Acuerdo de suscripción para Acre Intrusion Connect

Download
This is some text inside of a div block.

Acuerdo de suscripción para Acre Intrusion Connect

Fecha: 15 de mayo de 2024

por y entre

Vanderbilt International AB
Englundavagen 7
Caja 1275
17124 Solna
Suecia

y

Usted, el usuario final o el proveedor de servicios, se suscribe o utiliza el servicio de software Acre Intrusion Connect

Acuerdo de suscripción

§ 1 Ámbito de aplicación

  1. El siguiente acuerdo de suscripción es válido para el servicio de software Acre Intrusion Connect y los servicios complementarios proporcionados por Vanderbilt International (SWE) AB (en adelante, «Vanderbilt») a los usuarios finales y/o proveedores de servicios.
  2. Para los fines del presente Acuerdo de suscripción
    a. por «Servicio de software Acre Intrusion Connect» se entenderá la solución basada en la nube diseñada para monitorear, administrar y mantener los paneles de intrusión de Acre de forma remota; en la actualidad, el servicio de software Acre Intrusion Connect comprende una aplicación web (a través de un navegador de Internet) y aplicaciones móviles para las plataformas Android y Apple;
    b. un «panel de intrusión de Acre» estará compuesto por al menos una pieza de hardware de panel de intrusión de Acre fabricada o distribuida por el grupo de empresas Acre-Group (consulte https://acresecurity.com/);
    c. Por «usuarios finales» se entiende las personas o entidades que utilizan el servicio de software Acre Intrusion Connect para monitorear, administrar y mantener un panel de intrusión de Acre en su propio nombre;
    d. «Proveedores de servicios» se refiere a las personas o entidades que utilizan el servicio de software Acre Intrusion Connect para monitorear, administrar y mantener los paneles de intrusión de Acre en nombre de los usuarios finales o para ayudar a los usuarios finales a hacerlo; y
    e. Por «clientes» se entenderá tanto los usuarios finales como los proveedores de servicios, respectivamente.
  3. Este Acuerdo de suscripción prevalecerá sobre cualquier oferta, pedido, reconocimiento u otro documento o acuerdo similar que contenga términos y condiciones diferentes o que haga referencia a otros términos y condiciones distintos de este Acuerdo de suscripción, incluidos los términos y condiciones generales del Cliente.

§ 2 Alcance de los servicios

  1. Vanderbilt proporcionará el servicio de software Acre Intrusion Connect de acuerdo con las especificaciones de servicio de Vanderbilt, a menos que se acuerde lo contrario. Sin perjuicio de lo anterior, Vanderbilt podrá desarrollar de forma continua el servicio de software Acre Intrusion Connect, sin estar obligada a hacerlo. Esto se hará, entre otras cosas, para tener en cuenta el progreso técnico, mejorar la seguridad, la funcionalidad y la operatividad del servicio de software Acre Intrusion Connect o para garantizar el cumplimiento de la ley aplicable («innovación continua»). Se permitirán dichos cambios sin el consentimiento del cliente si, como mínimo, se mantienen el contenido y el rendimiento del servicio de software Acre Intrusion Connect y no se perjudican de forma injustificada los intereses del cliente. Vanderbilt informará periódicamente sobre la innovación continua, por ejemplo, por correo electrónico, mediante notas de la versión o dentro del propio servicio de software Acre Intrusion Connect.
  2. De acuerdo con las especificaciones de servicio aplicables, la disponibilidad del sistema del servicio de software Acre Intrusion Connect incluye períodos de mantenimiento programados regularmente durante los cuales no hay obligación de realizarlos.
  3. El lugar de ejecución y la transferencia del riesgo del servicio de software Acre Intrusion Connect es el punto de transferencia de la conexión a Internet del servidor respectivo utilizado por Vanderbilt para proporcionar el servicio de software Acre Intrusion Connect.

§ 3 Derecho de uso

  1. Al usuario final o a sus empleados, si los hubiera, se les concederá el derecho no exclusivo de utilizar el servicio de software Acre Intrusion Connect para supervisar, gestionar y mantener un panel de intrusión de Acre en su propio nombre, siempre que él o sus empleados, así como el panel de intrusión de Acre correspondiente, estén registrados en el servicio de software de Acre Intrusion Connect.
  2. El proveedor de servicios y/o los empleados del proveedor de servicios, si los hubiera, tendrán el derecho no exclusivo de utilizar el servicio de software Acre Intrusion Connect para monitorear, administrar y mantener Acre Intrusion Panels en nombre de terceros o para ayudar a terceros a hacerlo, siempre que él o sus empleados, así como los respectivos Acre Intrusion Panels y terceros estén registrados en el servicio de software Acre Intrusion Connect. Para evitar dudas, el proveedor de servicios puede o no cobrar a estos terceros por sus servicios.
  3. Con respecto a las aplicaciones móviles del servicio de software Acre Intrusion Connect, el derecho de uso incluirá la descarga, la instalación y la ejecución de estas aplicaciones para los fines mencionados en los párrafos 1 y 2 anteriores.
  4. El derecho a utilizar el servicio de software Acre Intrusion Connect no es transferible y no da derecho al usuario final o al proveedor de servicios a conceder derechos sobre el mismo a terceros.
  5. Se prohíbe el uso del servicio de software Acre Intrusion Connect para fines distintos a los descritos anteriormente. En particular, el Cliente no debe copiar, usar, distribuir ni poner a disposición de ningún otro modo todo el contenido del servicio de software Acre Intrusion Connect, incluidos, entre otros, el software, las imágenes, los gráficos, los textos y/o las marcas comerciales.

§ 4 Remuneración

  1. Para los usuarios finales, el servicio de software Acre Intrusion Connect será gratuito, a menos que se acuerde lo contrario.
  2. Para los proveedores de servicios, el servicio de software Acre Intrusion Connect se cobrará de acuerdo con el plan de suscripción aplicable u otro precio acordado.
  3. Las tarifas de suscripción recurrentes se pagarán por adelantado durante las dos primeras semanas de cada período de suscripción.
  4. Todos los precios no incluyen el IVA, otros impuestos y/o tasas oficiales, que se pagarán además de los precios, si corresponde.
  5. Si el cliente se retrasa en el pago de la remuneración adeudada, Vanderbilt tendrá derecho a percibir intereses a partir del día en que vence el pago. El tipo de interés estará 8 puntos porcentuales por encima del tipo de la principal línea de refinanciación del Banco Central Europeo vigente en la fecha de vencimiento del pago. En caso de retraso en el pago, Vanderbilt podrá, tras haber notificado al Cliente, suspender la ejecución del contrato hasta la recepción del pago o rescindir el contrato y reclamar una indemnización por las pérdidas sufridas por Vanderbilt.
  6. Sobre la base de una reclamación que tenga contra Vanderbilt, el Cliente no podrá retener la totalidad o una parte del importe adeudado, ni compensar ninguna parte de ese pago, sin la aprobación previa de Vanderbilt.

§ 5 Protección de datos y procesamiento de datos

Las disposiciones del Acuerdo sobre el procesamiento de datos en nombre contenidas en el Anexo A formarán parte integral de este Acuerdo y se aplicarán al procesamiento de datos personales.

§ 6 Obligaciones del cliente

  1. El Cliente se compromete a utilizar el servicio de software Acre Intrusion Connect únicamente con fines o servicios legales. Al hacerlo, respetará las leyes de Suecia, así como las leyes de los países en los que se encuentre el Cliente, así como las leyes de los países en los que se encuentren los respectivos paneles de intrusión de Acre y/o terceros a los que presten servicio.
  2. El Cliente indemnizará a Vanderbilt, a sus empresas afiliadas y a sus proveedores por las reclamaciones presentadas por terceros debido a la infracción de derechos, en particular los derechos de autor, los derechos de propiedad industrial o los derechos de datos personales, en la medida en que la infracción haya sido causada por el Cliente o sus empleados.

