Actualizaciones: Consulte las notas de la versión para conocer las funciones nuevas y las actualizaciones de productos.

Se usó la API de Cloud Translation para traducir esta página.

Apéndice de procesamiento de datos

Última modificación: 2 de noviembre de 2020

Jibe y la contraparte que acepta este anexo (“Empresa”) celebraron un acuerdo para el aprovisionamiento de los Servicios del Encargado del Tratamiento de Datos (con las enmiendas que se realicen de vez en cuando, el “Acuerdo”).

Jibe y la Empresa celebran este Apéndice de Tratamiento de Datos (incluidos los apéndices, "Apéndice de Tratamiento de Datos") que complementa el Acuerdo. Este Anexo de Tratamiento de Datos entrará en vigencia y reemplazará cualquier condición aplicable anteriormente relacionada con su objeto (incluidas las condiciones de seguridad y procesamiento de datos relacionadas con los Servicios del Encargado del Tratamiento de Datos) a partir de la Fecha de Entrada en Vigencia de las Condiciones.

Si acepta este Anexo de Tratamiento de Datos en nombre de la Empresa, garantiza que (a) tiene plena autoridad legal para vincular a la Empresa a este Anexo de Tratamiento de Datos, (b) leyó y comprende este Anexo de Tratamiento de Datos, y (c) acepta este Anexo de Tratamiento de Datos en nombre de la Empresa. Si no tiene la autoridad legal para vincular a la Empresa, no acepte este Apéndice de Tratamiento de Datos.

1. Introducción

Este Apéndice de Tratamiento de Datos refleja el acuerdo de las partes respecto de las condiciones que rigen el tratamiento y la seguridad de los Datos Personales de la Empresa en relación con la Legislación Europea de Protección de Datos y cierta Legislación de Protección de Datos no Europea.

2. Definiciones y sus Interpretaciones

2.1 En este Anexo de Tratamiento de Datos:

“Producto Adicional” hace referencia a un producto, servicio o aplicación que proporciona Jibe o un tercero que (a) no forma parte de los Servicios del Procesador y (b) al que se puede acceder para usarlo en la interfaz de usuario de los Servicios del Procesador o que, de otro modo, está integrado en ellos.

"Condiciones Adicionales de la Legislación No Europea de Protección de Datos" hace referencia a las condiciones adicionales que se mencionan en el Apéndice 3, las cuales reflejan el acuerdo de las partes sobre las condiciones que rigen el tratamiento de ciertos datos en relación con cierta Legislación No Europea de Protección de Datos.

"Afiliado" hace referencia a cualquier entidad que, ya sea de forma directa o indirecta, ejerza control sobre una parte, esté bajo el control de una de las partes o esté bajo el mismo control que una de las partes.

"Datos Personales de la Empresa" hace referencia a los datos personales que Jibe trata en nombre de la Empresa en la prestación de los Servicios de Procesador.

"Incidente de Datos" hace referencia a un incumplimiento de la seguridad de Jibe que puede dar como resultado, de forma accidental o ilegal, la destrucción, pérdida, alteración o divulgación no autorizada de los Datos Personales de la Empresa, o el acceso a ellos, en sistemas administrados o de otra manera controlados por Jibe. Los “Incidentes de Datos” no incluirán actividades o intentos fallidos que no comprometan la seguridad de los Datos Personales de la Empresa, incluidos los intentos de acceso sin éxito, pings, análisis de puertos, ataques de denegación del servicio y otros ataques de red en firewalls o sistemas en red.

"Legislación sobre Protección de Datos" significa, según corresponda: (a) la Legislación Europea sobre Protección de Datos o (b) la Legislación sobre Protección de Datos no Europea.

"Herramienta del Sujeto" hace referencia a una herramienta (si la hay) que una Entidad de Jibe pone a disposición de los sujetos que permite a Jibe responder directamente y de forma estandarizada a ciertas solicitudes de los sujetos en relación con los Datos Personales de la Empresa (por ejemplo, un complemento de navegador para inhabilitar la opción).

"EEE" significa Espacio Económico Europeo.

"RGPD de la UE" hace referencia al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, del 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE.

"Legislación Europea de Protección de Datos" significa, según corresponda: (a) el RGPD o (b) la Ley Federal de Protección de Datos del 19 de junio de 1992 (Suiza).

"Legislación Europea o Nacional" hace referencia, según corresponda, a (a) la legislación de la UE o de un Estado Miembro de la UE (si se aplica el GDPR de la UE al procesamiento de los Datos Personales de la Empresa) o (b) a la legislación del Reino Unido o de una parte del Reino Unido (si se aplica el GDPR del Reino Unido al procesamiento de los Datos Personales de la Empresa).

"GDPR" significa, según corresponda: (a) el GDPR de la UE o (b) el GDPR del Reino Unido.

“Jibe” se refiere a la Entidad de Jibe que es parte del Acuerdo.

“Subprocesadores de Afiliados de Jibe” tiene el significado que se indica en el Artículo 11.1 (Consentimiento para la participación de Subprocesadores).

"Entidad de Jibe" hace referencia a Jibe Mobile Inc., Jibe Mobile Limited o cualquier otro afiliado de Jibe Mobile Inc.

"Certificación ISO 27001" hace referencia a la certificación ISO/IEC 27001:2013 o a una certificación comparable para los Servicios del Responsable del Tratamiento.

"Legislación No Europea sobre Protección de Datos" hace referencia a las leyes de privacidad o protección de datos vigentes fuera del EEE, Suiza y el Reino Unido.

"Dirección de correo electrónico de notificación" significa la dirección de correo electrónico (si la hubiera) que (i) la Empresa le proporcionó a Jibe o (ii) que la Empresa designó, a través de la interfaz de usuario de los Servicios del Procesador o cualquier otro medio que proporcione Jibe, para recibir ciertas notificaciones de Jibe relacionadas con este Anexo de Tratamiento de Datos. A los efectos de la claridad, es responsabilidad de la Empresa proporcionar a Jibe una Dirección de Correo Electrónico de Notificación y comunicarle cualquier actualización de la Dirección de Correo Electrónico de Notificación.

"Servicios del procesador" hace referencia a los servicios de RCS Business Messaging (como se describe en https://developers.google.com/business-communications/rcs-business-messaging).

"Documentación de seguridad" hace referencia a la certificación ISO 27001 y a cualquier otra certificación o documentación de seguridad que Jibe pueda poner a disposición en relación con los Servicios del Procesador.

“Medidas de seguridad” tiene el significado que se indica en el Artículo 7.1.1 (Medidas de seguridad de Jibe).

"Cláusulas de Contrato Estándar" hace referencia a las cláusulas contractuales estándar de la Comisión Europea que se encuentran en https://privacy.google.com/businesses/gdprprocessorterms/sccs, que son condiciones de protección de datos estándar para la transferencia de datos personales a encargados del tratamiento de datos establecidos en países terceros que no garantizan un nivel adecuado de protección de datos, como se describe en el artículo 46 del RGPD de la UE.

