Acuerdo de Pretocción de Datos (DPA)

Este Acuerdo de Tratamiento de Datos (“DPA”) forma parte del acuerdo de servicios de SINCH (“Acuerdo Principal”) entre SINCH y el Cliente y está sujeto a los términos del Acuerdo Principal.

1. Definiciones

A) Para os fins deste DPA, os termos em maiúscula terão os seguintes significados:

(a) “Datos Personales del Cliente” significa cualquier dato personal procesado por SINCH en nombre del Cliente para prestar los Servicios en virtud del Acuerdo Principal.

(b) “Leyes de Protección de Datos Aplicables” significa el GDPR, tal como se transpone a la legislación nacional de cada Estado Miembro (y el Reino Unido) y según se modifique, reemplace o suplante de tanto en tanto, y las leyes que implementan, reemplazan o complementan el GDPR y todas las leyes aplicables a la recopilación, almacenamiento, procesamiento y uso de los Datos Personales del Cliente, incluso la Ley de Privacidad del Consumidor de California de 2018, Cód. Civ. Cal. § 1798.100 et seq (“CCPA”).

(c) “GDPR” significa el Reglamento General de Protección de Datos (UE) 2016/679 relativo a la protección de las personas físicas en lo que se refiere al tratamiento de datos personales y a la libre circulación de estos datos.

(d) “Infraestructura de Sinch” significa (i) las instalaciones físicas de SINCH; (ii) la infraestructura de nube alojada; (iii) la red corporativa de SINCH y la red interna no pública, el software y el hardware necesarios para prestar los Servicios y que están controlados por SINCH; en cada caso en la medida en que se utilice para prestar los Servicios.

(e) “Transferencia Restringida” significa una transferencia de los Datos Personales del Cliente de SINCH a un subencargado donde dicha transferencia estaría prohibida por las Leyes de Protección de Datos Aplicables (o por los términos de los acuerdos de transferencia de datos establecidos para abordar las restricciones de transferencia de datos de las Leyes de Protección de Datos Aplicables) en ausencia de las garantías adecuadas requeridas para dichas transferencias en virtud de las Leyes de Protección de Datos Aplicables.

(f) “Servicios” significa los servicios prestados al Cliente por SINCH de conformidad con el Acuerdo Principal.

(g) “Cláusulas Contractuales Estándar” significa la última versión de las cláusulas contractuales estándar para la transferencia de datos personales a encargados establecidos en terceros países bajo el GDPR (la versión actual a la fecha de este DPA es la anexa a la Decisión de la Comisión Europea 2021/914 (UE) del 4 de junio de 2021).

(h) “Apéndice del Reino Unido” significa el Apéndice del Reino Unido (Apéndice de Transferencia Internacional de Datos a las Cláusulas Contractuales Estándar de la Comisión de la UE) establecido en: https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf

(i) Los términos “consentimiento”, “responsable de tratamiento”, “interesado”, “Estado Miembro”, “datos personales”, “violación de datos personales”, “encargado”, “subencargado”, “tratamiento”, “autoridad supervisora” y “tercero” tendrán los significados que se les atribuyen en el artículo 4 del GDPR o la CCPA, en los casos en que la CCPA sea aplicable.

B) Los términos en letras mayúsculas utilizados y no definidos en este DPA tendrán los significados que se les atribuyen en el Acuerdo Principal.

2. CUMPLIMIENTO DE LAS LEYES DE PROTECCIÓN DE DATOS APLICABLES

a) SINCH y el Cliente deberán cumplir con las disposiciones y obligaciones que les imponen las Leyes de Protección de Datos Aplicables y deberán procurar que sus empleados y subencargados cumplan con las disposiciones de las Leyes de Protección de Datos Aplicables.

3. DETALLES Y ÁMBITO DEL PROCESAMIENTO

a) El tratamiento de los Datos Personales del Cliente dentro del ámbito del Acuerdo se llevará a cabo de acuerdo con las siguientes estipulaciones y según lo requerido por el Artículo 28 (3) del GDPR. Las partes pueden modificar esta información de tanto en tanto, según las partes consideren razonablemente necesario para cumplir con esos requisitos.

(i) Objeto y duración del tratamiento de los datos personales: El objeto y la duración del tratamiento de los datos personales se establecen en el Acuerdo Principal.

(ii) La naturaleza y finalidad del tratamiento de los datos personales: En virtud del Acuerdo Principal, SINCH presta ciertos servicios como mensajería, correo electrónico, llamadas de voz y otros servicios de comunicación, como se detalla en el Acuerdo Principal, al Cliente que implica el tratamiento de datos personales. Sujeto a la sección 3(a)(iv), dichas actividades de tratamiento incluyen (a) la prestación de los Servicios; b) la detección, prevención y resolución de problemas técnicos y de seguridad; y (c) responder a las solicitudes de soporte del Cliente.

(iii) Los tipos de datos personales a tratar: Los datos personales enviados a la red de SINCH, cuyo alcance es determinado y controlado por el responsable del tratamiento a su entera discreción, pueden incluir nombre, correo electrónico, números de teléfono, dirección IP y otros datos personales incluidos en las listas de contactos y el contenido de mensajes o llamadas.

(iv) Exclusión del Responsable de Datos Independiente: Sin perjuicio de cualquier otra disposición del presente documento, al tratar datos personales en el curso de la prestación de servicios de comunicación como parte de los Servicios, incluso la transmisión e intercambio de SMS a través de redes de telecomunicaciones y otros mensajes y comunicaciones, incluso correos electrónicos, voz y otros medios a través de otras plataformas de comunicación, independientemente de si el Cliente actúa como responsable o encargado de tratamiento, SINCH actúa como un responsable de datos independiente, y no como responsable de tratamiento conjunto, para proporcionar sus servicios de comunicaciones y llevar a cabo sus funciones necesarias y negocios como proveedor de servicios de comunicación, incluso las medidas necesarias para prevenir el spam y el fraude y el control, la seguridad y el mantenimiento de su red, la gestión de sus funciones comerciales y de cumplimiento, y de conformidad con sus obligaciones en virtud de las leyes aplicables.

