Acuerdo de procesamiento de datos
Acuerdo sobre el tratamiento de datos personales por cuenta de un responsable del tratamiento de conformidad con el Art. 28 GDPR entre el cliente (en lo sucesivo, “Cliente“) y CA Customer Alliance GmbH, Ullsteinstr. 130, 12109 Berlín, Alemania (en lo sucesivo, “Proveedor“).
Contenido de la página:
- 1. Objeto del Acuerdo
- 2. Alcance del encargo
- 3. Derecho del Cliente a dar instrucciones
- 4. Responsabilidad legal del cliente
- 5. Requisitos para el personal
- 6. Seguridad del tratamiento
- 7. Contratación de otros procesadores
- 8. Derechos de los interesados
- 9. Obligaciones de notificación y asistencia del Proveedor
- 10. Eliminación de datos de clientes
- 11. Pruebas y auditorías
- 12. Duración y rescisión del contrato
- 13. Responsabilidad
- 14. Disposiciones finales
- Anexo 1 - Finalidad, tipo y alcance del tratamiento de los Datos del Cliente, tipos de datos personales y categorías de interesados
- Anexo 2 - Medidas técnicas y organizativas
- Anexo 3 - Procesador adicional
1. Objeto del Acuerdo
En el curso de la prestación de servicios según el acuerdo de servicios (en lo sucesivo denominado “Contrato Principal“), es necesario que el Proveedor trate datos personales con respecto a los cuales el Cliente actúa como responsable del tratamiento en términos de la ley de protección de datos (en lo sucesivo denominados “Datos del Cliente“). Este acuerdo especifica las obligaciones y derechos de las partes en materia de protección de datos en relación con el uso por parte del Proveedor de los Datos del Cliente para prestar los servicios previstos en el Acuerdo Principal.
2. Alcance del encargo
2.1 El Proveedor procesará los Datos del Cliente en nombre y de acuerdo con las instrucciones del Cliente en el sentido del Art. 28 GDPR (Tratamiento por cuenta). El Cliente sigue siendo el controlador en términos de la ley de protección de datos.
2.2 El tratamiento de los Datos del Cliente por parte del Proveedor se produce en la forma y con el alcance y la finalidad determinados en Anexo 1 del presente acuerdo; el tratamiento se refiere a los tipos de datos personales y categorías de interesados especificados en el mismo. La duración del tratamiento corresponde a la vigencia del Contrato Principal.
2.3 El tratamiento de los Datos del Cliente por parte del Proveedor tendrá lugar, en principio, dentro de la Unión Europea o en otro Estado contratante del Espacio Económico Europeo (EEE). No obstante, el Proveedor está autorizado a procesar los Datos del Cliente de conformidad con las disposiciones de este acuerdo fuera del EEE si informa al Cliente con antelación sobre el lugar de procesamiento de los datos y si se cumplen los requisitos del Art. 44 a 48 del GDPR o si se aplica una excepción conforme al Art. 49 GDPR.
3. Derecho del Cliente a dar instrucciones
3.1 El Proveedor procesa los Datos del Cliente de acuerdo con las instrucciones del Cliente, a menos que el Proveedor esté legalmente obligado a hacer otra cosa. En este último caso, el Proveedor informará al Cliente de dicho requisito legal antes del tratamiento, a menos que dicha ley prohíba dicha información por motivos importantes de interés público.
3.2 Las instrucciones del Cliente están en principio estipuladas y documentadas de forma concluyente en las disposiciones de este acuerdo. Las instrucciones individuales que se desvíen de las estipulaciones de este acuerdo o que impongan requisitos adicionales requieren un acuerdo mutuo y se harán por escrito.
3.3 El Proveedor se asegurará de que los Datos del Cliente se procesen de acuerdo con las instrucciones dadas por el Cliente. Si el Proveedor opina que una instrucción dada por el Cliente infringe este acuerdo o la ley de protección de datos aplicable, tendrá derecho, tras informar de ello al Cliente, a suspender la ejecución de la instrucción hasta que el Cliente confirme la instrucción.