"Subprocesadores" hace referencia a terceros autorizados en este Anexo de Tratamiento de Datos para tener acceso lógico a los Datos Personales de la Empresa y procesarlos a fin de proporcionar partes de los Servicios del Procesador y cualquier asistencia técnica relacionada.

"Autoridad Supervisora" hace referencia, según corresponda, a (a) una "autoridad supervisora" como se define en el GDPR de la UE o (b) al "Comisionado" como se define en el GDPR del Reino Unido.

“Plazo” hace referencia al período desde la Fecha de Entrada en Vigencia de las Condiciones hasta el final de la prestación de los Servicios de Procesador por parte de Jibe en virtud del Acuerdo.

"Fecha de Entrada en Vigencia de las Condiciones" hace referencia a la fecha de entrada en vigencia del Acuerdo.

“Subencargado de Tratamiento de Datos Externo” tiene el significado que se indica en el Artículo 11.1 (Consentimiento para la Participación de Subencargado de Tratamiento de Datos).

"RGPD del Reino Unido" hace referencia al RGPD de la UE tal como se enmendó y se incorporó a la legislación del Reino Unido en virtud de la Ley de 2018 sobre el abandono del Reino Unido de la Unión Europea, si está vigente.

2.2 Los términos "responsable del tratamiento de datos", "sujeto de los datos", "datos personales", "tratamiento de datos" y "procesador de datos", como se utilizan en este Anexo de Tratamiento de Datos, tienen el significado que se les otorga en el RGPD, y los términos "importador de datos" y "exportador de datos" tienen el significado que se indica en las Cláusulas Contractuales Estándar.

2.3 Los términos "incluye", "incluye" o cualquier otra expresión similar se interpretarán como un ejemplo y no limitarán el sentido de las palabras que preceden a esos términos. Todo ejemplo mencionado en este Anexo de Procesamiento de Datos se presenta solo con fines ilustrativos y no como único ejemplo de un concepto particular.

2.4 Toda referencia a un marco legal, estatuto u otro instrumento legislativo hace referencia al instrumento correspondiente con las enmiendas o las versiones reformuladas que se promulguen ocasionalmente.

2.5 Si estas Condiciones de Procesamiento de Datos se traducen a otro idioma y hay discrepancias entre el texto en inglés y el texto traducido, regirá el texto en inglés.

3. Duración de este Anexo de Tratamiento de Datos

Este Anexo de Tratamiento de Datos entrará en vigencia en la Fecha de Entrada en Vigencia de las Condiciones y, independientemente de que el Período de Vigencia haya vencido, seguirá vigente hasta que Jibe elimine todos los Datos Personales de la Empresa, como se describe en este Anexo de Tratamiento de Datos.

4. Aplicación de este Anexo de Tratamiento de Datos

4.1 Aplicación de la Legislación Europea de Protección de Datos. Las secciones 5 (Procesamiento de Datos) a 12 (Comunicarse con Jibe; Procesamiento de Registros) (inclusive) solo se aplicarán en la medida en que la Legislación Europea de Protección de Datos se aplique al procesamiento de los Datos Personales de la Empresa, incluso en los siguientes casos:

(a) el tratamiento se realiza en el contexto de las actividades de un establecimiento de la Empresa en el EEE o el Reino Unido

(b) Los Datos Personales de la Empresa son datos personales relacionados con los sujetos que se encuentran en el EEE o el Reino Unido, y el tratamiento se relaciona con la oferta de bienes o servicios o la supervisión de su comportamiento en el EEE o el Reino Unido.

4.2 Aplicación a los Servicios de Encargado del Tratamiento de Datos. Este Anexo de Tratamiento de Datos solo se aplicará a los Servicios de Procesador para los que las partes acordaron este Anexo de Tratamiento de Datos (por ejemplo: (a) los Servicios de Procesador para los que la Empresa hizo clic para aceptar este Anexo de Tratamiento de Datos o (b) si el Acuerdo incorpora este Anexo de Tratamiento de Datos por referencia, los Servicios de Procesador que son objeto del Acuerdo).

4.3 Incorporación de Condiciones Adicionales de la Legislación No Europea de Protección de Datos. Las Condiciones Adicionales de la Legislación No Europea de Protección de Datos complementan estas Condiciones de Tratamiento de Datos.

5. Procesamiento de datos

5.1 Funciones y cumplimiento de las normativas, Autorización.

5.1.1 Responsabilidades del Encargado del Tratamiento de Datos y el Responsable del Tratamiento de Datos. Las partes reconocen y aceptan lo siguiente:

(a) El Apéndice 1 describe la cuestión y los detalles del tratamiento de los Datos Personales de la Empresa.

(b) Jibe es un encargado del tratamiento de los Datos Personales de la Empresa en virtud de la Legislación Europea sobre Protección de Datos.

(c) La Empresa es un responsable del tratamiento de datos o encargado del tratamiento de datos, según corresponda, de los Datos Personales de la Empresa en virtud de la Legislación Europea sobre Protección de Datos.

(d) Cada una de las partes satisfará las obligaciones aplicables en virtud de la Legislación Europea sobre Protección de Datos con respecto al procesamiento de los Datos Personales de la Empresa.

5.1.2 Autorización por un Controlador de Terceros. Si la Empresa es un encargado del tratamiento de datos, la Empresa garantiza a Jibe que el responsable del tratamiento de datos relevante autorizó las instrucciones y acciones de la Empresa con respecto a los Datos Personales de la Empresa, incluido el nombramiento de Jibe como otro encargado del tratamiento de datos.

5.2 Instrucciones de la Empresa. Cuando celebra este Apéndice de Tratamiento de Datos, la Empresa le indica a Jibe que procese los Datos Personales de la Empresa solo de conformidad con la legislación aplicable: (a) para proporcionar los Servicios del Responsable del Tratamiento de Datos y cualquier asistencia técnica relacionada; (b) como se especifica más adelante a través del uso que la Empresa hace de los Servicios del Responsable del Tratamiento de Datos (incluidos la configuración y otras funciones de los Servicios del Responsable del Tratamiento de Datos) y cualquier asistencia técnica relacionada; (c) como se documenta en el Acuerdo, incluido este Apéndice de Tratamiento de Datos; y (d) como se documenta más adelante en cualquier otra instrucción por escrito que la Empresa le dé a Jibe y que esta reconozca como instrucciones a los efectos de este Apéndice de Tratamiento de Datos.

5.3 Cumplimiento de las Instrucciones por parte de Jibe. Jibe cumplirá con las instrucciones que se describen en el Artículo 5.2 (Instrucciones de la Empresa) (incluidas las relativas a las transferencias de datos), a menos que las leyes europeas o nacionales a las que está sujeta Jibe exijan otro tratamiento de los Datos Personales de la Empresa por parte de Jibe, en cuyo caso Jibe informará a la Empresa (a menos que alguna de esas leyes le prohíba hacerlo por motivos importantes de interés público).

