Última modificación: 8 de agosto de 2023 | Versiones anteriores
Jibe y la contraparte que aceptó este apéndice ("Socio") celebraron un acuerdo para la provisión de los Servicios del Procesador (y las enmiendas que se realicen ocasionalmente, el "Acuerdo").
Jibe y el Socio celebran este Anexo de Procesamiento de Datos (incluidos los apéndices, “Anexo de Procesamiento de Datos”) y complementan el Acuerdo. Este Anexo de Procesamiento de Datos entrará en vigencia y reemplazará cualquier término aplicable anteriormente en relación con su objeto (incluidos los términos de seguridad y procesamiento de datos relacionados con los Servicios del Procesador) a partir de la Fecha de Entrada en Vigencia de las Condiciones.
Si acepta este Anexo de Procesamiento de Datos en nombre del Socio, garantiza que (a) tiene autoridad legal absoluta para vincular al Socio a este Anexo de Procesamiento de Datos, (b) leyó y comprendió este Anexo de Procesamiento de Datos y (c) lo acepta en nombre del Socio. Si no tienes la autoridad legal para vincular al Socio, no aceptes este Anexo de Procesamiento de Datos.
1. Introducción
Este Anexo de Procesamiento de Datos refleja el acuerdo de las partes acerca de las condiciones que rigen el procesamiento y la seguridad de ciertos datos en relación con la Legislación Europea sobre Protección de Datos y Legislación No Europea de Protección de Datos.
2. Definiciones y sus Interpretaciones
2.1 En este Anexo de Procesamiento de Datos:
"Producto Adicional" hace referencia a un producto, servicio o aplicación proporcionado por Jibe o un tercero que: (a) no forma parte de los Servicios del Procesador y (b) es accesible para su uso dentro de la interfaz de usuario de los Servicios del Procesador o está integrado de otro modo con los Servicios del Procesador.
"Condiciones Adicionales de la Legislación No Europea de Protección de Datos" hace referencia a las condiciones adicionales que se mencionan en el Apéndice 3, las cuales reflejan el acuerdo de las partes sobre las condiciones que rigen el procesamiento de ciertos datos en relación con cierta Legislación No Europea de Protección de Datos.
"País Adecuado" hace referencia a lo siguiente:
(a) para los datos procesados sujetos al GDPR de la UE: el EEE o un país o territorio reconocido por garantizar la protección adecuada de los datos en virtud del GDPR de la UE
(b) para los datos procesados sujetos al GDPR del Reino Unido: el Reino Unido o un país o territorio reconocido por garantizar la protección adecuada de los datos en virtud del GDPR del Reino Unido y la Ley de Protección de Datos de 2018
(c) para los datos procesados sujetos a la FDPA de Suiza: Suiza o un país o territorio que (i) se incluya en la lista de los estados cuya legislación garantiza un nivel de protección adecuado según lo publicado por el Comisionado Federal de Protección de Datos y Suiza, o (ii) reconocida como garantía de protección de datos adecuada por parte de la FDPA de Suiza en cada caso
“Solución de Transferencia Alternativa” hace referencia a una solución, excepto SCC, que permite la transferencia legal de datos personales a un tercer país de conformidad con la Legislación Europea sobre Protección de Datos, por ejemplo, un framework de protección de datos reconocido como que garantiza que las entidades locales participantes proporcionan la protección adecuada.
"Incidente de datos" hace referencia a un incumplimiento de la seguridad de Jibe que puede dar lugar a la destrucción, pérdida, alteración o divulgación no autorizadas de los Datos Personales del Socio, o bien a su acceso no autorizado a ellos, en los sistemas administrados o controlados por Jibe. Los "Incidentes de datos" no incluirán actividades ni intentos fallidos que no comprometan la seguridad de los Datos Personales del Socio, lo que incluye intentos de acceso fallidos, pings, análisis de puertos, ataques de denegación de servicio y otros ataques de red en firewalls o sistemas conectados en red.
"Herramienta de sujeto" hace referencia a una herramienta (si la hay) disponible por parte de una entidad de Jibe para los sujetos que le permite a Jibe responder directamente y de manera estandarizada a ciertas solicitudes de sujetos en relación con los Datos Personales de Socios (por ejemplo, la configuración de publicidad en línea o un complemento de inhabilitación para navegadores).
"EEE" hace referencia al Espacio Económico Europeo.
"GDPR de la UE" hace referencia al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 sobre la protección de las personas físicas en relación con el procesamiento de datos personales y la libre circulación de dichos datos, y por el que se deroga la Directiva 95/46/CE.
"Legislación Europea sobre Protección de Datos" significa, según corresponda: (a) el GDPR y (b) la FDPA de Suiza.
"Leyes Europeas" significa, según corresponda: (a) legislación de la UE o de un Estado miembro de la UE (si el GDPR de la UE se aplica al procesamiento de Datos Personales del Socio) o (b) la ley del Reino Unido o parte del Reino Unido (si el GDPR del Reino Unido se aplica al procesamiento de Datos Personales del Socio).
"GDPR" significa, según corresponda: (a) el GDPR de la UE o (b) el GDPR del Reino Unido.
"Jibe" hace referencia a la Entidad de Jibe que es parte del Acuerdo.
"Jibe Entity" se refiere a Jibe Mobile, Inc., Jibe Mobile Limited o a cualquier otra entidad que, ya sea directa o indirectamente, ejerza control sobre Jibe Mobile, Inc. o esté bajo el mismo control que Jibe Mobile, Inc.
“Certificación ISO 27001” hace referencia a la certificación ISO/IEC 27001:2013 o una certificación comparable para los Servicios de procesadores.
"Subprocesador nuevo" tiene el significado proporcionado en la Sección 11.1 (Consentimiento para la participación del Subprocesador).
"Legislación No Europea sobre Protección de Datos" hace referencia a las leyes de privacidad o protección de datos vigentes fuera del EEE, Suiza y el Reino Unido.
“Dirección de Correo Electrónico de Notificación” hace referencia a la dirección de correo electrónico (si la hay): (i) proporcionada por el Socio a Jibe o (ii) designada por el Socio, a través de la interfaz de usuario de los Servicios del Procesador o cualquier otro medio proporcionado por Jibe, para recibir determinadas notificaciones de Jibe relacionadas con este Anexo de Procesamiento de Datos. A modo de aclaración, es responsabilidad del Socio proporcionarle a Jibe una Dirección de Correo Electrónico de Notificación y notificar a Jibe si hay actualizaciones.
"Datos Personales del Socio" hace referencia a los datos personales que procesa Jibe en nombre del Socio en la prestación de los Servicios del Procesador por parte de Jibe.
"SCC para socios" se refiere a las SCC (Controladora a Procesador), SCCs (Procesador a Controlador) o SCC (Procesador a Procesador), según corresponda.
"Servicios del Procesador" hace referencia a los servicios de RCS Business Messaging (como se describe en developers.google.com/business-communications/rcs-business-messaging).
"SCC" hace referencia a las SCCs para Socios o SCCs (Procesador a Procesador, Jibe Exportador), según corresponda.
"SCC (Controlador a Procesador)" hace referencia a las condiciones que figuran en business.safety.google/gdprcontrollerterms/sccs/eu-c2p-dpa.
"SCC (procesador-con-controlador)" hace referencia a las condiciones que figuran en business.safety.google/gdprprocessorterms/sccs/p2c.
"SCC (procesador-procesador)" hace referencia a las condiciones que figuran en business.safety.google/gdprprocessorterms/sccs/eu-p2p-dpa.