4. Responsabilidad legal del cliente
4.1 El Cliente es el único responsable de la licitud del tratamiento de los Datos del Cliente y de salvaguardar los derechos de los interesados en la relación entre las partes.
4.2 El Cliente es responsable de proporcionar al Proveedor los Datos del Cliente a tiempo para la prestación de los servicios conforme al Contrato Principal y es responsable de la calidad de los Datos del Cliente. El Cliente informará al Proveedor de forma inmediata y completa si durante el examen de los resultados del Proveedor encuentra errores o irregularidades con respecto a las disposiciones de protección de datos o a sus instrucciones.
4.3 Si se exige al Proveedor que proporcione información a un organismo gubernamental o a una persona sobre el tratamiento de los Datos del Cliente o que coopere con estos organismos de cualquier otra forma, el Cliente está obligado, a primer requerimiento, a ayudar al Proveedor a proporcionar dicha información y a cumplir otras obligaciones de cooperación.
5. Requisitos para el personal
El Proveedor comprometerá a todas las personas implicadas en el tratamiento de los Datos del Cliente a la confidencialidad con respecto al tratamiento de los Datos del Cliente.
6. Seguridad del tratamiento
6.1 El Proveedor adopta, de conformidad con el Art. 32 GDPR medidas técnicas y organizativas necesarias y adecuadas, teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, las circunstancias y los fines de los Datos del Cliente, así como la diferente probabilidad y gravedad del riesgo para los derechos y libertades de los interesados, con el fin de garantizar un nivel de protección de los Datos del Cliente adecuado al riesgo. Las medidas actuales pueden consultarse en Anexo 2.
6.2 El Proveedor tendrá derecho a modificar las medidas técnicas y organizativas durante la vigencia del contrato, siempre que sigan cumpliendo los requisitos legales.
7. Contratación de otros procesadores
7.1 El Cliente concede al Proveedor la autorización general para contratar a otros procesadores en relación con el procesamiento de los Datos del Cliente. Los procesadores adicionales consultados en el momento de la celebración del acuerdo resultan de el Anexo 3. En general, no se requiere autorización para las relaciones contractuales con proveedores de servicios que tengan que ver con el examen o mantenimiento de procedimientos o sistemas de procesamiento de datos por parte de terceros o que impliquen otros servicios adicionales, aunque no pueda excluirse el acceso a los Datos del Cliente, siempre que el Proveedor tome medidas razonables para proteger la confidencialidad de los Datos del Cliente.
7.2 El Proveedor notificará al Cliente cualquier cambio previsto en relación con la consulta o sustitución de otros encargados del tratamiento. En casos concretos, el Cliente tiene derecho a oponerse a la contratación de un posible encargado del tratamiento adicional. El Cliente sólo podrá plantear una objeción por motivos importantes que deberán probarse ante el Proveedor. En la medida en que el Cliente no se oponga en un plazo de 14 días tras la recepción de la notificación, su derecho a oponerse a la contratación correspondiente caducará. Si el Cliente se opone, el Proveedor tiene derecho a rescindir el Contrato Principal y este acuerdo con un plazo de preaviso de tres (3) meses.
7.3 El acuerdo entre el Proveedor y el encargado del tratamiento posterior debe imponer a este último las mismas obligaciones que las que incumben al Proveedor en virtud del presente acuerdo. Las partes acuerdan que este requisito se cumple si el contrato tiene un nivel de protección correspondiente a este acuerdo, respectivamente si las obligaciones establecidas en el Art. 28 párr. 3 GDPR.
8. Derechos de los interesados
8.1 El Proveedor apoyará al Cliente dentro de lo razonable mediante medidas técnicas y organizativas en el cumplimiento de la obligación de éste de responder a las solicitudes de ejercicio de los derechos de los interesados.
8.2 En la medida en que un interesado presente una solicitud para el ejercicio de sus derechos directamente al Proveedor, éste remitirá dicha solicitud al Cliente en tiempo oportuno.
