Ir al contenido

DPA – Cliente

 

Anexo sobre procesamiento de datos
(Diciembre de 2022)

Este Anexo sobre Procesamiento de Datos (“DPA”) se incorpora por referencia y forma parte del acuerdo o Pedido mediante el cual el Cliente obtiene el derecho o la licencia de suscripción para usar el Software y los Servicios de BigID, y se realiza entre el Cliente y BigID (dicho acuerdo y cualquier Pedido relacionado se denominan colectivamente “Acuerdo”).

Este DPA complementa el Acuerdo y establece los términos aplicables cuando BigID procesa Datos Personales (definidos a continuación) en virtud del Acuerdo. El objetivo del DPA es garantizar que dicho procesamiento se realice de conformidad con la legislación aplicable y con el debido respeto a los derechos y libertades de las personas cuyos Datos Personales se procesan.

El Cliente entiende, reconoce y acepta que este DPA se aplica a sí mismo y, en la medida en que lo exijan las Leyes y Reglamentos de Protección de Datos aplicables, a sus Afiliados Autorizados, siempre y cuando BigID procese Datos Personales para los cuales dichos Afiliados Autorizados sean el Responsable del Tratamiento. Únicamente a los efectos de este DPA, y salvo indicación contraria, el término «Cliente» incluirá al Cliente y a los Afiliados Autorizados. Todos los términos en mayúsculas no definidos en este documento tendrán el significado establecido en el Acuerdo.

En el curso de la prestación del Software y los Servicios al Cliente de conformidad con el Acuerdo, BigID puede procesar Datos Personales en nombre del Cliente, y las Partes acuerdan cumplir con las siguientes disposiciones con respecto a cualquier Dato Personal, cada una actuando razonablemente y de buena fe.

Términos de procesamiento de datos

1. Definiciones

  1. "Filial" significa cualquier entidad que directa o indirectamente controla, es controlada por, o está bajo control común con la entidad sujeto mientras exista control. "Control”, para los efectos de esta definición, significa propiedad o control directo o indirecto de más del 50% de los intereses de voto de la entidad en cuestión.
  2. "Leyes de protección de datos aplicables" significa la Ley de Protección de Datos de EE. UU. y el RGPD que son aplicables al procesamiento de Datos Personales del Cliente bajo este DPA.
  3. "Afiliado autorizado" significa un Afiliado del Cliente al que se le permite usar el Software y los Servicios de conformidad con el Acuerdo entre el Cliente y BigID, pero que no ha firmado su propio Pedido con BigID.
  4. "Afiliado europeo autorizado" significa un Afiliado Autorizado que está sujeto a las leyes y regulaciones de protección de datos de Europa (como se define a continuación).
  5. "BigID” significa la entidad BigID que es parte tanto del Acuerdo como de este DPA, que puede ser BigID, Inc., una empresa constituida en el estado de Delaware.
  6. "Controlador” significa una entidad que determina los propósitos y medios del Procesamiento de Datos Personales.
  7. "Cliente” significa la entidad que ejecutó el Acuerdo, junto con sus Afiliados Autorizados (mientras sigan siendo Afiliados Autorizados) que tienen acceso al Software y los Servicios.
  8. "Datos del cliente" significa cualquier dato, información o material originado por el Cliente que el Cliente envía a BigID, recopila a través de su uso del Software y los Servicios, o proporciona a BigID durante el uso del Software y los Servicios.
  9. Titular de los datos” significa la persona identificada o identificable a la que se refieren los Datos Personales.
  10. "Datos desidentificados" significa datos que no pueden vincularse razonablemente a una persona física identificada o identificable, o a un dispositivo vinculado a dicha persona, siempre que el Cliente o BigID posean dichos datos.
  11. "Europa" significa el Espacio Económico Europeo (que constituye los estados miembros de la Unión Europea y Noruega, Islandia y Liechtenstein), así como, a los efectos de este DPA, el Reino Unido y/o Suiza.
  12. "GDPR" significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (el "RGPD de la UE”), así como, a los efectos de este DPA, (i) el Reglamento General de Protección de Datos del Reino Unido, tal como forma parte de la legislación de Inglaterra y Gales, Escocia e Irlanda del Norte en virtud de la sección 3 de la Ley de Retirada de la Unión Europea de 2018 (la “RGPD del Reino Unido”); y (ii) la Ley Federal de Protección de Datos de Suiza aprobada el 25 de septiembre de 2020 (la “Autoridad de protección de datos suiza”).
  13. "Datos personales" significa cualquier información relacionada con: (i) una persona física identificada o identificable y, (ii) una entidad jurídica identificada o identificable (donde dicha información está protegida de manera similar a los datos personales o información de identificación personal bajo las Leyes de Protección de Datos aplicables, donde para cada (i) o (ii), dichos datos son Datos del Cliente.
  14. "Tratamiento” significa cualquier operación o conjunto de operaciones que se realice sobre Datos Personales, ya sea por medios automáticos o no, como la recolección, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, restricción, borrado o destrucción.
  15. "Procesador" significa una entidad que procesa datos personales en nombre de un controlador, incluido, según corresponda, cualquier "proveedor de servicios" según se define ese término en las leyes de protección de datos de los EE. UU.
  16. "Datos seudónimos” significa datos personales que no pueden atribuirse a una persona física específica sin utilizar información adicional, siempre que dicha información adicional se mantenga por separado y esté sujeta a medidas técnicas y organizativas apropiadas para garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.
  17. "Incidente de seguridad"Se refiere a cualquier violación de seguridad confirmada que provoque la destrucción, pérdida, alteración, divulgación o acceso accidental, no autorizado o ilícito a los Datos Personales del Cliente procesados por BigID o sus Subencargados en relación con la prestación del Servicio. "Incidente de Seguridad" no incluye intentos fallidos ni actividades que no comprometan la seguridad de los datos personales, como intentos fallidos de inicio de sesión, pings, escaneos de puertos, ataques de denegación de servicio y otros ataques de red a firewalls o sistemas en red.
  18. "Servicios" significa la prestación de los productos y servicios por parte de BigID al Cliente de conformidad con el Acuerdo.
  19. Cláusulas contractuales estándar" significa el módulo dos de las cláusulas contractuales tipo adjuntas al documento de la Comisión Europea decisión Reglamento (UE) 2021/914, de 4 de junio de 2021, sobre cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, en su versión modificada o sustituida, y completado con la información que figura en el Anexo 2 del presente Acuerdo de Protección de Datos (APD). A la fecha del presente APD, las cláusulas contractuales tipo están disponibles. aquí.
  20. "Subprocesador" significa cualquier Procesador contratado por BigID para ayudar a cumplir con sus obligaciones con respecto a la prestación de los Servicios de conformidad con el Acuerdo o este DPA cuando dicha entidad procesa Datos Personales del Cliente.
  21. "Autoridad de supervisión" significa (i) en la UE, una autoridad pública independiente establecida por un Estado miembro de la UE de conformidad con el RGPD de la UE, (ii) en el Reino Unido, la Oficina del Comisionado de Información del Reino Unido, y (iii) en Suiza, el Comisionado Federal de Protección de Datos e Información de Suiza.
  22. "Anexo del Reino Unido" se refiere al Anexo del Reino Unido a las Cláusulas Contractuales Tipo emitido en virtud del Artículo 119A de la Ley de Protección de Datos de 2018, con sus modificaciones o sustituciones periódicas, y completado con los detalles establecidos en el Anexo 2 del presente Acuerdo de Protección de Datos (APD). A la fecha del presente APD, el Anexo del Reino Unido está disponible [aquí]).
  23. "Leyes de protección de datos de EE. UU." significa la Ley de Privacidad del Consumidor de California ("CCPA”) y, una vez implementada, la Ley de Derechos de Privacidad de California (“CPRA”), Ley de Protección de Datos del Consumidor de Virginia (“VCDPA”), Ley de Privacidad de Colorado (“ColCPA”), Ley de Privacidad de Utah (“UCPA”), Ley de Privacidad de Datos de Connecticut (“CTDPA”), y cualquier otra ley estatal o federal relacionada con la privacidad o protección de datos, y sus respectivas normas de implementación.