§ 7 Garantía

  1. El Cliente notificará sin demora indebida a Vanderbilt cualquier error que aparezca en el servicio de software Acre Intrusion Connect. Dicha notificación no se emitirá bajo ninguna circunstancia más de dos (2) semanas después de que se haya producido el error. Si el cliente no notifica a Vanderbilt dentro del plazo mencionado anteriormente, perderá sus derechos en virtud de la garantía.
  2. Vanderbilt gestionará cualquier error en un plazo razonable. La gestión de errores en el sentido del presente Acuerdo incluye la delimitación de la causa del error, el diagnóstico del error y la eliminación del error o la prevención de sus efectos, que afecten a la funcionalidad del servicio de software Acre Intrusion Connect. La gestión de errores puede proporcionarse, en particular, en forma de parches, actualizaciones o mejoras, instrucciones sobre cómo evitar el error o, tras consultar con el Cliente, también proporcionando una versión principal más reciente del servicio de software Acre Intrusion Connect. Vanderbilt decidirá según su propio criterio, sobre la base de una evaluación profesional, el tipo y el alcance de la gestión de errores que se proporcionará, por lo que Vanderbilt tendrá en cuenta el interés del Cliente en la funcionalidad del servicio de software Acre Intrusion Connect.
  3. El Cliente informará inmediatamente a Vanderbilt de cualquier reclamación en la que se afirme que el servicio de software Acre Intrusion Connect de Vanderbilt infringe los derechos de autor o los derechos de propiedad industrial e intelectual de un tercero. En tal caso, y siempre que Vanderbilt haya tenido una oportunidad razonable de presentar su caso, Vanderbilt, a su entera discreción, obtendrá para el cliente el derecho a utilizar el servicio de software Acre Intrusion Connect, modificarlo de tal manera que se elimine la infracción, reemplazar el servicio de software Acre Intrusion Connect por otro servicio de la calidad y eficiencia correspondientes o rescindir el servicio de software Acre Intrusion Connect y reembolsar su remuneración menos una cantidad razonable deducción por uso provisional .
  4. Las reclamaciones de los clientes por errores y defectos en general prescriben un año después de la aparición del error o defecto. El plazo de prescripción de un año no se aplicará a la responsabilidad por los daños causados de manera culpable a la vida, la integridad física o la salud, ni a la responsabilidad por otros daños en caso de incumplimiento intencionado de una obligación, o en la medida en que Vanderbilt no haya revelado maliciosamente el error o defecto o no haya ofrecido una garantía por la calidad del objeto, o dentro del alcance de una responsabilidad en virtud de la ley de responsabilidad por productos defectuosos.

§ 8 Limitación de responsabilidad, estatuto de limitaciones

  1. Vanderbilt será responsable sin restricciones por los daños causados de manera culpable causados por lesiones a la vida, el cuerpo o la salud. Vanderbilt también será responsable sin restricciones en caso de incumplimiento intencionado del deber y en la medida en que Vanderbilt no haya revelado el defecto de forma dolosa, y en la medida en que lo exija la ley de responsabilidad por productos defectuosos aplicable. En la medida en que Vanderbilt haya asumido una garantía por la calidad o la durabilidad del servicio de software Acre Intrusion Connect, si lo hubiera, Vanderbilt también será responsable sin restricciones, pero solo en la medida cubierta por la garantía.
  2. Se aplicará lo siguiente a otros daños: Vanderbilt no será responsable de ningún daño indirecto y consecuente, pérdida de beneficios, pérdida de producción, interrupción de las operaciones, reclamaciones contractuales de terceros, pérdida de uso o gasto de financiación. La responsabilidad global de Vanderbilt por los daños, los daños o sanciones liquidados, las reclamaciones de compensación e indemnizaciones, independientemente de la base legal de las reclamaciones y con respecto a todos los incidentes de daño incluidos en el contrato, no superará en ningún caso los 25.000, - EUR (en palabras: veinticinco mil euros) por suceso y en conjunto. En cualquier caso, la responsabilidad general de Vanderbilt en virtud del contrato (tal como se establece en esta cláusula) caducará al final del plazo de prescripción aplicable al servicio de software Acre Intrusion Connect.
  3. La objeción por negligencia contributiva (por ejemplo, el incumplimiento de las obligaciones del Cliente) permanece abierta.
  4. Con respecto a la responsabilidad por errores y defectos en general, se aplicará el período de prescripción establecido en el § 7, punto 4, de este Acuerdo de suscripción.

§ 9 Confidencialidad

  1. Se entenderá por «información confidencial» en el sentido del presente Acuerdo de suscripción toda la información que Vanderbilt o el Cliente protegen contra la divulgación irrestricta a terceros mediante las medidas apropiadas, que esté marcada como tal o que deba considerarse confidencial según las circunstancias de la divulgación o su contenido.
  2. Las Partes se comprometen a proteger toda la información confidencial de la otra parte obtenida antes y durante la ejecución del contrato durante un período de tiempo ilimitado, de la misma manera que protegen su propia información confidencial comparable mediante las medidas apropiadas y a tratarla de forma confidencial. La divulgación por parte de la parte receptora a terceros solo estará permitida en la medida necesaria para el ejercicio de los derechos de la parte receptora o para la ejecución del contrato, y dichas personas están sujetas a obligaciones de confidencialidad sustancialmente comparables a las establecidas en este documento. Los duplicados de la información confidencial de la otra parte respectiva deberán contener, en la medida en que sea técnicamente posible, todos los avisos y anotaciones relativos a su carácter confidencial o secreto que figuren en el original.
  3. La obligación de mantener la confidencialidad no se aplicará a la información que (a) haya sido desarrollada de forma independiente por la parte receptora, (b) haya sido proporcionada legalmente a la parte receptora por un tercero sin infringir este Acuerdo o cualquier otro acuerdo, (c) la parte receptora conocía sin restricciones en el momento de la divulgación, o (d) estaba disponible públicamente en el momento de la divulgación o, posteriormente, pasa a estar disponible públicamente sin que la parte receptora haya incumplido su deber.

§ 10 Plazo, rescisión

  1. A menos que se acuerde lo contrario, el contrato tendrá una duración de doce meses a partir de su inicio (año contractual), a menos que se acuerde lo contrario. El contrato se prorrogará automáticamente un año más en cada caso si una de las Partes contratantes no lo rescinde al menos tres meses antes del final del año contractual respectivo.
  2. La rescisión sin previo aviso por causa justificada no se verá afectada.
  3. El cliente se asegurará de que, en un plazo de tres meses a partir de la expiración del contrato, haya descargado todo el contenido y los datos (incluidos los datos personales) almacenados por él o sus clientes en los servidores de Vanderbilt y los haya protegido de otro modo. Tres meses después de la expiración del contrato, la obligación de Vanderbilt de almacenar dicho contenido y datos finalizará y Vanderbilt podrá eliminar todo el contenido y los datos (incluidos los datos personales). Sin embargo, antes de la eliminación, Vanderbilt informará al Cliente de la eliminación inminente por escrito o por texto con un plazo de preaviso de dos semanas o más.

