Última modificación: 2 de noviembre de 2020
Jibe y la contraparte que acepta este apéndice (“Empresa”) celebran un acuerdo para la prestación de los Servicios del Procesador (y las modificaciones periódicas del “Acuerdo”).
Jibe and Company celebra este Apéndice de procesamiento de datos (incluidos los apéndices “Apéndice de procesamiento de datos”) y complementa el Acuerdo. Este Anexo de Procesamiento de Datos entrará en vigencia y reemplazará cualquier término aplicable previamente en relación con su tema (incluidos los términos de procesamiento de datos y seguridad relacionados con los Servicios del Procesador), a partir de la Fecha de Entrada en Vigencia de las Condiciones.
Si acepta este Apéndice de Procesamiento de Datos en nombre de la Empresa, usted garantiza que (a) tiene plena autoridad legal para vincular a la Empresa a este Apéndice de Procesamiento de Datos; (b) leyó y comprendió este Apéndice de Procesamiento de Datos; y (c) acepta, en nombre de la Empresa, este Apéndice de Procesamiento de Datos. Si no tiene la autoridad legal para vincular la Empresa, no acepte este Apéndice de Procesamiento de Datos.
1. Introducción
Este Anexo de Procesamiento de Datos refleja el acuerdo de las partes sobre las condiciones que rigen el procesamiento y la seguridad de los Datos Personales de la Empresa en relación con la Legislación Europea sobre Protección de Datos y cierta Legislación No Europea de Protección de Datos.
2. Definiciones y sus Interpretaciones
2.1 En este Apéndice de Procesamiento de Datos:
"Producto Adicional" hace referencia a un producto, servicio o aplicación proporcionado por Jibe o un tercero que (a) no forma parte de los Servicios del Procesador y (b) es accesible para su uso dentro de la interfaz de usuario de los Servicios del Procesador o está integrada de alguna otra manera a los Servicios del Procesador.
“Condiciones Adicionales para la Legislación No Europea sobre Protección de Datos” se refiere a las condiciones adicionales a las que se hace referencia en el Apéndice 3, que reflejan el acuerdo de las partes sobre las condiciones que rigen el procesamiento de ciertos datos en relación con cierta Legislación No Europea sobre Protección de Datos.
"Afiliado" hace referencia a una entidad que, ya sea directa o indirectamente, ejerce control sobre una parte, está bajo el control de una de las partes o está bajo el mismo control que una de las partes.
"Datos personales de la empresa" hace referencia a los datos personales que Jibe procesa en nombre de la Empresa cuando presta los Servicios del Procesador.
"Incidente de Datos" hace referencia a un incumplimiento de la seguridad de Jibe que puede dar como resultado, de forma accidental o ilegal, la destrucción, la pérdida, la alteración o la divulgación no autorizada de los Datos Personales de la Empresa, o el acceso no autorizado a ellos, en los sistemas administrados o controlados por Jibe. Los "Incidentes de datos" no incluirán actividades o intentos fallidos que no comprometan la seguridad de los Datos personales de la Empresa, incluidos los intentos de acceso, los pings, los análisis de puertos, los ataques de denegación del servicio y otros ataques de red en firewalls o sistemas conectados en red.
"Legislación de Protección de Datos" significa, según corresponda: (a) la Legislación Europea sobre Protección de Datos o (b) la Legislación No Europea sobre Protección de Datos.
"Herramienta de Sujeto" hace referencia a una herramienta (si la hay) disponible por una entidad de Jibe para los sujetos que le permite a Jibe responder de forma directa y estandarizada a ciertas solicitudes de sujetos en relación con los Datos Personales de la Empresa (por ejemplo, un complemento de inhabilitación para navegadores).
"EEE" se refiere al Espacio Económico Europeo.
“GDPR de la UE” hace referencia al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 sobre la protección de las personas físicas en lo que respecta al procesamiento de datos personales y a la libre circulación de estos datos, y por la que deroga la Directiva 95/46/CE.
"Legislación Europea sobre Protección de Datos" significa, según corresponda: (a) el GDPR y (b) la Ley Federal de Protección de Datos del 19 de junio de 1992 (Suiza).
"Leyes Europeas o Nacionales" significa, según corresponda: (a) la ley de la UE o del Estado miembro de la UE (si el GDPR de la UE se aplica al procesamiento de Datos Personales de la Empresa) o (b) la ley del Reino Unido o una parte del Reino Unido (si el GDPR del Reino Unido se aplica al procesamiento de Datos Personales de la Empresa).
"GDPR" significa, según corresponda: (a) el GDPR de la UE o (b) el GDPR del Reino Unido.
"Jibe" hace referencia a la Entidad de Jibe que es parte del Acuerdo.
“Subprocesadores Afiliados de Jibe” tiene el significado proporcionado en el Artículo 11.1 (Consentimiento para la Participación del Subprocesador).
“Jibe Entity” se refiere a Jibe Mobile Inc., Jibe Mobile Limited o cualquier otro Afiliado de Jibe Mobile Inc.
“ISO 27001” hace referencia a la certificación ISO/IEC 27001:2013 o una certificación comparable para los Servicios del Procesador.
"Legislación No Europea sobre Protección de Datos" se refiere a las leyes de privacidad o protección de datos vigentes fuera del EEE, Suiza y el Reino Unido.
“Dirección de correo electrónico de notificación” hace referencia a la dirección de correo electrónico (si la hay): (i) proporcionada por la Empresa a Jibe o (ii) designada por la Empresa, a través de la interfaz de usuario de los Servicios del Procesador o cualquier otro medio proporcionado por Jibe, para recibir ciertas notificaciones de Jibe relacionadas con este Apéndice de Procesamiento de Datos. A modo de aclaración, es responsabilidad de la Empresa proporcionarle a Jibe una dirección de correo electrónico de notificación y notificarle sobre cualquier actualización a la dirección de correo electrónico de notificación.
“Servicios del Procesador” hace referencia a los servicios de RCS Business Messaging (como se describe en https://developers.google.com/business-communications/rcs-business-messaging).
“Documentación de seguridad” se refiere a la certificación ISO 27001 y cualquier otra certificación de seguridad o documentación que Jibe pueda poner a disposición en relación con los Servicios del Procesador.
"Medidas de Seguridad" tiene el significado proporcionado en el Artículo 7.1.1 (Medidas de Seguridad de Jibe).
“Cláusulas de Contrato Estándar” hace referencia a las cláusulas contractuales estándar de la Comisión Europea en https://privacy.google.com/businesses/gdprprocessorterms/sccs, que son términos de protección de datos estándar para la transferencia de datos personales a procesadores establecidos en países terceros que no garantizan un nivel adecuado de protección de datos, como se describe en el artículo 46 del GDPR de la UE.