2. Tratamiento de datos personales

  1. Papel de las partesLas partes reconocen y acuerdan que, en lo que respecta al Tratamiento de Datos Personales en virtud del Acuerdo, el Cliente es el Responsable, BigID es el Encargado del Tratamiento y BigID contratará a Subencargados del Tratamiento de conformidad con los requisitos establecidos en la Sección 6 «Subencargados del Tratamiento» a continuación.
  2. Tratamiento de datos personales por parte del clienteAl utilizar el Software y los Servicios, el Cliente deberá procesar los Datos Personales de acuerdo con los requisitos de la Ley de Protección de Datos Aplicable, incluyendo cualquier requisito aplicable para notificar a los Interesados sobre el uso de BigID como Encargado del Tratamiento. Para evitar cualquier duda, las instrucciones del Cliente para el Tratamiento de Datos Personales deberán cumplir con la Ley de Protección de Datos Aplicable. El Cliente será el único responsable de la exactitud, calidad y legalidad de los Datos Personales, así como del medio por el cual los obtuvo.
  3. Tratamiento de datos personales por parte de BigIDBigID tratará los datos personales en nombre del Cliente y únicamente de acuerdo con sus instrucciones documentadas, incluyendo los fines establecidos en el Anexo 1 (Detalles del Tratamiento) de este DPA, salvo que la legislación aplicable exija el tratamiento de datos personales para otros fines. En tal caso, BigID notificará al Cliente con antelación, salvo que la legislación aplicable lo prohíba. Si el Cliente reside en la Unión Europea, las referencias a la legislación en esta sección 2.3 se limitarán a las leyes de la Unión Europea o de un Estado miembro de la Unión Europea. BigID informará al Cliente si considera que, en su opinión, sus instrucciones infringen la legislación aplicable en materia de protección de datos. En tal caso, el Cliente acepta que BigID no estará obligado a realizar dicho tratamiento.
  4. Detalles del TratamientoEl objeto del Tratamiento de Datos Personales por parte de BigID es la provisión del Software y la prestación de los Servicios conforme al Acuerdo. La duración, la naturaleza y la finalidad del Tratamiento, los tipos de Datos Personales y las categorías de Interesados Tratados en virtud de este DPA se especifican con más detalle en el Anexo 1 (Detalles del Tratamiento) de este DPA.
  5. Seguridad del cliente. BigID implementará las medidas técnicas y organizativas adecuadas para proteger los Datos Personales del Cliente frente a Incidentes de Seguridad y preservar su seguridad y confidencialidad, de acuerdo con los estándares de seguridad de BigID descritos en el Anexo 3 («Medidas de Seguridad»). El Cliente reconoce que las Medidas de Seguridad están sujetas al progreso y desarrollo técnico, y que BigID podrá actualizarlas o modificarlas periódicamente, siempre que dichas actualizaciones y modificaciones no afecten negativamente a la seguridad general de los Servicios.
  6. Términos de procesamiento adicionales de Estados Unidos. Cuando el Cliente divulga Datos Personales sujetos a las Leyes de Protección de Datos de EE. UU., se aplican las siguientes disposiciones con respecto al procesamiento de Datos Personales relacionados con cualquier “consumidor” u “hogar” según se define a continuación:
    1. Como Procesador del Cliente, BigID no retendrá, usará ni divulgará Datos Personales de otra manera que no sea la establecida en el Acuerdo o según lo permitan las Leyes de Protección de Datos de EE. UU. de manera consistente con un Procesador o “Proveedor de Servicios” (según se define ese término en la CCPA/CPRA).
    2. El Cliente no deberá ordenar a BigID que procese o divulgue Datos Personales salvo lo establecido para el propósito comercial explícito de realizar los servicios descritos en el Acuerdo, el DPA y según lo acordado de otro modo entre las Partes.
    3. BigID no “venderá” (según lo definido en las Leyes de Protección de Datos de EE. UU.) ni “compartirá” (según lo definido por la CPRA) Datos Personales proporcionados a BigID en el rol de BigID como Procesador.
    4. Salvo que las Leyes de Protección de Datos de EE. UU. lo requieran o lo permitan, BigID no divulgará, revelará, difundirá, pondrá a disposición, transferirá ni comunicará de otro modo Datos Personales a ningún tercero, excepto a los Subprocesadores de BigID que estén sujetos a términos consistentes con los establecidos en este DPA.

3. Derechos de los interesados

  1. Solicitud del interesadoBigID deberá, en la medida legalmente permitida, notificar de inmediato al Cliente si BigID recibe específicamente una solicitud de un Titular de Datos con respecto a Datos Personales para ejercer su derecho de acceso, derecho de rectificación, restricción del Procesamiento, supresión ("derecho al olvido"), portabilidad de datos, oposición al Procesamiento o su derecho a no estar sujeto a una toma de decisiones individual automatizada, siendo cada solicitud una "Solicitud del interesadoTeniendo en cuenta la naturaleza del Tratamiento, BigID asistirá al Cliente con las medidas técnicas y organizativas adecuadas, en la medida de lo posible, para el cumplimiento de su obligación de responder a una Solicitud del Titular de los Datos según el RGPD y las Leyes de Protección de Datos de EE. UU. Además, si el Cliente, al usar el Software o los Servicios, no puede atender una Solicitud del Titular de los Datos, BigID, a petición del Cliente, realizará esfuerzos comercialmente razonables para ayudarle a responder a dicha Solicitud, siempre que BigID esté legalmente autorizado a hacerlo y la respuesta a dicha Solicitud del Titular de los Datos sea requerida por el RGPD y las Leyes de Protección de Datos de EE. UU. En la medida legalmente permitida, el Cliente será responsable de cualquier coste derivado de la prestación de dicha asistencia por parte de BigID.