§ 11 Lucha contra el soborno y la corrupción

El Cliente deberá (i) cumplir con todas las leyes, reglamentos, códigos y sanciones aplicables en relación con la lucha contra el soborno y la corrupción, incluidas, entre otras, la Ley contra el soborno del Reino Unido y la Ley de Prácticas Extranjeras y Corruptas de los Estados Unidos («Requisitos pertinentes»), (ii) establecer y mantener sus propias políticas y procedimientos relacionados con la lucha contra el soborno y la corrupción, (iii) informar inmediatamente a Vanderbilt de cualquier solicitud o demanda sobre cualquier ventaja financiera o de otro tipo indebida de de cualquier tipo recibido por el Cliente en relación con este contrato, (iv) notifique inmediatamente a Vanderbilt si un funcionario público extranjero pasa a ser funcionario o empleado del Cliente o adquiere un interés directo o indirecto en el Cliente (y el Cliente garantiza que no tiene funcionarios públicos extranjeros como funcionarios, empleados o propietarios directos o indirectos) y (v) no participa en ninguna actividad, práctica o conducta que pueda constituir un delito en virtud de los Requisitos pertinentes. El Cliente proporcionará las pruebas de cumplimiento que Vanderbilt pueda solicitar razonablemente. El incumplimiento de esta cláusula se considerará un incumplimiento material que da derecho a Vanderbilt a rescindir inmediatamente el contrato y a reclamar una indemnización por cualquier pérdida en la que haya incurrido Vanderbilt.

§ 12 Fuerza mayor

Vanderbilt tendrá derecho a suspender inmediatamente el cumplimiento de sus obligaciones en virtud del contrato en la medida en que dicho cumplimiento se vea impedido o hecho excesivamente oneroso por cualquiera de las siguientes circunstancias: conflictos laborales y cualquier otra circunstancia ajena al control de Vanderbilt, como incendios, guerras, grandes movilizaciones militares, insurrección, requisición, incautación, embargo, restricciones en el uso de la energía y defectos o retrasos en las entregas por parte de los subcontratistas causados por cualquier circunstancia de este tipo. a los que se hace referencia en esta cláusula.

§ 13 Disputas y ley aplicable

  1. El contrato se rige por la legislación sueca, sin tener en cuenta sus disposiciones sobre conflicto de leyes. No se aplicará la Convención de las Naciones Unidas sobre los Contratos de Compraventa Internacional de Mercaderías.
  2. Cualquier disputa, controversia o reclamación que surja de o esté relacionada con el contrato, o su incumplimiento, rescisión o invalidez, se resolverá definitivamente mediante arbitraje de conformidad con el Reglamento de Arbitraje del Instituto de Arbitraje de la Cámara de Comercio de Estocolmo. El tribunal arbitral estará compuesto por tres árbitros. La sede del arbitraje será Estocolmo. El idioma que se utilizará en el procedimiento arbitral será el inglés.
  3. Las partes se comprometen, de forma indefinida, a no revelar la existencia o el contenido de ninguna sentencia o decisión relacionada con el contrato o cualquier información sobre las negociaciones, los procedimientos arbitrales o la mediación en relación con el mismo. Este compromiso de confidencialidad no se aplicará a la información que una parte esté obligada a divulgar por ley, en cumplimiento de una orden de una autoridad gubernamental, de conformidad con las normas bursátiles aplicables, o que pueda ser necesaria para la ejecución de una sentencia o un laudo. No obstante lo anterior, Vanderbilt tendrá derecho a dirigirse en primera instancia al tribunal de distrito de Estocolmo en lo que respecta a las reclamaciones por el pago adeudado.

Adenda A

Acuerdo sobre el procesamiento de datos en nombre

para Acre Intrusion Connect

entre

Usted, el usuario final o el proveedor de servicios, utiliza el servicio de software Acre Intrusion Connect

- en lo sucesivo, «Controlador» —

y

Vanderbilt International AB
Englundavagen 7
Caja 1275
17124 Solna
Suecia

- en adelante «Procesador» -.

Cláusula 1

Objeto del acuerdo

  1. El procesador proporcionará el servicio de software Acre Intrusion Connect, una solución basada en la nube diseñada para monitorear, administrar y mantener los paneles de intrusión de Acre de forma remota; en la actualidad, el servicio de software Acre Intrusion Connect comprende una aplicación web (a través de un navegador de Internet) y aplicaciones móviles para las plataformas Android y Apple (en adelante, denominado «Servicio de software Acre Intrusion Connect»). Al hacerlo, el procesador procesa los datos personales exclusivamente en nombre y de acuerdo con las instrucciones del controlador en el sentido del artículo 4, número 8, y el artículo 28 del RGPD (procesamiento en nombre).
  2. Este Acuerdo rige los derechos y obligaciones de las Partes en relación con el procesamiento de datos personales y, a este respecto, prevalece sobre todos los demás acuerdos de las partes. Las cláusulas contractuales estándar adjuntas son una parte integral de este Acuerdo. En caso de contradicción entre estas cláusulas y las disposiciones de los acuerdos relacionados entre las Partes vigentes en el momento en que se acuerden estas cláusulas o se celebren posteriormente, prevalecerán estas cláusulas.
  3. A los efectos del presente Acuerdo, se entenderá por «usuarios finales» las personas o entidades que utilizan el servicio de software Acre Intrusion Connect para supervisar, gestionar y mantener un panel de intrusión de Acre en su propio nombre. Por «proveedores de servicios» se entenderá a las personas o entidades que utilizan el servicio de software Acre Intrusion Connect para monitorear, administrar y mantener los paneles de intrusión de AAcre en nombre de los usuarios finales o para ayudar a los usuarios finales a hacerlo; y por «controlador» se entenderá un usuario final o un proveedor de servicios, respectivamente. El Controlador y el Procesador pueden denominarse «Parte» o denominarse conjuntamente las «Partes» a los efectos del presente Acuerdo.
  4. Las Partes entienden que «GDPR» significa el Reglamento (UE) 2016/679, también conocido como Reglamento General de Protección de Datos.
  5. El presente Acuerdo se basa en las definiciones del artículo 4 del RGPD, en particular en lo que respecta a los términos «procesamiento de datos» o «procesamiento» (de datos) según el artículo 4, número 2 del RGPD.
  6. Por «Datos personales» en el sentido del presente Acuerdo, las Partes entienden aquellos datos personales que el Procesador procesa en nombre del Controlador, por lo que es irrelevante si el Procesador los ha recibido del Controlador, de los interesados o de terceros y si el procesamiento se lleva a cabo dentro del alcance de las obligaciones de desempeño del Procesador o de cualquier otra manera, en la medida en que provengan del ámbito del Controlador.

Cláusula 2

Duración

  1. Los servicios del Procesador para el Controlador se derivarán del contrato celebrado por separado entre las Partes, en lo sucesivo, el «Contrato principal».
  2. La duración del procesamiento corresponderá a la vigencia del Acuerdo principal. El presente acuerdo seguirá siendo válido una vez finalizado el contrato principal mientras el procesador conserve los datos personales en nombre del controlador.
  3. El Procesador no adquirirá ningún derecho sobre los Datos personales y estará obligado a entregar los Datos personales en un formulario que el Controlador pueda leer y procesar posteriormente en cualquier momento previa solicitud. Se excluyen los derechos de retención del procesador con respecto a los datos personales y los soportes de datos asociados.
  4. Transcurridos tres meses desde la expiración del contrato principal o a solicitud del controlador, el procesador eliminará todos los datos personales y los soportes de datos que le haya proporcionado o procesado en nombre del controlador. El procesador documentará la eliminación de cualquier dato personal que aún exista y proporcionará dicha documentación a petición del controlador. Sin embargo, antes de la eliminación, el Procesador informará al Controlador de la eliminación inminente por escrito o por texto con un plazo de preaviso de dos semanas o más.