5.4 Productos Adicionales. Si la Empresa usa algún Producto Adicional, es posible que los Servicios del Responsable del Tratamiento permitan que ese Producto Adicional acceda a los Datos Personales de la Empresa según sea necesario para la interoperabilidad del Producto Adicional con los Servicios del Responsable del Tratamiento. Este Anexo de Tratamiento de Datos no se aplica al tratamiento de datos personales en relación con la prestación de cualquier Producto Adicional que use la Empresa, incluidos los datos personales transmitidos desde o hacia ese Producto Adicional.

6. Eliminación de datos

6.1 Eliminación durante el Período.

6.1.1 Servicios del encargado del tratamiento de datos con funcionalidad de eliminación Durante el Período, si ocurre lo siguiente:

(a) la funcionalidad de los Servicios de Procesador incluye la opción para que la Empresa borre sus Datos Personales;

(b) La Empresa utiliza los Servicios del Procesador para borrar ciertos Datos Personales de la Empresa.

c) La Empresa no puede recuperar los Datos Personales de la Empresa borrados (por ejemplo, de la “Papelera”).

Jibe borrará esos Datos Personales de la Empresa de sus sistemas lo antes posible, a menos que las leyes europeas o nacionales exijan su almacenamiento.

6.1.2 Servicios del encargado del tratamiento de datos sin funcionalidad de eliminación Durante el Período de Vigencia, si la funcionalidad de los Servicios de Procesamiento no incluye la opción para que la Empresa borre sus Datos Personales, Jibe cumplirá con cualquier solicitud razonable de la Empresa para facilitar dicha eliminación, en la medida de lo posible, teniendo en cuenta la naturaleza y funcionalidad de los Servicios de Procesamiento. Jibe puede cobrar una tarifa (según los costos razonables de Jibe) por cualquier eliminación de datos en virtud de este Artículo 6.1.2 (Servicios de Procesador sin Funcionalidad de Eliminación). Jibe le proporcionará a la Empresa más detalles sobre cualquier tarifa aplicable, además del criterio del cálculo, antes de la eliminación de datos.

6.2 Eliminación al Vencimiento del Período de Vigencia. En caso de vencimiento del Período de Vigencia, la Empresa le indica a Jibe que borre todos los Datos Personales de la Empresa (incluidas las copias existentes) de los sistemas de Jibe de conformidad con la legislación aplicable. Jibe cumplirá con esta instrucción en cuanto sea razonablemente posible, a menos que las leyes europeas o nacionales requieran su almacenamiento.

7. Seguridad de los datos

7.1 Medidas de seguridad y asistencia de Jibe.

7.1.1 Medidas de seguridad de Jibe. Jibe implementará y mantendrá medidas técnicas y organizativas para proteger los Datos Personales de la Empresa contra la destrucción, pérdida, alteración, divulgación o acceso accidentales o ilegales, como se describe en el Apéndice 2 (las "Medidas de Seguridad"). Jibe puede actualizar o modificar las Medidas de Seguridad de vez en cuando, siempre que esas actualizaciones y modificaciones no generen la degradación de la seguridad general de los Servicios del Responsable del Tratamiento.

7.1.2 Cumplimiento de la seguridad por parte del personal de Jibe.Jibe se asegurará de que todas las personas autorizadas para procesar los Datos Personales de la Empresa se hayan comprometido a mantener la confidencialidad o que estén bajo una obligación legal de confidencialidad adecuada.

7.1.3 Asistencia de seguridad de Jibe. La Empresa acepta que Jibe la ayudará a garantizar el cumplimiento de cualquier obligación de la Empresa con respecto a la seguridad de los datos personales y las violaciones de la seguridad de los datos personales (teniendo en cuenta la naturaleza del tratamiento de los Datos Personales de la Empresa y la información disponible para Jibe), incluidas (si corresponde) las obligaciones de la Empresa en virtud de los artículos 32 a 34 (inclusive) del RGPD, de la siguiente manera:

(a) implementar y mantener las Medidas de Seguridad de conformidad con el Artículo 7.1.1 (Medidas de Seguridad de Jibe).

(b) satisfacer las condiciones de la Sección 7.2 (Incidentes de datos).

(c) Proporcionar a la Empresa la Documentación de seguridad de acuerdo con el Artículo 7.5.1 (Opiniones de la Documentación de seguridad) y la información contenida en este Anexo de Procesamiento de Datos.

7.2 Incidentes de datos.

7.2.1 Notificación de incidentes. Si Jibe toma conocimiento de un Incidente de Datos, hará lo siguiente: (a) notificará a la Empresa sobre el Incidente de Datos de forma inmediata y sin demoras indebidas y (b) tomará las medidas razonables de inmediato para minimizar los daños y proteger los Datos Personales de la Empresa.

7.2.2 Detalles del incidente de datos. Las notificaciones realizadas en virtud del Artículo 7.2.1 (Notificación de Incidentes) describirán, en la medida de lo posible, los detalles del Incidente de Datos, incluidos los pasos que se tomaron para mitigar los posibles riesgos y los pasos que Jibe recomienda que la Empresa adopte para abordar el Incidente de Datos.

7.2.3 Entrega de la notificación.Jibe enviará su notificación de cualquier incidente de datos a la dirección de correo electrónico de notificación o, a su discreción (incluso si la Empresa no proporcionó una dirección de correo electrónico de notificación), mediante otra comunicación directa (por ejemplo, una llamada telefónica o una reunión en persona). La Empresa es el único responsable de proporcionar la Dirección de Correo Electrónico de Notificación y de garantizar que esté actualizada y sea válida.

7.2.4 Notificaciones de terceros. La Empresa es la única responsable de satisfacer las leyes de notificación de incidentes aplicables a la Empresa y cumplir con las obligaciones de notificación a terceros relacionadas con los Incidentes de Datos.

7.2.5 Ausencia de Reconocimiento de Errores por parte de Jibe.La notificación o la respuesta de Jibe ante un Incidente de Datos en virtud de este Artículo 7.2 (Incidentes de Datos) no se interpretará como un reconocimiento por parte de Jibe de cualquier culpa o responsabilidad con respecto al Incidente de Datos.

7.3 Responsabilidades y evaluación de la seguridad de la Empresa.

7.3.1 Responsabilidades de seguridad de la Empresa. La Empresa acepta que, sin perjuicio de las obligaciones de Jibe en virtud de los Artículos 7.1 (Medidas de Seguridad y Asistencia de Jibe) y 7.2 (Incidentes de Datos), lo siguiente:

(a) La Empresa es responsable de su uso de los Servicios del Procesador, lo que incluye lo siguiente:

(i) hacer un uso adecuado de los Servicios del Encargado del Tratamiento de Datos para garantizar un nivel de seguridad apropiado ante riesgos relacionados con los Datos Personales de la Empresa;

(ii) proteger las credenciales de autenticación de la cuenta, los sistemas y los dispositivos que usa la Empresa para acceder a los Servicios del Procesador;

(b) Jibe no tiene la obligación de proteger los Datos Personales de la Empresa que la Empresa decida almacenar o transferir fuera de los sistemas de Jibe y sus Subprocesadores.