"Subprocesadores" hace referencia a terceros autorizados en virtud de este Apéndice de Procesamiento de Datos para tener acceso lógico a los Datos Personales de la Empresa y procesarlos a fin de proporcionar partes de los Servicios del Procesador y cualquier asistencia técnica relacionada.
"Autoridad supervisora" significa, según corresponda: (a) una "autoridad supervisora", tal como se define en el GDPR de la UE o (b) la "Comisión" tal como se define en el GDPR del Reino Unido.
"Período de Vigencia" hace referencia al período comprendido entre la Fecha de Entrada en Vigencia de las Condiciones y el final de la prestación de Jibe de los Servicios del Procesador en virtud del Acuerdo.
“Fecha de Entrada en Vigencia de las Condiciones” hace referencia a la fecha de entrada en vigencia del Acuerdo.
"Subprocesadores de Terceros" tiene el significado proporcionado en el Artículo 11.1 (Consentimiento para la Participación del Subprocesador).
"GDPR del Reino Unido" se refiere al GDPR de la UE tal como se enmendó y se incorporó a la legislación del Reino Unido en virtud de la Ley de 2018 sobre el retiro del Reino Unido, si está vigente.
2.2 Los términos “controlador”, “sujeto”, “datos personales”, “procesamiento” y “procesador”, como se usan en este Apéndice de Procesamiento de Datos, tienen el significado que se les otorga en el GDPR, y los términos “importador de datos” y “exportador de datos” tienen el significado específico de las Cláusulas de Contrato Estándar.
2.3 Los términos "incluido", "incluir" o cualquier expresión similar se interpretarán como ilustrativos, y no limitarán el sentido de las palabras que preceden a esos términos. Todos los ejemplos de este Apéndice de Procesamiento de Datos son ilustrativos y no son los únicos ejemplos de un concepto particular.
2.4 Toda referencia a un marco legal, un estatuto o cualquier otra disposición legislativa hace referencia a este como enmendado o reproducido ocasionalmente.
2.5 Si estas Condiciones del Procesamiento de Datos se traducen a cualquier otro idioma y existe una discrepancia entre el texto en inglés y el texto traducido, regirá el texto en inglés.
3. Duración de este apéndice sobre el procesamiento de datos
Este Apéndice de Procesamiento de Datos entrará en vigencia en la Fecha de Entrada en Vigencia de las Condiciones y, sin importar si el Plazo venció, permanecerá vigente hasta la eliminación automática de todos los Datos Personales de la Empresa por parte de Jibe, según se describe en este Apéndice de Procesamiento de Datos.
4. Aplicación de este Apéndice de Procesamiento de Datos
4.1 Aplicación de la Legislación Europea sobre Protección de Datos. Los Artículos 5 (Procesamiento de Datos) a 12 (Contacto con Jibe; Registros de Procesamiento) (inclusive) solo se aplicarán en la medida en que la Legislación Europea sobre Protección de Datos se aplique al procesamiento de Datos Personales de la Empresa, incluido lo siguiente:
(a) El procesamiento se realiza en el contexto de las actividades de un establecimiento de la Empresa en el EEE o el Reino Unido; y/o
(b) Los Datos Personales de la Empresa son datos personales relacionados con los sujetos que se encuentran en el EEE o el Reino Unido y el procesamiento se relaciona con la oferta de bienes o servicios o la supervisión de su comportamiento en el EEE o el Reino Unido.
4.2 Aplicación a los Servicios del Procesador. Este Apéndice de Procesamiento de Datos solo se aplicará a los Servicios del Procesador que las partes hayan aceptado en este Apéndice de Procesamiento de Datos (por ejemplo: (a) los Servicios del Procesador en los que la Empresa hizo clic para aceptar este Apéndice de Procesamiento de Datos, o (b) si el Acuerdo incorpora este Apéndice de Procesamiento de Datos como referencia, los Servicios del Procesador que están sujetos al Acuerdo.
4.3 Incorporación de Condiciones Adicionales para la Legislación No Europea de Protección de Datos. Las Condiciones Adicionales de la Legislación No Europea sobre Protección de Datos complementan estas Condiciones del Procesamiento de Datos.
5. Procesamiento de datos
5.1 Funciones y cumplimiento de la normativa; autorización.
5.1.1 Responsabilidades del Procesador y del Controlador. Las partes reconocen y aceptan lo siguiente:
(a) El Apéndice 1 describe el tema y los detalles del procesamiento de los Datos Personales de la Empresa;
(b) Jibe es un procesador de Datos Personales de la Empresa en virtud de la Legislación Europea sobre Protección de Datos.
(c) La Empresa es un controlador o procesador, según corresponda, de los Datos personales de la Empresa según la Legislación Europea sobre Protección de Datos.
(d) Cada parte satisfará las obligaciones aplicables en virtud de la Legislación Europea sobre Protección de Datos con respecto al procesamiento de los Datos Personales de la Empresa.
5.1.2 Autorización por parte de un Controlador de terceros. Si la Empresa es un procesador, la Empresa le garantiza a Jibe que las instrucciones y acciones relacionadas con los Datos Personales de la Empresa, incluida la designación de Jibe como otro procesador, han sido autorizadas por el controlador correspondiente.
5.2 Instrucciones de la Empresa. Si se suscribe este Apéndice de Procesamiento de Datos, la Empresa le indica a Jibe que procese los Datos Personales de la Empresa de conformidad con la ley aplicable: (a) para brindar los Servicios del Procesador y cualquier asistencia técnica relacionada; (b) según se especifique a través del uso de los Servicios del Procesador (incluidas las opciones de configuración y otras funciones de los Servicios del Procesador) y cualquier asistencia técnica relacionada; (c) como se documenta en la forma en que el Prop. específico incluya este acuerdo;
5.3 Cumplimiento de Jibe con las Instrucciones. Jibe satisfará las instrucciones descritas en la Sección 5.2 (Instrucciones de la Empresa) (incluso en relación con las transferencias de datos), a menos que las leyes europeas o nacionales a las que esté sujeto exijan otro procesamiento de Datos Personales de la Empresa por parte de Jibe, en cuyo caso Jibe informará a la Empresa (a menos que esa ley prohíba hacerlo por motivos importantes de interés público).
5.4 Productos Adicionales. Si la Empresa utiliza algún Producto adicional, los Servicios del Procesador podrán permitir que ese Producto adicional acceda a los Datos personales de la Empresa según sea necesario para la interoperación del Producto adicional con los Servicios del Procesador. Este Apéndice de Procesamiento de Datos no se aplica al procesamiento de datos personales en relación con el aprovisionamiento de cualquier Producto Adicional utilizado por la Empresa, incluidos los datos personales transmitidos a ese Producto Adicional o desde él.