"SCC (Procesador a Procesador, Jibe Exportador)" hace referencia a las condiciones que figuran en business.safety.google/gdprprocessorterms/sccs/eu-p2p-intra-group.
“Documentación de Seguridad” hace referencia a la Certificación ISO 27001 y a cualquier otra certificación o documentación de seguridad que Jibe pueda poner a disposición en relación con los Servicios del Procesador.
"Medidas de seguridad" tiene el significado proporcionado en el Artículo 7.1.1 (Medidas de seguridad de Jibe).
"Subprocesadores" hace referencia a terceros autorizados en virtud de este Anexo de Procesamiento de Datos para tener acceso lógico a los Datos Personales del Socio y procesarlos a fin de proporcionar partes de los Servicios del Procesador y cualquier asistencia técnica relacionada.
"Autoridad Supervisora" hace referencia, según corresponda: (a) a una "Autoridad Supervisora", según se define en el GDPR de la UE, o (b) al "Comisionado" según se define en el GDPR del Reino Unido o la FDPA de Suiza.
"FDPA de Suiza" hace referencia a la Ley Federal de Protección de Datos del 19 de junio de 1992 (Suiza).
"Período de Vigencia" hace referencia al período desde la Fecha de Entrada en Vigencia de las Condiciones hasta el final de la prestación de los Servicios del Procesador por parte de Jibe según el Acuerdo.
"Fecha de Entrada en Vigencia de las Condiciones" hace referencia a la fecha de entrada en vigencia del Acuerdo.
"GDPR del Reino Unido" se refiere al GDPR de la UE tal como se enmendó y, luego, incorporó a la ley del Reino Unido en virtud de la Ley de 2018 sobre el abandono del Reino Unido y de la legislación secundaria aplicable de conformidad con esa ley.
2.2 Los términos “controlador”, “sujeto”, “datos personales”, “procesamiento” y “procesador”, como se usan en este Anexo de Procesamiento de Datos, tienen los significados establecidos en el GDPR, y los términos “importador de datos” y “exportador de datos” tienen los significados establecidos en las SCC aplicables.
2.3 Las palabras “incluir” y “incluido” significan “que incluyen, sin limitaciones”. Los ejemplos de este Anexo de Procesamiento de Datos son ilustrativos y no son ejemplos únicos de un concepto en particular.
2.4 Cualquier referencia a un marco legal, estatuto u otro instrumento legislativo hace referencia a él como modificado o reproducido ocasionalmente.
2.5 En la medida en que cualquier versión traducida de este Anexo de Procesamiento de Datos sea inconsistente con la versión en inglés, regirá la versión en inglés.
3. Duración de este Anexo de Procesamiento de Datos
Este Anexo de Procesamiento de Datos entrará en vigencia en las Fechas de Entrada en Vigencia de las Condiciones y, independientemente de si el Plazo venció, permanecerá vigente hasta y vencerá automáticamente cuando Jibe borre todos los Datos Personales del Socio, como se describe en este Anexo de Procesamiento de Datos.
4. Aplicación de este Anexo de Procesamiento de Datos
4.1 Aplicación de la Legislación Europea sobre Protección de Datos. Los Artículos 5 (Procesamiento de Datos) a 12 (Comunicación con Jibe; Registros de Procesamiento) (inclusive) solo se aplicarán en la medida en que la Legislación Europea sobre Protección de Datos se aplique al procesamiento de Datos Personales del Socio, incluido lo siguiente:
(a) el procesamiento se efectúe en el contexto de las actividades de un establecimiento del Socio en el EEE o el Reino Unido
(b) Los Datos Personales de Socios son datos personales relacionados con sujetos que se encuentran en el EEE o el Reino Unido, y el procesamiento se relaciona con la oferta a ellos de bienes o servicios o con la supervisión de su comportamiento en el EEE o el Reino Unido.
4.2 Aplicación a los Servicios del Procesador. Este Anexo de Procesamiento de Datos solo se aplicará a los Servicios del Procesador para los que las partes hayan aceptado este Anexo de Procesamiento de Datos (por ejemplo: (a) los Servicios del Procesador en los que el Socio hizo clic para aceptar este Anexo de Procesamiento de Datos, o (b) si el Acuerdo incorpora este Anexo de Procesamiento de Datos por referencia, los Servicios del Procesador que están sujetos al Acuerdo.
4.3 Incorporación de Condiciones Adicionales para la Legislación No Europea de Protección de Datos. Las Condiciones Adicionales de la Legislación No Europea de Protección de Datos complementan este Anexo de Procesamiento de Datos.
5. Procesamiento de datos
5.1 Funciones y cumplimiento de la normativa; autorización.
5.1.1 Responsabilidades del Procesador y el Controlador. Las partes reconocen y aceptan lo siguiente:
(a) El Apéndice 1 describe el tema y los detalles del procesamiento de los Datos Personales del Socio.
(b) Jibe es un procesador de los Datos Personales de Socios en virtud de la Legislación Europea sobre Protección de Datos
(c) El Socio es controlador o procesador, según corresponda, de los Datos Personales del Socio en virtud de la Legislación Europea sobre Protección de Datos.
(d) cada parte satisfará las obligaciones aplicables en virtud de la Legislación Europea sobre Protección de Datos con respecto al procesamiento de los Datos Personales del Socio.
5.1.2 Socios Procesadores. Si el socio es procesador:
(a) El Socio garantiza de forma continua que el controlador correspondiente autorizó (i) las instrucciones, (ii) la designación del Socio de Jibe como otro procesador y (iii) la participación de Jibe con los Subprocesadores, como se describe en la Sección 11 (Subprocesadores).
(b) El Socio reenviará de inmediato al controlador pertinente cualquier aviso proporcionado por Jibe de acuerdo con los Artículos 5.4 (Notificaciones de instrucciones), 7.2.1 (Notificación de incidentes), 11.4 (Oportunidad de objetar los cambios al subprocesador) o que se refiera a cualquier SCC.
(c) El Socio puede poner a disposición del controlador relevante cualquier información disponible a través de Jibe en los Artículos 7.4 (Certificación de Seguridad), 10.5 (Información del Centro de Datos) y 11.2 (Información sobre los Subprocesadores).
5.2 Instrucciones del Socio. Si acepta este Anexo de Procesamiento de Datos, el Socio le indica a Jibe que procese los Datos Personales del Socio solo de acuerdo con la ley aplicable: (a) para proporcionar los Servicios del Procesador y cualquier asistencia técnica relacionada; (b) según se especifique a través del uso de los Servicios del Procesador (incluidos en la configuración y otras funciones de los Servicios del Procesador) y de la información incluida en este Acuerdo, según lo documentado en la forma del presente Acuerdo, lo que incluye este Anexo incluido en la documentación
5.3 Cumplimiento de Jibe con las Instrucciones. Jibe satisfará las Instrucciones, a menos que las leyes europeas las prohíban.
5.4 Notificaciones de Instrucciones. Jibe notificará al Socio de inmediato si, según la opinión de Jibe: (a) las leyes europeas prohíben que Jibe cumpla con una Instrucción; (b) una Instrucción no cumple con la Legislación Europea sobre Protección de Datos; o (c) Jibe no puede cumplir una Instrucción de alguna otra manera, en cada caso, a menos que esa ley esté prohibida por la ley europea. Este Artículo 5.4 (Notificaciones de Instrucciones) no reduce los derechos ni las obligaciones de ninguna de las partes del Acuerdo.