Cláusula 3

Misceláneo

  1. Las modificaciones y suplementos de este Acuerdo deben hacerse por escrito o en forma de texto. Esto también se aplicará a cualquier exención de este requisito formal.
  2. Si las disposiciones individuales de este Acuerdo son o pasan a ser inválidas o inaplicables en su totalidad o en parte, esto no afectará a la validez de las disposiciones restantes. Las partes se comprometen a reemplazar la disposición inválida por una disposición legalmente permitida que se acerque más al propósito de la disposición inválida y que mejor cumpla con los requisitos del artículo 28 del RGPD.
  3. Este Acuerdo se rige por la legislación sueca, sin tener en cuenta sus disposiciones sobre conflicto de leyes.
  4. Cualquier disputa, controversia o reclamación que surja de o esté relacionada con el contrato, o su incumplimiento, rescisión o invalidez, se resolverá definitivamente mediante arbitraje de conformidad con el Reglamento de Arbitraje del Instituto de Arbitraje de la Cámara de Comercio de Estocolmo. El tribunal arbitral estará compuesto por tres árbitros. La sede del arbitraje será Estocolmo. El idioma que se utilizará en el procedimiento arbitral será el inglés.
  5. Las partes se comprometen, de forma indefinida, a no revelar la existencia o el contenido de ninguna sentencia o decisión relacionada con el contrato o cualquier información sobre las negociaciones, los procedimientos arbitrales o la mediación en relación con el mismo. Este compromiso de confidencialidad no se aplicará a la información que una parte esté obligada a divulgar por ley, en cumplimiento de una orden de una autoridad gubernamental, de conformidad con las normas bursátiles aplicables, o que pueda ser necesaria para la ejecución de una sentencia o un laudo.

***

Cláusulas contractuales estándar

SECCIÓN I

Cláusula 1

Propósito y alcance

  1. El objetivo de estas cláusulas contractuales tipo (las Cláusulas) es garantizar el cumplimiento del artículo 28, apartados 3 y 4, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de dichos datos.
  2. Los controladores y procesadores que figuran en el anexo I han aceptado estas cláusulas para garantizar el cumplimiento del artículo 28, apartados 3 y 4, del Reglamento (UE) 2016/679 y/o del artículo 29, apartados 3 y 4, del Reglamento (UE) 2018/1725.
  3. Estas cláusulas se aplican al procesamiento de datos personales tal como se especifica en el anexo II.
  4. Los anexos I a IV son parte integral de las Cláusulas.
  5. Estas cláusulas se entienden sin perjuicio de las obligaciones a las que está sujeto el responsable del tratamiento en virtud del Reglamento (UE) 2016/679 y/o del Reglamento (UE) 2018/1725.
  6. Estas cláusulas no garantizan por sí mismas el cumplimiento de las obligaciones relacionadas con las transferencias internacionales de conformidad con el capítulo V del Reglamento (UE) 2016/679 y/o el Reglamento (UE) 2018/1725.

Cláusula 2

Invariabilidad de las cláusulas

  1. Las Partes se comprometen a no modificar las Cláusulas, excepto para añadir información a los anexos o actualizar la información que contienen.
  2. Esto no impide que las Partes incluyan las cláusulas contractuales estándar establecidas en estas cláusulas en un contrato más amplio, ni añadan otras cláusulas o garantías adicionales siempre que no contradigan directa o indirectamente las cláusulas ni menoscaben los derechos o libertades fundamentales de los interesados.

Cláusula 3

Interpretación

  1. Cuando estas cláusulas utilicen los términos definidos en el Reglamento (UE) 2016/679 o el Reglamento (UE) 2018/1725, respectivamente, dichos términos tendrán el mismo significado que en dicho Reglamento.
  2. Estas cláusulas se leerán e interpretarán a la luz de las disposiciones del Reglamento (UE) 2016/679 o del Reglamento (UE) 2018/1725, respectivamente.
  3. Estas cláusulas no se interpretarán de manera contraria a los derechos y obligaciones establecidos en el Reglamento (UE) 2016/679/Reglamento (UE) 2018/1725 ni de forma que perjudique los derechos o libertades fundamentales de los interesados.

Cláusula 4

Jerarquía

En caso de contradicción entre estas Cláusulas y las disposiciones de los acuerdos relacionados entre las Partes existentes en el momento en que se acuerden estas Cláusulas o se celebren posteriormente, prevalecerán estas Cláusulas.

Cláusula 5

Cláusula de acoplamiento

  1. Cualquier entidad que no sea Parte de estas Cláusulas podrá, con el acuerdo de todas las Partes, acceder a estas Cláusulas en cualquier momento como responsable o procesador completando los anexos y firmando el anexo I.
  2. Una vez completados y firmados los anexos de la letra a), la entidad adherente será tratada como Parte en estas Cláusulas y tendrá los derechos y obligaciones de un responsable o un encargado del tratamiento, de conformidad con su designación en el anexo I.
  3. La entidad adherente no tendrá derechos ni obligaciones derivados de estas Cláusulas del período anterior a convertirse en Parte.

SECCIÓN II — OBLIGACIONES DE LAS PARTES

Cláusula 6

Descripción del (de los) procesamiento (es)

Los detalles de las operaciones de procesamiento, en particular las categorías de datos personales y los fines del procesamiento para los que se procesan los datos personales en nombre del controlador, se especifican en el anexo II.

Cláusula 7

Obligaciones de las Partes

7.1. Instrucciones

  1. El procesador procesará los datos personales únicamente siguiendo instrucciones documentadas del responsable del tratamiento, a menos que así lo exija la legislación de la Unión o de los Estados miembros a la que esté sujeto el procesador. En este caso, el procesador informará al controlador de ese requisito legal antes del procesamiento, a menos que la ley lo prohíba por motivos importantes de interés público. El responsable del tratamiento también podrá dar instrucciones posteriores durante todo el tratamiento de los datos personales. Estas instrucciones deberán estar siempre documentadas.
  2. El procesador informará inmediatamente al controlador si, en su opinión, las instrucciones dadas por el controlador infringen el Reglamento (UE) 2016/679/Reglamento (UE) 2018/1725 o las disposiciones de protección de datos aplicables de la Unión o los Estados miembros.

7.2. Limitación de propósito

El procesador procesará los datos personales solo para los fines específicos del procesamiento, tal como se establece en el anexo II, a menos que reciba instrucciones adicionales del controlador.

7.3. Duración del tratamiento de los datos personales

El procesamiento por parte del procesador solo tendrá lugar durante el período especificado en el anexo II.

7.4. Seguridad del procesamiento

  1. El procesador aplicará al menos las medidas técnicas y organizativas especificadas en el anexo III para garantizar la seguridad de los datos personales. Esto incluye proteger los datos contra una violación de la seguridad que provoque la destrucción, la pérdida, la alteración, la divulgación o el acceso no autorizados a los datos (violación de los datos personales) de forma accidental o ilegal. Al evaluar el nivel de seguridad adecuado, las Partes tendrán debidamente en cuenta el estado de la técnica, los costes de implementación, la naturaleza, el alcance, el contexto y los fines del procesamiento y los riesgos que implica para los interesados.
  2. El procesador concederá acceso a los datos personales objeto de procesamiento a los miembros de su personal solo en la medida estrictamente necesaria para la implementación, la gestión y el seguimiento del contrato. El procesador se asegurará de que las personas autorizadas a procesar los datos personales recibidos se hayan comprometido a mantener la confidencialidad o tengan la obligación legal de confidencialidad adecuada.

7.5. Datos sensibles

Si el procesamiento implica datos personales que revelen el origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, datos genéticos o datos biométricos con el fin de identificar de forma única a una persona física, datos relacionados con la salud o la vida sexual u orientación sexual de una persona, o datos relacionados con condenas e delitos penales («datos sensibles»), el procesador aplicará restricciones específicas y/o salvaguardias adicionales.