4. Disposiciones específicas europeas

  1. ConformidadBigID, como Encargado del Tratamiento, ha cumplido y seguirá cumpliendo con todas las leyes aplicables en materia de privacidad y protección de datos, incluyendo, entre otras, la [Legislación de Protección de Datos de la UE]. El Cliente, como Responsable del Tratamiento, será responsable de garantizar que, en relación con los Datos Personales y la prestación del Software y los Servicios al Cliente:
    1. Ha cumplido y continuará cumpliendo con todas las leyes de privacidad y protección de datos aplicables, incluido el RGPD; y
    2. Tiene y seguirá teniendo el derecho de transferir o proporcionar acceso a los Datos Personales a BigID para su procesamiento de conformidad con los términos del Acuerdo, incluido este DPA.
  2. Evaluación de impacto de la protección de datosA petición del Cliente, BigID le brindará la cooperación y asistencia razonables necesarias para cumplir con su obligación, según el RGPD, de realizar una evaluación de impacto de la protección de datos relacionada con el uso del Software y los Servicios, siempre que el Cliente no tenga acceso a la información pertinente y BigID disponga de dicha información. BigID le brindará asistencia razonable en la cooperación o consulta previa con una Autoridad de Control en el desempeño de sus funciones en relación con la Sección 4.2 del presente DPA, en la medida en que lo exija el RGPD.
  3. Seguridad del clienteA solicitud del Cliente, BigID le brindará la cooperación y asistencia razonables necesarias para cumplir con sus obligaciones de seguridad según el RGPD y las Leyes de Protección de Datos de EE. UU.
  4. Autoridades supervisorasBigID deberá, en la medida legalmente permitida, notificar al Cliente sin demora indebida si una Autoridad de Supervisión o autoridad policial realiza alguna consulta o solicitud de divulgación con respecto a Datos Personales.
  5. Entrada en las Cláusulas Contractuales Tipo: Las Cláusulas Contractuales Tipo y los términos adicionales especificados en esta Sección se incorporan a este DPA por referencia y se aplican a las transferencias de Datos Personales a BigID desde (i) el Cliente, si está sujeto a las leyes y normativas de protección de datos de Europa, y (ii) sus Afiliados Europeos Autorizados. En la medida en que dicha transferencia de Datos Personales sea:
    1. sujeto al RGPD del Reino Unido y no al RGPD de la UE, las Cláusulas Contractuales Estándar se modificarán de acuerdo con el Anexo del Reino Unido, o
    2. sujeto tanto al RGPD del Reino Unido como al RGPD de la UE, BigID y el Cliente deberán cumplir con las Cláusulas Contractuales Estándar (a) tal como están y (b) de forma paralela, según lo modificado por el Anexo del Reino Unido, pero solo en la medida en que la transferencia de Datos Personales esté sujeta al RGPD del Reino Unido y sin perjuicio de sus obligaciones bajo las Cláusulas Contractuales Estándar.

A los efectos de las Cláusulas Contractuales Estándar (incluido el Anexo del Reino Unido, cuando corresponda), el Cliente y cualquier Afiliado Europeo Autorizado serán considerados “exportadores de datos”, y BigID será considerado el “importador de datos”.

5. Personal de BigID

  1. ConfidencialidadBigID garantizará que su personal involucrado en el procesamiento de datos personales esté informado de la naturaleza sensible de dichos datos, haya recibido la capacitación adecuada sobre sus responsabilidades y haya firmado acuerdos de confidencialidad por escrito.
  2. FiabilidadBigID tomará medidas comercialmente razonables para garantizar la confiabilidad de cualquier personal de BigID involucrado en el procesamiento de datos personales.
  3. Limitación de accesoBigID garantizará que su acceso a los Datos Personales se limite al personal que proporciona el Software y presta los Servicios de conformidad con el Acuerdo.
  4. Delegado de Protección de DatosBigID tiene una entidad establecida en la UE, donde se puede contactar con un representante de la UE en [email protected].

6.Subprocesamiento

  1. Subprocesadores. El Cliente reconoce y acepta que BigID puede contratar subencargados del tratamiento de datos en relación con la prestación del Software y los Servicios en nombre del Cliente. Los subencargados del tratamiento de datos actualmente contratados por BigID y autorizados por el Cliente se enumeran en https://bigid.com/sub-processors/ (“Lista de subprocesadores”), que incluirá la identidad y los datos de dichos subencargados. BigID: (i) celebrará un acuerdo por escrito con cada subencargado, que impondrá condiciones de protección de datos que le exigirán proteger los Datos Personales del Cliente según el estándar exigido por las Leyes de Protección de Datos Aplicables y con la misma protección que las estipuladas en este Acuerdo en lo que respecta a la protección de Datos Personales, en la medida que corresponda a la naturaleza de los servicios prestados por dicho subencargado; y (ii) será responsable ante el Cliente del cumplimiento de las obligaciones de protección de datos de dicho subencargado en virtud de dichas condiciones.
  2. Cambios en los subprocesadoresPeriódicamente, BigID podría necesitar añadir o modificar nuestra Lista de Subencargados del Tratamiento. El Cliente podrá oponerse al nombramiento de un Subencargado adicional dentro de los quince (15) días naturales siguientes a dicha notificación, por motivos razonables relacionados con el Tratamiento de Datos Personales. En tal caso, BigID tendrá derecho a subsanar la objeción mediante una de las siguientes opciones (a su entera discreción): (a) BigID cancelará sus planes de contratar al Subencargado del Tratamiento de Datos Personales u ofrecerá una alternativa para proporcionar el Software y los Servicios sin dicho Subencargado; o (b) BigID adoptará las medidas correctivas solicitadas por el Cliente en su objeción (que desestimarán su objeción) y procederá a contratar al Subencargado del Tratamiento de Datos Personales. o (c) si ninguna de las opciones anteriores está razonablemente disponible y la objeción no se ha resuelto a satisfacción mutua razonable de las partes dentro de un período de treinta (30) días calendario después de que BigID reciba la objeción del Cliente, cualquiera de las partes puede rescindir el Acuerdo y el Cliente tendrá derecho a un reembolso prorrateado de las tarifas prepagas por el Software y los Servicios no prestados a la fecha de terminación.
  3. Reemplazo de emergenciaBigID podrá sustituir a un subencargado del tratamiento si la necesidad del cambio es urgente y necesaria para la prestación del Software y los Servicios, y el motivo del cambio escapa al control razonable de BigID. En tal caso, BigID actualizará la Lista de Subencargados del tratamiento en línea tan pronto como sea razonablemente posible, y el Cliente se reserva el derecho a oponerse al subencargado del tratamiento de conformidad con la Sección 6.3 anterior.
  4. ResponsabilidadBigID será responsable de los actos y omisiones de sus Subprocesadores en la misma medida en que BigID sería responsable si prestara los servicios de cada Subprocesador directamente según los términos de este DPA, salvo que se establezca lo contrario en el Acuerdo.

