DPA – Proveedor

Anexo sobre procesamiento de datos de proveedores
(Mayo de 2023)

Este Anexo de Procesamiento de Datos del Proveedor (“ Proveedor DPA”) se incorpora por referencia y forma parte del acuerdo o Pedido para el cual BigID ha obtenido el derecho o la licencia de suscripción para usar los Servicios y se realiza entre BigID y el Proveedor (colectivamente, el “Acuerdo”).

Este DPA complementa el Acuerdo y establece los términos aplicables cuando el Proveedor procesa Datos Personales (definidos a continuación) en virtud del Acuerdo. El objetivo del DPA es garantizar que dicho procesamiento se realice de conformidad con la legislación aplicable y con el debido respeto a los derechos y libertades de las personas cuyos Datos Personales se procesan.

El Proveedor comprende, reconoce y acepta que este DPA se aplica a sí mismo y, en la medida requerida por las Leyes o Regulaciones de Privacidad y Protección de Datos aplicables, en la medida en que el Proveedor procese Datos Personales.

En el curso de la prestación de los Servicios a BigID de conformidad con el Acuerdo, el Proveedor puede procesar Datos Personales en nombre de BigID y las Partes acuerdan cumplir con las siguientes disposiciones con respecto a cualquier Dato Personal, cada una actuando razonablemente y de buena fe.

Términos de procesamiento de datos

1. Definiciones

"Filial" significa cualquier entidad que directa o indirectamente controla, es controlada por o está bajo control común con la entidad sujeto mientras exista control. "Control", para los fines de esta definición, significa propiedad o control directo o indirecto de más del 50% de los intereses de voto de la entidad en cuestión.

“Acuerdo(s)” «hall» se refiere al acuerdo comercial entre BigID y el Proveedor que describe los términos comerciales aplicables a los servicios conforme a los cuales se procesará la Información Protegida. Este podría ser, entre otros, un Acuerdo Marco de Servicios, un Acuerdo de Servicios Profesionales, un Acuerdo de Software como Servicio o un Acuerdo de Procesamiento de Datos.

“Gran identificación” significa la entidad BigID que es parte tanto del Acuerdo como de este DPA, que puede ser BigID, Inc., una empresa constituida en el estado de Delaware.

Datos personales de BigID significará todos los Datos Personales, incluida la Información Protegida, proporcionados al Proveedor por, o en nombre de, BigID en relación con este Acuerdo o para facilitar la prestación de Servicios.

“Fines comerciales” significa el uso de Datos Personales para fines operativos, u otros fines notificados, siempre que el uso de Datos Personales sea razonablemente necesario y proporcionado para lograr el fin operativo para el cual se recopilaron o procesaron los Datos Personales, o para otro fin operativo que sea compatible con el contexto en el que se recopilaron los Datos Personales. Las categorías de Fines Comerciales pueden incluir: (a) Auditar Interacciones con Consumidores; (b) Seguridad; (c) Depurar o Reparar los Servicios; (d) Realizar los Servicios del Acuerdo, que pueden incluir, pero no se limitan a: mantener o dar servicio a cuentas, brindar servicio al cliente, procesar o completar pedidos y transacciones, verificar información, procesar pagos, brindar financiamiento, brindar servicios analíticos o brindar servicios similares; (e) Investigación Interna para el Desarrollo; (f) Mantenimiento de la calidad, verificación y seguridad de los Servicios; y (g) Usos transitorios a corto plazo, siempre que los Datos Personales no se divulguen a otro tercero y no se utilicen para crear un perfil sobre un sujeto de datos o alterar la experiencia de un individuo fuera de la transacción actual.

"Consumidor" significa la persona identificada o identificable a la que se refieren los Datos Personales.

"Controlador" significa una entidad que determina los propósitos y medios del Procesamiento de Datos Personales, incluyendo, según corresponda, cualquier “Negocio” según se define ese término en la CCPA, según sus modificaciones, y sus regulaciones de implementación.

“Sujeto de datos” significa la persona identificada o identificable a la que se refieren los Datos Personales.

"Europa" significa el Espacio Económico Europeo (que constituye los estados miembros de la Unión Europea y Noruega, Islandia y Liechtenstein), así como, a los efectos del presente DPA, el Reino Unido y/o Suiza.

“Cifrado” significa cifrado que se basa en algoritmos probados, aceptados y no comprometidos por la industria que cumplen al menos con los estándares recomendados por NIST para algoritmos de cifrado, según sus actualizaciones.

“RGPD” significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (el “RGPD de la UE”), así como, a los efectos de este DPA, el Reglamento General de Protección de Datos del Reino Unido, tal como forma parte de la legislación de Inglaterra, Gales, Escocia e Irlanda del Norte en virtud de la sección 3 de la Ley de Retirada de la Unión Europea de 2018 (el “RGPD del Reino Unido”).