7.6 Documentación y cumplimiento

  1. Las Partes deberán poder demostrar el cumplimiento de estas Cláusulas.
  2. El procesador atenderá con prontitud y de manera adecuada las consultas del controlador sobre el procesamiento de datos de acuerdo con estas cláusulas.
  3. El procesador pondrá a disposición del controlador toda la información necesaria para demostrar el cumplimiento de las obligaciones que se establecen en estas cláusulas y que se derivan directamente del Reglamento (UE) 2016/679 y/o del Reglamento (UE) 2018/1725. A petición del responsable, el encargado del tratamiento también permitirá las auditorías de las actividades de procesamiento contempladas en estas cláusulas y contribuirá a ellas, a intervalos razonables o si hay indicios de incumplimiento. Al decidir si llevar a cabo una revisión o una auditoría, el responsable del tratamiento podrá tener en cuenta las certificaciones pertinentes que posea el encargado del tratamiento.
  4. El controlador puede optar por realizar la auditoría por sí mismo o encargar a un auditor independiente. Las auditorías también pueden incluir inspecciones en las instalaciones o instalaciones físicas del procesador y, cuando proceda, se llevarán a cabo con una antelación razonable.
  5. Las Partes pondrán la información a la que se refiere la presente cláusula, incluidos los resultados de cualquier auditoría, a disposición de las autoridades supervisoras competentes que las soliciten.

7.7. Uso de subprocesadores

  1. El procesador no subcontratará ninguna de sus operaciones de procesamiento realizadas en nombre del controlador de conformidad con estas Cláusulas a un subprocesador, sin la autorización previa y específica por escrito del controlador. El procesador presentará la solicitud de autorización específica al menos tres meses antes de la contratación del subprocesador en cuestión, junto con la información necesaria para que el responsable del tratamiento pueda tomar una decisión sobre la autorización. La lista de subprocesadores autorizados por el responsable del tratamiento figura en el anexo IV. Las Partes mantendrán actualizado el anexo IV.
  2. Cuando el procesador contrate a un subprocesador para llevar a cabo actividades de procesamiento específicas (en nombre del controlador), lo hará mediante un contrato que imponga al subprocesador, en esencia, las mismas obligaciones de protección de datos que las impuestas al procesador de datos de conformidad con estas cláusulas. El procesador se asegurará de que el subprocesador cumpla con las obligaciones a las que está sujeto en virtud de estas cláusulas y del Reglamento (UE) 2016/679 y/o el Reglamento (UE) 2018/1725.
  3. A solicitud del controlador, el procesador proporcionará una copia de dicho acuerdo de subprocesador y cualquier modificación posterior al controlador. En la medida en que sea necesario para proteger el secreto empresarial u otra información confidencial, incluidos los datos personales, el procesador puede redactar el texto del acuerdo antes de compartir la copia.
  4. El procesador seguirá siendo plenamente responsable ante el controlador por el cumplimiento de las obligaciones del subprocesador de conformidad con su contrato con el procesador. El procesador notificará al controlador cualquier incumplimiento por parte del subprocesador de sus obligaciones contractuales.
  5. El procesador acordará con el subprocesador una cláusula de tercero beneficiario según la cual, en caso de que el procesador haya desaparecido de hecho, haya dejado de existir legalmente o se haya declarado insolvente, el controlador tendrá derecho a rescindir el contrato del subprocesador y a ordenar al subprocesador que borre o devuelva los datos personales.

7.8. Transferencias internacionales

  1. Cualquier transferencia de datos a un tercer país o a una organización internacional por parte del procesador se realizará únicamente sobre la base de instrucciones documentadas del controlador o para cumplir un requisito específico en virtud de la legislación de la Unión o de los Estados miembros a la que esté sujeto el procesador y se realizará de conformidad con el capítulo V del Reglamento (UE) 2016/679 o el Reglamento (UE) 2018/1725.
  2. El controlador acepta que cuando el procesador contrate a un subprocesador de conformidad con la cláusula 7.7 para llevar a cabo actividades de procesamiento específicas (en nombre del controlador) y esas actividades de procesamiento impliquen una transferencia de datos personales en el sentido del capítulo V del Reglamento (UE) 2016/679, el procesador y el subprocesador pueden garantizar el cumplimiento del capítulo V del Reglamento (UE) 2016/679 mediante el uso de cláusulas contractuales estándar adoptadas por la Comisión de conformidad con el artículo 46 (2) del Reglamento (UE) 2016/679, siempre que se den las condiciones para la se cumple el uso de esas cláusulas contractuales estándar.

Cláusula 8

Asistencia al responsable

  1. El procesador notificará sin demora al controlador cualquier solicitud que haya recibido del interesado. No responderá a la solicitud en sí, a menos que el responsable del tratamiento lo autorice a hacerlo.
  2. El procesador ayudará al controlador a cumplir con sus obligaciones de responder a las solicitudes de los interesados para ejercer sus derechos, teniendo en cuenta la naturaleza del procesamiento. Al cumplir sus obligaciones de conformidad con las letras a) y b), el procesador deberá cumplir con las instrucciones del controlador
  3. Además de la obligación del procesador de ayudar al controlador de conformidad con la cláusula 8 (b), el procesador también ayudará al controlador a garantizar el cumplimiento de las siguientes obligaciones, teniendo en cuenta la naturaleza del procesamiento de datos y la información disponible para el procesador:
    1. la obligación de llevar a cabo una evaluación del impacto de las operaciones de tratamiento previstas en la protección de los datos personales (una «evaluación de impacto de la protección de datos») cuando un tipo de tratamiento pueda suponer un riesgo elevado para los derechos y las libertades de las personas físicas;
    2. la obligación de consultar a la autoridad o autoridades de control competentes antes del procesamiento cuando una evaluación de impacto en materia de protección de datos indique que el procesamiento generaría un riesgo elevado si el responsable del tratamiento no hubiera tomado medidas para mitigar el riesgo;
    3. la obligación de garantizar que los datos personales sean precisos y estén actualizados, informando sin demora al controlador si el procesador se da cuenta de que los datos personales que está procesando son inexactos o han quedado desactualizados;
    4. las obligaciones del artículo 32 del Reglamento (UE) 2016/679.
  4. Las Partes establecerán en el anexo III las medidas técnicas y organizativas apropiadas mediante las cuales se exige al procesador que ayude al responsable del tratamiento en la aplicación de la presente cláusula, así como el alcance y el alcance de la asistencia requerida.

Cláusula 9

Notificación de violación de datos personales

En caso de violación de los datos personales, el encargado del tratamiento cooperará con el responsable del tratamiento y le ayudará a cumplir sus obligaciones en virtud de los artículos 33 y 34 del Reglamento (UE) 2016/679 o de los artículos 34 y 35 del Reglamento (UE) 2018/1725, cuando proceda, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el encargado del tratamiento.

9.1 Violación de datos relacionada con los datos procesados por el controlador

En caso de violación de datos personales en relación con los datos tratados por el responsable del tratamiento, el encargado del tratamiento ayudará al responsable del tratamiento a:

  1. al notificar la violación de datos personales a la autoridad o autoridades de control competentes, sin demora indebida después de que el responsable del tratamiento haya tenido conocimiento de ello, cuando proceda/ (a menos que sea poco probable que la violación de datos personales suponga un riesgo para los derechos y libertades de las personas físicas);
  2. al obtener la siguiente información que, de conformidad con el artículo 33, apartado 3, del Reglamento (UE) 2016/679, se indicará en la notificación del responsable del tratamiento y debe incluir al menos:
    1. la naturaleza de los datos personales, incluidas, cuando sea posible, las categorías y el número aproximado de interesados en cuestión y las categorías y el número aproximado de registros de datos personales de que se trate;
    2. las posibles consecuencias de la violación de datos personales;
    3. las medidas adoptadas o propuestas por el responsable del tratamiento para hacer frente a la violación de los datos personales, incluidas, cuando proceda, las medidas para mitigar sus posibles efectos adversos.
    Cuando, y en la medida en que, no sea posible proporcionar toda esta información al mismo tiempo, la notificación inicial contendrá la información disponible en ese momento y se proporcionará más información, a medida que esté disponible, sin demora indebida.
  3. al cumplir, de conformidad con el artículo 34 del Reglamento (UE) 2016/679, con la obligación de comunicar sin demora indebida la violación de los datos personales al interesado, cuando la violación de los datos personales pueda resultar en un alto riesgo para los derechos y las libertades de las personas físicas.