7.Seguridad

  1. Controles para la Protección de Datos PersonalesBigID realizará esfuerzos comercialmente razonables para proteger los Datos Personales contra cualquier Incidente de Seguridad y mantendrá un programa de seguridad de la información que incluya medidas administrativas, físicas y técnicas diseñadas para garantizar un nivel de seguridad adecuado al riesgo asociado con la actividad de Procesamiento, incluyendo (según corresponda) las medidas mencionadas en el Artículo 32 del RGPD.
  2. Confidencialidad del TratamientoBigID garantizará que cualquier persona que autorice a procesar los Datos Personales (incluido su personal, agentes, subcontratistas y subprocesadores) esté sujeta a un deber de confidencialidad que sobrevivirá a la terminación de su empleo y/o relación contractual.
  3. Incidente de seguridadAl tener conocimiento de un Incidente de Seguridad, BigID notificará al Cliente sin demora indebida y de conformidad con los términos del Acuerdo, pero en un plazo máximo de setenta y dos (72) horas, y le proporcionará la información oportuna que razonablemente necesite para que pueda cumplir con sus obligaciones de informar sobre filtraciones de datos según la legislación aplicable. BigID tomará las medidas necesarias para investigar y remediar de inmediato la causa de dicho Incidente de Seguridad. BigID pondrá a disposición del Cliente toda la información que razonablemente necesite para demostrar su cumplimiento con las obligaciones del Cliente en virtud del RGPD y las Leyes de Protección de Datos de EE. UU.
  4. Certificaciones y auditorías de terceros. A pedido escrito del Cliente en intervalos razonables, y sujeto a las obligaciones de confidencialidad establecidas en el Acuerdo, BigID responderá a la evaluación de riesgo razonable de terceros del Cliente y pondrá a disposición de un Cliente que no sea un competidor de BigID (o de un auditor externo independiente del Cliente que no sea un competidor de BigID) una copia de las auditorías o certificaciones de terceros más recientes de BigID, según corresponda, para demostrar su cumplimiento con este DPA.
  5. Eliminación de datosTras la rescisión o vencimiento del Acuerdo, BigID, de acuerdo con los términos del Acuerdo y a solicitud del Cliente, eliminará todos los Datos Personales relevantes en su posesión, salvo en la medida en que la legislación aplicable le exija conservar parte o la totalidad de dichos Datos Personales. Si el Cliente decide que BigID conserve parte o la totalidad de sus Datos Personales, BigID extenderá la protección del Acuerdo y de este DPA a dichos Datos Personales y limitará cualquier Tratamiento posterior de los mismos únicamente a los fines que requieran su conservación, mientras BigID los conserve. Si el Cliente se encuentra en la Unión Europea, las referencias a la legislación en esta sección 7.5 se limitarán a las leyes de la Unión Europea o de un Estado miembro de la Unión Europea.

8.Varios

  1. Salvo que se modifique mediante este DPA, el Acuerdo permanecerá en pleno vigor y efecto.
  2. Si existe un conflicto entre el Acuerdo y este DPA, prevalecerán los términos de este DPA.
  3. Cualquier reclamación presentada bajo este DPA estará sujeta a los términos y condiciones del Acuerdo, incluidas, entre otras, las exclusiones y limitaciones incluidas en el mismo.
  4. El presente DPA comienza en la fecha y permanecerá vigente hasta su vencimiento o terminación, momento en el cual finalizará automáticamente.

ANEXO 1 – DETALLES DEL TRATAMIENTO

Naturaleza y finalidad del tratamiento

BigID (y cualquier subencargado del tratamiento que contrate) tratará los datos personales según sea necesario para proporcionar el software y prestar los servicios de conformidad con el Acuerdo y según las instrucciones adicionales del cliente para el uso del software y los servicios. Esto incluye:

  1. Proporcionar el software y los servicios al cliente.
  2. Para que el Cliente pueda utilizar el Software y los Servicios, incluido cualquier Procesamiento iniciado por los Usuarios del Cliente en su uso del Software y los Servicios.
  3. Cumplir con las instrucciones razonables documentadas proporcionadas por el Cliente (por ejemplo, por correo electrónico) cuando dichas instrucciones sean consistentes con los términos del Acuerdo.
  4. Ejecutar el Acuerdo y las Órdenes aplicables, este DPA y/u otros contratos celebrados por las Partes.
  5. Proporcionar soporte y mantenimiento técnico, si así se pacta en el Contrato.
  6. Resolución de disputas.
  7. Hacer cumplir el Acuerdo, este DPA y/o defender los derechos de BigID.
  8. Gestión del Contrato, del DPA y/o de otros contratos celebrados por las Partes, incluyendo pago de honorarios, administración de cuentas, contabilidad, impuestos, gestión, litigios.
  9. Cumplir con las leyes y regulaciones aplicables, incluida la cooperación con las autoridades fiscales locales y extranjeras, la prevención del fraude, el lavado de dinero y el financiamiento del terrorismo.
  10. Todas las tareas relacionadas con cualquiera de los anteriores.

Duración y frecuencia del Tratamiento, y periodo durante el cual se conservarán los Datos Personales

Sujeto a la Sección 7.5 del DPA, BigID procesará Datos Personales de manera continua durante la duración del Acuerdo, a menos que se acuerde lo contrario por escrito.