6. Eliminación de datos
6.1 Eliminación durante el Plazo.
6.1.1 Servicios del Procesador con Funcionalidad de Eliminación. Durante el Plazo:
(a) La funcionalidad de los Servicios del Procesador incluye la opción de que la Empresa borre Datos Personales de la Empresa;
(b) La Empresa usa los Servicios del Procesador para borrar ciertos Datos Personales de la Empresa.
(c) La Empresa no puede recuperar los Datos Personales de la empresa eliminados (por ejemplo, de la “papelera”).
Jibe borrará los Datos Personales de la Empresa de sus sistemas tan pronto como sea razonablemente posible, a menos que las leyes europeas o nacionales requieran almacenamiento.
6.1.2 Servicios del Procesador sin Funcionalidad de Eliminación. Durante el Plazo, si la funcionalidad de los Servicios del Procesador no incluye la opción de que la Empresa borre Datos Personales de la Empresa, Jibe satisfará cualquier solicitud razonable de la Empresa para facilitar esa eliminación, en la medida en que esto sea posible teniendo en cuenta la naturaleza y la funcionalidad de los Servicios del Procesador. Jibe puede cobrar una tarifa (según los costos razonables de Jibe) por cualquier eliminación de datos en virtud de este Artículo 6.1.2 (Servicios del Procesador sin Función de Eliminación). Jibe le proporcionará a la Empresa más detalles sobre cualquier tarifa aplicable y sobre la base de su cálculo antes de que se borren los datos.
6.2 Eliminación durante el Plazo de Vencimiento. Tras el vencimiento del Plazo, la Empresa le indica a Jibe que borre todos los Datos Personales de la Empresa (incluidas las copias existentes) de sus sistemas de acuerdo con la ley aplicable. Jibe satisfará esta instrucción lo antes posible, a menos que las leyes europeas o nacionales requieran almacenamiento.
7. Seguridad de los datos
7.1 Medidas de seguridad y asistencia de Jibe.
7.1.1 Medidas de seguridad de Jibe. Jibe implementará y mantendrá medidas técnicas y organizacionales para proteger los Datos Personales de la Empresa de la destrucción, la pérdida, la alteración, la divulgación o el acceso no autorizados o accidentales como se describe en el Apéndice 2 (las “Medidas de Seguridad”). Jibe puede actualizar o modificar las Medidas de Seguridad de manera ocasional, siempre que tales actualizaciones y modificaciones no degraden la degradación general de los Servicios de Seguridad del Procesador.
7.1.2 Cumplimiento de la seguridad por parte del personal de Jibe.Jibe garantizará que todas las personas autorizadas para procesar datos personales de la empresa se hayan comprometido a mantener la confidencialidad o que tengan una obligación legal de confianza.
7.1.3 Asistencia de seguridad de Jibe. La Empresa acepta que Jibe ayudará a la Empresa a garantizar el cumplimiento de cualquier obligación de la Empresa con respecto a la seguridad de los datos personales y la violación de la seguridad de los datos personales (teniendo en cuenta la naturaleza del procesamiento de los Datos Personales de la Empresa y la información disponible para Jibe), incluidas (si corresponde) las obligaciones de la Empresa en virtud de los Artículos 32 a 34 (inclusive) del GDPR:
(a) implementar y mantener las Medidas de Seguridad de acuerdo con la Sección 7.1.1 (Medidas de Seguridad de Jibe)
(b) satisfacer las condiciones de la Sección 7.2 (Incidentes de Datos)
(c) proporcionar la Documentación de Seguridad a la Empresa de conformidad con la Sección 7.5.1 (Revisiones de la Documentación de Seguridad) y la información contenida en este Apéndice de Procesamiento de Datos.
7.2 Incidentes de Datos.
7.2.1 Notificación de incidentes. Si Jibe se entera de un Incidente de datos, Jibe hará lo siguiente: (a) notificará a la Empresa sobre el Incidente de datos de forma oportuna y sin retrasos indebidos y (b) tomará las medidas razonables para minimizar los daños y proteger los Datos personales de la Empresa.
7.2.2 Detalles de incidentes de datos. Las notificaciones realizadas en la sección 7.2.1 (Notificación de incidentes) describirán, en la medida de lo posible, los detalles del incidente de datos, incluidos los pasos realizados para mitigar los riesgos potenciales y los pasos que recomienda Jibe para que la empresa aborde el incidente.
7.2.3 Entrega de Notificaciones.Jibe entregará su notificación de cualquier Incidente de datos a la Dirección de correo electrónico de notificación o, a discreción de Jibe (incluso si la Empresa no proporcionó una Dirección de correo electrónico de notificación), mediante otra comunicación directa (por ejemplo, una llamada telefónica o una reunión en persona). La Empresa es la única responsable de proporcionar la Dirección de Correo Electrónico de Notificación y garantizar que la Dirección de Correo Electrónico de Notificación sea actual y válida.
7.2.4 Notificaciones de terceros. La Empresa es la única responsable de cumplir con las leyes de notificación de incidentes aplicables a la Empresa y de cumplir con cualquier obligación de notificación de terceros en relación con los Incidentes de Datos.
7.2.5 Inexistencia de Confirmación de error por parte de Jibe.La notificación de Jibe de respuesta a un incidente de datos, o su respuesta a ella, en virtud de esta sección 7.2 (Incidentes de datos) no se interpretará como una confirmación de Jibe de ninguna falla ni responsabilidad con respecto al Incidente de datos.
7.3 Responsabilidades y evaluación de seguridad de la Empresa.
7.3.1 Responsabilidades de seguridad de la Empresa. La Empresa acepta que, sin perjuicio de las obligaciones de Jibe según los Artículos 7.1 (Medidas de Seguridad y Asistencia de Jibe) y 7.2 (Incidentes de Datos):
(a) La Empresa es responsable del uso que haga de los Servicios del Procesador, lo que incluye:
(i) usar los Servicios del Procesador de manera apropiada con el fin de garantizar un nivel de seguridad apropiado para el riesgo de los Datos Personales de la Empresa
(II) asegurar las credenciales de autenticación de cuenta, los sistemas y los dispositivos que la Empresa utiliza para acceder a los Servicios del Procesador
(b) Jibe no tiene la obligación de proteger los Datos Personales de la Empresa que elija almacenar o transferir fuera de los sistemas de Jibe y de sus Subprocesadores.