9.2 Violación de datos relacionada con los datos procesados por el procesador

En caso de violación de datos personales en relación con los datos procesados por el procesador, el procesador lo notificará al controlador sin demora indebida después de que el procesador haya tenido conocimiento de la violación. Dicha notificación contendrá, como mínimo:

  1. una descripción de la naturaleza de la infracción (incluidas, cuando sea posible, las categorías y el número aproximado de interesados y registros de datos afectados);
  2. los detalles de un punto de contacto en el que pueda obtenerse más información sobre la violación de los datos personales;
  3. sus posibles consecuencias y las medidas adoptadas o propuestas para hacer frente a la infracción, incluso para mitigar sus posibles efectos adversos.

Cuando, y en la medida en que, no sea posible proporcionar toda esta información al mismo tiempo, la notificación inicial contendrá la información disponible en ese momento y se proporcionará más información, a medida que esté disponible, sin demora indebida.

Las Partes establecerán en el anexo III todos los demás elementos que debe proporcionar el encargado del tratamiento para ayudar al responsable del tratamiento a cumplir sus obligaciones en virtud de los artículos 33 y 34 del Reglamento (UE) 2016/679.

SECCIÓN III — DISPOSICIONES FINALES

Cláusula 10

Incumplimiento de las Cláusulas y rescisión

  1. Sin perjuicio de las disposiciones del Reglamento (UE) 2016/679 y/o del Reglamento (UE) 2018/1725, en caso de que el procesador incumpla sus obligaciones en virtud de estas Cláusulas, el controlador puede ordenar al procesador que suspenda el procesamiento de los datos personales hasta que este último cumpla con estas Cláusulas o se rescinda el contrato. El procesador informará sin demora al controlador en caso de que no pueda cumplir con estas cláusulas, por cualquier motivo.
  2. El responsable del tratamiento tendrá derecho a rescindir el contrato en lo que respecta al procesamiento de datos personales de conformidad con estas cláusulas si:
    1. el procesamiento de datos personales por parte del procesador ha sido suspendido por el controlador de conformidad con el punto (a) y si el cumplimiento de estas cláusulas no se restablece en un plazo razonable y, en cualquier caso, dentro del mes siguiente a la suspensión;
    2. el procesador incumple de manera sustancial o persistente estas Cláusulas o sus obligaciones en virtud del Reglamento (UE) 2016/679 y/o el Reglamento (UE) 2018/1725;
    3. el procesador no cumple con una decisión vinculante de un tribunal competente o de las autoridades supervisoras competentes en relación con sus obligaciones en virtud de estas cláusulas o del Reglamento (UE) 2016/679 y/o el Reglamento (UE) 2018/1725.
  3. El procesador tendrá derecho a rescindir el contrato en lo que respecta al procesamiento de datos personales en virtud de estas Cláusulas cuando, tras haber informado al controlador de que sus instrucciones infringen los requisitos legales aplicables de conformidad con la Cláusula 7.1 (b), el controlador insista en cumplir las instrucciones.
  4. Tras la rescisión del contrato, el procesador, a elección del controlador, eliminará todos los datos personales procesados en nombre del controlador y certificará al controlador que lo ha hecho, o devolverá todos los datos personales al controlador y eliminará las copias existentes, a menos que la legislación de la Unión o de los Estados miembros exija el almacenamiento de los datos personales. Hasta que se eliminen o devuelvan los datos, el procesador seguirá garantizando el cumplimiento de estas cláusulas.

***

ANEXO I: LISTA DE PARTES

Controlador:

Usted, el usuario final o el proveedor de servicios, se suscribe o utiliza el servicio de software Acre Intrusion Connect

Procesador:

Vanderbilt International AB
Englundavagen 7
Caja 1275
17124 Solna
Suecia

ANEXO II: DESCRIPCIÓN DEL TRATAMIENTO

Categorías de sujetos de datos cuyos datos personales se procesan

Controladores o empleados de los Controladores, usuarios finales o empleados de usuarios finales.

Categorías de datos personales procesados

Datos generales:
  • Nombre y apellidos
  • Otros nombres
  • Dirección
  • Código postal
  • Número (s) de teléfono
  • Nombre de usuario
  • Contraseña
  • Dirección (es) de correo electrónico
  • Idioma
  • Información sobre preguntas de seguridad
  • Información de pago, incluido el número de tarjeta de crédito y/o los detalles de la cuenta bancaria, si corresponde
  • Identificadores de teléfonos móviles (para notificaciones push)
  • Información de la empresa instaladora
  • Información de control de acceso (imagen de usuario, información de la tarjeta, PIN, derechos de usuario)
  • Datos de verificación de alarmas, incluidas imágenes de audio y/o vídeo (si se activó la alarma; sin detección biométrica; sin almacenamiento continuo;)
  • Notificaciones de seguridad de los paneles de intrusión de Acre
  • Información de auditoría
Datos de suscripción:
  • Nombre y apellidos
  • Dirección
  • Código postal
  • Número (s) de teléfono
  • Nombre de usuario
  • Contraseña
  • Dirección (es) de correo electrónico
  • Idioma
  • Información sobre preguntas de seguridad
  • Información de pago, incluido el número de tarjeta de crédito y/o los detalles de la cuenta bancaria, si corresponde
Los datos confidenciales se procesaron (si corresponde) y se aplicaron restricciones o salvaguardas que tienen plenamente en cuenta la naturaleza de los datos y los riesgos involucrados, como, por ejemplo, la limitación estricta de la finalidad, las restricciones de acceso (incluido el acceso solo para el personal que haya seguido una formación especializada), el mantenimiento de un registro del acceso a los datos, las restricciones para las transferencias posteriores o las medidas de seguridad adicionales:

Ninguna.

Descripción y naturaleza del procesamiento

  • Programación remota completa de los paneles de intrusión de Acre
  • Comunicación «siempre activa» que permite un acceso instantáneo
  • Estructura organizativa para apoyar el flujo de trabajo empresarial
  • Funciones y responsabilidades definibles para los servicios de soporte de los proveedores de servicios
  • Supervisión de las comunicaciones
  • Informes de mantenimiento
  • Mantenimiento de archivos de configuración
  • Servicios de respaldo automatizados
  • Acceda de forma remota desde cualquier PC, teléfono o tableta

Finalidad (es) para la que se procesan los datos personales en nombre del responsable

Suministro y uso del servicio de software Acre Intrusion Connect, una solución basada en la nube diseñada para monitorear, administrar y mantener los paneles de intrusión de Acre de forma remota proporcionada por Vanderbilt.

Duración del procesamiento

Durante el período de registro del Controlador

Para el procesamiento por parte de (sub) procesadores, objeto y naturaleza del procesamiento

Procesador:

Vanderbilt International AB procesa los datos generales y los datos de suscripción de acuerdo con el anexo II para proporcionar el servicio de software Acre Intrusion Connect.

Subprocesadores:
1.

La calificación de Vanderbilt International (IRL) Ltd.
Parque Empresarial y Tecnológico de Clonshaugh
Dublín D17 KV 84
Irlanda

Descripción del procesamiento (incluida una delimitación clara de responsabilidades en caso de que se autoricen varios subprocesadores):
El subprocesador ejecuta y administra técnicamente los servicios de intrusión Acre de Vanderbilt en la nube proporcionados por el subprocesador n.º 2. Procesa los datos generales y de suscripción de acuerdo con el anexo II.

2.