Categorías de interesados

El Cliente puede enviar Datos Personales al Software y los Servicios, cuyo alcance es determinado y controlado por el Cliente a su exclusivo criterio, y que puede incluir, pero no está limitado a, Datos Personales relacionados con las siguientes categorías de interesados:

  • Usuarios finales o consumidores y/o clientes del cliente
  • Usuarios del Cliente autorizados por el Cliente para utilizar el Software y los Servicios
  • Prospectos, Clientes, socios comerciales y proveedores del Cliente (que son personas físicas)
  • Empleados, agentes, asesores, proveedores, trabajadores autónomos de los Clientes (que sean personas físicas) o personas de contacto de clientes potenciales, clientes, socios comerciales y proveedores del Cliente
  • Empleados, agentes, asesores, autónomos del Cliente (que sean personas físicas)

Tipo de datos personales

El Cliente puede enviar Datos Personales al Software y los Servicios, cuyo alcance es determinado y controlado por el Cliente a su exclusivo criterio, y que puede incluir, pero no está limitado a, las siguientes categorías de Datos Personales:

  • Nombre y apellido
  • Título
  • Posición
  • Empleador
  • Información de contacto (correo electrónico, teléfono, dirección física)
  • Datos de identificación
  • Datos de vida profesional
  • Datos de vida personal
  • Datos de localización

ANEXO 2 – INFORMACIÓN SOBRE TRANSFERENCIAS INTERNACIONALES

Cuándo se aplican las Cláusulas Contractuales Tipo:

  • El Anexo IA se completa con los nombres, direcciones y personas de contacto de las partes según lo establecido en el Acuerdo.
  • Se considerarán insertadas las firmas de cada parte y la fecha del Acuerdo.
  • El rol del Cliente se especifica como “controlador” y el rol del BigID se especifica como “procesador”.
  • El Anexo IB se completa con la información establecida en el Anexo 1 de este DPA, así como los detalles de las restricciones y salvaguardas establecidas en el Anexo 3 de este DPA que, tomando en consideración la naturaleza de los datos y los riesgos involucrados, se aplican a todos los Datos Personales transferidos, incluidos los datos sensibles.
  • El Anexo II se completa con el detalle de las medidas técnicas y organizativas establecidas en el Anexo 3 del presente DPA.
  • El Anexo IC se completa de la siguiente manera:
    • Cuando el procesamiento de datos personales por parte del Cliente no está dentro del ámbito de aplicación del RGPD de la UE, la Oficina del Comisionado de Información del Reino Unido se inserta como la autoridad de supervisión competente, según el Anexo del Reino Unido.
    • Cuando el procesamiento de los Datos Personales por parte del Cliente esté dentro del ámbito de aplicación del RGPD de la UE, la autoridad de supervisión competente será (i) la autoridad de supervisión del estado miembro de la UE en el que el Cliente esté establecido, o (ii) (si el Cliente no está establecido en la UE) el estado miembro de la UE en el que el Cliente haya designado a su representante en la UE, o (iii) (si el Cliente no está establecido en la UE y no ha designado un representante en la UE) la Comisión Irlandesa de Protección de Datos.
  • Se elimina la opción 1 de la cláusula 9(a) y el plazo aplicable será el establecido en las secciones 6.3 y 6.4 anteriores. La «lista acordada» a la que se refiere esta disposición será la lista de subencargados del tratamiento a la que se refiere la sección 6.2 del presente DPA.
  • Se suprime el texto opcional del apartado 11(a).
  • Se suprime la opción 2 de la cláusula 17 y:
    • cuando el procesamiento de los Datos Personales por parte del Cliente no esté dentro del ámbito de aplicación del RGPD de la UE, la ley aplicable será la de Inglaterra y Gales; pero
    • cuando el procesamiento de los Datos Personales por parte del Cliente esté dentro del ámbito de aplicación del RGPD de la UE, la ley aplicable será la ley de la República de Irlanda.
  • La cláusula 18(b) se completa de la siguiente manera:
    • Cuando el procesamiento de los Datos Personales por parte del Cliente no esté dentro del ámbito de aplicación del RGPD de la UE, con las palabras “Inglaterra y Gales”; o
    • Cuando el procesamiento de los Datos Personales por parte del Cliente esté dentro del ámbito de aplicación del RGPD de la UE, con las palabras “la República de Irlanda”.

Cuando se aplique la Adenda del Reino Unido, además de la información relacionada con las Cláusulas Contractuales Estándar establecidas en este Anexo anterior:

  • La Tabla 1 se completa con la fecha de inicio del Acuerdo, y el nombre legal y comercial, la dirección principal, el número de registro oficial, el nombre del contacto clave, el cargo y los datos de contacto (incluida la dirección de correo electrónico) de las Partes, según lo establecido en el Acuerdo. Las firmas de cada parte se consideran incluidas en el Acuerdo principal.
  • Las Tablas 2 y 3 se completan con la información sobre las Cláusulas Contractuales Tipo establecidas en este Anexo, aplicables en lo pertinente a una transferencia de conformidad con la Cláusula 4.5 del presente DPA. Se selecciona la primera opción de la Tabla 2, y dicha tabla se completa con la fecha del Acuerdo.
  • La Tabla 4 se completa para que cualquiera de las Partes pueda finalizar el Anexo del Reino Unido si la Oficina del Comisionado de Información del Reino Unido modifica el Anexo del Reino Unido, y las Partes acuerdan que una vez que el Anexo del Reino Unido haya finalizado, el Cliente ya no transferirá datos personales sujetos al RGPD del Reino Unido a BigID según el Acuerdo y este DPA a menos que se haya implementado una salvaguarda de transferencia alternativa a satisfacción razonable de BigID.

ANEXO 3 – MEDIDAS DE SEGURIDAD

I. DEFINICIONES; APLICABILIDAD

Este Anexo 3, Medidas de Seguridad (“Medidas de seguridad”), se incorpora por referencia y forma parte del Acuerdo de procesamiento de datos (“DPA”). Todos los términos en mayúsculas no definidos en estas Medidas de Seguridad ni en el DPA tendrán el significado establecido en el Acuerdo. El Cliente reconoce y acepta que estas Medidas de Seguridad pueden utilizarse para una implementación de software local de BigID o una implementación de software alojado en BigID; sin embargo, en caso de una implementación de software local de BigID, solo se aplicarán las Secciones 2 (“Certificaciones y auditorías de seguridad”), 3 (“Capacitación en seguridad, obligaciones de confidencialidad y verificación de antecedentes”) y 12 (“Prácticas de codificación segura”) del Artículo III de estas Medidas de Seguridad.

  • “Software alojado” significa el software y los servicios de BigID puestos a disposición del Cliente para su acceso y uso a pedido a través de Internet.