5.5 Productos Adicionales. Si el Socio usa algún Producto Adicional, los Servicios del Procesador podrán permitir que ese Producto Adicionales acceda a los Datos Personales del Socio según sea necesario para el funcionamiento del Producto Adicional con los Servicios del Procesador. Según sea necesario, las partes celebrarán condiciones de procesamiento de datos independientes para abordar la manera en que el Producto Adicional procesará los Datos Personales del Socio.
6. Eliminación de datos
6.1 Eliminación durante el Período de Vigencia.
6.1.1 Servicios del Procesador con Funcionalidad de Eliminación. Durante el Plazo, si:
(a) La funcionalidad de los Servicios del Procesador incluye la opción para que el Socio borre Datos Personales del Socio
(b) el Socio usa los Servicios del Procesador para borrar ciertos Datos Personales del Socio
(c) El Socio no puede recuperar los Datos Personales borrados (por ejemplo, de la “papelera”), y Jibe borrará estos Datos Personales del Socio de sus sistemas tan pronto como sea razonablemente posible, a menos que las leyes europeas requieran almacenamiento.
6.1.2 Servicios del Procesador sin Funcionalidad de Eliminación. Durante el Plazo, si la funcionalidad de los Servicios del Procesador no incluye la opción de que el Socio borre Datos Personales del Socio, Jibe satisfará cualquier solicitud razonable del Socio para facilitar tal eliminación, siempre que esto sea posible teniendo en cuenta la naturaleza y funcionalidad de los Servicios del Procesador y a menos que las leyes europeas requieran almacenamiento. Jibe puede cobrar una tarifa (según los costos razonables de Jibe) por cualquier eliminación de datos en virtud de este Artículo 6.1.2 (Servicios del Procesador sin Funcionalidad de Eliminación). Jibe le proporcionará al Socio más detalles sobre la tarifa aplicable y la base de su cálculo antes de que se borren los datos.
6.2 Eliminación cuando Expira el Período de Vigencia. Cuando expira el Plazo, el Socio le indica a Jibe que borre todos los Datos Personales del Socio (incluidas las copias existentes) de sus sistemas de acuerdo con las leyes aplicables. Jibe satisfará esta instrucción lo antes posible, a menos que las leyes europeas requieran almacenamiento.
7. Seguridad de los datos
7.1 Medidas y asistencia de la seguridad de Jibe.
7.1.1 Medidas de seguridad de Jibe. Jibe implementará y mantendrá medidas técnicas y organizativas para proteger los Datos Personales del Socio de la destrucción, pérdida, alteración, divulgación o acceso no autorizados o accidentales, como se describe en el Apéndice 2 (las “Medidas de Seguridad”). Como se describe en el Anexo 2, las Medidas de seguridad incluyen medidas: (a) para encriptar datos personales; (b) para ayudar a garantizar la confidencialidad, integridad, disponibilidad y resiliencia constantes de los sistemas y servicios de Jibe; (c) para ayudar a restablecer el acceso oportuno a los datos personales después de un incidente; y (d) para pruebas regulares de eficacia. Jibe puede actualizar o modificar ocasionalmente las Medidas de seguridad, siempre que tales actualizaciones y modificaciones no provoquen una degradación de la seguridad general de los Servicios del Procesador.
7.1.2 Acceso y cumplimiento. Jibe (a) autorizará a sus empleados, contratistas y Subprocesadores para que accedan a los Datos Personales del Socio solo cuando sea estrictamente necesario para cumplir con las Instrucciones, (b) tomarán las medidas apropiadas para garantizar el cumplimiento de las Medidas de Seguridad por parte de sus empleados, contratistas y Subprocesadores en la medida que sean aplicables a su alcance y (c) garantizarán que todas las personas autorizadas a comprometer la confidencialidad de los Datos Personales se comprometan
7.1.3 Asistencia de Seguridad de Jibe. En función de la naturaleza del procesamiento de los Datos Personales del Socio y la información disponible para Jibe, Jibe ayudará al Socio a garantizar el cumplimiento de las obligaciones del Socio (o, cuando el Socio sea el procesador, del controlador relevante) en relación con la seguridad de los datos personales y el incumplimiento de las obligaciones de los datos, incluidas las obligaciones del Socio (o, en los casos en que el Socio sea el procesador, del controlador en cuestión), en virtud de los artículos 34 de 32 a 3
(a) implementar y mantener las Medidas de Seguridad de conformidad con el Artículo 7.1.1 (Medidas de Seguridad de Jibe)
(b) satisfacer las condiciones del Artículo 7.2 (Incidentes de Datos)
(c) proporcionar la Documentación de Seguridad al Socio de acuerdo con el Artículo 7.5.1 (Revisiones de la Documentación de Seguridad) y la información contenida en este Anexo de Procesamiento de Datos.
7.2 Incidentes de Datos.
7.2.1 Notificación de incidentes. Si Jibe se entera de un incidente de datos, Jibe a) avisará al socio sobre el incidente de datos con rapidez y sin retraso, y b) tomará medidas razonables para minimizar el daño y proteger los datos personales del socio.
7.2.2 Detalles del incidente de datos. Las notificaciones realizadas en el Artículo 7.2.1 (Notificación de Incidentes) describirán: la naturaleza del Incidente de datos, incluidos los recursos del Socio afectados, las medidas que Jibe tomó o planea tomar para abordar el Incidente de datos y mitigar su riesgo potencial. Las medidas, si las hubiera, recomiendan que el Socio tome para abordar el Incidente de datos, y los detalles de un punto de contacto donde se pueda obtener más información. Si no es posible proporcionar toda esa información al mismo tiempo, la notificación inicial de Jibe contendrá la información, entonces disponible y se proporcionará información adicional sin retrasos injustificados a medida que esté disponible.
7.2.3 Entrega de notificaciones. Jibe entregará su notificación de cualquier incidente de datos a la dirección de correo electrónico de notificación o, a discreción de Jibe (incluso si el socio no proporcionó una dirección de correo electrónico de notificación), a través de otra comunicación directa (por ejemplo, una llamada telefónica o una reunión presencial). El Socio es el único responsable de proporcionar la Dirección de Correo Electrónico de Notificación y de garantizar que sea actualizada y válida.
7.2.4 Notificaciones de terceros. El Socio es el único responsable de cumplir con las leyes de notificación de incidentes aplicables al Socio y de cumplir con cualquier obligación de notificación de terceros relacionada con cualquier Incidente de datos.
7.2.5 Ausencia de Aceptación de Falla por parte de Jibe. Jibe o su respuesta a un Incidente de datos en virtud de este Artículo 7.2 (Incidentes de datos) no se interpretará como una confirmación de Jibe de cualquier falla o responsabilidad con respecto al incidente.
7.3 Responsabilidad y evaluación de la seguridad del Socio.
7.3.1 Responsabilidades del Socio. El Socio acepta que, sin perjuicio de las obligaciones de Jibe en virtud de los Artículos 7.1 (Medidas y Asistencia de la Seguridad de Jibe) y 7.2 (Incidentes de Datos):
(a) El Socio es responsable del uso que haga de los Servicios del Procesador, lo que incluye lo siguiente:
(i) el uso adecuado de los Servicios del Procesador a fin de garantizar un nivel de seguridad apropiado para el riesgo de los Datos Personales del Socio
(ii) la protección de las credenciales de autenticación de la cuenta, los sistemas y los dispositivos que el Socio usa para acceder a los Servicios del Procesador
(b) Jibe no tiene la obligación de proteger los Datos Personales del Socio que este elija almacenar o transferir fuera de los sistemas de Jibe y sus Subprocesadores.