7.3.2 Evaluación de seguridad de la Empresa. La Empresa reconoce y acepta que (teniendo en cuenta la tecnología de punta, los costos de implementación y la naturaleza, el alcance, el contexto y los propósitos del procesamiento de los Datos Personales de la Empresa, así como los riesgos para las personas), las Medidas de Seguridad implementadas y mantenidas por Jibe en la Sección 7.1.1 (Medidas de Seguridad de Jibe) proporcionan un nivel de seguridad apropiado para los datos personales de la Empresa.
7.4 Certificación de Seguridad. A fin de evaluar y ayudar a garantizar la eficacia continua de las Medidas de seguridad, Jibe mantendrá la certificación ISO 27001.
7.5 Revisiones y auditorías de cumplimiento.
7.5.1 Opiniones sobre la documentación de seguridad. A fin de demostrar el cumplimiento de las obligaciones de Jibe en virtud de este Apéndice de Procesamiento de Datos, Jibe pondrá a disposición del Cliente la Documentación de Seguridad.
7.5.2 Derechos de auditoría de la Empresa.
(a) Jibe permitirá que la Empresa o un auditor externo designado por la Empresa realicen auditorías (incluidas las inspecciones) para verificar el cumplimiento de las obligaciones de Jibe en este Apéndice de Procesamiento de Datos de acuerdo con el Artículo 7.5.3 (Condiciones Adicionales de las Auditorías para las Auditorías). Jib contribuirá a esas auditorías según se describe en la Sección 7.4 (Certificación de Seguridad) y la Sección 7.5 (Análisis de auditorías, sección 7.5).
(b) Si las Cláusulas de Contrato Estándar se aplican en la Sección 10.2 (Transferencias de Datos), Jibe permitirá que la Empresa o un auditor de terceros designado por la Empresa lleve a cabo auditorías como se describe en las Cláusulas de Contrato Estándar de conformidad con el Artículo 7.5.3 (Condiciones Empresariales Adicionales para Auditorías).
(c) También puede realizar una auditoría para verificar que Jibe cumpla con sus obligaciones según este Apéndice de Procesamiento de Datos mediante la revisión del certificado emitido para la Certificación ISO 27001 (que refleja el resultado de una auditoría realizada por un auditor externo).
7.5.3 Condiciones comerciales adicionales para las auditorías.
(a) La Empresa enviará cualquier solicitud de auditoría conforme a la Sección 7.5.2(a) o 7.5.2(b) a Jibe, como se describe en la Sección 12.1 (Contacto con Jibe).
(b) Luego de que Jibe reciba una solicitud en virtud del Artículo 7.5.3(a), Jibe y la Empresa analizarán y acordarán con anticipación la fecha de inicio, el alcance y la duración razonables de los controles de seguridad y confidencialidad aplicables a cualquier auditoría en virtud del Artículo 7.5.2(a) o 7.5.2(b).
(c) Es posible que Jibe cobre una tarifa (según los costos razonables de Jibe) por cualquier auditoría en virtud del Artículo 7.5.2(a) o 7.5.2(b).Jibe proporcionará a la Empresa más detalles de cualquier tarifa aplicable y la base de su cálculo, antes de que se realice dicha auditoría. La Empresa será responsable de cualquier tarifa que cobre un auditor de terceros designado por la Empresa para llevar a cabo dicha auditoría.
(d) Jibe puede objetar a cualquier auditor externo designado por la Empresa para llevar a cabo cualquier auditoría en virtud del Artículo 7.5.2(a) o 7.5.2(b) si el auditor es, según un razonamiento razonable, no adecuado o inadecuado, un competidor de Jibe o evidentemente inadecuado. Cualquier objeción de este tipo por parte de Jibe requerirá que la Empresa designe a otro auditor o lleve a cabo la auditoría.
(e) Ninguna de las disposiciones de este Apéndice de Procesamiento de Datos requerirá que Jibe divulgue los datos a la Empresa o a su auditor externo, ni que la Empresa o su auditor externo puedan acceder:
(i) los datos de cualquier otro cliente de una Entidad Jibe
(ii) la información contable o financiera interna de cualquier Entidad de Jibe
(III) los secretos comerciales de las Entidades de Jibe;
(iv) cualquier información que, según la opinión razonable de Jibe, pueda (A) comprometer la seguridad de los sistemas o instalaciones de cualquier Entidad de Jibe, o (B) hacer que cualquier Entidad de Jibe infrinja sus obligaciones según la Legislación Europea sobre Protección de Datos o sus obligaciones de seguridad o privacidad para la Empresa o cualquier tercero
(v) cualquier información a la que la Empresa o su auditor externo busque acceder por otro motivo que no sea el cumplimiento de buena fe de las obligaciones de la Empresa en virtud de la Legislación Europea sobre Protección de Datos.
7.5.4 Sin modificación de las Cláusulas de Contrato Estándar. Si se aplican las Cláusulas de Contrato Estándar de acuerdo con el Artículo 10.2 (Transferencias de Datos), nada del presente Artículo 7.5 (Revisiones y Auditorías de Cumplimiento) varía o modifica los derechos o las obligaciones de la Empresa o Jibe según las Cláusulas de Contrato Estándar.
8. Evaluaciones y asesoramiento de impacto
La Empresa acepta que Jibe ayudará a la Empresa a garantizar el cumplimiento de cualquier obligación de la Empresa en relación con las evaluaciones de impacto de la protección de datos y las consultas previas (teniendo en cuenta la naturaleza del procesamiento y la información disponible para Jibe), incluidas (si corresponde) las obligaciones de la Empresa en virtud de los Artículos 35 y 36 del GDPR:
(a) proporcionar la Documentación de Seguridad de acuerdo con la Sección 7.5.1 (Revisiones de la Documentación de Seguridad)
(b) proporcionar la información contenida en este Apéndice de Procesamiento de Datos
(c) proporcionar o de algún otro modo poner a disposición, de acuerdo con las prácticas estándar de Jibe, otros materiales relacionados con la naturaleza de los Servicios del Procesador y el procesamiento de los Datos Personales de la Empresa (por ejemplo, los materiales del Centro de ayuda).
9. Derechos de los sujetos
9.1 Respuestas a Solicitudes de Sujetos. Si Jibe recibe una solicitud de un sujeto en relación con los Datos Personales de la Empresa, Jibe hará lo siguiente:
(a) si la solicitud se realiza a través de una Herramienta del Sujeto, responda directamente a la solicitud del sujeto de acuerdo con la funcionalidad estándar de esa Herramienta del Sujeto o
(b) Si la solicitud no se realiza a través de la Herramienta del Sujeto, aconseja a los datos sujetos a enviar su solicitud a la Empresa, y la Empresa será responsable de responder a esa solicitud.