8.3 El Proveedor informará al Cliente de cualquier información relativa a los Datos del Cliente almacenados, sobre los destinatarios de los Datos del Cliente a los que el Proveedor los revelará de acuerdo con la instrucción y sobre la finalidad del almacenamiento, en la medida en que el Cliente no disponga de esta información y en la medida en que no pueda recabarla por sí mismo.
8.4 El Proveedor deberá, dentro de los límites de lo razonable y necesario, permitir que el Cliente corrija, elimine o restrinja el procesamiento posterior de los Datos del Cliente, o bien, por instrucción del Cliente, corregir, bloquear o restringir él mismo el procesamiento posterior, si y en la medida en que esto sea imposible para el Cliente.
9. Obligaciones de notificación y asistencia del Proveedor
9.1 En la medida en que el Cliente esté sujeto a una obligación legal de notificación debido a una violación de la seguridad de los Datos del Cliente (en particular, de conformidad con el art. 33, 34 GDPR), el Proveedor informará al Cliente de manera oportuna sobre cualquier suceso notificable en su área de responsabilidad. El Proveedor asistirá al Cliente en el cumplimiento de las obligaciones de notificación a petición de este último en la medida en que sea razonable y necesario.
9.2 El Proveedor asistirá al Cliente, en la medida en que sea razonable y necesario, en las evaluaciones de impacto sobre la protección de datos que deba llevar a cabo el Cliente y, si fuera necesario, en las consultas posteriores a la autoridad supervisora de conformidad con el Art. 35, 36 GDPR.
10. Eliminación de datos de clientes
10.1 El Proveedor eliminará los Datos del Cliente a la terminación de este acuerdo, a menos que el Proveedor esté obligado por ley a seguir almacenando los Datos del Cliente.
10.2 El Proveedor podrá conservar la documentación que sirva como prueba del tratamiento ordenado y preciso de los Datos del Cliente, incluso después de la finalización del contrato.
11. Pruebas y auditorías
11.1 El Proveedor facilitará al Cliente, a petición de éste, toda la información necesaria y de la que disponga el Proveedor para demostrar el cumplimiento de sus obligaciones derivadas del presente contrato.
11.2 El Cliente tendrá derecho a auditar al Proveedor en relación con el cumplimiento de las disposiciones de este acuerdo, en particular la aplicación de las medidas técnicas y organizativas; incluyendo inspecciones.
11.3 Con el fin de llevar a cabo inspecciones de conformidad con la Sección 11.2, el Cliente tiene derecho a acceder a los locales comerciales del Proveedor en los que se procesan los Datos del Cliente dentro del horario comercial habitual (de lunes a viernes de 10 a 18 horas) tras la oportuna notificación previa de conformidad con la Sección 11.5. a sus expensas, sin interrupción del curso de los negocios y bajo estricta confidencialidad de los secretos comerciales y empresariales del Proveedor.
11.4 El Proveedor tiene derecho, a su discreción y teniendo en cuenta las obligaciones legales del Cliente, a no revelar información que sea sensible con respecto al negocio del Proveedor o si el Proveedor incumpliera disposiciones legales u otras disposiciones contractuales como resultado de su revelación. El Cliente no tiene derecho a acceder a datos o información sobre otros clientes del Proveedor, información sobre costes, informes de control de calidad y gestión de contratos, o cualquier otro dato confidencial del Proveedor que no sea directamente relevante para los fines de auditoría acordados.
11.5 El Cliente informará al Proveedor con la debida antelación (normalmente con al menos dos semanas de antelación) de todas las circunstancias relacionadas con la realización de la auditoría. El Cliente podrá realizar una auditoría por año natural. Las auditorías posteriores se realizarán contra reembolso de los costes y previa consulta con el Proveedor.
11.6 Si el Cliente encarga a un tercero la realización de la auditoría, el Cliente obligará al tercero por escrito de la misma forma que el Cliente está obligado frente al Proveedor según esta Sección 11 de este acuerdo. Además, el Cliente obligará al tercero a mantener el secreto y la confidencialidad, salvo que el tercero esté sujeto a una obligación profesional de secreto.