7.3.2 Evaluación de seguridad de la empresa. La Empresa reconoce y acepta que (teniendo en cuenta el estado de la técnica, los costos de implementación y la naturaleza, el alcance, el contexto y los fines del tratamiento de los Datos Personales de la Empresa, así como los riesgos para las personas), las Medidas de Seguridad que implementa y mantiene Jibe en el Artículo 7.1.1 (Medidas de Seguridad de Jibe) proporcionan un nivel de seguridad adecuado al riesgo para los Datos Personales de la Empresa.

7.4 Certificación de seguridad. Para evaluar y ayudar a garantizar la efectividad continua de las medidas de seguridad, Jibe mantendrá la certificación ISO 27001.

7.5 Opiniones y auditorías de cumplimiento.

7.5.1 Opiniones sobre la Documentación de Seguridad. Para demostrar el cumplimiento de Jibe con sus obligaciones en virtud de este Anexo de Procesamiento de Datos, Jibe pondrá a disposición del Cliente la Documentación de Seguridad para que la revise.

7.5.2 Derechos de auditoría de la Empresa.

(a) Jibe permitirá que la Empresa o un auditor externo designado por esta realice auditorías (incluidas inspecciones) para verificar el cumplimiento de Jibe con sus obligaciones en virtud de este Apéndice de Procesamiento de Datos de conformidad con el Artículo 7.5.3 (Términos Empresariales Adicionales para las Auditorías).Jibe colaborará con esas auditorías como se describe en el Artículo 7.4 (Certificación de Seguridad) y este Artículo 7.5 (Opiniones y Auditorías de Cumplimiento).

(b) Si se aplican las Cláusulas de Contrato Estándar en virtud del Artículo 10.2 (Transferencias de Datos), Jibe permitirá que la Empresa o un auditor externo designado por la Empresa realicen auditorías como se describe en las Cláusulas de Contrato Estándar de conformidad con el Artículo 7.5.3 (Términos Empresariales Adicionales para las Auditorías).

(c) También puede realizar una auditoría para verificar que Jibe cumpla con sus obligaciones en virtud de este Apéndice de Procesamiento de Datos mediante la revisión del certificado emitido para la Certificación ISO 27001 (que refleja el resultado de una auditoría realizada por un auditor externo).

7.5.3 Términos Empresariales Adicionales para las Auditorías.

(a) La Empresa enviará cualquier solicitud de auditoría en virtud del Artículo 7.5.2(a) o 7.5.2(b) a Jibe como se describe en el Artículo 12.1 (Comunicarse con Jibe).

(b) Luego de que Jibe reciba una solicitud en virtud del Artículo 7.5.3(a), Jibe y la Empresa analizarán y acordarán con anticipación la fecha de inicio, el alcance y la duración razonables de la auditoría, así como la seguridad y los controles de confidencialidad aplicables a cualquier auditoría en virtud del Artículo 7.5.2(a) o 7.5.2(b).

(c) Jibe podrá cobrar una tarifa (según los costos razonables de Jibe) por cualquier auditoría en virtud del Artículo 7.5.2(a) o 7.5.2(b).Jibe proporcionará a la Empresa más detalles sobre cualquier tarifa aplicable, además del criterio del cálculo, antes de cualquier auditoría. La Empresa será responsable de las tarifas que cobre cualquier auditor externo designado por la Empresa para realizar dicha auditoría.

(d) Jibe puede oponerse a cualquier auditor externo designado por la Empresa para realizar auditorías en virtud del Artículo 7.5.2(a) o 7.5.2(b) si, en opinión razonable de Jibe, el auditor no tiene la calificación o independencia adecuadas, es un competidor de Jibe o, de otro modo, no es adecuado. Cualquier objeción de este tipo por parte de Jibe requerirá que la Empresa designe a otro auditor o realice la auditoría por sí misma.

(e) Ninguna de las disposiciones de este Apéndice de Procesamiento de Datos exigirá que Jibe divulgue la siguiente información a la Empresa o a su auditor externo, ni que permita que la Empresa o su auditor externo accedan a ella:

(i) los datos de cualquier otro cliente de una Entidad de Jibe

(ii) cualquier información financiera o contable interna de una Entidad de Jibe

(iii) cualquier secreto comercial de una Entidad de Jibe

(iv) cualquier información que, en opinión razonable de Jibe, pueda (A) poner en riesgo la seguridad de los sistemas o las instalaciones de cualquier Entidad de Jibe o (B) hacer que cualquier Entidad de Jibe incumpla sus obligaciones en virtud de la Legislación Europea de Protección de Datos o sus obligaciones de seguridad o privacidad con la Empresa o cualquier tercero; o

(v) cualquier información a la que la Empresa o su auditor externo busquen acceder por otro motivo que no sea el cumplimiento de buena fe de las obligaciones de la Empresa en virtud de la Legislación Europea de Protección de Datos

7.5.4 No hay Modificación de las Cláusulas de Contrato Estándar. Si se aplican las Cláusulas de Contrato Estándar en virtud del Artículo 10.2 (Transferencias de Datos), nada de lo establecido en este Artículo 7.5 (Opiniones y auditorías de cumplimiento) varía ni modifica los derechos o las obligaciones de la Empresa o Jibe en virtud de las Cláusulas de Contrato Estándar.

8. Evaluaciones y consultas de impacto

La Empresa acepta que Jibe la ayudará a garantizar el cumplimiento de cualquier obligación de la Empresa con respecto a las evaluaciones de impacto de la protección de datos y la consulta previa (teniendo en cuenta la naturaleza del tratamiento y la información disponible para Jibe), incluidas (si corresponde) las obligaciones de la Empresa en virtud de los artículos 35 y 36 del RGPD, de la siguiente manera:

(a) proporcionar la Documentación de Seguridad de acuerdo con el Artículo 7.5.1 (Opiniones de la Documentación de Seguridad)

(b) proporcionar la información contenida en este Anexo de Procesamiento de Datos; y

(c) proporcionar o poner a disposición de algún modo, de conformidad con las prácticas estándares de Jibe, otros materiales relacionados con la naturaleza de los Servicios del Procesador y el tratamiento de los Datos Personales de la Empresa (por ejemplo, los materiales del Centro de ayuda).

9. Derechos de los sujetos

9.1 Respuestas a las Solicitudes de los Sujetos. Si Jibe recibe una solicitud de un sujeto de datos en relación con los Datos Personales de la Empresa, hará lo siguiente:

(a) si la solicitud se realiza a través de una Herramienta del Sujeto, responde directamente a la solicitud del sujeto de acuerdo con la funcionalidad estándar de esa Herramienta del Sujeto

(b) Si la solicitud no se realiza a través de una Herramienta del Sujeto, recomendar al sujeto que envíe su solicitud a la Empresa, y esta última será responsable de responder a dicha solicitud.