9.2 Asistencia para Solicitudes de Sujetos de Jibe. La Empresa acepta que Jibe ayudará a la Empresa a cumplir con cualquier obligación de la Empresa de responder a las solicitudes de los sujetos (teniendo en cuenta la naturaleza del procesamiento de los Datos Personales de la Empresa y, si corresponde, el Artículo 11 del GDPR), incluida (si corresponde) la obligación de la Empresa de responder a las solicitudes de ejercicio de los derechos del sujeto en el Capítulo III del GDPR mediante lo siguiente:
(a) proporcionar la funcionalidad de los Servicios del Procesador
(b) satisfacer los compromisos de la Sección 9.1 (Respuestas a Solicitudes de Sujetos)
(c) si corresponde a los Servicios del Procesador, y poner a disposición las Herramientas para Sujetos.
10. Transferencias de Datos
10.1 Instalaciones para el Almacenamiento de Datos y el Procesamiento. La Empresa acepta que Jibe puede, sujeto a la Sección 10.2 (Transferencias de Datos), almacenar y procesar los Datos Personales de la Empresa en cualquier país donde Jibe o cualquiera de sus Subprocesadores mantenga las instalaciones.
10.2 Transferencias de Datos.
Si el almacenamiento o procesamiento de datos personales de la Empresa implica transferencias de Datos Personales de la Empresa desde el EEE, Suiza o el Reino Unido a cualquier país que no esté sujeto a una decisión de adecuación en virtud de la Legislación Europea sobre Protección de Datos:
(a) Se considerará que la Empresa (como exportador de datos) celebró las Cláusulas de Contrato Estándar con Jibe (como importador de datos).
(b) Las transferencias estarán sujetas a las Cláusulas de Contrato Estándar.
(c) Las referencias a Google LLC y al Cliente en las Cláusulas de Contrato Estándar serán para Jibe y la Empresa, respectivamente.
10.3 Información del centro de datos. La información sobre las ubicaciones de los centros de datos de Google está disponible en www.google.com/about/datacenters/locations/index.html.
11. Subprocesadores
11.1 Consentimiento para la participación de Subprocesadores. La Empresa autoriza específicamente la participación de los Afiliados de Jibe como Subprocesadores (“Subprocesadores del Afiliado de Jibe”). Además, la Empresa suele autorizar la participación de terceros como Subprocesadores. Si las Cláusulas de Contrato Estándar aplican al Artículo 10.2 (Transferencias de Datos), la Empresa autoriza la firma de los contratos por
11.2 Información sobre los Subprocesadores. A pedido de la Empresa, Jibe brindará información sobre los Subprocesadores y las ubicaciones. Cualquier solicitud de este tipo se debe enviar a Jibe con los detalles de contacto establecidos en la sección 12.1 (Contacto con Jibe).
11.3 Requisitos para la participación de Subprocesadores. Al interactuar con cualquier subprocesador, Jibe hará lo siguiente:
(a) Garantizar, mediante un contrato escrito, que:
(i) El Subprocesador solo accede a los Datos Personales de la Empresa y los usa en la medida requerida para cumplir con las obligaciones subcontratadas a este, y lo hace de conformidad con el Acuerdo (incluido este Apéndice de Procesamiento de Datos) y, si corresponde, en el Artículo 10.2 (Transferencias de Datos), las Cláusulas de Contrato Estándar y
(II) Si el GDPR se aplica al procesamiento de Datos Personales de la Empresa, las obligaciones de protección de datos del Artículo 28(3) del GDPR se aplicarán al Subprocesador.
(b) serán completamente responsables por todas las obligaciones subcontratadas por el Subprocesador, así como por todos los actos y omisiones del mismo.
11.4 Oportunidad para Oponerse a los Cambios del Subprocesador.
(a) En el caso de que un Subprocesador Tercero nuevo participe en el Plazo, Jibe informará a la Empresa sobre la participación (incluidos el nombre y la ubicación del subprocesador relevante y las actividades que realizará) mediante el envío de un correo electrónico a la Dirección de Correo Electrónico de Notificación al menos 30 días antes de que el nuevo Subprocesador Tercero procese los Datos Personales de la Empresa.
(b) La Empresa puede objetar a cualquier Subprocesador Tercero nuevo si rescinde el Acuerdo de inmediato mediante notificación por escrito a Jibe, siempre que la Empresa proporcione tal aviso dentro de los 90 días después de la notificación del compromiso del nuevo Subprocesador Tercero, como se describe en el Artículo 11.4(a). Este derecho de rescisión es la única solución de la Empresa en caso de que la Empresa se oponga a un Subprocesador de Terceros nuevo.
12. Contactar a Jibe; Cómo procesar registros
12.1 Comunicación con Jibe. La Empresa puede comunicarse con Jibe en relación con este Apéndice de Procesamiento de Datos a través del contacto de protección de datos RCS de Jibe al que se puede contactar a través de http://issuetracker.google.com, o a través de cualquier otro medio que proporcione Jibe ocasionalmente.
12.2 Registros de procesamiento de Jibe. La Empresa reconoce que, según lo estipulado en el GDPR, Jibe debe: (a) recopilar y mantener registros de cierta información, incluidos el nombre y los detalles de contacto de cada procesador o controlador en representación de los cuales Jibe esté actuando y (si corresponde) del representante local y responsable de la protección de datos de ese procesador o (b) poner esa información a disposición de cualquier autoridad supervisora. Por lo tanto, cuando se solicite y corresponda, la Empresa proporcionará dicha información a Jibe a través de la interfaz de usuario de los Servicios del Procesador o por otros medios proporcionados por Jibe, y usará dicha interfaz de usuario o cualquier otro medio para asegurarse de que toda la información proporcionada sea precisa y esté actualizada.
13. Responsabilidad
13.1 Límite de responsabilidad. Independientemente de cualquier otra disposición en el Acuerdo, la responsabilidad total de cualquiera de las partes hacia la otra parte en relación con este Apéndice de Procesamiento de Datos o en relación con él se limitará al importe máximo monetario o basado en el pago en el que la responsabilidad de esa parte esté limitada en virtud del Acuerdo. Por lo tanto, cualquier exclusión de confidencialidad o reclamos de indemnización de la ley. La ley de protección. Ninguna de las disposiciones de este Artículo 13 (Responsabilidad) excluirá o limitará la responsabilidad de cualquiera de las partes por (a) muerte o lesión personal ocasionada por su negligencia o negligencia de sus empleados o agentes, (b) fraude o tergiversación fraudulenta o (c) asuntos por los cuales la responsabilidad no puede excluirse ni limitarse en virtud de la ley aplicable.