11.7 A discreción del Proveedor, la prueba del cumplimiento de las obligaciones derivadas de este contrato podrá aportarse, en lugar de una inspección, mediante la presentación de un dictamen o informe adecuado y actual de una autoridad independiente (por ejemplo, auditor, departamento de auditoría, responsable de protección de datos, departamento de seguridad informática, auditores de protección de datos o auditores de calidad) o una certificación adecuada de auditoría de seguridad informática o de protección de datos -por ejemplo, según “BSI-Grundschutz”- (“informe de auditoría”), si el informe de auditoría permite al Cliente convencerse de forma adecuada del cumplimiento de las obligaciones contractuales.
12. Duración y rescisión del contrato
La vigencia y rescisión de este acuerdo se regirán por las disposiciones de vigencia y rescisión del Acuerdo Principal. La rescisión del Contrato Principal conlleva automáticamente la rescisión de este contrato. Queda excluida la rescisión aislada de este contrato.
13. Responsabilidad
13.1 La responsabilidad del Proveedor en virtud de este acuerdo se regirá por las limitaciones de responsabilidad previstas en el Acuerdo Principal. En la medida en que terceros hagan valer reclamaciones contra el Proveedor causadas por el incumplimiento culpable por parte del Cliente de este acuerdo o de una de sus obligaciones como responsable del tratamiento en términos de la ley de protección de datos que le afecte, el Cliente, a primer requerimiento, indemnizará y mantendrá indemne al Proveedor frente a estas reclamaciones.
13.2 El Cliente se compromete a indemnizar al Proveedor al primer requerimiento por todas las posibles multas impuestas al Proveedor correspondientes a la parte de responsabilidad del Cliente en la infracción sancionada por la multa.
14. Disposiciones finales
14.1 Los litigios derivados de este contrato se regirán por la legislación alemana. El lugar de cumplimiento y jurisdicción será el domicilio social del Contratista. En caso de contradicciones entre las dos versiones lingüísticas, prevalecerá la versión alemana.
14.2 En caso de que determinadas disposiciones de este acuerdo sean ineficaces o queden sin efecto o contengan una laguna, las disposiciones restantes no se verán afectadas. Las partes se comprometen a sustituir la disposición ineficaz por una disposición legalmente admisible que se acerque lo más posible a la finalidad de la disposición ineficaz y que, por tanto, satisfaga los requisitos del Art. 28 GDPR.
14.3 En caso de conflicto entre este acuerdo y otros acuerdos entre las partes, en particular el Acuerdo Principal, prevalecerán las disposiciones de este acuerdo.
Anexo:
Anexo 1: Finalidad, tipo y alcance del tratamiento de los Datos del Cliente, tipos de datos personales y categorías de interesados
Anexo 2: Medidas técnicas y organizativas
Anexo 3: Otros procesadores
Anexo 1 – Finalidad, tipo y alcance del tratamiento de los Datos del Cliente, tipos de datos personales y categorías de interesados
1. Finalidad del tratamiento de datos
El Proveedor envía mensajes a los clientes finales del Cliente y en su nombre antes y durante la prestación de su servicio para obtener opiniones, mejorar, estandarizar y automatizar la comunicación entre el Cliente y sus clientes finales. Los resultados se procesan y evalúan en nombre del Cliente. Además, se utilizan evaluaciones de opiniones indirectas y derivadas, como información de fuentes internas y/o públicas, para representar plenamente la voz del cliente final. El Proveedor agrega y, por tanto, anonimiza los datos del Cliente recogidos a través de la plataforma con el fin de ofrecer al Cliente servicios adicionales, como funciones de elaboración de informes, evaluación comparativa y seguimiento de KPI relacionados con las opiniones dadas por los clientes finales del Cliente.