(v) Las categorías de titulares de datos a los que se refieren los datos personales: Remitentes y destinatarios de mensajes de correo electrónico y SMS, llamadas de voz u otras comunicaciones.

b) SINCH solo tratará los Datos Personales del Cliente (i) con el fin de cumplir con sus obligaciones en virtud del Acuerdo Principal y (ii) de acuerdo con las instrucciones documentadas descritas en este DPA o según lo indique el Cliente periódicamente. Las instrucciones de dicho Cliente se documentarán en el pedido aplicable, la descripción de los servicios, el ticket de soporte, otra comunicación escrita o según lo indique el Cliente que utiliza los Servicios (como a través de una API o panel de control).

c) Cuando SINCH crea razonablemente que una instrucción del Cliente es contraria a las disposiciones del Acuerdo Principal o este DPA, o que infringe el GDPR u otras disposiciones de protección de datos aplicables, lo informará al Cliente sin demora. En ambos casos, SINCH estará autorizada a diferir la ejecución de la instrucción relevante hasta que haya sido modificada por el Cliente o sea mutuamente acordada por el Cliente y SINCH.

d) El Cliente es el único responsable de su utilización y gestión de los datos personales enviados o transmitidos por los Servicios, incluso: (i) verificar la información del destinatario, como el número de teléfono o la dirección, y que se han ingresado correctamente en los Servicios (ii) notificar razonablemente a cualquier destinatario la naturaleza insegura del correo electrónico o la mensajería como medio de transmisión de datos personales (según corresponda), (iii) limitar razonablemente la cantidad o el tipo de información divulgada a través de los Servicios (iv) cifrar cualquier dato personal transmitido a través de los Servicios cuando sea apropiado o requerido por la ley aplicable (como mediante el uso de archivos adjuntos cifrados, conjuntos de herramientas PGP o S/MIME). Cuando el Cliente decide no configurar el cifrado obligatorio, el Cliente reconoce que los Servicios pueden incluir la transmisión de correo electrónico no cifrado en texto sin formato a través de Internet pública y redes abiertas. La información cargada a los Servicios, incluso el contenido del mensaje, se almacena en un formato cifrado cuando es procesada por la Infraestructura de Sinch.

e) Excepciones (reglas específicas basadas en la legislación nacional aplicable):

(i) Para Clientes y contratos en Brasil, además de lo acordado en este DPA, las obligaciones establecidas adoptarán las siguientes redacciones y directrices:

(a) Las definiciones destacadas a continuación deberán sustituir las definiciones utilizadas en el presente DPA:

1. “Categorías Especiales de Datos Personales” significará los datos personales Sensibles: esto significa los datos relativos al origen racial o étnico, las creencias religiosas, las opiniones políticas, la afiliación a un sindicato u organizaciones religiosas, filosóficas o políticas, los datos relativos a la salud o la vida sexual de una persona física, los datos genéticos o biométricos, cuando estén relacionados con una persona física.

2. «Tratamiento de Datos” se entenderá cualquier operación realizada con datos personales, tales como las que se refieran a la recogida, producción, recepción, clasificación, uso, acceso, reproducción, transmisión, distribución, tratamiento, archivo, conservación, eliminación, evaluación o control de la información, modificación, comunicación, transferencia, difusión o extracción.

(b) Las disposiciones contenidas en la Cláusula 13(b) no serán aplicables.

(ii) Para Clientes y contratos en Colombia, además de lo acordado en este DPA, se aplica lo siguiente en relación con el tratamiento y transferencia de datos personales:

“El responsable del tratamiento reconoce que el encargado del tratamiento puede tratar, transferir, transmitir, almacenar y procesar datos personales a territorios fuera de Colombia, donde estarán sujetos a las leyes de las jurisdicciones extranjeras en las que se encuentran. El responsable del tratamiento reconoce que posee todas las autorizaciones previas necesarias de los titulares de los datos personales y los registros de bases de datos que permitirían al encargado del tratamiento para tratar los datos personales y transferir y/o transmitir los mismos a países que cumplen al menos los mismos estándares de protección de datos personales (nivel adecuado de protección) como los previstos en las normas colombianas (tales como, pero no limitado a la Ley Estatutaria 1581 de 2012, el Decreto Reglamentario 1377 de 2013, el Decreto 90 de 2018, la Circular Única de la Superintendencia de Industria y Comercio y la Circular Externa Nº 005 de 2017 de la Superintendencia de Industria y Comercio y demás normas que modifiquen, sustituyan o complementen las anteriores).”

(iii) Para los Clientes y contratos en Argentina, además de lo acordado en este DPA, las partes acuerdan concluir las siguientes Cláusulas Contractuales Estándar de Argentina para la transferencia internacional en caso de que el Controlador de los datos personales sea de Argentina y/o la Legislación de Protección de Datos aplicable y/o la Autoridad Argentina de Protección de Datos requiera que se celebren estas cláusulas:

Contrato modelo de transferencia internacional de datos personales con motivo de prestación de servicios Entre, por una parte, ______________________________________, con domicilio en la calle________, localidad_____________, provincia de __________, Argentina, (en adelante, “el exportador de datos”) y, por la otra, ____________________________ (nombre), __________ (dirección y país), (“en adelante, el importador de datos”), en conjunto “las partes”, convienen el presente contrato de transferencia internacional de datos personales para la prestación de servicios, sometiéndola a los términos y condiciones que se detallan a continuación.

(iv) Para Clientes y contratos en México, las obligaciones establecidas en las secciones 13(b) no son aplicables.

4. RESPONSABLE Y ENCARGADO DEL TRATAMIENTO

a) A los efectos de este DPA, el Cliente es el responsable de los Datos Personales del Cliente y SINCH es el encargado de dichos datos personales, excepto cuando el Cliente actúa como encargado de los Datos Personales del Cliente, en cuyo caso SINCH es un subencargado.

b) SINCH contará en todo momento con un funcionario responsable de ayudar al Cliente (i) a responder a las consultas relacionadas con el tratamiento de datos personales recibidas de los titulares de los datos; y, (ii) al completar todos los requisitos legales de información y divulgación que se aplican y están asociados con el tratamiento de datos personales. Dicha asistencia puede solicitarse en dpo@sinch.com.

c) El Cliente garantiza que:

(i) El tratamiento de los Datos Personales del Cliente se basa en bases legales para el tratamiento, según lo exijan las Leyes de Protección de Datos Aplicables y que ha realizado y mantendrá durante la vigencia del Acuerdo Principal todos los derechos, permisos, registros y consentimientos necesarios de acuerdo con y según lo exijan las Leyes de Protección de Datos Aplicables con respecto al tratamiento de los Datos Personales del Cliente por parte de SINCH en virtud de este DPA y el Acuerdo Principal;

(ii) Posee y tiene todos los derechos, permisos y consentimientos necesarios para transferir los Datos Personales del Cliente a SINCH y permitir que Sinch trate los Datos Personales del Cliente en su nombre, de modo que SINCH pueda usar, tratar y transferir legalmente los Datos Personales del Cliente para prestar los Servicios y cumplir con los demás derechos y obligaciones de SINCH en virtud de este DPA y el Acuerdo Principal;

(iii) Informará a sus titulares de datos sobre el uso de encargados en el tratamiento de sus datos personales, en la medida requerida por las Leyes de Protección de Datos Aplicables; y

(iv) Responderá en un plazo razonable y en la medida en que sea razonablemente posible a las consultas de los titulares de los datos sobre el tratamiento de sus datos personales, y dará las instrucciones adecuadas a SINCH de manera oportuna.