13.2 Responsabilidad si se aplican las Cláusulas de Contrato Estándar. Si las Cláusulas de Contrato Estándar se aplican en virtud del Artículo 10.2 (Transferencias de Datos), la responsabilidad total combinada de cada parte y sus Afiliados respecto de la otra parte y sus Afiliados en virtud del Acuerdo y de las Cláusulas de Contrato Estándar combinadas estarán sujetas a la Sección 13.1 (Límite de Responsabilidad).
14. Beneficiarios terceros
Si el Afiliado de una parte es una de las partes de las Cláusulas de Contrato Estándar que se aplican en virtud de la Sección 10.2 (Transferencias de Datos), ese Afiliado será un beneficiario tercero de los Artículos 6.2 (Eliminación del Plazo de Vencimiento), 7.5 (Revisiones y Auditorías de Cumplimiento), 9.1 (Respuestas a Solicitudes de Sujetas a Asuntos, Compromisos 2) 10.2. En la medida en que esta Sección 14 (Beneficiarios Terceros) entre en conflicto o sea incompatible con cualquier otra cláusula del Acuerdo, se aplicará esta Sección 14 (Beneficiarios Terceros).
15. Efecto de este Apéndice de Procesamiento de Datos
En caso de conflicto o inconsistencia entre las Cláusulas de Contrato Estándar, las Condiciones Adicionales para la Legislación No Europea sobre Protección de Datos, este Apéndice de Procesamiento de Datos y el resto del Acuerdo, se aplicará el siguiente orden de prioridad:
(a) Cláusulas de Contrato Estándar;
(b) las Condiciones adicionales para la Legislación No Europea sobre Protección de Datos
(c) el resto de estas Condiciones del Procesamiento de Datos; y
(d) el resto del Acuerdo.
Si este Acuerdo (incluido cualquier Anexo) se traduce a cualquier otro idioma y el texto traducido entra en conflicto o es inconsistente con el texto en inglés, regirá el texto en inglés.
Sujeto a las enmiendas de este Apéndice de Procesamiento de Datos, el Acuerdo permanecerá plenamente en vigor.
16. Cambios en este Apéndice de Procesamiento de Datos
16.1 Cambios en las URL De vez en cuando, Jibe puede cambiar cualquier URL a la que se haga referencia en este Apéndice de Procesamiento de Datos y el contenido en cualquier URL, excepto que Jibe solo puede cambiar las Cláusulas de Contrato Estándar de las Secciones 16.2(b) - 16.2(d) (Cambios en las Condiciones del Procesamiento de Datos) o incorporar cualquier versión nueva de la Ley de Protección de Datos.
16.2 Cambios en las Condiciones del Procesamiento de Datos. Jibe puede cambiar este Apéndice de Procesamiento de Datos si el cambio:
(a) está expresamente permitido en este Apéndice de Procesamiento de Datos, incluso según lo descrito en el Artículo 16.1 (Cambios en las URL)
(b) refleje un cambio en el nombre o la forma de una entidad legal;
(c) Debe cumplir con las leyes aplicables, las regulaciones aplicables, una orden judicial o una orientación emitida por una agencia o un ente regulador gubernamental.
(d) no (i) genere una degradación de la seguridad general de los Servicios del Procesador ni (ii) expanda el alcance de las restricciones, o quitará las siguientes, (x) en el caso de las Condiciones Adicionales para la Legislación No Europea de Protección de Datos, los derechos de Jibe de usar o procesar los datos dentro del alcance de las Condiciones Adicionales para la Legislación No Europea o en los Asuntos de la Aplicación.
16.3 Notificación de cambios. Si Jibe pretende cambiar este Apéndice de Procesamiento de Datos de conformidad con el Artículo 16.2(c) o (d), Jibe informará a la Empresa al menos 30 días (o el período más corto que se requiera para satisfacer la ley aplicable, la reglamentación aplicable, una orden judicial u orientación emitida por un organismo regulador o una agencia gubernamental) antes de que el cambio entre en vigencia mediante (a) el envío de un correo electrónico a la Dirección de Correo Electrónico de Notificación o la Dirección de Correo Electrónico del Servicio para la Empresa Si la Empresa se opone a tal cambio, la Empresa puede resolver el Acuerdo mediante una notificación por escrito a Jibe en un plazo de 90 días después de que Jibe la informe del cambio.
Apéndice 1: Asunto y detalles del procesamiento de datos
Asunto
La provisión de los Servicios del Procesador de Jibe y cualquier asistencia técnica relacionada con la Empresa.
Duración del procesamiento
El Período más el período que va desde el vencimiento del Plazo hasta la eliminación de todos los Datos Personales de la Empresa por parte de Jibe de conformidad con este Apéndice de Procesamiento de Datos.
Naturaleza y Propósito del Procesamiento
Jibe procesará los Datos Personales de la Empresa con el fin de proporcionar los Servicios del Procesador y cualquier asistencia técnica relacionada a la Empresa de conformidad con este Apéndice de Procesamiento de Datos (incluidos, según corresponda, los Servicios del Procesador y las instrucciones descritas en la Sección 5.2 [Instrucciones de la Empresa], recopilar, registrar, organizar, estructurar, almacenar, alterar, recuperar, usar, divulgar, combinar, borrar y borrar Datos de la Empresa).
Tipos de datos personales
Datos personales relacionados con individuos proporcionados a Jibe a través de los Servicios de Procesamiento, por la Empresa o por instrucción de la Empresa o por usuarios finales de la Empresa.
Categorías de sujetos
Los sujetos incluyen a las personas sobre las cuales se proporcionan los datos a Jibe mediante los Servicios de Procesamiento por parte de la Empresa o por los usuarios finales de la Empresa.
Apéndice 2: Medidas de seguridad
A partir de la Fecha de Entrada en Vigencia de las Condiciones, Jibe implementará y mantendrá las Medidas de Seguridad en este Apéndice 2. Jibe puede actualizar o modificar dichas Medidas de Seguridad de vez en cuando, siempre que tales actualizaciones y modificaciones no den como resultado la degradación de la seguridad general de los Servicios del Procesador.
1. Centro de datos y seguridad de redes
(a) Centros de datos.
Infraestructura. Jibe mantiene centros de datos distribuidos geográficamente. Jibe almacena todos los datos de producción en centros de datos físicamente seguros.
Redundancia. Los sistemas de infraestructura se diseñaron para eliminar puntos únicos de fallo y minimizar el impacto de los riesgos ambientales previstos. Los dobles circuitos, interruptores, redes y otros dispositivos necesarios ayudan a proporcionar esta redundancia. Los Servicios del Procesador están diseñados para permitir que Jibe realice ciertos tipos de mantenimiento preventivo y correctivo sin interrupciones. Todos los equipos y las instalaciones del entorno cuentan con procedimientos de mantenimiento preventivo documentados que detallan el proceso y la frecuencia del rendimiento de acuerdo con las especificaciones internas o del fabricante. El mantenimiento preventivo y correctivo del equipo del centro de datos se programa mediante un proceso estándar de acuerdo con los procedimientos documentados.