Microsoft Ireland Operations Limited
One Microsoft Place, Parque Empresarial del Sur del Condado, Leopardstown,
Dublín 18, D18 P521
Irlanda

Descripción del procesamiento (incluida una delimitación clara de responsabilidades en caso de que se autoricen varios subprocesadores):
El subprocesador proporciona a los hosts los servicios en la nube que utilizan el procesador y el subprocesador número 1 para ejecutar y administrar los servicios de intrusión Acre de Vanderbilt. Procesa los datos generales y de suscripción de acuerdo con el anexo II.

3.

Grey Matter Ltd.
Las antiguas malterías
Prigg Meadow, Ashburton, Devon, TQ13 7DF
Reino Unido

Descripción del procesamiento (incluida una delimitación clara de responsabilidades en caso de que se autoricen varios subprocesadores):
El subprocesador proporciona soporte técnico al subprocesador n.º 1. Procesa los datos generales y de suscripción de acuerdo con el anexo II.

4.

Chargebee Inc.
340 S Lemon Avenue, #1537
Walnut, California 91789, EE. UU.
privacy@chargebee.com

Descripción del procesamiento (incluida una delimitación clara de responsabilidades en caso de que se autoricen varios subprocesadores):
Este subprocesador proporciona la administración de suscripciones, cuentas y facturación. Procesa los datos de suscripción de acuerdo con el anexo II.

5.

Ayden
Apartado postal 10095
1001 EB
Amsterdam
Los Países Bajos

Su política de privacidad puede consultarse en https://www.adyen.com/policies-and-disclaimer/applicant-privacy-notice

Descripción del procesamiento (incluida una delimitación clara de responsabilidades en caso de que se autoricen varios subprocesadores):
Este subprocesador proporciona la gestión de pagos. Procesa los datos de pago de acuerdo con el anexo II.

6.

Stripe, Inc.
354 Oyster Point Boulevard
Sur de San Francisco, California, 94080, EE. UU.
Atención: Stripe Legal
Stripe Payments Europe Limited
1 Grand Canal Street Lower, Muelle del Gran Canal, Dublín, D02 H210, Irlanda

Su política de privacidad puede consultarse en https://stripe.com/us/privacy

Descripción del procesamiento (incluida una delimitación clara de responsabilidades en caso de que se autoricen varios subprocesadores):
Este subprocesador proporciona la gestión de pagos. Procesa los datos de pago de acuerdo con el anexo II.

ANEXO III MEDIDAS TÉCNICAS Y ORGANIZATIVAS, INCLUIDAS LAS MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS

Vanderbilt ha implementado y mantendrá para los datos del controlador en el servicio de software Acre Intrusion Connect las siguientes medidas de seguridad, que, junto con los compromisos de seguridad de este Acuerdo (incluidos los términos del RGPD), son la única responsabilidad de Vanderbilt con respecto a la seguridad de esos datos.

I. Organización de las prácticas de seguridad de la información

Propiedad de la seguridad. Vanderbilt ha nombrado a uno o más oficiales de seguridad responsables de coordinar y supervisar las normas y procedimientos de seguridad.

Funciones y responsabilidades de seguridad. El personal de Vanderbilt con acceso a los datos del controlador está sujeto a obligaciones de confidencialidad.

Programa de gestión de riesgos. Vanderbilt realizó una evaluación de riesgos antes de procesar los datos del controlador o lanzar el servicio de software Acre Intrusion Connect.

Vanderbilt conserva sus documentos de seguridad de conformidad con sus requisitos de retención una vez que ya no estén en vigor.

II. Prácticas de gestión de activos

Inventario de activos. Vanderbilt mantiene un inventario de todos los medios en los que se almacenan los datos del controlador, si los hay. El acceso a los inventarios de dichos medios está restringido al personal de Vanderbilt autorizado por escrito a tener dicho acceso. Sin embargo, en su mayoría, si no exclusivamente, los datos del controlador se almacenan en el subprocesador de Vanderbilt, que aloja el servicio de software Acre Intrusion Connect (consulte los detalles en el anexo IV).

Manejo de activos

  • Vanderbilt clasifica los datos del controlador para ayudar a identificarlos y permitir que el acceso a ellos esté debidamente restringido.
  • Vanderbilt impone restricciones a la impresión de los datos del controlador y cuenta con procedimientos para desechar los materiales impresos que contienen dichos datos.
  • El personal de Vanderbilt debe obtener la autorización de Vanderbilt antes de almacenar los datos del controlador en dispositivos portátiles, acceder de forma remota a dichos datos o procesar dichos datos fuera de las instalaciones de Vanderbilt.

III. Prácticas de seguridad de los recursos humanos

Entrenamiento de seguridad. Vanderbilt informa a su personal sobre los procedimientos de seguridad pertinentes y sus funciones respectivas. Vanderbilt también informa a su personal sobre las posibles consecuencias de infringir las normas y procedimientos de seguridad.

IV. Prácticas de seguridad física y ambiental

Acceso físico a las instalaciones. Vanderbilt limita el acceso a las instalaciones donde se accede o se encuentran los sistemas de información que procesan los datos del controlador a las personas autorizadas identificadas.

Acceso físico a los componentes. Vanderbilt mantiene un registro de los medios entrantes y salientes que contienen datos del controlador, si los hay, incluidos el tipo de medio, el remitente o los destinatarios autorizados, la fecha y la hora, el número de medios y los tipos de datos que contienen.

Protección contra interrupciones. Vanderbilt y/o sus subprocesadores utilizan una variedad de sistemas estándar del sector para protegerse contra la pérdida de datos provocada por fallos en el suministro eléctrico o interferencias en la línea.

Eliminación de componentes. Vanderbilt y/o sus subprocesadores utilizan procesos estándar del sector para eliminar los datos del controlador cuando ya no son necesarios.

V. Prácticas de gestión de las comunicaciones y las operaciones

Política operativa. Vanderbilt mantiene documentos de seguridad que describen sus medidas de seguridad y los procedimientos y responsabilidades pertinentes de su personal que tiene acceso a los datos del controlador.

Procedimientos de recuperación de datos

  • De forma continua, pero en ningún caso con una frecuencia inferior a una vez por semana (a menos que no se hayan realizado actualizaciones durante ese período), Vanderbilt y/o sus subprocesadores mantienen varias copias de los datos del controlador de las que se pueden recuperar dichos datos.
  • Vanderbilt y/o sus subprocesadores almacenan copias de los datos del controlador y los procedimientos de recuperación de datos en un lugar diferente al que se encuentra el equipo informático principal que procesa los datos del controlador.
  • Vanderbilt y/o sus subprocesadores cuentan con procedimientos específicos que rigen el acceso a las copias de los datos del controlador.
  • Vanderbilt y/o sus subprocesadores revisan los procedimientos de recuperación de datos al menos cada 12 meses.
  • Vanderbilt y/o sus subprocesadores registran los esfuerzos de restauración de datos, incluida la persona responsable, la descripción de los datos restaurados y, cuando proceda, la persona responsable y qué datos (si los hubiera) tuvieron que ingresarse manualmente en el proceso de recuperación de datos.

Software malintencionado. Vanderbilt y/o sus subprocesadores tienen controles antimalware para ayudar a evitar que el software malintencionado obtenga acceso no autorizado a los datos del controlador, incluido el software malintencionado que se origina en redes públicas.

Datos más allá de los límites

  • Vanderbilt y/o sus subprocesadores cifran o permiten al Controlador cifrar los Datos del Controlador que se transmiten a través de redes públicas.
  • Vanderbilt y/o sus subprocesadores restringen el acceso a los datos del controlador en los medios que salen de sus instalaciones.

Registro de eventos. Vanderbilt y/o sus subprocesadores registran o permiten al Controlador registrar, acceder y usar los sistemas de información que contienen Datos del Controlador, registrando el ID de acceso, la hora, la autorización concedida o denegada y la actividad relevante.

VI. Prácticas de control de acceso

Política de acceso. Vanderbilt y/o sus subprocesadores mantienen un registro de los privilegios de seguridad de las personas que tienen acceso a los datos del controlador.