5. CONFIDENCIALIDAD

a) SINCH se asegurará de que cada uno de sus empleados y subencargados autorizados para tratar los Datos Personales del Cliente esté sujeto a compromisos de confidencialidad u obligaciones profesionales o legales de confidencialidad y esté capacitado con los requisitos de seguridad y Protección de Datos pertinentes.

6. MEDIDAS TÉCNICAS Y ORGANIZATIVAS

a) SINCH deberá, en relación con los Datos Personales del Cliente, (a) tomar y documentar medidas razonables y apropiadas, como se describe en el Anexo 2, en relación con la seguridad de la Infraestructura de SINCH y las plataformas utilizadas para prestar los Servicios como se describe en el Acuerdo Principal, y (b) a petición razonable a expensas del Cliente, ayudar al Cliente a garantizar el cumplimiento de las obligaciones del Cliente. de conformidad con el Artículo 32 del GDPR.

b) Los procedimientos operativos internos de SINCH deberán cumplir con los requisitos específicos de una gestión eficaz de la Protección de Datos.

7. SOLICITUDES DE LOS TITULARES DE LOS DATOS

a) SINCH proporciona herramientas específicas para ayudar a los clientes a responder a las solicitudes recibidas de los titulares de los datos. Estas incluyen nuestras API e interfaces para buscar datos de eventos, supresiones y recuperar contenido de mensajes. Cuando SINCH reciba una queja, consulta o solicitud (incluso las solicitudes realizadas por los titulares de los datos para ejercer sus derechos de conformidad con las Leyes de Protección de Datos Aplicables) relacionada con los Datos Personales del Cliente directamente de los titulares de los datos, SINCH notificará al Cliente. Teniendo en cuenta la naturaleza del tratamiento, SINCH asistirá al Cliente, con medidas técnicas y organizativas apropiadas, en la medida en que sea razonablemente posible, para el cumplimiento de la obligación del Cliente de responder a las solicitudes de ejercicio de los derechos de dichos titulares de los datos.

8. VIOLACIONES DE DATOS PERSONALES

a) SINCH notificará al Cliente sin demora indebida una vez que SINCH tenga conocimiento de una violación de datos personales que afecte los Datos Personales del Cliente. SINCH deberá, teniendo en cuenta la naturaleza del tratamiento y la información disponible para SINCH, realizar esfuerzos comercialmente razonables para proporcionar al Cliente información suficiente para permitir que el Cliente, a expensas del Cliente, cumpla con cualquier obligación de reportar o informar a las autoridades reguladoras, a los titulares de los datos y a otras entidades de dicha violación de datos personales en la medida requerida por las Leyes de Protección de Datos Aplicables.

9. EVALUACIONES DE IMPACTO DE LA PROTECCIÓN DE DATOS

a) SINCH deberá, teniendo en cuenta la naturaleza del tratamiento y la información disponible, proporcionar asistencia razonable al Cliente a expensas del Cliente, con cualquier evaluación de impacto de protección de datos y consultas previas con las autoridades de supervisión u otras autoridades reguladoras competentes según sea necesario para que el Cliente cumpla con sus obligaciones en virtud de las Leyes de Protección de Datos Aplicables.

10. AUDITORÍAS

a) SINCH deberá poner a disposición del Cliente, previa solicitud razonable, la información que sea razonablemente necesaria para demostrar el cumplimiento de este DPA.

b) El Cliente, o un auditor externo autorizado, puede, previa solicitud razonable por escrito, realizar una inspección en relación con el tratamiento de los Datos personales del Cliente por parte de SINCH y en la medida necesaria de acuerdo con las leyes de protección de datos y sin interrumpir las operaciones comerciales de SINCH y garantizar la confidencialidad.

c) El derecho de auditoría descrito en la Cláusula 10 (b) anterior será aplicable para el Cliente, en caso de que SINCH no haya proporcionado pruebas suficientes de su cumplimiento de las disposiciones de este DPA. La evidencia suficiente incluye proporcionar: (i) una certificación en cuanto al cumplimiento de la ISO 27001 u otras normas implementadas por SINCH (alcance como se define en el certificado); o (ii) un informe de auditoría o certificación de un tercero independiente. Una auditoría como se describe en esta Cláusula 10 se llevará a cabo a expensas y costos del Cliente.

11. DEVOLUCIÓN O DESTRUCCIÓN DE LOS DATOS PERSONALES DEL CLIENTE

a) El Cliente puede, mediante notificación por escrito a SINCH a más tardar en el momento de la terminación del Acuerdo Principal, solicitar la devolución y/o el certificado de eliminación de todas las copias de los Datos Personales del Cliente bajo el control o posesión de SINCH y sus subencargados. SINCH deberá proporcionar una copia de los Datos del Cliente en una forma que pueda leerse y procesarse posteriormente.

b) Dentro de los noventa (90) días siguientes al término del Acuerdo Principal, SINCH deberá eliminar todos los datos personales procesados de conformidad con este DPA, a menos que el Cliente solicite la devolución de los datos personales como se describe en la Cláusula 11 (a) anterior. Esta disposición no afectará los posibles deberes legales de las partes de conservar los registros durante los períodos de retención establecidos por ley, estatuto o contrato.

c) Cualquier costo adicional que surja en relación con la devolución de datos personales después de la terminación o expiración del Acuerdo Principal correrá a cargo del Cliente.