9.2 Asistencia para Solicitudes de Sujetos de Jibe. La Empresa acepta que Jibe la ayudará a cumplir con cualquier obligación de responder a las solicitudes de los sujetos de datos (teniendo en cuenta la naturaleza del tratamiento de los Datos Personales de la Empresa y, si corresponde, el Artículo 11 del RGPD), incluida (si corresponde) la obligación de la Empresa de responder a las solicitudes de ejercicio de los derechos de los sujetos de datos en el Capítulo III del RGPD, de la siguiente manera:

(a) proporcionar la funcionalidad de los Servicios del Procesador

(b) satisfacer los compromisos de la Sección 9.1 (Respuestas a las Solicitudes de los Sujetos)

10. Transferencias de Datos

10.1 Instalaciones para el Almacenamiento de Datos y el Procesamiento. La Empresa acepta que Jibe puede, sujeto al Artículo 10.2 (Transferencias de Datos), almacenar y procesar los Datos Personales de la Empresa en cualquier país en el que Jibe o cualquiera de sus Subprocesadores tengan instalaciones.

10.2 Transferencias de datos.

Si el almacenamiento o el procesamiento de los Datos Personales de la Empresa implica transferencias de Datos Personales de la Empresa del EEE, Suiza o el Reino Unido a cualquier país tercero que no esté sujeto a una decisión de adecuación en virtud de la Legislación Europea de Protección de Datos, ocurrirá lo siguiente:

(a) Se considerará que la Empresa (como exportador de datos) suscribió las Cláusulas Contractuales Estándares con Jibe (como importador de datos).

b) Las transferencias estarán sujetas a las Cláusulas de Contrato Estándar.

c) Las referencias a Google LLC y al Cliente en las Cláusulas Contractuales Estándares se referirán a Jibe y a la Empresa, respectivamente.

10.3 Información del Centro de Datos. La información sobre las ubicaciones de los centros de datos de Google está disponible en www.google.com/about/datacenters/locations/index.html.

11. Subencargados del tratamiento de datos

11.1 Consentimiento para la participación de Subprocesadores. La Empresa autoriza específicamente la contratación de los Afiliados de Jibe como Subencargados (“Subencargados Afiliados de Jibe”). Además, la Empresa autoriza de forma general la contratación de cualquier otro tercero como Subencargado (“Subencargados Externos”). Si se aplican las Cláusulas Contractuales Estándares en virtud del Artículo 10.2 (Transferencias de Datos), las autorizaciones anteriores constituyen el consentimiento previo por escrito de la Empresa para que Jibe subcontrate el tratamiento de sus Datos Personales.

11.2 Información sobre los Subprocesadores. A pedido por escrito de la Empresa, Jibe proporcionará información sobre los Subencargados del Tratamiento de Datos y sus ubicaciones. Todas estas solicitudes deben enviarse a Jibe con los detalles de contacto que se establecen en el artículo 12.1 (Cómo comunicarse con Jibe).

11.3 Requisitos para la participación de Subprocesadores. Cuando se contrate un Subprocesador, Jibe hará lo siguiente:

a) Garantizar un contrato escrito que especifique lo siguiente:

(i) el Subprocesador solo accede a los Datos Personales de la Empresa y los usa en la medida en que sea necesario para realizar las obligaciones subcontratadas y lo hace de conformidad con el Acuerdo (incluido este Anexo de Tratamiento de Datos) y, si corresponde en virtud del Artículo 10.2 (Transferencias de Datos), las Cláusulas de Contrato Estándar; y

(ii) Si el RGPD se aplica al tratamiento de los Datos Personales de la Empresa, las obligaciones de protección de datos del Artículo 28(3) del RGPD se imponen al Subprocesador.

(b) seguir siendo completamente responsable de todas las obligaciones subcontratadas al subcontratista, así como de todos los actos y omisiones del subcontratista

11.4 Oportunidad para Oponerse a los Cambios del Subprocesador.

(a) Cuando se contrate un nuevo Subencargado de Tratamiento de Datos de Terceros durante el Plazo, Jibe informará a la Empresa sobre el compromiso (incluido el nombre y la ubicación del subencargado relevante y las actividades que realizará) mediante el envío de un correo electrónico a la Dirección de Correo Electrónico de Notificación al menos 30 días antes de que el nuevo Subencargado de Tratamiento de Datos de Terceros procese los Datos Personales de la Empresa.

(b) La Empresa puede oponerse a cualquier nuevo Subprocesador de Terceros rescindiendo el Acuerdo de inmediato mediante una notificación por escrito a Jibe, siempre y cuando la Empresa proporcione dicha notificación en un plazo de 90 días a partir de la fecha en que se le informe sobre la contratación del nuevo Subprocesador de Terceros, como se describe en el Artículo 11.4(a). Este derecho de rescisión es la solución única y exclusiva de la Empresa si se opone a cualquier Subprocesador de terceros nuevo.

12. Comunícate con Jibe; Procesa los registros

12.1 Comunícate con Jibe. La Empresa puede comunicarse con Jibe en relación con este Anexo de Tratamiento de Datos a través del contacto de protección de datos de RCS de Jibe, al que se puede acceder a través de http://issuetracker.google.com o por cualquier otro medio que Jibe pueda proporcionar ocasionalmente.

12.2 Registros de procesamiento de Jibe. La Empresa reconoce que, en virtud del RGPD, Jibe debe (a) recopilar y mantener registros de cierta información, incluido el nombre y los detalles de contacto de cada encargado o responsable del tratamiento de datos en cuyo nombre actúa Jibe y, si corresponde, del representante local y del oficial de protección de datos de ese encargado o responsable del tratamiento de datos, y (b) poner esa información a disposición de cualquier autoridad supervisora. En consecuencia, cuando se solicite y corresponda, la Empresa proporcionará dicha información a Jibe a través de la interfaz de usuario de los Servicios del Procesador o mediante otros medios que Jibe pueda proporcionar, y utilizará dicha interfaz de usuario o cualquier otro medio para garantizar que toda la información proporcionada sea precisa y se encuentre actualizada.

13. Responsabilidad

13.1 Límite de responsabilidad. Sin perjuicio de lo dispuesto en el Acuerdo, la responsabilidad total de cualquiera de las partes hacia la otra en virtud de este Anexo de Tratamiento de Datos o en relación con este se limitará al importe máximo monetario o basado en pagos en el que se limite la responsabilidad de esa parte en virtud del Acuerdo (y, por lo tanto, cualquier exclusión de reclamos de confidencialidad o indemnización de la limitación de responsabilidad del Acuerdo no se aplicará a los reclamos en virtud del Acuerdo relacionados con la Legislación Europea de Protección de Datos o la Legislación Extranjera de Protección de Datos). Ninguna de las disposiciones de este Artículo 13 (Responsabilidad) excluirá ni limitará la responsabilidad de ninguna de las partes con respecto a lo siguiente: (a) muerte o lesiones personales que deriven de su negligencia o la de sus empleados o agentes; (b) fraude o tergiversación fraudulenta; o (c) asuntos por los que la responsabilidad no se pueda excluir ni limitar en virtud de la ley aplicable.