7.3.2 Evaluación de seguridad del Socio. El Socio reconoce las Medidas de seguridad implementadas y mantenidas por Jibe como se describe en la Sección 7.1.1 (Las Medidas de seguridad de Jibe) proporcionan un nivel de seguridad apropiado para el riesgo para los Datos Personales del Socio, teniendo en cuenta la naturaleza, el alcance, el contexto y los propósitos del procesamiento de los Datos Personales del Socio; los costos de implementación, y los riesgos para las personas.
7.4 Certificación de Seguridad. A fin de evaluar y garantizar la eficacia continua de las Medidas de Seguridad, Jibe mantendrá la Certificación ISO 27001 o alguna otra medida adecuada para demostrar la eficacia de las Medidas de Seguridad.
7.5 Revisiones y auditorías de cumplimiento.
7.5.1 Revisiones de documentación de seguridad. A fin de demostrar el cumplimiento por parte de Jibe de sus obligaciones en virtud de este Anexo de Procesamiento de Datos, Jibe pondrá a disposición del Socio la Documentación de Seguridad.
7.5.2 Derechos de auditoría del Socio.
(a) Jibe permitirá que el Socio o un auditor externo designado por el Socio realicen auditorías (incluidas las inspecciones) para verificar el cumplimiento de Jibe de sus obligaciones en virtud de este Anexo de Procesamiento de Datos de acuerdo con el Artículo 7.5.3 (Condiciones Adicionales para Auditorías). Durante las auditorías, Jibe pondrá toda la información necesaria para demostrar dicho cumplimiento y contribuirá a las auditorías como se describe en el Artículo 7.4 (Certificación de seguridad) y este Artículo 7.5 (Revisiones y auditorías de cumplimiento).
(b) Si las SCC se aplican en virtud del Artículo 10.2 (Transferencias Europeas Restringidas), Jibe permitirá que el Socio (o un auditor externo designado por el Socio) realice auditorías como se describe en las SCC aplicables y, durante dichas auditorías, pondrá a disposición toda la información requerida por esas SCC, de conformidad con la Sección 7.5.3 (Condiciones Adicionales de la Auditoría).
(c) El Socio también puede realizar una auditoría para verificar el cumplimiento de Jibe de sus obligaciones en virtud de este Anexo de Procesamiento de Datos mediante la revisión de cualquier certificado emitido por Jibe por cualquier auditor externo (por ejemplo, una Certificación ISO 27001, si hubiera).
7.5.3 Condiciones Adicionales de la Empresa para Auditorías.
(a) El Socio enviará cualquier solicitud de auditoría de conformidad con los Artículos 7.5.2(a) o 7.5.2(b) a Jibe, como se describe en el Artículo 12.1 (Comunicación con Jibe).
(b) Luego de que Jibe reciba una solicitud en virtud del Artículo 7.5.3(a), se analizarán y acordarán con anticipación la fecha de inicio, el alcance y la duración razonables de la auditoría, así como la duración y los controles de confidencialidad aplicables a cualquier auditoría en virtud del Artículo 7.5.2(a) o 7.5.2(b).
(c) Jibe puede cobrar una tarifa (según los costos razonables de Jibe) por cualquier auditoría según el Artículo 7.5.2(a) o 7.5.2(b). Jibe le proporcionará al Socio detalles adicionales sobre cualquier tarifa aplicable, y la base de su cálculo, antes de esa auditoría. El Socio será responsable de cualquier tarifa que cobre cualquier auditor externo designado por el Socio para ejecutar tal auditoría.
(d) Jibe puede objetar a cualquier auditor de terceros designado por el Socio para realizar cualquier auditoría en virtud del Artículo 7.5.2(a) o 7.5.2(b) si, según su opinión razonable, el auditor no está calificado de manera adecuada o independiente, es un competidor de Jibe o no es adecuado de otro modo. Cualquier objeción de Jibe requerirá que el Socio designe a otro auditor o realice la auditoría en sí mismo.
(e) Ninguna de las disposiciones de este Anexo de Procesamiento de Datos requerirá que Jibe deba divulgarlo al Socio o a su auditor externo o que permita al Socio o a su auditor externo acceder a lo siguiente:
(i) los datos de cualquier otro socio o cliente de una Entidad de Jibe;
(II) la información contable o financiera interna de una Entidad de Jibe
(iii) los secretos comerciales de una Entidad Jibe;
(iv) cualquier información que, según la opinión razonable de Jibe, podría (A) comprometer la seguridad de los sistemas o instalaciones de cualquier Entidad de Jibe; o (B) hacer que una Entidad de Jibe infrinja sus obligaciones de conformidad con la Legislación Europea sobre Protección de Datos o sus obligaciones de seguridad o privacidad con el Socio o cualquier tercero
(v) cualquier información a la que el Socio o su auditor externo busque acceder por cualquier motivo que no sea el cumplimiento de buena fe de las obligaciones del Socio en virtud de la Legislación Europea sobre Protección de Datos
8. Evaluaciones y consultas de impacto
Teniendo en cuenta la naturaleza del procesamiento y la información disponible para Jibe, Jibe lo ayudará a garantizar el cumplimiento de las obligaciones del Socio (o cuando el Socio sea el procesador), del controlador correspondiente en relación con las evaluaciones del impacto de protección de datos y las consultas previas, incluidas (si corresponde) las obligaciones del Socio o del controlador correspondiente en virtud de los artículos 35 y 36 del GDPR, de la siguiente manera:
(a) proporcionar la Documentación de Seguridad de acuerdo con el Artículo 7.5.1 (Revisiones de la Documentación de Seguridad)
(b) proporcionar la información contenida en este Anexo de Procesamiento de Datos
(c) proporcionar o poner a disposición de otros, de conformidad con las prácticas estándar de Jibe, otros materiales relacionados con la naturaleza de los Servicios del Procesador y el procesamiento de los Datos Personales del Socio (por ejemplo, los materiales del Centro de ayuda)
9. Derechos de los sujetos
9.1 Respuestas a Solicitudes de Sujetos. Si Jibe recibe una solicitud de un sujeto en relación con los Datos Personales del Socio, este autoriza a Jibe y, por el presente, Jibe notifica al Socio que hará lo siguiente:
(a) responder directamente a la solicitud del sujeto de acuerdo con la funcionalidad estándar de la Herramienta del Sujeto (si la solicitud se realiza a través de la Herramienta del Sujeto)
(b) aconsejar al sujeto a enviar su solicitud al Socio, y este será responsable de responder a esa solicitud (si la solicitud no se realizó a través de una Herramienta de sujeto)
9.2 Asistencia para Solicitudes de Sujetos de Jibe. Jibe ayudará al Socio (o, si el Socio es un procesador, al controlador correspondiente) a cumplir con sus obligaciones en virtud del GDPR a fin de responder las solicitudes para ejercer los derechos del sujeto, en todos los casos teniendo en cuenta la naturaleza del procesamiento de los Datos Personales del Socio y, si corresponde, el Artículo 11 del GDPR, incluido (si corresponde):
(a) Proporcionar la funcionalidad de los Servicios del Procesador
(b) satisfacer los compromisos estipulados en el Artículo 9.1 (Respuestas a Solicitudes de Sujetos)
(c) si corresponde a los Servicios del Procesador, poner a disposición las Herramientas del Sujeto
9.3 Rectificación. Si el Socio se da cuenta de que sus Datos Personales son imprecisos o desactualizados, será responsable de rectificar o borrar esos datos, si así lo requiere la Legislación Europea sobre Protección de Datos, incluido el uso de las funciones de los Servicios del Procesador, si está disponible.