12. TRANSFERENCIAS DE DATOS

a) Las Cláusulas Contractuales Estándar y, si es necesario, el Apéndice del Reino Unido, que hace que SINCH actúe como importador de datos con el Cliente actuando como exportador de datos se incorporan como parte de este DPA. Si el contrato de SINCH con un subencargado implica una Transferencia Restringida, SINCH se asegurará de que las disposiciones de transferencia posterior de las Cláusulas Contractuales Estándar y/o el Apéndice del Reino Unido se incorporen al Acuerdo Principal, o se celebren de otra manera entre SINCH y el subencargado. El Cliente acepta ejercer su derecho de auditoría en las Cláusulas Contractuales Estándar instruyendo a SINCH para que realice la auditoría establecida en la Cláusula 10.

b) El Cliente reconoce y acepta que, en relación con la prestación de los Servicios en virtud del Acuerdo Principal, SINCH puede transferir los datos personales dentro de su grupo de empresas. Estas transferencias son necesarias para prestar los Servicios a nivel mundial.

c) Para transferencias de datos personales desde la Unión Europea, el Espacio Económico Europeo y/o sus estados miembros, Suiza y el Reino Unido a países que no garantizan un nivel adecuado de Protección de Datos en el sentido de las Leyes de Protección de Datos de los territorios anteriores, en la medida en que dichas transferencias estén sujetas a las Leyes y Reglamentos de Protección de Datos y con el fin de implementar las salvaguardas adecuadas, se adoptan las siguientes salvaguardias: (i) Cláusulas Contractuales Estándar según la Decisión de la Comisión Europea 2021/914/UE de 4 de junio de 2021, (2) Apéndice del Reino Unido, y (3) salvaguardias adicionales con respecto a las medidas de seguridad, incluso el cifrado de datos, la agregación de datos, la separación de los controles de acceso y los principios de minimización de datos.

13. SUBENCARGADOS DEL TRATAMIENTO

a) Por el presente documento, el Cliente otorga una autorización general a SINCH para designar subencargados de acuerdo con esta Cláusula 13 y el Anexo 1. SINCH se asegurará de que los subencargados estén obligados por acuerdos escritos que les exijan proporcionar al menos el nivel de protección de datos requerido de SINCH por este DPA. El Cliente también otorga a SINCH una autorización específica para continuar utilizando aquellos subencargados ya contratados en la fecha de este DPA, como se menciona en la sección (b).

b) Los subencargados actuales para los Servicios se establecen en https://sinch.com/es/legal/data-protection-agreement-sub-processors/ (“Lista de Subencargados”). Siempre que el Cliente se suscriba a las notificaciones de nuevos subencargados a través del mecanismo de suscripción que se encuentra en https://sinch.com/es/legal/data-protection-agreement-sub-processors/, SINCH deberá notificar al Cliente, a través de dicho mecanismo, con treinta (30) días de anticipación de cualquier cambio previsto relacionado con la adición o reemplazo de cualquier subencargado. Si, dentro de los diez (10) días hábiles posteriores a la recepción de esa notificación, el Cliente notifica a SINCH por escrito cualquier objeción por motivos razonables al nombramiento propuesto, SINCH no deberá designar a ese subencargado propuesto hasta que se hayan tomado medidas razonables para abordar las objeciones planteadas por el Cliente y se le haya proporcionado al Cliente una explicación razonable por escrito de los pasos tomados. Si SINCH y el Cliente no pueden resolver el nombramiento de un subencargado dentro de un período razonable, cualquiera de las partes tendrá derecho a rescindir el Acuerdo Principal por causa justificada.

c) SINCH será responsable de los actos y omisiones de cualquier subencargado, como lo es ante el Cliente por sus propios actos y omisiones en relación con los asuntos previstos en este DPA.

14. LEY APLICABLE Y JURISDICCIÓN

a) Las partes de este DPA se someten a la elección de jurisdicción estipulada en el Acuerdo Principal con respecto a cualquier disputa o reclamo que surja bajo este DPA, incluso las disputas relacionadas con su existencia, validez o terminación o las consecuencias de su nulidad.

b) Este DPA y todas las obligaciones no contractuales o de otro tipo que surjan de o en conexión con él se rigen por las leyes del país o territorio estipuladas para este propósito en el Acuerdo Principal.

c) Sin perjuicio de lo mencionado en esta Cláusula (a) y (b), todas las obligaciones que surjan de o en relación con las Cláusulas Contractuales Estándar incorporadas en este DPA se regirán por las leyes del Estado Miembro de la UE especificadas en el Anexo 1, según sea necesario para la validez de esas Cláusulas Contractuales Estándar de conformidad con la Decisión de la Comisión Europea 2021/914/UE de 4 de junio de 2021.

15. ORDEN DE PRECEDENCIA

a) Con respecto al objeto de este DPA, en caso de inconsistencias entre las disposiciones de este DPA y cualquier otro acuerdo entre las partes, incluso el Acuerdo Principal e incluyendo (excepto cuando se acuerde explícitamente lo contrario por escrito, firmado en nombre de las partes) acuerdos celebrados o pretendidos para celebrar después de la fecha de este DPA, prevalecerán las disposiciones de este DPA.

16. DISPOSICIONES INDEPENDIENTES

a) En caso de que alguna disposición de este DPA sea inválida o inaplicable, entonces el resto de este DPA seguirá siendo válido y vigente. La disposición inválida o inaplicable deberá ser (i) modificada según sea necesario para garantizar su validez y aplicabilidad, preservando al mismo tiempo las intenciones de las Partes lo más cerca posible o, si esto no es posible, (ii) deberá ser interpretada de manera que la parte inválida o inaplicable nunca hubiera estado contenida en ella.

17. TERMINACIÓN

a) Con la terminación del Acuerdo Principal, este DPA y las Cláusulas Contractuales Estándar terminarán en el cumplimiento de la obligación de Sinch de eliminar los datos personales bajo tratamiento de acuerdo con la Cláusula 11.