Potencia. Los sistemas de energía eléctrica de los centros de datos están diseñados para ser redundantes y fáciles de mantener sin impacto en las operaciones continuas, las 24 horas del día y los 7 días de la semana. En la mayoría de los casos, se proporciona una fuente de alimentación principal, así como una alternativa, cada una con igual capacidad para los componentes de infraestructura fundamentales en el centro de datos. La alimentación de respaldo está a cargo de varios mecanismos, como las baterías de fuente de alimentación ininterrumpida (UPS), que proporcionan una protección de energía confiable durante las interrupciones del suministro eléctrico, los cortes, el voltaje, el voltaje y las condiciones de frecuencia fuera de tolerancia. Si se interrumpe la alimentación eléctrica, la energía de respaldo está diseñada para proporcionar energía transitoria al centro de datos, a máxima capacidad, durante un máximo de 10 minutos hasta que los sistemas generadores de combustible se hagan cargo. Los generadores diésel pueden iniciarse automáticamente en segundos para proporcionar suficiente energía eléctrica de emergencia a fin de ejecutar el centro de datos a máxima capacidad y durante un período normal de días.
Sistemas operativos del servidor Los servidores Jibe usan sistemas operativos endurecidos que están personalizados para las necesidades únicas del servidor de la empresa. Los datos se almacenan mediante algoritmos patentados para aumentar la seguridad y la redundancia de los datos. Jibe emplea un proceso de revisión de código para aumentar la seguridad del código que se usa a fin de proporcionar los Servicios del procesador y mejorar los productos de seguridad en los entornos de producción.
Continuidad de las empresas. Jibe replica los datos en varios sistemas para ayudar a protegerlos contra la destrucción accidental o la pérdida. Jibe diseñó y prueba periódicamente sus programas de planificación de continuidad comercial/recuperación ante desastres.
(b) Redes y transmisiones.
Transmisión de datos. Los centros de datos suelen conectarse a través de vínculos privados de alta velocidad para proporcionar una transferencia de datos segura y rápida entre los centros de datos. Esto está diseñado para evitar la lectura, copia, alteración o eliminación de los datos sin autorización durante la transferencia o el transporte electrónico, o mientras se registran en medios de almacenamiento de datos. Jibe transfiere datos a través de protocolos estándar de Internet.
Superficie de ataque externa Jibe emplea varias capas de dispositivos de red y detección de intrusiones para proteger la superficie de ataque externa. Jibe considera posibles vectores de ataque y, además, incorpora las tecnologías de compilación adecuadas para los sistemas externos.
Detección de intrusiones. La detección de intrusiones tiene como objetivo proporcionar estadísticas sobre las actividades de ataque en curso y proporcionar la información adecuada para responder a los incidentes. La detección de intrusiones de Jibe implica lo siguiente:
Control estricto del tamaño y la composición de la superficie de ataque de Jibe mediante medidas preventivas.
Emplear controles de detección inteligentes en puntos de entrada de datos
Emplear tecnologías que solucionen de manera automática ciertas situaciones peligrosas
Respuesta a incidentes Jibe supervisa una variedad de canales de comunicación en busca de incidentes de seguridad, y el personal de seguridad de Jibe reaccionará rápidamente a los incidentes conocidos.
Tecnologías de encriptación. Jibe pone a disposición la encriptación HTTPS (también conocida como conexión SSL o TLS). Los servidores de Jibe son compatibles con la curva elíptica efímera del intercambio de claves criptográficas Diffie Hellman con RSA y ECDSA. Estos métodos perfectos de confidencialidad directa (PFS) ayudan a proteger el tráfico y minimizar el impacto de una clave comprometida o de una ruptura criptográfica.
2. Controles de acceso y del sitio
(a) Controles del Sitio.
Operaciones de seguridad de centros de datos en las instalaciones. Los centros de datos de Jibe mantienen una operación de seguridad en las instalaciones responsable de todas las funciones de seguridad de los centros de datos físicos las 24 horas, todos los días. El personal de operaciones de seguridad en las instalaciones supervisa las cámaras de circuito cerrado de TV ("CCTV") y todos los sistemas de alarma. El personal de operaciones de seguridad en las instalaciones realiza patrullas internas y externas del centro de datos con regularidad.
Procedimientos de acceso al centro de datos. Jibe mantiene procedimientos de acceso formales para permitir el acceso físico a los centros de datos. Los centros de datos se alojan en instalaciones que requieren acceso a las llaves electrónicas de la tarjeta, con alarmas que están vinculadas a las operaciones de seguridad en las instalaciones. Todos los participantes del centro de datos deben identificarse y mostrar pruebas de identidad de las operaciones de seguridad en las instalaciones. Solo los empleados autorizados, los contratistas y los visitantes pueden ingresar a los centros de datos. Solo los empleados y contratistas autorizados pueden solicitar el acceso con la llave electrónica a estas instalaciones. Las solicitudes de acceso a la clave electrónica de la tarjeta de datos deben realizarse con anticipación y por escrito, y deben contar con la aprobación del administrador del solicitante y el director del centro de datos. Todos los demás participantes que requieran acceso temporal al centro de datos deben: (i) obtener la aprobación por adelantado de los administradores del centro de datos para el centro de datos específico y las áreas internas que desean visitar; (ii) acceder a las operaciones de seguridad en las instalaciones y (iii) hacer referencia a un registro de acceso al centro de datos aprobado que identifique a la persona como aprobada.
Dispositivos de seguridad en los centros de datos. Los centros de datos de Jibe usan una llave electrónica de tarjeta y un sistema de control de acceso biométrico que está vinculado a una alarma del sistema. El sistema de control de acceso supervisa y registra la clave electrónica de la tarjeta de cada persona y cuándo acceden a las puertas perimetrales, el envío y la recepción, y otras áreas críticas. El sistema de control de acceso registra las actividades no autorizadas y los intentos de acceso fallidos, y los investiga según corresponda. El acceso autorizado a través de los centros de datos y las operaciones comerciales se restringe según las zonas y las responsabilidades laborales de la persona. Se despierta la alarma de incendio en las puertas de los centros de datos. Las cámaras CCTV funcionan tanto dentro como fuera de los centros de datos. El posicionamiento de las cámaras se diseñó para cubrir áreas estratégicas, entre las que se incluyen el perímetro, las puertas del edificio del centro de datos y el envío y recepción. El personal de operaciones de seguridad en las instalaciones administra el equipo de supervisión, grabación y control de CCTV. Asegura los cables en los centros de datos para conectar los equipos CCTV. Las cámaras graban en las instalaciones a través de grabadoras de video digitales las 24 horas, todos los días. Los registros de vigilancia se conservan durante al menos 7 días en función de la actividad.