2. Tipos de datos personales
a) datos maestros (p. ej., nombre, sexo, idioma);
b) datos de contacto (p. ej., dirección de correo electrónico, dirección, número de teléfono);
c) datos de comunicación (p. ej., correspondencia electrónica);
d) datos contractuales (p. ej., duración del contrato, información sobre la prestación del servicio, como volumen de negocios o costes);
e) si procede, datos de segmentación individual existentes del Cliente para sus clientes finales, como forma de conclusión del contrato (Internet, teléfono, etc.), país de origen, categoría de servicio o grupo de edad; f) evaluación del Cliente por parte del cliente final (opinión del cliente); g) análisis de satisfacción (p. ej., evaluaciones de texto, tema y expresión).), país de origen, categoría de servicio o grupo de edad;
f) evaluación del Cliente por parte del cliente final (opinión del cliente);
g) análisis de satisfacción (por ejemplo, evaluaciones de texto, tema y expresión).
3. Categorías de interesados
a) Personal del Cliente;
b) Clientes finales del Cliente;
c) Proveedor del Cliente.
Anexo 2 – Medidas técnicas y organizativas
Se han adoptado las siguientes medidas técnicas y organizativas para proteger los datos personales:
1. Control de entrada
A las personas no autorizadas se les denegará el acceso a los equipos de procesamiento de datos con los que se procesan y utilizan los datos personales.
Garantizado por:
a) Definición de zonas de seguridad y personas autorizadas
b) Seguridad de las habitaciones (llave, persiana enrollable, etc.)
c) Registro de asistencia
d) Seguridad exterior del edificio (vallado, puertas/ventanas de seguridad)
e) Cuidado en la selección de los guardias de seguridad
f) Cuidado en la selección de los servicios de limpieza
g) Videovigilancia de las entradas
h) Gestión de llaves / documentación de la asignación de llaves
i) Sistema de control de acceso automático
j) Tarjetas chip / sistemas de transpondedor
k) Sistema de cierre manual
l) Cerraduras de seguridad
m) Puertas con pomo (exteriores)
2. Control de acceso (externo)
Debe evitarse que los sistemas de tratamiento de datos puedan ser utilizados por personas no autorizadas.
Garantizado por:
a) Bloqueo de la estación de datos
b) Inicio de sesión con nombre de usuario y contraseña y especificaciones para cambiarlos
c) Cifrado de contraseñas
d) Servidor de software antivirus
e) Clientes de software antivirus
f) Cortafuegos
g) Gestión de dispositivos móviles h) Uso de túneles VPN para acceso remoto i) Cifrado de interfaces externas (USB) j) Gestión de permisos de ordenadores portátiles / tabletas k) Gestión de permisos de usuarios Gestión de Dispositivos Móviles
h) Uso de túneles VPN para acceso remoto
i) Bloqueo de interfaces externas (USB)
j) Cifrado de portátiles / tabletas
k) Gestión de permisos de usuario
l) Creación de perfiles de usuario
m) Asignación centralizada de contraseñas
n) Política de Contraseñas Seguras
o) Política de Borrado / Destrucción
p) Política de Protección y Seguridad de Datos
3. Control de acceso (interno)
Se velará por que las personas autorizadas a utilizar un sistema de tratamiento de datos sólo puedan acceder a los datos sujetos a su autorización de acceso y por que los datos personales no puedan ser leídos, copiados, modificados o eliminados sin autorización durante su tratamiento, utilización y después de su almacenamiento.
Garantizado por:
a) Gestión de derechos graduada específica para cada usuario
b) Gestión de los derechos de los usuarios por parte de los administradores
c) Número mínimo de administradores
d) Documentación de la gestión de derechos
e) Oscurecimiento de la pantalla durante la interrupción del trabajo
f) Actualizaciones periódicas de la seguridad
g) Trituradora (mín. nivel 3, corte transversal)
h) Registro del acceso a las aplicaciones, concretamente al introducir, modificar y borrar datos.
4. Control de separación
Garantizar que los datos recogidos para distintos fines puedan tratarse por separado.
Garantizado por:
a) Sistemas de software separados
b) Bases de datos y almacenamiento separados
c) Control mediante el concepto de autorización
d) Separación mediante normas de acceso
e) Establecimiento de derechos sobre las bases de datos
5. Control de transferencias
Se garantizará que los datos personales no puedan ser leídos, copiados, alterados o suprimidos sin autorización durante su transmisión electrónica o durante su transporte o almacenamiento en soportes de datos, y que sea posible comprobar y establecer en qué puntos se prevé una transmisión de datos personales mediante equipos de transmisión de datos.