10. Transferencias de Datos
10.1 Instalaciones para el Almacenamiento de Datos y el Procesamiento. Sujeto al resto de este Artículo 10 (Transferencias de Datos), Jibe puede procesar Datos Personales del Socio en cualquier país en el que Jibe o cualquiera de sus Subprocesadores mantenga instalaciones.
10.2 Transferencias Europeas Restringidas. Las partes reconocen que la Legislación Europea sobre Protección de Datos no requiere las SCC o una Solución de Transferencia Alternativa a fin de procesar Datos Personales de Socios o transferirlos a un País Adecuado.
Si los Datos Personales de Socios se transfieren a otro país y la Legislación Europea sobre Protección de Datos se aplica a esas transferencias ("Transferencia Europea Restringida"), entonces:
(a) Si Jibe adopta una Solución de Transferencia Alternativa para cualquier Transferencia Europea Restringida, le informará al Socio sobre la solución relevante y se asegurará de que esas Transferencias Europeas Restringidas se realicen de acuerdo con esa solución.
(b) Si Jibe no adoptó o informó al Socio que Jibe ya no adoptará una Solución de Transferencia Alternativa para ninguna Transferencia Europea Restringida, ocurrirá lo siguiente:
(i) si la dirección de Jibe se encuentra en un país adecuado:
(A) las SCC (de Procesador a Procesador, Jibe Exportador) se aplicarán con respecto a dichas Transferencias Europeas Restringidas de Jibe a Subprocesadores.
(B) además, si la dirección del Socio no se encuentra en un país adecuado, se aplicarán las SCC (procesador a controlador) con respecto a las transferencias europeas restringidas entre Jibe y el socio (sin importar si el socio es un controlador o un procesador)
(ii) si la dirección de Jibe no se encuentra en un país adecuado:
se aplicarán las SCC (Controladora a Procesador) o SCCs (Procesador a Procesador) (según si el Socio es un controlador o procesador) con respecto a dichas Transferencias Europeas Restringidas entre el Socio y Jibe.
(c) Las referencias a Google LLC o Google y a Usted en cualquiera de las SCC serán para Jibe y el Socio, respectivamente.
10.3 Información y medidas complementarias. Jibe le proporcionará al Socio información relevante sobre las Transferencias Europeas Restringidas, incluida información sobre medidas complementarias para proteger los Datos Personales del Socio, como se describe en el Artículo 7.5.1 (Revisiones de la Documentación de Seguridad), Apéndice 2 (Medidas de Seguridad) y otros materiales relacionados con la naturaleza de los Servicios del Procesador y el procesamiento de los Datos Personales del Socio (por ejemplo, los artículos del Centro de ayuda).
10.4 Rescisión. Si el Socio concluye, según su uso actual o previsto de los Servicios del Procesador, que la Solución de Transferencia Alternativa o las SCC, según corresponda, no proporciona las protecciones adecuadas para los Datos Personales del Socio, puede finalizar inmediatamente el Acuerdo por conveniencia mediante una notificación por escrito a Jibe.
10.5 Información del Centro de Datos. La información sobre las ubicaciones de los centros de datos de Google LLC está disponible en www.google.com/about/datacenters/locations/index.html.
11. Subprocesadores
11.1 Consentimiento para la Participación del Subprocesador. El Socio autoriza específicamente la participación de los Subprocesadores que se enumeran en la Sección 11.2 (Información sobre los Subprocesadores) a partir de la Fecha de Entrada en Vigencia de las Condiciones. Además, el Socio autoriza, en general, la participación de cualquier otro tercero como Subprocesadores ("Subprocesadores nuevos") sujetos a la Sección 11.4 (Oportunidad de objetar los cambios del subprocesador).
11.2 Información sobre los Subprocesadores. A pedido del socio, Jibe brindará la información relacionada con los Subprocesadores y sus ubicaciones. Se debe enviar la solicitud a Jibe con los detalles de contacto establecidos en la Sección 12.1 (Comunicación con Jibe).
11.3 Requisitos para la participación del Subprocesador. Cuando interactúe con cualquier Subprocesador, Jibe hará lo siguiente:
(a) garantizar, mediante un contrato escrito, que:
(i) el Subprocesador solo accede a los Datos Personales del Socio y los usa en la medida necesaria para cumplir con las obligaciones subcontratadas en virtud de este y de acuerdo con el Acuerdo (incluido este Anexo de Procesamiento de Datos)
(ii) si el procesamiento de Datos Personales del Socio está sujeto a la Legislación Europea sobre Protección de Datos, las obligaciones de protección de datos de este Anexo de Procesamiento de Datos (como se menciona en el Artículo 28(3) del GDPR, si corresponde) se imponen al Subprocesador.
(b) será completamente responsable de todas las obligaciones subcontratadas por el Subprocesador y de todos los actos y omisiones de este.
11.4 Oportunidad para Oponerse a los Cambios del Subprocesador.
(a) Si se subcontrata cualquier Subprocesador nuevo durante el Plazo, al menos 30 días antes de que el Subprocesador nuevo procese los Datos Personales del Socio, Jibe informará al Socio de la participación (incluidos el nombre y la ubicación del subprocesador relevante y las actividades que realizará) mediante el envío de un correo electrónico a la Dirección de correo electrónico de notificación.
(b) El Socio puede oponerse a cualquier Subprocesador nuevo mediante la rescisión del Acuerdo por conveniencia de la recepción de una notificación por escrito a Jibe, siempre que el Socio proporcione este aviso en un plazo de 90 días a partir de la fecha en que se informó sobre la participación del Subprocesador nuevo, como se describe en la Sección 11.4(a).
12. Contactando a Jibe; procesando registros
12.1 Comunicación con Jibe. Cuando ejerza sus derechos en virtud de este Anexo de Procesamiento de Datos, el Socio puede comunicarse con Jibe a través del contacto de protección de datos RCS de Jibe al que se puede contactar mediante issuetracker.google.com, o a través de cualquier otro medio que le proporcione Jibe.
12.2 Registros de procesamiento de Jibe. Jibe mantendrá la documentación adecuada de sus actividades de procesamiento según lo requiera el GDPR. El Socio reconoce que, en virtud del GDPR, se le exige a Jibe que realice las siguientes acciones: (a) recopilar y mantener registros de cierta información, que incluye lo siguiente: (i) el nombre y los detalles de contacto de cada procesador o controlador en nombre de los que actúa y, si corresponde, del representante local y responsable de la protección de datos de dicho procesador, y (ii) si es aplicable, el supervisor de la autoridad o la autoridad (consulta la autoridad supervisora) del socio. En consecuencia, cuando el Socio lo solicite y, según corresponda, el Socio proporcionará a Jibe esa información a través de la interfaz de usuario de los Servicios del Procesador o por cualquier otro medio que proporcione Jibe, y usará esa interfaz de usuario o cualquier otro medio para garantizar que toda la información proporcionada sea precisa y esté actualizada.
12.3 Solicitudes del Controlador. Si Jibe recibe una solicitud o una instrucción de un tercero que pretende ser un controlador de los Datos Personales del Socio, le recomendará que se comunique con el Socio.