(b) Control de acceso.
Personal de seguridad de infraestructura. Jibe tiene y mantiene una política de seguridad para su personal, y requiere capacitación de seguridad como parte del paquete de capacitación para su personal. El personal de seguridad de la infraestructura de Jibe es responsable de la supervisión continua de la infraestructura de seguridad de Jibe, de la revisión de los Servicios del Procesador y de responder a los incidentes de seguridad.
Control de acceso y administración de privilegios. Los administradores y usuarios de la empresa deben autenticarse mediante un sistema de autenticación central o un sistema de inicio de sesión único para usar los Servicios del procesador.
Procesos y políticas de acceso a los datos internos: política de acceso. Los procesos y las políticas de acceso a los datos internos de Jibe están diseñados para evitar que personas o sistemas no autorizados obtengan acceso a los sistemas que se usan a fin de procesar datos personales. Jibe tiene como objetivo diseñar sus sistemas para (i) permitir que solo las personas autorizadas accedan a los datos a los que tiene autorización y (ii) garantizar que los datos personales no se puedan leer, copiar, modificar ni quitar sin autorización durante el procesamiento, el uso y después de la grabación. Los sistemas están diseñados para detectar cualquier acceso inapropiado. Jibe emplea un sistema de administración de acceso centralizado para controlar el acceso del personal a los servidores de producción y solo proporciona acceso a una cantidad limitada de personal autorizado. LDAP, Kerberos y un sistema propietario que utiliza certificados SSH están diseñados para proporcionarle a Jibe mecanismos de acceso seguros y flexibles. Estos mecanismos están diseñados para otorgar solo derechos de acceso aprobados a hosts del sitio, registros, información de configuración y datos. Jibe requiere el uso de ID de usuario únicos, contraseñas seguras, autenticación de dos factores y listas de acceso supervisadas cuidadosamente para minimizar el potencial de uso no autorizado de la cuenta. La concesión o modificación de los derechos de acceso se basa en las responsabilidades laborales del personal autorizado, los requisitos de tareas laborales necesarios para realizar tareas autorizadas y una necesidad de saber. La concesión o modificación de los derechos de acceso también debe cumplir con las políticas y el entrenamiento de acceso a los datos internos de Jibe. De administrar estas aprobaciones se encargan las herramientas de flujo de trabajo, que mantienen registros de auditoría de todos los cambios. El acceso a los sistemas se registra a fin de crear un registro de auditoría para la responsabilidad. Cuando se emplean contraseñas para la autenticación (p.ej., acceso a las estaciones de trabajo), se implementan las políticas de contraseñas que siguen al menos las prácticas estándar de la industria. Estos estándares incluyen restricciones sobre la reutilización de contraseñas y la seguridad de la contraseña.
3. Datos
(a) Almacenamiento, aislamiento y autenticación de datos.
Jibe almacena datos en un entorno de multiusuario en servidores de propiedad de Jibe. Los datos, la base de datos de los servicios de procesador y la arquitectura del sistema de archivos se replican entre varios centros de datos dispersos geográficamente. Jibe aísla de manera lógica los datos de cada cliente. Se usa un sistema de autenticación central en todos los servicios del procesador para aumentar la seguridad uniforme de los datos.
(b) Lineamientos sobre discos y retiros de servicio que se retiraron de servicio
Ciertos discos que contienen datos pueden experimentar problemas de rendimiento, errores o fallas de hardware que los hacen dar de baja (“Disco fuera de servicio”). Cada Disco en proceso de retiro de servicio está sujeto a una serie de procesos de destrucción de datos (los “Lineamientos de destrucción de datos”) antes de abandonar las instalaciones de Jibe para su reutilización o destrucción. Los discos que se retiran de servicio se borran en un proceso de varios pasos y se verifican completos mediante al menos dos validadores independientes. Los resultados de borrado se registran mediante el número de serie del disco fuera de servicio para el seguimiento. Por último, el disco borrado fuera de servicio se lanza en el inventario para su reutilización y reimplementación. Si, debido a una falla de hardware, el disco fuera de servicio no se puede borrar, se almacenará de forma segura hasta que se pueda destruir. Cada instalación se audita con regularidad para supervisar el cumplimiento de los Lineamientos de destrucción de datos.
4. Seguridad del personal
El personal de Jibe debe conducirse de acuerdo con los lineamientos de la empresa sobre confidencialidad, ética empresarial, uso apropiado y estándares profesionales. Jibe realiza verificaciones de antecedentes razonablemente adecuadas en la medida en que lo permita la ley y de acuerdo con las leyes y regulaciones laborales locales aplicables.
El personal debe celebrar un acuerdo de confidencialidad y confirmar la recepción y el cumplimiento de las políticas de confidencialidad y privacidad de Jibe. El personal recibe la capacitación en seguridad. El personal que maneja Datos personales de la empresa debe completar los requisitos adicionales adecuados para su función. El personal de Jibe no procesará los Datos Personales de la Empresa sin autorización
5. Seguridad del subprocesador
Antes de integrar los Subprocesadores, Jibe realiza una auditoría de las prácticas de seguridad y privacidad de los Subprocesadores a fin de garantizar que los Subprocesadores proporcionen un nivel de seguridad y privacidad adecuado para su acceso a los datos y el alcance de los servicios que están comprometidos a proporcionar. Una vez que Jibe haya evaluado los riesgos que presenta el Subprocesador, sujeto siempre a los requisitos de la Sección 11.3 (Requisitos para la Participación del Subprocesador), el Subprocesador debe celebrar los términos correspondientes de seguridad, confidencialidad y privacidad.
Apéndice 3: Condiciones Adicionales de la Legislación No Europea de Protección de Datos
Las siguientes Condiciones Adicionales de la Legislación No Europea de Protección de Datos complementan estas Condiciones del Procesamiento de Datos:
- Apéndice del proveedor de servicios de la CCPA en privacy.google.com/businesses/gdprprocessorterms/ccpa (con fecha del 27 de agosto de 2020)
- Apéndice del procesador de la LGPD en privacy.google.com/businesses/gdprprocessorrterms/lgpd (con fecha del 27 de agosto de 2020)
Condiciones del Procesamiento de Datos de Jibe, versión 2.0
27 de agosto de 2020