Garantizado por:
a) Determinación de las facultades para el tratamiento de datos
b) Determinación de las partes transmisoras autorizadas, los destinatarios transmisores y las vías de transmisión
c) Seguridad en el transporte de soportes de datos
d) W-LAN segura
e) Normativa sobre la destrucción de soportes de datos
f) Cifrado
6. Control de entrada
Hay que asegurarse de que es posible comprobar y establecer retrospectivamente si se han introducido datos personales en los sistemas de tratamiento de datos, o si se han modificado o eliminado, y quién lo ha hecho.
Garantizado por:
a) Gestión de accesos de lectura/escritura
b) Registro de accesos de lectura/escritura y llamadas al programa
c) Marcado de los documentos de entrada de datos con el nombre y la fecha tras la entrada
d) Disposiciones sobre el cambio de derechos de acceso y la responsabilidad de los datos
e) Responsabilidades estrictas para las eliminaciones
7. Control de disponibilidad
Se velará por que los datos personales estén protegidos contra la destrucción o pérdida accidental.
Garantizado por:
a) Creación de copias de seguridad periódicas
b) Protección SAI en caso de corte del suministro eléctrico
c) Protección antivirus/cortafuegos
d) Plan de emergencia
e) Plan de recuperación
f) Protección DDoS permanentemente activa
8. Control de la tramitación de pedidos
Debe garantizarse que los datos personales procesados en nombre del cliente sólo puedan procesarse de acuerdo con las instrucciones del cliente.
Garantizado por:
a) Determinación de los derechos y obligaciones del contratista
b) Contrato de tratamiento de datos encargado
c) Formación de todos los empleados con derechos de acceso
d) Auditorías periódicas de protección de datos
e) Acuerdo sobre los derechos de control y auditoría
Anexo 3 – Procesador adicional
| Empresa, Dirección | Servicio / Tipo de tratamiento | Cobertura jurídica | Medidas para un nivel de protección comparable (sólo en terceros países) |
|---|---|---|---|
| ALL-INKL.COM - Neue Medien Münnich, Hauptstraße 68, 02742 Friedersdorf Alemania | Alojamiento web | Acuerdo de procesamiento de datos | / |
| CHARGEBEE INC., 340 S. Lemon Avenue, Suite #1537, Walnut, CA 91789 EE.UU. | Facturación | Cláusula contractual estándar y evaluación individual a un nivel de protección comparable al estándar dentro de la UE. | Certificaciones y auditorías de terceros; certificado ISO 27001; normas SOC 1/SOC 2 y MFA; políticas de seguridad a nivel de red, aplicaciones y operaciones; configuración de seguridad de AWS - múltiples certificaciones para centros de datos, incluida la conformidad con ISO 27001, la certificación PCI y los informes SOC. |
| Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043 EE.UU. | Espacio de trabajo Google Google Analytics | Cláusula contractual estándar y evaluación individual a un nivel de protección comparable al estándar dentro de la UE. | Certificados ISO (ISO 27001, 27017, 27018); Directriz de Protección de Datos; Centro de Cumplimiento e Informes |
| Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen Alemania | Alojamiento | Acuerdo de procesamiento de datos | / |
| HubSpot, Inc., 25 First Street, Cambridge, MA 02141 EE.UU. | Inbound-Marketing y Ventas | Cláusula contractual estándar y evaluación individual a un nivel de protección comparable al estándar dentro de la UE. | Normas Corporativas Vinculantes; Centro de Datos (certificado ISO 27001 / auditoría SOC 2); encriptación HTTPs. |
| Intercom, Inc., 55 2nd Street, 4th Fl., San Francisco, CA 94105 EE.UU. | Chat en directo | Cláusula contractual estándar y evaluación individual a un nivel de protección comparable al estándar dentro de la UE. | Auditorías externas, pentests y recompensas por errores; auditoría SOC 2; certificado ISO 27001; auditoría HIPAA; configuración de seguridad de AWS; los puntos finales de API y aplicaciones son sólo TLS/SSL; política de seguridad; formación en seguridad y concienciación. |