13. Responsabilidad
Si el Acuerdo se rige por las leyes:
(a) un estado de los Estados Unidos de América, independientemente de cualquier otra parte del Acuerdo, la responsabilidad total de cualquiera de las partes hacia la otra parte en relación con este Anexo de Procesamiento de Datos o en relación con él se limitará al importe máximo basado en pagos o dinero en el que se restringa la responsabilidad de esa parte en virtud del Acuerdo (y, por lo tanto, cualquier exclusión de los reclamos de confidencialidad o protección de datos que se realicen en virtud del Acuerdo no se aplicará a las demandas de Ley o Protección de Datos)
(b) una jurisdicción que no sea un estado de los Estados Unidos, la responsabilidad total combinada de las partes y sus afiliados en virtud de este Anexo de Procesamiento de Datos o en relación con él estará sujeta al Acuerdo.
14. Efecto de este Anexo de Procesamiento de Datos
14.1 Orden de Prioridad. En caso de conflicto o incoherencia entre las SCC, las Condiciones Adicionales de la Legislación No Europea de Protección de Datos, este Anexo de Procesamiento de Datos y el resto del Acuerdo, se aplicará el siguiente orden de prioridad:
(a) las SCC
(b) las Condiciones Adicionales de la Legislación No Europea sobre Protección de Datos
(c) el resto de este Anexo de Procesamiento de Datos
(d) el resto del Acuerdo.
Sujeto a las enmiendas de este Anexo de Procesamiento de Datos, el Acuerdo permanecerá plenamente en vigencia.
14.2 No se Modifican las SCC. Ninguna disposición del Acuerdo (incluido este Anexo de Procesamiento de Datos) pretende modificar o contradecir ninguna SCC o reducir los derechos o las libertades fundamentales de los sujetos en virtud de la Legislación Europea sobre Protección de Datos.
14.3 Sin Efecto en las Condiciones del Controlador. Este Anexo de Procesamiento de Datos no afectará ningún término independiente entre Jibe y el Socio que refleje una relación de controlador y controlador para un servicio que no sea los Servicios del Procesador.
14.4 SCC heredadas del Reino Unido. A partir del 21 de septiembre de 2022 o la fecha de entrada en vigencia del Acuerdo, lo que ocurra después, se aplicarán las condiciones complementarias de las SCC para la transferencia del GDPR del Reino Unido, y sustituirán y rescindirán cualquier cláusula contractual estándar aprobada en virtud del GDPR del Reino Unido y la Ley de Protección de Datos de 2018, que anteriormente se acordaron entre el Socio y Jibe (“SCC heredadas del Reino Unido”). Esta Sección 14.4 (SCC heredado del Reino Unido) no afectará los derechos de ninguna de las partes ni los derechos de los sujetos que puedan haberse acumulado en virtud de las SCC del Reino Unido mientras estaban en vigencia.
15. Cambios en este Anexo de Procesamiento de Datos
15.1 Cambios en las URL. Cada tanto, Jibe podrá cambiar cualquier URL a la que se haga referencia en este Anexo de Procesamiento de Datos y el contenido en cualquiera de tales URL, excepto que Jibe solo podrá cambiar las SCC de conformidad con los Artículos 15.2(b) - 15.2(d) (Cambios en el Anexo de Procesamiento de Datos que se apliquen a las reglamentaciones de la UE).
15.2 Cambios en el Anexo de Procesamiento de Datos. Jibe puede cambiar este Anexo de Procesamiento de Datos en los siguientes casos:
(a) está expresamente permitido por este Anexo de Procesamiento de Datos, incluido en virtud de lo descrito en el Artículo 15.1 (Cambios en las URL)
(b) refleje un cambio en el nombre o la forma de una entidad legal;
(c) debe satisfacer la ley aplicable, la reglamentación aplicable, una orden judicial o una orientación emitida por un organismo o un organismo gubernamental gubernamental, o refleja la adopción de una Solución de transferencia alternativa por parte de Jibe
(d) (i) no generará una degradación de la seguridad general de los Servicios del Procesador; (ii) ampliará el alcance de las restricciones en cuanto a la Legislación No Jinetaria, o derechos de Jibe para usar o procesar de algún otro modo el alcance de las Condiciones Adicionales de la Legislación sobre Protección de Datos o del Problema de los Datos del Anexo en el caso de “Enseñanza del procesamiento de datos”.
15.3 Notificación de Cambios. Si Jibe pretende cambiar este Anexo de Procesamiento de Datos en virtud del Artículo 15.2(c) o (d), Jibe informará al Socio al menos 30 días (o el período más corto que sea necesario para satisfacer la ley aplicable, la reglamentación aplicable, una orden judicial o una orientación emitida por un organismo regulador o una agencia gubernamental) antes de que el cambio entre en vigencia por medio de una de las siguientes opciones: (a) el envío de un correo electrónico a la Dirección de Correo Electrónico del Usuario de la Notificación. Si el Socio se opone a tal cambio, el Socio puede rescindir el Acuerdo por conveniencia mediante un aviso por escrito a Jibe dentro de los 90 días de haber sido informado por Jibe sobre el cambio.
Apéndice 1: Asunto y detalles del procesamiento de datos
Asunto
La prestación por parte de Jibe de los Servicios del Procesador y cualquier asistencia técnica relacionada con el Socio
Duración del procesamiento
El Período más el período que transcurre desde que finaliza el Plazo hasta que Jibe borre todos los Datos Personales del Socio de conformidad con este Anexo de Procesamiento de Datos.
Naturaleza y Propósito del Procesamiento
Jibe procesará los Datos Personales del Socio, lo que incluye (según corresponda, la naturaleza de los Servicios del Procesador y las Instrucciones) recopilar, grabar, organizar, estructurar, almacenar, alterar, recuperar, usar, divulgar, combinar, borrar y destruir los Datos Personales del Socio con el fin de proporcionar los Servicios del Procesador y cualquier asistencia técnica relacionada al Socio de acuerdo con este Anexo de Procesamiento de Datos.
Tipos de datos personales
Datos personales relacionados con personas físicas proporcionadas a Jibe mediante los Servicios de Procesamiento, por parte del Socio (o por orden de) o por los usuarios finales del Socio.
Categorías de sujetos
Los sujetos incluyen a las personas sobre las que se proporcionan los datos a Jibe mediante los Servicios del Procesador (o por orden del socio) o por medio de un Socio.
Apéndice 2: Medidas de seguridad
A partir de la Fecha de Entrada en Vigencia de las Condiciones, Jibe implementará y mantendrá las Medidas de Seguridad en este Apéndice 2. Jibe podrá actualizar o modificar ocasionalmente las Medidas de Seguridad, siempre que tales actualizaciones y modificaciones no provoquen una degradación de la seguridad general de los Servicios del Procesador.
1. Centro de datos y seguridad de red
(a) Centros de datos.
Infraestructura Jibe mantiene centros de datos distribuidos geográficamente. Jibe almacena todos los datos de producción en centros de datos físicamente seguros.
Redundancia. Los sistemas de infraestructura se diseñaron para eliminar los puntos únicos de fallo y minimizar el impacto de los riesgos ambientales previstos. Los dobles circuitos, los interruptores, las redes u otros dispositivos necesarios ayudan a proporcionar esta redundancia. Los Servicios del Procesador están diseñados para permitir que Jibe realice ciertos tipos de mantenimiento preventivo y sin interrupciones. Todos los equipos y las instalaciones ambientales tienen procedimientos de mantenimiento preventivo documentados que detallan el proceso y la frecuencia de rendimiento de acuerdo con las especificaciones internas o del fabricante. El mantenimiento preventivo y correctivo del equipo del centro de datos se programa mediante un proceso estándar de acuerdo con los procedimientos documentados.