13.2 Responsabilidad si se Aplican las Cláusulas de Contrato Estándar. Si se aplican las Cláusulas de Contrato Estándar en virtud del Artículo 10.2 (Transferencias de Datos), la responsabilidad total combinada de cada parte y sus Afiliados hacia la otra parte y sus Afiliados en virtud del Acuerdo y las Cláusulas de Contrato Estándar combinadas estará sujeta al Artículo 13.1 (Límite de Responsabilidad).

14. Beneficiarios Terceros

Si el afiliado de una de las partes es una de las partes de las Cláusulas Contractuales Estándares que se aplican en virtud del Artículo 10.2 (Transferencias de Datos), ese afiliado será un beneficiario externo de los Artículos 6.2 (Eliminación al Vencer el Plazo), 7.5 (Revisión y Auditoría del Cumplimiento), 9.1 (Respuestas a las Solicitudes de los Sujetos de Datos), 10.2 (Transferencias de Datos), 11.1 (Consentimiento para el Compromiso del Subprocesador) y 13.2 (Responsabilidad si se Aplican las Cláusulas Contractuales Estándares). En la medida en que este Artículo 14 (Beneficiarios Terceros) entre en conflicto o sea incompatible con cualquier otra cláusula del Acuerdo, se aplicará este Artículo 14 (Beneficiarios Terceros).

15. Efecto de este Anexo de Tratamiento de Datos

Si existe algún conflicto o incongruencia entre las Cláusulas de Contrato Estándar, las Condiciones Adicionales de la Legislación No Europea de Protección de Datos, este Apéndice de Procesamiento de Datos y el resto del Acuerdo, se aplicará el siguiente orden de prioridad:

(a) las Cláusulas de Contrato Estándar;

b) las Condiciones Adicionales de la Legislación No Europea sobre Protección de Datos

(d) el resto del Acuerdo.

Si este Acuerdo (incluido cualquier Anexo) se traduce a otro idioma y el texto traducido entra en conflicto o no coincide con el texto en inglés, regirá el texto en inglés.

Sujeto a las enmiendas de este Anexo de Tratamiento de Datos, el Acuerdo permanecerá plenamente en vigencia.

16. Cambios en este Anexo de Tratamiento de Datos

16.1 Cambios en las URLs De vez en cuando, Jibe puede cambiar cualquier URL a la que se haga referencia en este Anexo de Tratamiento de Datos y el contenido en cualquiera de esas URLs, excepto que solo puede cambiar las Cláusulas Contractuales Estándares de acuerdo con los artículos 16.2(b) a 16.2(d) (Cambios en las Condiciones de Tratamiento de Datos) o para incorporar cualquier versión nueva de las Cláusulas Contractuales Estándares que se pueda adoptar en virtud de la Legislación Europea de Protección de Datos, en cada caso de una manera que no afecte la validez de las Cláusulas Contractuales Estándares en virtud de la Legislación Europea de Protección de Datos.

16.2 Cambios en las Condiciones de Procesamiento de Datos. Jibe puede cambiar este Anexo de Procesamiento de Datos en los siguientes casos:

(a) está expresamente permitido por esta Enmienda de Procesamiento de Datos, según se describe en el Artículo 16.1 (Cambios en las URLs);

(b) refleja un cambio en el nombre o en la forma de una entidad legal

(c) si el cambio es necesario para satisfacer una ley aplicable, un reglamento aplicable, una orden judicial o un asesoramiento emitido por una agencia o un ente regulador gubernamental

(d) No (i) degraden la seguridad general de los Servicios del Encargado del Tratamiento de Datos; (ii) amplíen el alcance de las restricciones o quiten cualquier restricción sobre (x) en el caso de las Condiciones Adicionales para la Legislación sobre Protección de Datos fuera de Europa, los derechos de Jibe de usar o procesar de alguna manera los datos que se encuentran dentro del alcance de las Condiciones Adicionales para la Legislación sobre Protección de Datos fuera de Europa o (y) en el caso del resto de estas Condiciones de Tratamiento de Datos, el tratamiento de Datos Personales de la Empresa por parte de Jibe, como se describe en el Artículo 5.3 (Cumplimiento de las Instrucciones por Parte de Jibe); y (iii) tengan un impacto adverso material en los derechos de la Empresa en virtud de este Anexo de Tratamiento de Datos, según lo determine Jibe de manera razonable.

16.3 Notificación de Cambios. Si Jibe tiene la intención de cambiar este Anexo de Procesamiento de Datos en virtud del Artículo 16.2(c) o (d), informará a la Empresa con al menos 30 días de anticipación (o el período más corto que pueda ser necesario para cumplir con la legislación aplicable, la reglamentación aplicable, una orden judicial o las directrices emitidas por un regulador o una agencia gubernamental) antes de que el cambio entre en vigencia mediante una de las siguientes acciones: (a) enviar un correo electrónico a la dirección de correo electrónico de notificación o (b) alertar a la Empresa a través de la interfaz de usuario de los Servicios del Procesador. Si la Empresa se opone a cualquier cambio de este tipo, podrá rescindir el Acuerdo mediante una notificación por escrito a Jibe en un plazo de 90 días a partir de la fecha en que Jibe la informe al respecto.

Apéndice 1: Cuestiones y detalles del procesamiento de datos

Temas

La prestación de los Servicios de Procesador por parte de Jibe y cualquier asistencia técnica relacionada con la Empresa

Duración del Tratamiento de Datos

El Período de Vigencia más el período desde el vencimiento del Período hasta que Jibe borre todos los Datos Personales de la Empresa de conformidad con este Anexo de Tratamiento de Datos.

Naturaleza y propósito del tratamiento de datos

Jibe procesará los Datos Personales de la Empresa con el fin de proporcionar los Servicios del Procesador y cualquier asistencia técnica relacionada a la Empresa de conformidad con este Anexo de Tratamiento de Datos (incluidos, según corresponda a los Servicios del Procesador y las instrucciones que se describen en el Artículo 5.2 [Instrucciones de la Empresa]), recopilando, registrando, organizando, estructurando, almacenando, alterando, recuperando, usando, divulgando, combinando, borrando y destruyendo los Datos Personales de la Empresa.

Tipos de datos personales

Datos personales relacionados con personas que la Empresa o sus usuarios finales proporcionan a Jibe a través de los Servicios de Tratamiento.

Categorías de Sujetos

Los sujetos incluyen a las personas sobre las que la Empresa o los usuarios finales de la Empresa proporcionan datos a Jibe a través de los Servicios de procesamiento.

Apéndice 2: Medidas de seguridad

A partir de la Fecha de Entrada en Vigencia de las Condiciones, Jibe implementará y mantendrá las Medidas de Seguridad que se establecen en este Apéndice 2. Jibe puede actualizar o modificar estas Medidas de Seguridad ocasionalmente, siempre que esas actualizaciones y modificaciones no generen la degradación de la seguridad general de los Servicios del Procesador.

1. Centro de Datos y Seguridad de la Red

(a) Centros de datos.

