco de Privacidad de Datos UE-EE. UU.
Cláusulas contractuales estándar
• SOC 2 Tipo II

“Rol de usuario de la plataforma” se refiere a los niveles de acceso del usuario dentro de la plataforma CybelAngel (por ejemplo, Administrador, Usuario Estándar), no a los títulos de trabajo organizacionales.