Autorización de acceso

  • Vanderbilt y/o sus subprocesadores mantienen y actualizan un registro del personal autorizado a acceder a los sistemas de Vanderbilt o sus subprocesadores que contienen datos del controlador.
  • Vanderbilt y/o sus subprocesadores desactivan las credenciales de autenticación que no se hayan utilizado durante un período de tiempo no superior a seis meses.
  • Vanderbilt y/o sus subprocesadores identifican al personal que puede conceder, modificar o cancelar el acceso autorizado a los datos y los recursos.
  • Vanderbilt y/o sus subprocesadores garantizan que, cuando más de una persona tenga acceso a los sistemas que contienen datos del controlador, las personas tengan identificadores o inicios de sesión independientes.

Privilegio mínimo

  • El personal de soporte técnico solo puede tener acceso a los datos del controlador y a los datos de los servicios profesionales cuando sea necesario.
  • Vanderbilt y/o sus subprocesadores restringen el acceso a los datos del controlador solo a aquellas personas que requieren dicho acceso para desempeñar su función laboral.

Integridad y confidencialidad

  • Vanderbilt indica al personal de Vanderbilt que desactive las sesiones administrativas cuando abandone las instalaciones bajo los controles de Vanderbilt o cuando los ordenadores se dejen desatendidos por cualquier otro motivo.
  • Vanderbilt almacena las contraseñas de forma que son ininteligibles mientras están en vigor.

autenticación

  • Vanderbilt y/o sus subprocesadores utilizan prácticas estándar de la industria para identificar y autenticar a los usuarios que intentan acceder a los sistemas de información.
  • Cuando los mecanismos de autenticación se basan en contraseñas, Vanderbilt exige que las contraseñas se renueven periódicamente.
  • Cuando los mecanismos de autenticación se basan en contraseñas, Vanderbilt exige que la contraseña tenga al menos ocho caracteres.
  • Vanderbilt se asegura de que los identificadores desactivados o caducados no se concedan a otras personas.
  • Vanderbilt y/o sus subprocesadores supervisan, o permiten que el Controlador supervise, los intentos repetidos de acceder al sistema de información mediante una contraseña no válida.
  • Vanderbilt y/o sus subprocesadores mantienen los procedimientos estándar de la industria para desactivar las contraseñas que se han dañado o se han divulgado inadvertidamente.
  • Vanderbilt y/o sus subprocesadores utilizan prácticas de protección de contraseñas estándar de la industria, incluidas las prácticas diseñadas para mantener la confidencialidad e integridad de las contraseñas cuando se asignan y distribuyen, y durante el almacenamiento.

Diseño de red. Vanderbilt y/o sus subprocesadores tienen controles para evitar que las personas asuman derechos de acceso que no se les han asignado para acceder a los datos del controlador a los que no están autorizados a acceder.

VII. Prácticas de gestión de incidentes de seguridad de la información

Proceso de respuesta a incidentes

  • Vanderbilt mantiene un registro de las violaciones de seguridad con una descripción de la violación, el período de tiempo, las consecuencias de la violación, el nombre del denunciante y a quién se informó de la violación, y el procedimiento para recuperar los datos.
  • Para cada violación de seguridad que constituya un incidente de seguridad, Vanderbilt la notificará (tal como se describe en la sección «Notificación de incidente de seguridad» anterior) sin demora indebida y, en cualquier caso, en un plazo de 72 horas.
  • Vanderbilt rastrea o permite al Controlador rastrear las divulgaciones de los Datos del Controlador, incluidos los datos que se han divulgado, a quién y en qué momento.

Monitorización del servicio. Vanderbilt y/o el personal de seguridad de sus subprocesadores verifican los registros al menos cada 12 meses para proponer medidas correctivas si es necesario.

VIII. Prácticas de gestión de la continuidad del negocio

  • Vanderbilt mantiene planes de emergencia y contingencia para las instalaciones en las que se accede o se encuentran los sistemas de información de Vanderbilt que procesan los datos del controlador.
  • El almacenamiento redundante de Vanderbilt o sus subprocesadores y sus procedimientos de recuperación de datos están diseñados para intentar reconstruir los datos del controlador en su estado original o en el que se replicaron por última vez antes de que se perdieran o destruyeran.

ANEXO IV: LISTA DE SUBPROCESADORES

El controlador ha autorizado el uso de los siguientes subprocesadores:

1.

La calificación de Vanderbilt International (IRL) Ltd.
Parque Empresarial y Tecnológico de Clonshaugh
Dublín D17 KV 84
Irlanda

Descripción del procesamiento (incluida una delimitación clara de responsabilidades en caso de que se autoricen varios subprocesadores):
El subprocesador ejecuta y administra técnicamente los servicios de intrusión AAcre de Vanderbilt en la nube proporcionados por el subprocesador n.º 2. Procesa los datos generales y de suscripción de acuerdo con el anexo II.

2.

Microsoft Ireland Operations Limited
One Microsoft Place, Parque Empresarial del Sur del Condado, Leopardstown,
Dublín 18, D18 P521
Irlanda

Descripción del procesamiento (incluida una delimitación clara de responsabilidades en caso de que se autoricen varios subprocesadores):
El subprocesador proporciona a los hosts los servicios en la nube que utilizan el procesador y el subprocesador número 1 para ejecutar y administrar los servicios de intrusión Acre de Vanderbilt. Procesa los datos generales y de suscripción de acuerdo con el anexo II.

3.

Grey Matter Ltd.
Las antiguas malterías
Prigg Meadow, Ashburton, Devon, TQ13 7DF
Reino Unido

Descripción del procesamiento (incluida una delimitación clara de responsabilidades en caso de que se autoricen varios subprocesadores):
El subprocesador proporciona soporte técnico al subprocesador n.º 1. Procesa los datos generales y de suscripción de acuerdo con el anexo II.

4.

Chargebee Inc.
340 S Lemon Avenue, #1537
Walnut, California 91789, EE. UU.
privacy@chargebee.com

Descripción del procesamiento (incluida una delimitación clara de responsabilidades en caso de que se autoricen varios subprocesadores):
Este subprocesador proporciona la administración de suscripciones, cuentas y facturación. Procesa los datos de suscripción de acuerdo con el anexo II.

ANEXO V: Terceros países

Además del procesamiento de datos personales en un estado miembro de la Unión Europea o en otro estado contratante del Acuerdo sobre el Espacio Económico Europeo, el Cliente acepta el procesamiento de datos personales por parte de subprocesadores en el siguiente país/región:

Reino Unido, con respecto a los datos generales y de suscripción de acuerdo con el anexo II.

El nivel adecuado de protección allí se establece (i) mediante la DECISIÓN DE EJECUCIÓN DE LA COMISIÓN de 28 de junio de 2021 de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo sobre la protección adecuada de los datos personales por parte del Reino Unido; y/o (ii) mediante cláusulas estándar de protección de datos (artículo 46, apartado 2, letras c y d del RGPD).

Estados Unidos de América (EE. UU.) con respecto a los datos de suscripción según el anexo II.

El nivel adecuado de protección allí se establece mediante cláusulas estándar de protección de datos (artículo 46, párrafo 2, letras c y d del RGPD).

Hombre con camisa blanca sonriendo y mirando hacia abajo.
Conéctese con nuestro equipo para explorar soluciones escalables y preparadas para el futuro diseñadas para proteger a su personal, sus instalaciones y sus datos.

Aseguremos lo que viene, juntos.

Conéctese con nuestro equipo para explorar soluciones escalables y preparadas para el futuro diseñadas para proteger a su personal, sus instalaciones y sus datos.
Hable con nuestro equipo
This is some text inside of a div block.
Perfectamente integrado
Plataforma preparada para el futuro
Diseñado para elegir
Con la confianza de las empresas de Fortune 500