Infraestructura. Jibe mantiene centros de datos distribuidos geográficamente. Jibe almacena todos los datos de producción en centros de datos físicos seguros.

Redundancia. Los sistemas de infraestructura se diseñaron para eliminar los puntos únicos de fallo y minimizar el impacto de los riesgos ambientales previstos. Los circuitos dobles, los interruptores, las redes y otros dispositivos necesarios ayudan a proporcionar esta redundancia. Los Servicios del Procesador están diseñados para permitir que Jibe realice ciertos tipos de mantenimiento preventivo y correctivo sin interrupciones. Todas las instalaciones y los equipos ambientales han documentado procedimientos de mantenimiento preventivo en los que se detallan el proceso y la frecuencia de rendimiento según las especificaciones internas o del fabricante. El mantenimiento preventivo y correctivo del equipo del centro de datos se programa a través de un proceso estándar de acuerdo con los procedimientos documentados.

Alimentación. Los sistemas de alimentación eléctrica del centro de datos están diseñados para ser redundantes y poder mantenerse sin afectar la continuidad de las operaciones las 24 horas, todos los días. En la mayoría de los casos, se proporciona una fuente principal y una fuente de energía alternativa, cada una con capacidad equitativa, para los componentes de infraestructura fundamentales en el centro de datos. La fuente de energía alternativa se proporciona a través de varios mecanismos, como fuentes de alimentación sin interrupciones (UPS), que proporcionan una protección de energía siempre confiable durante las caídas de tensión, los apagones, las sobretensiones, las subtensiones y las condiciones de frecuencia atípicas. Si se interrumpe la energía eléctrica, la alimentación de respaldo está diseñada para proporcionar energía transitoria al centro de datos, a su capacidad máxima, durante un máximo de 10 minutos hasta que los sistemas generadores de diésel tomen el control. Los generadores de diésel pueden iniciar automáticamente en cuestión de segundos para proporcionar suficiente energía eléctrica de emergencia como para que el centro de datos funcione a plena capacidad, por lo general, durante un período de días.

Sistemas operativos de servidores. Los servidores de Jibe usan sistemas operativos endurecidos que se personalizan para las necesidades únicas de los servidores de la empresa. Los datos se almacenan con algoritmos privados para aumentar la redundancia y la seguridad de los datos. Jibe emplea un proceso de revisión de código para aumentar la seguridad del código que se usa con el fin de proporcionar los servicios de procesador y mejorar los productos de seguridad en entornos de producción.

Continuidad de las empresas. Jibe replica los datos en varios sistemas para ayudar a protegerlos contra la destrucción o pérdida accidental. Jibe diseñó y planifica y prueba de forma periódica sus programas de continuidad empresarial y de recuperación ante desastres.

(b) Redes y transmisión.

Transmisión de datos. Los centros de datos suelen estar conectados a través de vínculos privados de alta velocidad para proporcionar una transferencia de datos rápida y segura entre los centros de datos. Este es un diseño para evitar que los datos se lean, copien, alteren o se quiten sin autorización durante la transferencia o el transporte electrónico, o mientras se registran en medios de almacenamiento de datos. Jibe transfiere datos a través de protocolos estándar de Internet.

Superficie de ataque externa. Jibe emplea varias capas de dispositivos de red y detección de intrusiones para proteger la superficie de ataque externa. Jibe considera los posibles vectores de ataque y también incorpora tecnologías compiladas con propósitos específicos en sistemas externos.

Detección de intrusiones. El objetivo de la detección de intrusiones es proporcionar estadísticas sobre las actividades de ataques en curso y brindar información adecuada para responder ante los incidentes. La detección de intrusiones de Jibe implica lo siguiente:

Controlar de cerca el tamaño y la composición de la superficie de ataque de Jibe a través de la aplicación de medidas preventivas
Emplear controles de detección inteligentes en los puntos de entrada de datos
Emplear tecnologías que resuelvan automáticamente situaciones peligrosas

Respuesta ante incidentes. Jibe supervisa varios canales de comunicación para detectar incidentes de seguridad, y el personal de seguridad de Jibe reaccionará con rapidez ante los incidentes conocidos.

Tecnologías de encriptación. Jibe hace que la encriptación HTTPS (también conocida como conexión SSL o TLS) esté disponible. Los servidores de Jibe admiten el intercambio de claves criptográficas de la curva elíptica efímera Diffie Hellman firmadas con RSA y ECDSA. Estos métodos de confidencialidad directa perfecta (PFS) ayudan a proteger el tráfico y minimizar el impacto de una clave comprometida o de una ruptura criptográfica.

2. Controles de sitios y accesos

(a) Controles del sitio.

Operación de seguridad del centro de datos en las instalaciones. Los centros de datos de Jibe mantienen una operación de seguridad en las instalaciones que es responsable de todas las funciones de seguridad físicas de los centros de datos las 24 horas, todos los días. El personal de operaciones de seguridad en las instalaciones supervisa las cámaras de TV de circuito cerrado (“CCTV”) y todos los sistemas de alarma. El personal de operaciones de seguridad en las instalaciones realiza ciertas construcciones internas y externas del centro de datos con frecuencia.

Procedimientos de acceso a los centros de datos. Jibe mantiene procedimientos de acceso formales para permitir el acceso físico a los centros de datos. Los centros de datos están alojados en instalaciones que requieren acceso con tarjetas de clave electrónicas y que tienen alarmas vinculadas a la operación de seguridad en las instalaciones. Todos los participantes del centro de datos deben identificarse y demostrar su identidad ante las operaciones de seguridad en las instalaciones. Solo los empleados, contratistas y visitantes autorizados tienen permitido ingresar a los centros de datos. Solo los empleados y contratistas autorizados pueden solicitar acceso mediante tarjetas de clave electrónicas para estas instalaciones. Las solicitudes de acceso a las tarjetas de claves electrónicas del centro de datos deben realizarse con anticipación y por escrito, y requieren la aprobación del administrador del solicitante y del director del centro de datos. Todos los demás participantes que necesiten acceso temporal al centro de datos deben (i) obtener la aprobación previa de los administradores del centro de datos específico y de las áreas internas que deseen visitar, (ii) acceder a las operaciones de seguridad en las instalaciones y (iii) hacer referencia a un registro de acceso aprobado del centro de datos que identifique a la persona como aprobada.