II. CONTROLES DE SEGURIDAD DE DATOS DEL PROVEEDOR DE LA NUBE

BigID utiliza un subprocesador para proporcionar el entorno de infraestructura para ejecutar el software alojado (el “Proveedor de la nube”). En consecuencia, el software alojado opera dentro del marco de seguridad del proveedor de la nube.. BigID se reserva el derecho a cambiar de Proveedor de Nube según los términos del DPA y el Acuerdo, o a cambiarse a un centro de datos operado por BigID o su filial; siempre que las medidas de seguridad de los datos sean, como mínimo, conformes a los estándares vigentes del sector y que las disposiciones de estas Medidas de Seguridad no se vean significativamente afectadas. Las certificaciones de seguridad actuales de los Proveedores de Nube incluyen las normas ISO 27001 y SOC2, que podrán ser modificadas ocasionalmente por el Proveedor de Nube o si BigID cambia de Proveedor de Nube. Como parte del proceso para obtener y mantener estas certificaciones, el Proveedor de Nube ha implementado numerosos procedimientos, entre ellos: (a) verificación de antecedentes del personal y formación en seguridad; (b) medidas de control de acceso físico y lógico; (c) planes de respuesta a incidentes; y (d) planes de recuperación ante desastres y continuidad del negocio.

1. INFORMACIÓN GENERAL

Si bien ninguna empresa puede prevenir todos los posibles ataques informáticos u otras conductas delictivas, BigID mantiene un programa de seguridad con medidas administrativas, físicas y técnicas, junto con el programa de seguridad del proveedor de la nube y las certificaciones de seguridad, que está diseñado para salvaguardar los datos personales contra cualquier incidente de seguridad y garantizar un nivel de seguridad apropiado al riesgo asociado con la actividad de procesamiento.

Sin limitar lo anterior, el programa de seguridad de BigID, que se suma al programa de seguridad del proveedor de la nube, actualmente incluye los elementos descritos en las Secciones 2 a 17 a continuación.

2. CERTIFICACIONES Y AUDITORÍAS DE SEGURIDAD
BigID mantendrá un certificado emitido por una autoridad de certificación externa de prestigio que acredite su cumplimiento con la norma ISO/IEC 27001:2013 o cualquier norma posterior. BigID también obtendrá y mantendrá un informe de auditoría SSAE18 SOC 2, Tipo II, que cubra cualquier sistema o proceso utilizado en el Tratamiento de Datos Personales, así como cualquier sistema que pueda suponer un riesgo para dichos sistemas y procesos. Tras recibir solicitudes por escrito del Cliente, hasta una vez al año, BigID proporcionará inmediatamente una copia de su certificación ISO o resumen de auditoría de terceros más reciente, o del informe de auditoría SSAE18 SOC 2, Tipo II, o de cualquier atestación o resumen de prueba de penetración reciente de terceros.

3. CAPACITACIÓN EN SEGURIDAD, OBLIGACIONES DE CONFIDENCIALIDAD Y VERIFICACIÓN DE ANTECEDENTES
BigID proporciona un programa obligatorio de capacitación y concientización sobre seguridad y privacidad para todos los empleados y contratistas de BigID (excepto los subprocesadores) que puedan tener acceso a datos personales en el desempeño de sus servicios (colectivamente, “Trabajadores con accesoTodos los Trabajadores con Acceso también están sujetos a las obligaciones de confidencialidad establecidas en el Acuerdo. Además, BigID realiza verificaciones de antecedentes, de acuerdo con las prácticas vigentes para empresas similares, en relación con la contratación de todos los Trabajadores con Acceso. BigID no contratará ni contratará a ningún Trabajador con Acceso si la verificación de antecedentes muestra que la persona fue condenada por un delito de robo, deshonestidad, fraude o delitos informáticos; sin embargo, los compromisos de BigID con respecto a las verificaciones de antecedentes están sujetos en todo momento a la legislación aplicable a dichas verificaciones.

4. PROGRAMAS DE CIFRADO

  • Política de cifrado.  BigID tiene una política de criptografía de seguridad documentada que dicta el uso del cifrado, los estándares de cifrado aplicables y la fortaleza del cifrado.
  • Cifrado en tránsito.  Cifrado en tránsito utilizando tecnología de cifrado estándar (por ejemplo, Seguridad de la capa de transporte (TLS), IPSec y SMB).
  • Cifrado en reposo.  Todos los datos personales en reposo se cifran mediante el cifrado simétrico estándar de la industria.

5. SERVICIOS ANTIMALWARE
BigID aprovecha servicios de programas antimalware de terceros diseñados para proteger contra el malware que afecta los servicios y funciones del sistema, como se describe a continuación:

  • BigID proporciona, respalda y mantiene un servicio antimalware que brinda protección en tiempo de ejecución contra ejecutables maliciosos.

6. SEGURIDAD FÍSICA
BigID realizará esfuerzos comercialmente razonables para confirmar que el proveedor de la nube mantiene controles de seguridad de acceso físico para el centro de datos, incluidas capas de seguridad de defensa en profundidad que incluyen cercas perimetrales, cámaras de video, personal de seguridad, entradas seguras y redes de comunicaciones en tiempo real.

7. ELIMINACIÓN DE DATOS
Tras la rescisión o vencimiento del Acuerdo, BigID eliminará, a solicitud del Cliente, todos los Datos Personales relevantes que estén en su posesión, de conformidad con los términos del DPA y del Acuerdo; no obstante, BigID podrá conservar copias de los Datos del Cliente de conformidad con lo dispuesto en el mismo. La eliminación implica que los Datos Personales se vuelven inaccesibles, indescifrables o irrecuperables.

8. OTROS CONTROLES DE ACCESO
Como se describe con más detalle en la Sección 9 (“Política de Control de Acceso y Gestión de Contraseñas”), BigID cuenta con políticas, procedimientos y controles lógicos diseñados para limitar el acceso al Software Alojado al personal debidamente autorizado según la necesidad, para evitar que el personal que no debería tener acceso lo obtenga y para retirar el acceso al personal oportunamente en caso de un cambio en las responsabilidades o la situación laboral. Para los Trabajadores con Acceso, los procedimientos operativos estándar de BigID limitan aún más dicho acceso a la resolución de problemas con los componentes del sistema en lugar de a la visualización de Datos Personales (excepto en situaciones en las que la visualización incidental de Datos Personales pueda ser necesaria para resolver un problema o responder a una solicitud del Cliente).