ANEXO 1 – CLÁUSULAS CONTRACTUALES ESTÁNDAR

Con respecto a las Cláusulas Contractuales Estándar, las Partes acuerdan que:

a) El Módulo 2 (Responsable del Tratamiento a Encargado) se aplicará cuando SINCH actúe como encargado de tratamiento de datos del Cliente; el Módulo 3 (Encargado a Encargado) se aplicará cuando SINCH actúe como subencargado del Cliente. Para cada módulo, cuando aplicable:

b) Se incorpora la Cláusula 7 (Cláusula de Adesión);

c) A los efectos de la Cláusula 9.a) (Uso de Subencargados), se aplicará la Opción 2: Se aplicará una autorización general por escrito. El importador de datos tiene la autorización general del exportador de datos para la contratación de subencargados de una lista acordada. El importador de datos deberá informar específicamente al exportador de datos por escrito de cualquier cambio previsto en esa lista mediante la adición o sustitución de subencargados con al menos treinta (30) días de antelación;

d) No se incorpora la redacción opcional de la Cláusula 11 (Reparación) sobre los organismos de resolución independientes;

e) A efectos de la Cláusula 13 (Supervisión), IMY, la Autoridad Sueca de Protección de Datos (Integritetsskyddsmyndigheten) actuará como autoridad supervisora competente;

f) Se aplicará la opción 1 de la Cláusula 17 (Ley aplicable) y las leyes de Suecia regirán las Cláusulas Contractuales Estándar;

g) A los efectos de la Cláusula 18 (Elección de foro y jurisdicción), los tribunales de Suecia resolverán cualquier disputa que surja de las Cláusulas Contractuales Estándar;

h)El Anexo IA (Lista de Partes) y el Anexo IB (Descripción de la Transferencia) se completarán utilizando la información y los detalles especificados en el Acuerdo Principal y enumerados en la Cláusula 3 del DPA;

i) El Anexo IB (Descripción de la Transferencia) se completará especificando que no se transferirán datos sensibles. La frecuencia de la transferencia deberá ser continua. Para las transferencias a subencargados, el objeto, la naturaleza y la duración del tratamiento serán los mismos que los del importador de datos;

j) A efectos del Anexo IC, la autoridad de control competente de conformidad con la Cláusula 13 es IMY, la Autoridad de Protección de Datos de Suecia (Integritetsskyddsmyndigheten);

k) A efectos del Anexo II, las Medidas técnicas y organizativas se describen en el Anexo 2 del DPA;

l) A los efectos del Anexo III, la Lista de Subencargados se incluye en el Anexo 3 del DPA;

m) cuando la Transferencia Restringida esté sujeta al Reglamento, ya que forma parte de la legislación de Inglaterra y Gales, Escocia e Irlanda del Norte (GDPR del Reino Unido), las Cláusulas Contractuales Estándar incorporarán el Apéndice del Reino Unido completado de la siguiente manera:

a. A los efectos de la Tabla 1, la fecha de inicio es la fecha de la firma del DPA y los detalles de las partes se completarán utilizando la información y los detalles especificados en el Acuerdo Principal;

b. A efectos de la Tabla 2, la versión de las CCE de la UE aprobadas a las que se adjunta el Apéndice del Reino Unido son las Cláusulas Contractuales Estándar completadas de conformidad con el presente Anexo 1, siendo la fecha la fecha de entrada en vigor del presente Apéndice;

c. A los efectos de la Tabla 3, la Información del Apéndice es la descrita en los párrafos (h) – (l) del presente Anexo 1; y

d. A los efectos de la Tabla 4, la entidad Sinch que actúe como Importadora podrá finalizar el Apéndice del Reino Unido cuando cambie el Apéndice Aprobado.

ANEXO 2 – SEGURIDAD DE LA INFORMACIÓN – MEDIDAS TÉCNICAS Y ORGANIZATIVAS

Las Medidas Técnicas y Organizativas incluidas en este Anexo son medidas aplicables a los Servicios prestados por SINCH. Si es necesario, para el Servicio, SINCH puede incluir Medidas Técnicas y Organizativas adicionales en la Orden de Servicio o Servicio.

1. Inventario de información y otros activos asociados

Se desarrolla y mantiene un inventario de información y otros activos asociados, incluso los propietarios. Se ha designado un propietario de activos para cada activo dentro del inventario de acuerdo con la política de etiquetado de activos.

2. Información de autenticación

La asignación y gestión de la información de autenticación se controla mediante un proceso de gestión, que incluye asesorar al personal sobre el manejo adecuado de la información de autenticación.

En particular, SINCH:

No limita los caracteres permitidos que se pueden utilizar.
Contraseña con un mínimo de 16 caracteres.
No utiliza preguntas secretas como único requisito de restablecimiento de contraseña.
Requiere la verificación por correo electrónico de una solicitud de cambio de contraseña.
Requiere la contraseña actual además de la nueva contraseña durante el cambio de contraseña.
Verifica las contraseñas recién creadas con listas de contraseñas comunes o bases de datos de contraseñas escapadas.
Verifica las contraseñas de usuario existentes para ver si están comprometidas regularmente.
Los secretos memorizados deben ser con salt y hash utilizando una función de derivación de clave unidireccional adecuada.
Aplica el bloqueo de cuenta adecuado y la protección de fuerza bruta en el acceso a la cuenta con un máximo de 5 inicios de sesión fracasados, luego lo bloquea durante 30 minutos.
Las últimas 24 contraseñas no deben ser reutilizadas.
Cambio de contraseña de 365 días.
Las contraseñas de la red de invitados si se puede establecer un riesgo bajo para que nunca caduquen si se cumple el requisito de longitud de la contraseña (mínimo 16 caracteres).
MFA (Autenticación Multifactorial) y SSO (Login Único) utilizados en todos los casos de uso.

3. Derechos de acceso

Los derechos de acceso a la información y otros activos asociados se aprovisionan, revisan, modifican y eliminan de acuerdo con la política y las reglas específicas del tema de la organización para el control de acceso.

En particular, en SINCH:

Los derechos de acceso se revisan trimestralmente.
Las cuentas de usuario inactivas durante más de 90 días se deshabilitan.
Deben realizarse exámenes trimestrales del acceso a todos los sistemas de acceso de las oficinas para comprobar que los derechos de acceso de los usuarios siguen siendo válidos.

4. Preparación de las TICs para la continuidad del negocio

La preparación para las TICs se planifica, implementa, mantiene y prueba sobre la base de los objetivos de continuidad de los negocios y los requisitos de continuidad de las TICs.

En particular, en SINCH:

Todas las Unidades de Negocio tienen uno o más Planes de Recuperación ante Desastres específicamente alineados con la oferta del producto.
El PRD se prueba anualmente mediante el uso de la simulación de incidentes.

5. Concienciación, educación y capacitación en seguridad de la información

El personal de la organización y las partes interesadas pertinentes reciben concienciación, educación y capacitación adecuadas sobre seguridad de la información y actualizaciones periódicas de la política de seguridad de la información de la organización, políticas y procedimientos específicos del tema, según sea relevante para su función laboral.

En particular, en Sinch:

Todos los empleados la completaron dentro de las 3 semanas posteriores a la fecha de inicio
Todos los empleados concluyeron la capacitación de ISA durante los últimos 12 meses
El contenido de la capacitación de ISA se actualiza cada 12 meses

6. Gestión de capacidad

El uso de los recursos se supervisa y ajusta de acuerdo con los requisitos de capacidad actuales y previstos.