| Impala Travel Technology Ltd., 70 White Lion Street, Londres, N1 9PP Reino Unido | Extracción de datos PMS (API) | Acuerdo de procesamiento de datos | Protección adecuada de los datos personales en el Reino Unido - Decisión de Ejecución de la Comisión de la UE a partir del 28 de junio de 2021 - C(2021) 4800. |
| Mailgun Technologies, Inc., 548 Market Street, Suite 43099, San Francisco, CA 94101 EE.UU. | Proveedor de correo electrónico (e-mail-API) | Cláusula contractual estándar y evaluación individual a un nivel de protección comparable al estándar dentro de la UE. | Escaneo de la red externa y prueba de penetración; encriptación de datos; detección de intrusos; procedimiento de gestión de proveedores - control y auditoría frecuente de todos los subprocesadores. |
| Microsoft Corporation One Microsoft Way Redmond, WA 98052-6399 EE.UU. | Oficina 365 | Cláusula contractual estándar y evaluación individual a un nivel de protección comparable al estándar dentro de la UE. | Informes de auditoría y confianza externos; certificados ISO 27001, 27017, 27018, 22301, 277701; política de prevención de pérdida de datos; conformidad con SSAE 18 SOC 1 Tipo II y SSAE 18 SOC 2 Tipo II. |
| OVH GmbH, St. Johanner Str. 41-43, 66111 Saarbrücken Alemania | Alojamiento | Acuerdo de procesamiento de datos | / |
| Scaling Technologies GmbH, Pfarrer-Hillmann-Weg 1, 51069 Colonia Alemania | Operaciones Web | Acuerdo de procesamiento de datos | / |
| Stripe, Inc. 510 Townsend Street San Francisco, CA 94103 EE.UU. | Solución de pago | Cláusula contractual estándar y evaluación individual a un nivel de protección comparable al estándar dentro de la UE. | Cifrado de datos en reposo y en tránsito: HTTPS para todos los servicios mediante TLS (SSL); todos los números de tarjeta se cifran en reposo con AES-256; registros de auditoría; política de gestión de accesos; certificado PCI de proveedor de servicios de nivel 1. |
| SugarCRM, Inc., 10050 N Wolfe Road, SW2-130 Cupertino, CA 95014 EE.UU. | Gestión de las relaciones con los clientes | Cláusula contractual estándar y evaluación individual a un nivel de protección comparable al estándar dentro de la UE. | Certificado SOC II; encriptación de todas las contraseñas, datos clave y copias de seguridad; todos los datos de producción y de clientes se encriptan en tránsito y en reposo; autenticación multifactor; herramientas de prevención de pérdida de datos; alojado en Irlanda (UE); configuración de seguridad de AWS - múltiples certificaciones para los centros de datos, incluida la conformidad con ISO 27001, certificación PCI e informes SOC. |
| Twilio, Inc., 375 Beale Street, Suite 300, San Francisco, CA 94105 EE.UU. | Proveedor de mensajes cortos (SMS) | Cláusula contractual estándar y evaluación individual a un nivel de protección comparable al estándar dentro de la UE. | Normas Corporativas Vinculantes; marco de seguridad basado en ISO 27001; certificados ISO/IEC 27001, ISO/IEC 27017 y 27018, SOC 2 Tipo II, PCI DSS Nivel 1; configuración de seguridad de AWS: múltiples certificaciones para centros de datos, incluida la conformidad con ISO 27001, la certificación PCI y el informe SOC; las bases de datos (datos de los clientes) se cifran mediante el Estándar de Cifrado Avanzado y los datos de los clientes se cifran cuando están en tránsito entre la aplicación de software del cliente y los servicios mediante TLS v1.2; pruebas de penetración; políticas y procedimientos de gestión de incidentes de seguridad de acuerdo con NIST SP 800-61. |