9. POLÍTICA DE CONTROL DE ACCESO Y GESTIÓN DE CONTRASEÑAS

  • Requisitos generales de contraseña. BigID cuenta con una Política de Control de Acceso y Gestión de Contraseñas, así como con un sistema automatizado de gestión de contraseñas para garantizar el cumplimiento de sus requisitos. Esta política abarca todos los sistemas, aplicaciones y bases de datos aplicables. Existen diferentes tipos de uso de contraseñas en los entornos empresariales y de software alojado de BigID, como se detalla a continuación. Se implementan las prácticas de contraseñas estándar vigentes en la industria para proteger contra el uso no autorizado de las contraseñas, incluyendo: (a) longitud mínima de la contraseña; (b) complejidad de la contraseña; (c) historial de contraseñas; (d) bloqueo de contraseñas para intentos fallidos de acceso; y (e) contraseñas iniciales generadas aleatoriamente.
  • Gestión de identidades y contraseñas de BigID Enterprise. La empresa BigID utiliza un servicio de autenticación multifactor de inicio de sesión único para autenticar a todas las personas de la organización y para autenticar el acceso a los sistemas que respaldan y operan el software alojado (el “Back-End”).
    • Acceso front-end. BigID emplea los siguientes métodos con respecto al acceso a la interfaz de usuario (el “Front-End”):
      • El Cliente controla los inicios de sesión front-end en su Geo mediante un sistema de gestión de contraseñas que utiliza el proveedor de autenticación de usuarios, por ejemplo, Active Directory. El Cliente controla las políticas de contraseñas front-end para sus Usuarios Autorizados y puede elegir entre cualquier proveedor de autenticación compatible con el Software Alojado, incluyendo requisitos de longitud, caducidad, reutilización y complejidad, así como opciones de bloqueo y restablecimiento.
      • BigID admite la integración con su servicio de autenticación multifactor de inicio de sesión único para que los clientes restrinjan el acceso a través del front-end.
    • Acceso back-end. BigID emplea los siguientes métodos con respecto al acceso al Back-End:
      • Todas las conexiones a los recursos de back-end se gestionan mediante una solución de gestión de acceso privilegiado, que registra el ID de usuario único que creó las conexiones. Solo miembros específicos de BigID pueden acceder a las cuentas de back-end a través de la solución de gestión de acceso privilegiado, y todo acceso a esta solución requiere autenticación mediante un servicio de autenticación multifactor de inicio de sesión único.

10. PLANES DE RECUPERACIÓN ANTE DESASTRES Y CONTINUIDAD DEL NEGOCIO

El proveedor de la nube y BigID cuentan con planes de recuperación ante desastres y continuidad del negocio. Estos planes incluyen un centro de datos de respaldo independiente y un marco formal para gestionar cualquier evento imprevisto y minimizar la pérdida de recursos vitales. El marco formal incluye una política de respaldo definida y los procedimientos asociados, incluyendo políticas y procedimientos documentados diseñados para: (a) restaurar aplicaciones y sistemas operativos; y (b) demostrar la realización de pruebas periódicas de restauración desde la ubicación de respaldo. Si BigID realiza copias de seguridad en cinta u otros medios extraíbles, todas ellas deberán estar cifradas de acuerdo con los requisitos de cifrado establecidos anteriormente.

11. RESPONSABILIDAD DE SEGURIDAD ASIGNADA
BigID asigna la responsabilidad del desarrollo, la implementación y el mantenimiento de su programa de seguridad, que incluye:

  • designar a un funcionario de seguridad con responsabilidad general;
  • definir roles de seguridad para personas con responsabilidades de seguridad; y
  • realizar evaluaciones de riesgos de BigID y del software alojado al menos una vez al año y siempre que se produzcan cambios importantes en los sistemas o procesos.

12. PRÁCTICAS DE CODIFICACIÓN SEGURA
Todo el personal desarrollador de BigID debe realizar un curso de concientización sobre seguridad y codificación segura, y los estándares de codificación de BigID tienen un sólido componente de seguridad. Entre otras cosas, las Pautas de Referencia Rápida de Prácticas de Codificación Segura de OWASP están integradas en los estándares de codificación de BigID. Los equipos de ingeniería y seguridad revisan y mantienen los estándares de codificación anualmente para mantenerse actualizados y aplicar los estándares vigentes. Los cambios estándar en el código fuente de producción se someten a un flujo de trabajo de solicitud de extracción para garantizar la revisión por pares de la calidad del código y el cumplimiento de los estándares de codificación. Cada confirmación en una base de código de BigID requiere la aprobación de otro ingeniero. El aprobador revisa el cumplimiento de los estándares de codificación de BigID antes de aceptar cualquier cambio de código. Para las nuevas funcionalidades, se requiere completar un proceso de revisión estructurado con el equipo de seguridad de BigID. Durante este proceso, cada proyecto recibe una calificación de riesgo basada en criterios de clasificación de riesgo. Cuanto mayor sea la calificación de riesgo, mayor será el escrutinio de seguridad al que estará sujeto el proyecto durante su ciclo de vida.

13. PRUEBAS DE SEGURIDAD
BigID prueba periódicamente los controles, sistemas y procedimientos clave de su programa de seguridad para validar su correcta implementación y eficacia a la hora de abordar las amenazas y riesgos identificados. Las pruebas actuales incluyen:

  • Evaluaciones de riesgos internos
  • Utilización de especialistas en seguridad interna o de un tercero para realizar evaluaciones de seguridad a nivel de aplicación web. Estas evaluaciones generalmente evalúan el Top 10 de OWASP, que puede incluir lo siguiente:
    • Falsificación de solicitud entre sitios;
    • Manejo inadecuado de entrada (por ejemplo, secuencias de comandos entre sitios, inyección de SQL, inyección de XML, actualización entre sitios);
    • Ataques XML y SOAP;
    • Gestión de sesiones débil;
    • Defectos de validación de datos e inconsistencias en las restricciones del modelo de datos;
    • Autenticación insuficiente;
    • Autorización insuficiente;
    • Pruebas de penetración de aplicaciones web:
      • Durante las pruebas de penetración de aplicaciones web, un equipo especializado en estas pruebas busca posibles problemas de seguridad, como XSS, falsificación de solicitudes entre sitios (CSR), problemas de autenticación y de autorización. BigID utiliza pruebas estándar de la industria junto con pruebas especializadas, a veces personalizadas para nuevas funciones. El equipo también utiliza otras técnicas basadas en su amplia experiencia y conocimiento del software alojado.
      • Anualmente, BigID contrata a una empresa de pruebas de penetración externa para realizar una prueba exhaustiva que cubra la funcionalidad del software alojado, incluidas pruebas estándar de la industria como las de OWASP y pruebas adicionales que la empresa de pruebas de penetración considere necesarias a medida que explora la aplicación; y
      • A pedido del Cliente, BigID le proporcionará una carta de certificación de prueba de penetración anual.