7. Protección contra malware

La protección contra el malware se implementa y está respaldada por la conciencia adecuada del usuario.

Todos los dispositivos de endpoint deben tener detección de Endpoint EDR.

8. Gestión de vulnerabilidades técnicas

Se obtiene información sobre las vulnerabilidades técnicas de los sistemas de información en uso, se evalúa la exposición de Sinch a dichas vulnerabilidades y se toman las medidas adecuadas.

En particular, en SINCH:

El Rastreo de Vulnerabilidades se realiza cada 7 días.
Se aplican revisiones de seguridad a todos los componentes de la pila de aplicaciones con una puntuación de gravedad superior a “Media” según lo determine el emisor de la revisión en el plazo de un mes (30 días) después del lanzamiento
Prueba de intrusión cada 12 meses manual de la caja negra.

9. Gestión de Configuración

Las configuraciones, incluso las configuraciones de seguridad, de hardware, software, servicios y redes se establecen, documentan, implementan, monitorean y revisan según los siguientes estándares: NIST 800-53 y controles CIS.

10. Backup de la Información

Las copias de seguridad de la información, software y los sistemas se mantienen y prueban periódicamente de acuerdo con la política acordada sobre backup.

La rutina de backup al menos especifica:

Intervalos de backup (mínimo semanal)
Requisitos de retención
Ubicación para el almacenamiento del backup
Alcance del backup (por ejemplo, datos, configuraciones, backup completo del sistema)
Estrategia de backup (por ejemplo, en línea versus fuera de línea, número de backups, relación entre backup completo e incremental)
Las pruebas de restauración de backup deben realizarse al menos trimestralmente para los sistemas críticos para el negocio y al menos una vez al año para todos los demás y las pruebas

11. Actividades de monitoreo

Las redes, sistemas y aplicaciones se supervisan para detectar comportamientos anómalos y se toman las medidas apropiadas para evaluar posibles incidentes de seguridad de la información. Las redes, los sistemas y las aplicaciones se supervisan para detectar comportamientos anómalos y maliciosos con el fin de detectar posibles incidentes de seguridad.

12. Seguridad de la Red

Las redes y los dispositivos de red están protegidos, administrados y controlados para proteger la información en sistemas y aplicaciones.

Por ejemplo, SINCH:

Cifra los datos en reposo en servidores, aplicaciones y bases de datos (AES256 mínimo). Cifra los datos en tránsito (TLS 1.2 o superior).
Registra y monitorea adecuadamente para permitir el registro y la detección de acciones que pueden afectar o son relevantes para la seguridad de la información, incluso la EDR
El propietario del producto debe mantener la documentación actualizada, incluso los diagramas de red y los archivos de configuración de los dispositivos (por ejemplo, enrutadores, conmutadores).
Restringe y filtra la conexión de los sistemas a la red, tanto entrantes como salientes, por ejemplo, utilizando firewalls para minimizar los activos expuestos tanto interna como externamente.
Endurecimiento de los dispositivos de red
Segrega los canales de administración de red de otro tráfico de red.
Aísla temporalmente las subredes críticas (por ejemplo, con puentes levadizos) si la red está bajo ataque.

13. Gestión del ciclo de vida del sistema

Se establecen y aplican reglas para el desarrollo seguro de software y sistemas.

Por ejemplo, en SINCH:

El sistema está diseñado de manera segura utilizando modelos de amenazas según sea necesario
Existe un plan para mantener el sistema en línea con el control de gestión de vulnerabilidades Hay un propietario del sistema
Hay un plan para reemplazar el sistema (política de cero legado)

14. Pruebas de seguridad en el desarrollo y aceptación

Los procesos de pruebas de seguridad se definen e implementan en el ciclo de vida del desarrollo:

SAST y escaneos de detección de vulnerabilidades y secretos en pipelines CICD. Si es posible DAST.
No hay vulnerabilidades críticas o altas corregidas antes de estar disponibles para los clientes
Gestiona de forma segura la infraestructura de red
Todos los proyectos siguen las Listas de Comprobación de Seguridad de la Versión del Producto

15. Medidas para garantizar la seguridad física de los lugares en los que se procesan los datos personales

Se han implementado medidas de seguridad física y ambiental dentro de Sinch.

Por ejemplo, en SINCH:

Los perímetros de seguridad se definen y utilizan para proteger las áreas que contienen información y otros activos asociados.
Las áreas seguras están protegidas por controles de entrada y puntos de acceso apropiados.
Se diseña e implementa la seguridad física de oficinas, salas e instalaciones.
Las instalaciones son monitoreadas continuamente para detectar acceso físico no autorizado.
Se diseña e implementa la protección contra amenazas físicas y ambientales, como desastres naturales y otras amenazas físicas intencionales o no intencionales a la infraestructura.
Se diseñan e implementan medidas de seguridad para trabajar en áreas seguras.
Se definen y aplican adecuadamente normas de escritorio claras para papeles y medios de almacenamiento extraíbles y normas claras de pantalla para las instalaciones de procesamiento de información.
El equipo está ubicado de forma segura y protegida.
Los activos externos están protegidos.
Los medios de almacenamiento se gestionan a lo largo de su ciclo de vida de adquisición, uso, transporte y eliminación de acuerdo con el esquema de clasificación y los requisitos de manejo de la organización.
Las instalaciones de procesamiento de información están protegidas contra fallas de energía y otras interrupciones causadas por fallas en los servicios públicos de soporte.
Los cables que transportan energía, datos o servicios de información de apoyo están protegidos contra interceptaciones, interferencias o daños.
El equipo se mantiene correctamente para garantizar la disponibilidad, integridad y confidencialidad de la información.
Los elementos del equipo que contienen medios de almacenamiento se verifican para garantizar que los datos confidenciales y el software con licencia se hayan eliminado o sobrescrito de forma segura antes de su eliminación o reutilización.

SINCH también ha aplicado un Sistema de Gestión de Seguridad de la Información (SGSI), de acuerdo con ISO/IEC 27001:2022.

16. Medidas para garantizar una retención limitada de los datos

Se han implementado medidas para garantizar una retención limitada de los datos personales.