Potencia. Los sistemas de energía eléctrica de los centros de datos están diseñados para ser redundantes y fáciles de mantener sin impacto en las operaciones continuas, las 24 horas del día, y los 7 días de la semana. En la mayoría de los casos, se proporciona una fuente de alimentación principal y una alternativa, cada una con la misma capacidad, para los componentes fundamentales de la infraestructura del centro de datos. La alimentación de respaldo está a cargo de varios mecanismos, como las baterías de alimentación ininterrumpida (UPS), que proporcionan una protección de energía confiable y constante durante los cortes de electricidad de los servicios públicos, apagones, sobretensión, subvoltaje y condiciones de frecuencia fuera de tolerancia. Si se interrumpe la alimentación eléctrica, la energía de respaldo está diseñada para proporcionar energía transitoria al centro de datos, a máxima capacidad, hasta 10 minutos hasta que los sistemas generadores de copias de seguridad tomen el control. Los generadores son capaces de iniciarse automáticamente en segundos a fin de proporcionar suficiente energía eléctrica para que el centro de datos funcione a máxima capacidad durante un período de días.
Sistemas operativos del servidor Los servidores Jibe usan sistemas operativos endurecidos que están personalizados para las necesidades únicas del servidor de la empresa. Los datos se almacenan mediante algoritmos propios para aumentar la seguridad y la redundancia de los datos. Jibe emplea un proceso de revisión de código a fin de aumentar la seguridad del código que se usa para proporcionar los Servicios del procesador y mejorar los productos de seguridad en entornos de producción.
Continuidad empresarial. Jibe replica los datos en varios sistemas para ayudar a protegerlos contra la destrucción o la pérdida accidentales. Jibe diseñó y prueba con regularidad sus programas de planificación de recuperación ante desastres y de planificación de la continuidad comercial.
Tecnologías de encriptación. Las políticas de seguridad de Jibe exigen la encriptación en reposo para todos los datos del usuario, incluidos los datos personales. A menudo, los datos se encriptan en varios niveles de la pila de almacenamiento de producción de Jibe en los centros de datos, incluso a nivel del hardware, sin necesidad de que los socios o clientes realicen ninguna acción. El uso de varias capas de encriptación agrega protección de datos redundante y permite que Jibe seleccione el enfoque óptimo en función de los requisitos de la aplicación. Todos los datos personales se encriptan a nivel de almacenamiento, por lo general, mediante AES256. Jibe usa bibliotecas criptográficas comunes que incorporan el módulo validado por FIPS 140-2 de Jibe para implementar la encriptación de forma coherente en todos los servicios del procesador.
(b) Redes y transmisión.
Transmisión de Datos. Los centros de datos suelen conectarse a través de vínculos privados de alta velocidad para proporcionar una transferencia de datos segura y rápida entre los centros de datos. Está diseñado para evitar que los datos se lean, copien, alteren o quiten sin autorización durante el transporte electrónico. Jibe transfiere datos mediante protocolos estándar de Internet.
Superficie de ataque externo. Jibe emplea varias capas de dispositivos de red y detección de intrusiones para proteger su superficie de ataque externa. Jibe considera los posibles vectores de ataque y, además, incorpora tecnologías desarrolladas con el propósito adecuado en los sistemas externos.
Detección de intrusiones. El objetivo de la detección de intrusiones es proporcionar estadísticas sobre las actividades de ataque en curso y proporcionar la información adecuada para responder a los incidentes. La detección de intrusiones de Jibe implica lo siguiente:
Tener control estricto del tamaño y la composición de la superficie de ataque de Jibe mediante medidas preventivas.
Emplear controles de detección inteligentes en puntos de entrada de datos
Emplear tecnologías que solucionen de forma automática ciertas situaciones peligrosas
Respuesta ante incidentes. Jibe supervisa una variedad de canales de comunicación en busca de incidentes de seguridad, y el personal de seguridad de Jibe reaccionará de inmediato ante los incidentes conocidos.
Tecnologías de encriptación. Jibe pone a disposición la encriptación HTTPS (también conocida como conexión TLS). Los servidores Jibe admiten la curva elíptica efímera de Diffie Hellman en el intercambio de claves criptográficas con RSA y ECDSA. Estos métodos perfectos de confidencialidad directa (PFS) ayudan a proteger el tráfico y a minimizar el impacto de una clave comprometida o de una ruptura criptográfica.
2. Controles de acceso y del sitio
(a) Controles del Sitio.
Operación de seguridad del centro de datos en las instalaciones. Los centros de datos de Jibe mantienen las operaciones de seguridad en las instalaciones responsables de todas las funciones de seguridad de los centros de datos físicos las 24 horas del día, los 7 días de la semana. El personal de las operaciones de seguridad en las instalaciones supervisa las cámaras de circuito cerrado de TV ("CCTV") y todos los sistemas de alarma. El personal de las operaciones de seguridad en las instalaciones realiza patrullas internas y externas del centro de datos con regularidad.
Procedimientos de acceso al centro de datos Jibe mantiene procedimientos de acceso formales para permitir el acceso físico a los centros de datos. Los centros de datos se alojan en instalaciones que requieren acceso a la llave electrónica de la tarjeta, con alarmas vinculadas a la operación de seguridad en las instalaciones. Todos los participantes del centro de datos deben identificarse y mostrar pruebas de identidad a las operaciones de seguridad en las instalaciones. Solo los empleados, contratistas y visitantes autorizados pueden ingresar a los centros de datos. Solo los empleados y contratistas autorizados pueden solicitar el acceso mediante llaves electrónicas a estas instalaciones. Las solicitudes de acceso a la clave electrónica de la tarjeta de datos deben realizarse con anticipación y por escrito, y requieren la aprobación del personal autorizado del centro de datos. Todos los demás participantes que requieran acceso temporal al centro de datos deben: (i) obtener la aprobación por adelantado de los administradores del centro de datos para el centro de datos específico y las áreas internas que desean visitar, (ii) acceder a las operaciones de seguridad en las instalaciones y (iii) hacer referencia a un registro de acceso al centro de datos aprobado que identifique a la persona como aprobada.
Dispositivos de seguridad para centros de datos en las instalaciones. Los centros de datos de Jibe usan una clave de tarjeta electrónica y un sistema de control de acceso biométrico que está vinculado a una alarma del sistema. El sistema de control de acceso supervisa y registra la clave de la tarjeta electrónica de cada persona y cuando accede a las puertas perimetrales, el envío y la recepción, y a otras áreas críticas. El sistema de control de acceso registra la actividad no autorizada y los intentos de acceso fallidos, según corresponda. El acceso autorizado a través de las operaciones comerciales y los centros de datos se restringe en función de las zonas y las responsabilidades laborales de la persona. Se alarma a las puertas de incendios de los centros de datos. Las cámaras CCTV funcionan en el interior y el exterior de los centros de datos. El posicionamiento de las cámaras se diseñó para cubrir áreas estratégicas, como el perímetro, las puertas del edificio del centro de datos y el envío y recepción, entre otros aspectos. El personal de operaciones de seguridad en las instalaciones administra el equipo de supervisión, grabación y control de CCTV. Los cables seguros en los centros de datos conectan el equipo CCTV. Las cámaras graban en las instalaciones mediante grabadoras de video digitales las 24 horas, todos los días. Los registros de vigilancia se conservan durante al menos 7 días en función de la actividad.