14. MONITOREO DE SEGURIDAD Y ANÁLISIS DE VULNERABILIDADES AUTOMATIZADOS
BigID monitoriza la red y los sistemas de producción, incluyendo los registros de errores en servidores, discos y eventos de seguridad para detectar cualquier actividad sospechosa o maliciosa. La monitorización generalmente incluye:

  • Organizar análisis automatizados de vulnerabilidades de cualquier activo implementado en el Software Alojado, que se realizarán periódicamente para identificar, mitigar o remediar cualquier vulnerabilidad. Los activos incluyen servidores, aplicaciones y, si corresponde, endpoints y dispositivos de red.
  • Suscribirse a servicios de inteligencia sobre vulnerabilidades o a avisos de seguridad de la información y otras fuentes relevantes que proporcionen información actualizada sobre las vulnerabilidades del sistema.
  • Revisar los cambios que afectan a los sistemas que manejan la autenticación, autorización y auditoría.
  • Es adecuado revisar el acceso privilegiado del back-end al software alojado para validar dicho acceso.
  • Contratar a terceros para realizar evaluaciones de vulnerabilidad de red y pruebas de penetración anualmente.
  • Mantenimiento de registros de eventos estándar de la industria para servidores, aplicaciones y equipos de red, con el fin de facilitar la gestión de incidentes y eventos de seguridad. BigID conserva estos registros durante al menos un (1) año.
  • Clasificar vulnerabilidades de acuerdo con metodologías de clasificación de riesgos estándar de la industria (por ejemplo, el Sistema de Puntuación de Vulnerabilidades Comunes, OWASP o NIST).
  • Mitigar y/o remediar vulnerabilidades en la infraestructura del Software Alojado o aplicaciones que pudieran permitir acceso directo no autorizado a Datos Personales, ya sea aplicando un parche disponible o tomando otras acciones razonables en los siguientes plazos:

15. GESTIÓN DE CAMBIOS Y CONFIGURACIÓN
BigID mantiene políticas y procedimientos para gestionar los cambios en el Software Alojado. Estas políticas y procedimientos incluyen:

  • un proceso para documentar, probar y aprobar la promoción de cambios en producción; y
  • un proceso de aplicación de parches de seguridad que requiere aplicar parches a los sistemas de manera oportuna basándose en un análisis de riesgos.

16. RESPUESTAS A INCIDENTES DE SEGURIDAD

  • Equipo de Operaciones Cibernéticas. BigID cuenta con un Equipo de Operaciones Cibernéticas que: (a) puede reunirse con poca antelación para abordar cualquier incidente; y (b) se centra en el desarrollo y la mejora continua de los procedimientos a seguir en caso de cualquier Incidente de Seguridad que involucre Datos Personales o cualquier Incidente de Seguridad que involucre cualquier aplicación o sistema directamente relacionado con el Tratamiento de Datos Personales. Los procedimientos actuales incluyen:
    • Roles y responsabilidades: El equipo cibernético de BigID actuará en coordinación con recursos de seguridad e ingeniería adicionales durante todo el proceso de respuesta a incidentes;
    • Investigación: evaluar el riesgo que supone el incidente y determinar quién puede verse afectado de conformidad con la DPA;
    • Comunicación: informes internos, así como el proceso de notificación de incidentes de seguridad establecido en el DPA y a continuación;
    • Mantenimiento de registros: mantener un registro permanente de lo que se hizo y quién lo hizo para facilitar el análisis posterior de conformidad con la DPA; y
    • Auditoría: realizar y documentar análisis de causa raíz y planes de remediación de acuerdo con la DPA.
  • Respuesta a incidentes de seguridad
    • Notificación de un incidente de seguridad.  A menos que la notificación se demore o esté prohibida por la Ley Aplicable o por las acciones o demandas de una agencia de cumplimiento de la ley, BigID informará sobre un Incidente de Seguridad al contacto de seguridad del Cliente designado para BigID de conformidad con el DPA y el Acuerdo.
    • Respuesta de BigID. BigID tomará las medidas razonables para mitigar con prontitud la causa de cualquier Incidente de Seguridad, implementará el protocolo de monitoreo apropiado e identificará las circunstancias que permitieron que ocurriera el Incidente de Seguridad para facilitar la prevención de futuros Incidentes de Seguridad similares (a menos que el Incidente de Seguridad haya sido causado por actos u omisiones del Cliente o de cualquiera de sus Usuarios Autorizados, en cuyo caso el Cliente deberá tomar dichas medidas). BigID podrá colaborar con investigadores forenses, bufetes de abogados y agencias del orden público para ayudar a determinar la naturaleza, el alcance y el origen de cualquier Incidente de Seguridad y podrá divulgar los registros de seguridad, registros de seguridad y otra información que BigID considere apropiada o esté obligada a divulgar según la Ley Aplicable; siempre que cualquier divulgación de Datos del Cliente requiera el consentimiento previo por escrito del Cliente en la medida permitida por la Ley Aplicable, excepto si BigID se arriesga a multas, sanciones u otras sanciones o responsabilidades (o a un aumento de las multas, sanciones u otras sanciones o responsabilidades) por retener la información. Si BigID hace alguna declaración sobre un incidente de seguridad sin la aprobación del Cliente, BigID no revelará que el Cliente o los Datos del Cliente estuvieron involucrados, a menos que dicha divulgación sea requerida por la Ley Aplicable.
    • Cooperación con el cliente. A solicitud del Cliente, BigID cooperará con el Cliente (y con sus reguladores y aseguradoras) para investigar el Incidente de Seguridad e identificar los Datos del Cliente involucrados (sin costo alguno, excepto en la medida en que el Incidente de Seguridad haya sido causado o contribuido por actos u omisiones del Cliente o sus Usuarios Autorizados). Salvo que la Ley Aplicable lo prohíba, BigID: (a) proporcionará información sobre la naturaleza y las consecuencias del Incidente de Seguridad a medida que dicha información se recopile o esté disponible para BigID; y (b) ayudará razonablemente al Cliente a notificar a las personas afectadas, agencias gubernamentales, reguladores y/o agencias de crédito; siempre que las partes acuerden que el Cliente es el único responsable de determinar si debe notificar a los propietarios afectados de los Datos del Cliente y si es necesario notificar a los organismos reguladores o comisiones de cumplimiento aplicables al Cliente o a los Datos del Cliente, y de proporcionar dichas notificaciones.
    • Credenciales de acceso. Para mayor claridad, el Cliente es responsable de salvaguardar sus credenciales de acceso según el Acuerdo; cualquier incumplimiento de dicha obligación constituirá un incumplimiento del Acuerdo.

17. ADECUACIÓN A ESTOS TÉRMINOS DE SEGURIDAD DE DATOS
BigID supervisa y evalúa su programa de seguridad periódicamente y puede ajustarlo, junto con estas Medidas de Seguridad, de vez en cuando, según corresponda a la luz de: (a) las prácticas prevalecientes; (b) cualquier cambio relevante en la tecnología y cualquier amenaza interna o externa a BigID o los Datos del Cliente; y (c) los propios acuerdos comerciales cambiantes de BigID, como fusiones y adquisiciones, alianzas y empresas conjuntas, acuerdos de subcontratación y cambios en los sistemas de información.

Liderazgo en el sector