Por ejemplo, SINCH:

Estableció una política de retención de datos, que define claramente los tipos específicos de datos que se recopilarán, cuánto tiempo se conservarán y cuándo se eliminarán.
Implementó procesos automatizados de eliminación.
Revisa y actualiza periódicamente la política de retención.
Limita la recopilación de datos solo a lo necesario para el propósito comercial específico.
Capacita a los empleados en la retención de datos.
Revisa y supervisa regularmente la retención de datos
Utiliza el cifrado para proteger los datos que se conservan, para reducir el riesgo de acceso o divulgación no autorizados.

17. Medidas para garantizar la responsabilidad

Se han aplicado medidas técnicas y organizativas apropiadas para cumplir los requisitos de responsabilidad.

Por ejemplo, SINCH:

Adoptó e implementó políticas de protección de datos.
Adoptó un enfoque de ‘protección de datos por diseño y por defecto’.
Estableció contratos por escrito con organizaciones que procesan datos personales en nombre de Sinch.
Documentó sus actividades de procesamiento.
Realizó evaluaciones de impacto de la protección de datos.
Designó un DPO de grupo

18. Medidas para permitir la portabilidad de los datos y garantizar el borrado

Las medidas para permitir el ejercicio de los derechos de los titulares de los datos se implementan dentro de Sinch.

Por ejemplo, SINCH:

Borra los datos personales de los sistemas de backup, así como los sistemas en vivo cuando es necesario, y le dice claramente al individuo lo que sucederá con sus datos.
Se pone en contacto con cada destinatario para informarles sobre el borrado, si los datos personales se divulgaron a otros, a menos que esto sea imposible o implique un esfuerzo desproporcionado. Si los datos personales se han hecho públicos en un entorno en línea, la organización toma medidas razonables para informar a otros controladores, si los están procesando, que borren los enlaces, copias o réplicas de esos datos.
Informa al titular de los datos qué terceros han recibido los datos personales siempre que se les solicite.
Proporciona datos personales en un formato estructurado, de uso común y legible por máquina, cuando se solicite. Siempre que sea posible y si un individuo lo solicita, la organización puede transmitir directamente la información a otra organización.

19. Medidas para garantizar la minimización de los datos

Se implementan medidas para minimizar la cantidad de datos procesados.

Por ejemplo, para cada actividad de procesamiento SINCH:

Implementó medidas que garantizan que la recopilación de datos personales sea adecuada, relevante y estrictamente limitada a lo necesario en relación con los fines para los que se procesan.
Ha evaluado que no puede lograr los propósitos de su actividad de procesamiento con menos datos invasivos de privacidad (por ejemplo, trabajando con datos menos granulares) o procesos intrusivos (es decir, utilizando medios menos intrusivos).
Documentó el requerimiento para cada campo de datos en relación con el propósito.Inventário de informações e outros ativos associados

Categoría

Terms and Conditions Policies & Statements Legal Compliance

Aviso de Privacidad Cookie Statement

EMEA Terms Términos y Condiciones Suplementarias para los Servicios Personalizados Messaging Compliance Política de Seguridad de la Información Sub-Processors

Subgrupo de cookies	Cookies	Cookies utilizadas
eu5.mm.sdi.sinch.com	ASP.NET_SessionId	Propias
community.sinch.com	AWSALB , LiSESSIONID	Propias
appengage.sinch.com	dd_cookie_test_	Propias
tickets.sinch.com	atlassian.xsrf.token , JSESSIONID	Propias
cockpit2.sinch.com	SESSION	Propias
engage.sinch.com	instapage-variant-xxxxxxxx	Propias
dashboard.sinch.com	cookietest	Propias
brand.sinch.com	PHPSESSID , AWSALBCORS	Propias
sinch.com	__cf_bm , OptanonConsent , TEST_AMCV_COOKIE_WRITE , OptanonAlertBoxClosed , onesaasCookieSettings, QueryString, functional-cookies, performance-cookies, targeting-cookies, social-cookies lastExternalReferrer, lastExternalReferrertime, cookies, receive-cookie-deprecation _gdvisitor, _gd_session, _gcl_au, _fbp, _an_uid, _utm_zzses, lpv	Propias
mediabrief.com	__cf_bm	De terceros
recaptcha.net	_GRECAPTCHA	De terceros
cision.com	__cf_bm	De terceros
techtarget.com	__cf_bm	De terceros

Subgrupo de cookies	Cookies	Cookies utilizadas
community.sinch.com	ValueSurveyVisitorCount	Propias
buzz.sinch.com	instap-spid.8069 , instap-spses.8069	Propias
appengage.sinch.com	_dd_s	Propias
sinch.com	AMP_TLDTEST , rl_page_init_referrer , rl_trait , _vis_opt_s , __q_state_dp56h9oqwhna9CoL , cb_user_id , __hstc , rl_anonymous_id , rl_user_id , initialTrafficSource , _vwo_uuid , _vwo_uuid_v2 , rl_page_init_referring_domain , _hjIncludedInSessionSample_xxx , apt.uid , __hssrc , test_rudder_cookie , cb%3Atest , __hssc , rl_group_trait , _hjAbsoluteSessionInProgress , _vwo_referrer , _vwo_sn , _vis_opt_test_cookie , _hjFirstSeen , _hjTLDTest , _hjSession_xxxxxx , s_sq , _vwo_ds , rl_group_id , _vis_opt_exp_n_combi , s_cc , _gclxxxx , cb_anonymous_id , cb_group_id , apt.sid , rl_session , _uetvid , AMP_899c7e29a9 , _hjSessionUser_xxxxxx	Propias
brand.sinch.com	AMP_TEST	Propias
engage.sinch.com	no-cache , instap-spses.85bb , instap-spid.85bb	Propias
www.sinch.com	d-a8e6 , s-9da4	Propias
nr-data.net	JSESSIONID	De terceros
sinch-en.newsroom.cision.com	_ga, _gid	De terceros
sinch.in	_ga_xxxxxxxxxx, _gat_UA-XXXXXX-X, _gid, _ga	De terceros
terminus.services	terminustb	De terceros
g.fastcdn.co	instap-spses.85bb	De terceros
hello.learn.mailjet.com	pardot, visitor_id, visitor_id#####	De terceros
www.googletagmanager.com	userId	De terceros
hello.learn.mailgun.com	visitor_id#####, visitor_id	De terceros
dev.visualwebsiteoptimizer.com	_vwo_ssm	De terceros
box.com	box_visitor_id	De terceros
app.box.com	z, cn	De terceros
sinch-tfn.paperform.co	laravel_session	De terceros
go.sinch.in	visitor_id#####, visitor_id	De terceros
Qualified	__q_local_form_debug	Third party
Rudderstack	rudder.inProgress, rudder.3156dd1f-7029-4600-ae54-baf147d9af20.queue, rudder.3156dd1f-7029-4600-ae54-baf147d9af20.ack, rudder.3156dd1f-7029-4600-ae54-baf147d9af20.reclaimStart, rudder.3156dd1f-7029-4600-ae54-baf147d9af20.reclaimEnd,	Third party
6sense	_6senseCompanyDetauls, _6signalTTL	Third party
Appcues	apc_local_id, apc_user	Third party