(b) Control de Acceso.
Personal de seguridad de infraestructura. Jibe tiene y mantiene una política de seguridad para su personal y requiere capacitación en seguridad como parte del paquete de entrenamiento para su personal. El personal de seguridad de la infraestructura de Jibe es responsable de la supervisión continua de la infraestructura de seguridad de Jibe, la revisión de los Servicios del Procesador y la respuesta a los incidentes de seguridad.
Control de acceso y administración de privilegios. Los administradores y usuarios del socio deben autenticarse mediante un sistema de autenticación central o un sistema de inicio de sesión único para usar los servicios del procesador.
Políticas y procesos de acceso a datos internos – Política de acceso. Los procesos y políticas de acceso a datos internos de Jibe están diseñados para evitar que personas o sistemas no autorizados obtengan acceso a los sistemas que se usan para procesar datos personales. Jibe tiene como objetivo diseñar sus sistemas para (i) permitir que solo las personas autorizadas accedan a los datos a los que tiene acceso y (ii) garantizar que los datos personales no se puedan leer, copiar, alterar ni quitar sin autorización durante el procesamiento, el uso y la grabación. Los sistemas están diseñados para detectar cualquier acceso inapropiado. Jibe emplea un sistema de administración de acceso centralizado para controlar el acceso del personal a los servidores de producción y solo proporciona acceso a una cantidad limitada de personal autorizado. LDAP, Kerberos y un sistema de propiedad que usan certificados digitales están diseñados para proporcionarle a Jibe mecanismos de acceso seguros y flexibles. Estos mecanismos se diseñaron para otorgar solo derechos de acceso aprobados a hosts de sitios, registros, información de configuración y datos. Jibe requiere el uso de ID de usuario únicos, contraseñas seguras, autenticación de dos factores y listas de acceso supervisadas cuidadosamente para minimizar el potencial de uso no autorizado de la cuenta. La concesión o modificación de los derechos de acceso se basa en las responsabilidades laborales del personal autorizado, los requisitos de trabajo necesarios para realizar tareas autorizadas y la necesidad de saberlo. La concesión o modificación de los derechos de acceso también debe cumplir con las políticas y el entrenamiento de acceso a datos internos de Jibe. Las herramientas de flujo de trabajo administran las aprobaciones, para mantener registros de auditoría sobre todos los cambios. Se registra el acceso a los sistemas a fin de crear un registro de auditoría para la responsabilidad. Cuando las contraseñas se emplean para la autenticación (por ejemplo, el acceso a estaciones de trabajo), se implementan políticas de contraseñas que siguen, al menos, las prácticas estándar de la industria. Estos estándares incluyen restricciones sobre la reutilización de contraseñas y la seguridad de las contraseñas.
3. Datos
(a) Almacenamiento de Datos, Aislamiento y Autenticación.
Jibe almacena datos en un entorno multiusuario en los servidores de Google LLC. Los datos, la base de datos de los servicios del procesador y la arquitectura del sistema de archivos se replican entre varios centros de datos en distintas ubicaciones geográficas. Jibe aísla de manera lógica los datos de cada socio o cliente. Se usa un sistema de autenticación central en todos los servicios del procesador para aumentar la seguridad uniforme de los datos.
(b) Discos fuera de servicio y lineamientos sobre la destrucción de discos
Ciertos discos que contienen datos pueden experimentar problemas de rendimiento, errores o fallas de hardware que los hacen retirar de servicio (“Disco retirado”). Todos los discos que se retiraron están sujetos a una serie de procesos de destrucción de datos (los “Lineamientos de destrucción de datos”) antes de dejar las instalaciones de Jibe para su reutilización o destrucción. Los discos que se retiraron de servicio se borran en un proceso de varios pasos y se verifican con al menos dos validadores independientes. Los resultados de borrado se registran mediante el número de serie del disco fuera de servicio para el seguimiento. Por último, el disco retirado que se retiró se lanzó en el inventario para su reutilización y reimplementación. Si, debido a una falla de hardware, el disco fuera de servicio no se puede borrar, se almacenará de forma segura hasta que se pueda destruir. Cada instalación se audita con regularidad para supervisar el cumplimiento de los Lineamientos de destrucción de datos.
(c) Datos seudónimos.
Los datos de publicidad en línea suelen asociarse con identificadores en línea que se consideran "seudónimos" (es decir, no se pueden atribuir a una persona específica sin el uso de información adicional). Jibe tiene un conjunto sólido de políticas y controles técnicos y organizacionales para garantizar la separación entre los datos seudónimos y la información de identificación personal del usuario (es decir, la información que se podría usar por sí sola para identificar de manera directa, contactar o localizar con precisión a una persona), como los datos de la cuenta de Jibe de un usuario. Las políticas de Jibe solo permiten flujos de información entre datos seudónimos y de identificación personal en circunstancias estrictamente limitadas.
(d) Revisiones de Lanzamientos.
Antes de lanzar el producto, Jibe revisa los lanzamientos de los productos y las funciones nuevos. Esto incluye una revisión de privacidad realizada por ingenieros de privacidad especialmente entrenados. En las revisiones de privacidad, los ingenieros de privacidad se aseguran de que se sigan todos los lineamientos y políticas de Jibe aplicables, incluidas, sin limitaciones, las políticas relacionadas con la seudonimización y la retención y eliminación de datos.
4. Seguridad del personal
El personal de Jibe debe comportarse de manera coherente con los lineamientos de la empresa relacionados con la confidencialidad, la ética empresarial, el uso adecuado y los estándares profesionales. Jibe realiza una verificación de antecedentes razonablemente adecuada en la medida en que la ley lo permita y de acuerdo con las leyes y reglamentaciones legales locales aplicables.
El personal debe ejecutar un acuerdo de confidencialidad y confirmar la recepción y el cumplimiento de las políticas de confidencialidad y privacidad de Jibe. El personal recibe la capacitación en seguridad. El Personal que maneja los Datos Personales del Socio debe completar los requisitos adicionales adecuados para su función. El personal de Jibe no procesará los Datos Personales del Socio sin su autorización.
5. Seguridad del subprocesador
Antes de integrar los Subprocesadores, Jibe realiza una auditoría de las prácticas de seguridad y privacidad de los Subprocesadores para garantizar que proporcionen un nivel de seguridad y privacidad apropiado para su acceso a los datos y el alcance de los servicios que se comprometen a proporcionar. Una vez que Jibe evaluó los riesgos que presenta el Subprocesador, este debe aceptar las condiciones adecuadas del contrato de seguridad, confidencialidad y privacidad, sujeto a los requisitos de la Sección 11.3 (Requisitos para la Participación del Subprocesador).
Apéndice 3: Condiciones Adicionales de la Legislación No Europea de Protección de Datos
Las siguientes Condiciones Adicionales de la Legislación No Europea de Protección de Datos complementan este Anexo de Procesamiento de Datos:
- Anexo de Procesadores de la LGPD en business.safety.google/processorterms/lgpd (con fecha del 27 de agosto de 2020)
- Anexo de la Ley Estatal de los Estados Unidos en business.safety.google/processorterms/us-state-laws (con fecha del 12 de diciembre de 2022)
Las referencias a Google LLC o Google en el Anexo de Procesadores de la LGPD y el Anexo de la Ley Estatal de EE.UU. serán para Jibe.
Anexo de Procesamiento de Datos de Jibe, versión 4.0