Dispositivos de seguridad del centro de datos en las instalaciones. Los centros de datos de Jibe emplean tarjetas de clave electrónicas y un sistema de control de acceso biométrico vinculado a un sistema de alarmas. El sistema de control de acceso supervisa y registra la tarjeta de clave electrónica de cada persona, cuando acceden a puertas perimetrales, para hacer envíos y recibir entregas, y cuando acceden a otras áreas críticas. La actividad no autorizada y los intentos de acceso fallidos se registran en el sistema de control de acceso y se investigan, según corresponda. El acceso autorizado en todas las operaciones comerciales y en los centros de datos está restringido en función de las zonas y las responsabilidades del trabajo de la persona física. Las puertas contra incendios de los centros de datos tienen alarmas. Las cámaras de CCTV funcionan dentro y fuera de los centros de datos. El posicionamiento de las cámaras se diseñó para cubrir áreas estratégicas, incluidas, entre otras, el perímetro, las puertas al edificio del centro de datos y los espacios de envíos y recepciones. El personal de operaciones de seguridad en las instalaciones administra los equipos de supervisión, grabación y control de CCTV. Los cables seguros de todos los centros de datos conectan el equipo de CCTV. Las cámaras realizan grabaciones del sitio con grabadoras de video digitales las 24 horas, todos los días. Los registros de vigilancia se conservan durante al menos 7 días, según la actividad.

b) Control de acceso

Personal de seguridad de la infraestructura. Jibe tiene y mantiene una política de seguridad para su personal, y exige una capacitación en materia de seguridad como parte del paquete de formación de su personal. El personal de seguridad de la infraestructura de Jibe es responsable de supervisar continuamente esta infraestructura, la revisión de los servicios del procesador y la respuesta a los incidentes de seguridad.

Control de acceso y administración de privilegios. Los administradores y usuarios de la empresa deben autenticarse a través de un sistema central de autenticación o de un sistema de inicio de sesión único para usar los servicios del encargado del tratamiento de datos.

Políticas y Procesos de Acceso a los Datos Internos: Política de Acceso. Los procesos y las políticas de acceso a los datos internos de Jibe se diseñaron para evitar que personas o sistemas no autorizados accedan a los sistemas que se usan en el tratamiento de los datos personales. Jibe apunta a diseñar sus sistemas de modo que (i) permitan que solo las personas autorizadas para acceder a determinados datos puedan hacerlo; y (ii) garanticen que los datos personales no se puedan leer, copiar, modificar ni quitar sin autorización durante el tratamiento y el uso, y después del registro. Los sistemas están diseñados para detectar cualquier acceso inapropiado. Jibe emplea un sistema de administración de acceso centralizado para controlar el acceso del personal a los servidores de producción, y solo proporciona acceso a una cantidad limitada de personal autorizado. El LDAP, Kerberos y un sistema propio que usa certificados SSH están diseñados para proporcionar a Jibe mecanismos de acceso flexibles y seguros. Estos mecanismos están diseñados para conceder únicamente derechos de acceso aprobados a los hosts del sitio, los registros, los datos y la información de configuración. Jibe requiere el uso de IDs de usuario únicos, contraseñas seguras, autenticación de dos factores y listas de acceso supervisadas con cuidado para minimizar el uso potencial no autorizado de cuentas. El otorgamiento o la modificación de los derechos de acceso se basa en las responsabilidades laborales del personal autorizado, los requisitos del puesto necesarios para realizar tareas autorizadas, y se realiza en el caso exclusivo de que sea necesario. El otorgamiento o la modificación de los derechos de acceso también deben cumplir con las políticas y la capacitación para el acceso a los datos internos de Jibe. De administrar estas aprobaciones se encargan las herramientas de flujo de trabajo, que mantienen registros de auditoría de todos los cambios. El acceso a los sistemas se registra para crear un registro de auditoría para la rendición de cuentas. Cuando se emplean contraseñas para la autenticación (p.ej., el acceso a estaciones de trabajo), se implementan políticas de contraseña que siguen las prácticas estándar de la industria, como mínimo. Estos estándares incluyen restricciones para la reutilización de contraseñas, así como contraseñas lo suficientemente seguras.

3. Datos

(a) Almacenamiento, aislamiento y autenticación de datos.

Jibe almacena datos en un entorno multiusuario en servidores de su propiedad. Los datos, la base de datos de los servicios de procesadores y la arquitectura del sistema de archivos se replican entre varios centros de datos dispersados por distintas ubicaciones geográficas. Jibe aísla de forma lógica los datos de cada cliente. Se utiliza un sistema de autenticación central en todos los Servicios del Procesador para aumentar la seguridad uniforme de los datos.

(b) Lineamientos sobre la destrucción de discos y discos fuera de servicio.

Es posible que ciertos discos que contienen datos tengan problemas de rendimiento, errores o fallas de hardware que los lleven a la baja ("Disco dado de baja"). Cada disco dado de baja está sujeto a una serie de procesos de destrucción de datos ("Lineamientos de destrucción de datos") antes de salir de las instalaciones de Jibe para su reutilización o destrucción. Los discos que están fuera de servicio se borran en un proceso de varios pasos y se verifican con al menos dos validadores independientes. El número de serie del disco fuera de servicio se retira para realizar un seguimiento de los resultados del borrado. Por último, el Disco Retirado que se borró se publica en el inventario para su reutilización y reimplementación. Si, debido a una falla en el hardware, el Disco Fuera de Servicio no se puede borrar, se almacena de forma segura hasta que se pueda destruir. Cada instalación se audita con regularidad para supervisar el cumplimiento de los Lineamientos de Destrucción de Datos.

4. Seguridad del personal

El personal de Jibe debe cumplir con unos lineamientos en función de los reglamentos de la empresa en cuanto a la confidencialidad, la ética empresarial, el uso adecuado y los estándares profesionales. Jibe realiza verificaciones de antecedentes razonablemente apropiadas en la medida en que la ley lo permita y de acuerdo con la legislación laboral local y las reglamentaciones legales aplicables.

El personal debe firmar un acuerdo de confidencialidad, confirmar la recepción de las políticas de confidencialidad y privacidad de Jibe, y asegurar el cumplimiento de estas. El personal recibe una capacitación en seguridad. El personal que maneja los datos personales de la empresa debe cumplir requisitos adicionales adecuados a su función. El personal de Jibe no procesará los Datos Personales de la Empresa sin autorización.

5. Seguridad del subprocesador

Antes de incorporar subprocesadores, Jibe realiza una auditoría de las prácticas de seguridad y privacidad de los subprocesadores para garantizar que ofrecen un nivel adecuado de seguridad y privacidad para el acceso a los datos y el permiso de los servicios que se comprometen a prestar. Una vez que Jibe evalúe los riesgos que presenta el subprocesador, y siempre sujeto a los requisitos del artículo 11.3 (Requisitos para el Compromiso del Subprocesador), el subprocesador deberá celebrar las condiciones contractuales adecuadas en materia de seguridad, confidencialidad y privacidad.

Apéndice 3: Condiciones Adicionales de la Legislación No Europea sobre Protección de Datos

Las siguientes Condiciones Adicionales de la Legislación No Europea de Protección de Datos complementan estas Condiciones de Tratamiento de Datos:

Apéndice sobre proveedores de servicios de la CCPA en privacy.google.com/businesses/gdprprocessorterms/ccpa (con fecha del 27 de agosto de 2020)
Anexo para Encargados de la LGPD en privacy.google.com/businesses/gdprprocessorrterms/lgpd (con fecha del 27 de agosto de 2020)

Condiciones del Tratamiento de Datos de Jibe, Versión 2.0

27 de agosto de 2020

Apéndice de procesamiento de datos Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.