Subgrupo de cookies	Cookies	Cookies utilizadas
investors.sinch.com	visitor_id	Propias
community.sinch.com	VISITOR_BEACON , LithiumVisitor	Propias
sinch.com	_uetsid , ajs_user_id , _gcl_aw , ajs_group_id , AMCV_ , __utmzzses , _fbp , _gcl_au , AMCVS_	Propias
go.latam.sinch.com	visitor_id##### , pardot	Propias
linkedin.com	li_gc, bcookie, lidc, AnalyticsSyncHistory, UserMatchHistory, li_sugr	De terceros
pi.pardot.com	lpv151751, pardot	De terceros
hsforms.com	_cfuvid	De terceros
google.com	CONSENT	De terceros
sinch.in	_gclxxxx, _gcl_au	De terceros
www.linkedin.com	bscookie	De terceros
bing.com	MUID, MSPTC	De terceros
www.facebook.com		De terceros
hello.learn.mailgun.com	pardot	De terceros
www.youtube.com	TESTCOOKIESENABLED	De terceros
dev.visualwebsiteoptimizer.com	uuid	De terceros
g2crowd.com	__cf_bm	De terceros
pardot.com	visitor_id#####, visitor_id	De terceros
tracking.g2crowd.com	_session_id	De terceros
hubspot.com	__cf_bm, _cfuvid	De terceros
doubleclick.net	test_cookie, IDE	De terceros
youtube.com	CONSENT, VISITOR_PRIVACY_METADATA, VISITOR_INFO1_LIVE	De terceros
go.sinch.in	pardot	De terceros
liadm.com	lidid	De terceros
www.google.com	_GRECAPTCHA	De terceros

Subgrupo de cookies	Cookies	Cookies utilizadas
portal.sinch.com	pnctest	Propias
partner.appengage.sinch.com	_dd_s	Propias
investors.sinch.com	Propias
community.sinch.com	LithiumUserInfo , LithiumUserSecure	Propias
tickets.sinch.com	selectedidp	Propias
engage.sinch.com	ln_or	Propias
cockpit2.sinch.com	CSRF-TOKEN , NG_TRANSLATE_LANG_KEY	Propias
sinch.com	apt.temp-xxxxxxxxxxxxxxxxxx , hubspotutk , ajs%3Acookies , cf_clearance , ajs%3Atest , __tld__ , __q_domainTest , pfjs%3Acookies , ajs_anonymous_id	Propias
auth.appengage.sinch.com	AUTH_SESSION_ID , KEYCLOAK_3P_COOKIE , KEYCLOAK_3P_COOKIE_SAMESITE , KC_RESTART , AUTH_SESSION_ID_LEGACY	Propias
www.recaptcha.net	_GRECAPTCHA	De terceros
boxcdn.net	__cf_bm	De terceros
d2oeshgsx64tgz.cloudfront.net	cookietest	De terceros
sinch-np.paperform.co	XSRF-TOKEN, laravel_session	De terceros
vimeo.com	__cf_bm, vuid	De terceros
sinch-ca-sc.paperform.co	XSRF-TOKEN, laravel_session	De terceros
box.com	site_preference	De terceros
app.box.com	bv	De terceros
sinch-tfn.paperform.co	XSRF-TOKEN	De terceros
cision.com	cf_clearance	De terceros

Subgrupo de cookies	Cookies	Cookies utilizadas
community.sinch.com	ln_or	Propias
sinch.in	_fbp	De terceros
youtube-nocookie.com	CONSENT	De terceros
youtube.com	YSC	De terceros

ACUERDO DE TRATAMIENTO DE DATOS -“DATA PROCESSING AGREEMENT” (“DPA”)

1. Definiciones

2. CUMPLIMIENTO DE LAS LEYES DE PROTECCIÓN DE DATOS APLICABLES

3. DETALLES Y ÁMBITO DEL PROCESAMIENTO

4. RESPONSABLE Y ENCARGADO DEL TRATAMIENTO

5. CONFIDENCIALIDAD

6. MEDIDAS TÉCNICAS Y ORGANIZATIVAS

7. SOLICITUDES DE LOS TITULARES DE LOS DATOS

8. VIOLACIONES DE DATOS PERSONALES

9. EVALUACIONES DE IMPACTO DE LA PROTECCIÓN DE DATOS

10. AUDITORÍAS

11. DEVOLUCIÓN O DESTRUCCIÓN DE LOS DATOS PERSONALES DEL CLIENTE

12. TRANSFERENCIAS DE DATOS

13. SUBENCARGADOS DEL TRATAMIENTO

14. LEY APLICABLE Y JURISDICCIÓN

15. ORDEN DE PRECEDENCIA

16. DISPOSICIONES INDEPENDIENTES

17. TERMINACIÓN

ANEXO 1 – CLÁUSULAS CONTRACTUALES ESTÁNDAR

ANEXO 2 – SEGURIDAD DE LA INFORMACIÓN – MEDIDAS TÉCNICAS Y ORGANIZATIVAS

1. Inventario de información y otros activos asociados

2. Información de autenticación

3. Derechos de acceso

4. Preparación de las TICs para la continuidad del negocio

5. Concienciación, educación y capacitación en seguridad de la información

6. Gestión de capacidad

7. Protección contra malware

8. Gestión de vulnerabilidades técnicas

9. Gestión de Configuración

10. Backup de la Información

11. Actividades de monitoreo

12. Seguridad de la Red

13. Gestión del ciclo de vida del sistema

14. Pruebas de seguridad en el desarrollo y aceptación

15. Medidas para garantizar la seguridad física de los lugares en los que se procesan los datos personales

16. Medidas para garantizar una retención limitada de los datos

17. Medidas para garantizar la responsabilidad

18. Medidas para permitir la portabilidad de los datos y garantizar el borrado

19. Medidas para garantizar la minimización de los datos

Legal and Compliance

Privacy Notices

Other