“Datos personales” o “Información personal” significa información personal que identifica, describe, se relaciona con, es capaz de ser asociada con o podría razonablemente ser vinculada con o utilizada para identificar (directa o indirectamente) a cualquier persona física o hogar. Los Datos Personales pueden incluir, sin limitación: (i) nombre y apellido, domicilio u otra dirección física, número de teléfono, número de fax, dirección de correo electrónico, número de seguro social u otro identificador emitido por el gobierno, número de tarjeta de crédito, información de cuenta financiera, firma, información de licencia de conducir, información de tarjeta de identificación emitida por el gobierno, imágenes fotográficas, información biométrica, fecha de nacimiento, apellido de soltera de la madre; afiliaciones políticas o religiosas; orientación sexual; información profesional o educativa; características fisiológicas, biológicas o de comportamiento; datos de sueño, salud o ejercicio; información de audio, electrónica, visual, térmica, olfativa u otra información similar; (ii) cualquier indicador de la salud o condición mental de un individuo, como un registro o historial médico, plan de tratamiento médico o diagnóstico por un profesional de la salud (iii) información o datos recopilados directamente de la interacción de una persona con la interfaz de usuario de una aplicación, datos de geolocalización u otra información electrónica; (iv) información o datos recopilados indirectamente, como IMEI, UDID, dirección MAC, dirección IP, ID de cookie, etc.; (v) información o datos recopilados sobre el comportamiento de compra de una persona, como el historial o las tendencias de compra y transacciones, datos de ubicación, datos de navegación web y/o móvil, historial de búsqueda web o las aplicaciones utilizadas que están vinculadas a un perfil único; (vi) inferencias que permitirían un perfil sobre un consumidor que refleje las preferencias, características, tendencias psicológicas, predisposiciones, comportamiento, actitudes, inteligencia, habilidades y aptitudes del consumidor; y (vii) cualquier otro elemento de datos regulado por la ley aplicable. La Información Personal incluye expresamente Información de Identificación Personal o PII (comúnmente entendida como elementos de datos suficientes para localizar, contactar o identificar de otro modo a una sola persona). Salvo que se defina expresamente en el presente documento, los términos en mayúscula utilizados pero no definidos tendrán el significado que se les atribuye en la CCPA y el RGPD.

"Tratamiento" significa cualquier operación o conjunto de operaciones que se realice sobre Datos Personales, ya sea por medios automáticos o no, como la recolección, registro, organización, estructuración, almacenamiento, adaptación o alteración, extracción, consulta, uso, divulgación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, restricción, supresión o destrucción.

"Procesador" significa una entidad que procesa datos personales en nombre de un controlador, incluido, según corresponda, cualquier proveedor de servicios” o “contratista”, según se definen esos términos en la CCPA.

“Información protegida” se referirá a la información que BigID proporciona al Proveedor durante el curso del Acuerdo, incluidos, entre otros, los Datos Personales según se define en el Acuerdo, y otros materiales, datos, sistemas y otra información relativa a la operación, el negocio, las proyecciones, los objetivos del mercado, los asuntos financieros, los productos, los clientes y la propiedad intelectual.

“Cláusulas contractuales tipo” Se refiere al módulo dos de las cláusulas contractuales tipo anexas a la Decisión de la Comisión Europea (UE) 2021/914, de 4 de junio de 2021, sobre cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, en su versión modificada o sustituida, y se completa con la información que figura en el Anexo 2 del presente DPA. A la fecha del presente DPA, las cláusulas contractuales tipo están disponibles [aquí].

"Servicios" significa los servicios proporcionados por el Proveedor a BigID bajo el Acuerdo.

“Subencargado del tratamiento” Se refiere a cualquier Encargado del Tratamiento contratado por el Proveedor. El término «Subencargado del Tratamiento» también puede incluir a agentes y subcontratistas del Proveedor.

“Autoridad supervisora” significa (i) en la UE, una autoridad pública independiente establecida por un Estado miembro de la UE de conformidad con el RGPD de la UE, y (ii) en el Reino Unido, la Oficina del Comisionado de Información del Reino Unido.

“Anexo del Reino Unido” significa el Anexo del Reino Unido a las Cláusulas Contractuales Estándar (el “Anexo del Reino Unido” que, a la fecha de este DPA, está disponible [aquí]), de conformidad con la sección 119A(1) de la Ley de Protección de Datos de 2018 (el “Anexo emitido en el Reino Unido”).

Leyes de privacidad de datos de EE. UU. significa la Ley de Privacidad del Consumidor de California (“CCPA”) según lo modificado por la Ley de Derechos de Privacidad de California (“CPRA”), y sus reglamentos de aplicación, la Ley de Protección de Datos del Consumidor de Virginia (“VCDPA”), y una vez vigente, la Ley de Privacidad de Colorado (“ColCPA”), Reglas de la Ley de Privacidad de Colorado (“ColCPAR”), Ley de Privacidad del Consumidor de Utah (“UCPA”), Ley de Privacidad de Datos Personales y Monitoreo en Línea de Connecticut (“CTDPA”), Ley de Protección de Datos del Consumidor de Iowa (“CIEPA”), Ley de Protección de Datos del Consumidor de Indiana (“INCDPA”), Ley de Protección de la Información de Tennessee (“TIPA”), Ley de Privacidad de Datos del Consumidor de Montana (“MCDPA”), y cualquier otra ley estatal o federal relacionada con la privacidad o protección de datos, y sus respectivas normas de implementación.

2. Tratamiento de datos personales

1. Papel de las Partes. Las partes reconocen y acuerdan que, con respecto al Procesamiento de Datos Personales, BigID es el Controlador, el Proveedor es el Procesador y el Proveedor contratará Subprocesadores de conformidad con los requisitos establecidos en la Sección 6 “Subprocesadores” a continuación.
2. Tratamiento de datos personales por parte de BigID. BigID, al utilizar los Servicios, tratará los Datos Personales de conformidad con las Leyes o Reglamentos de Protección de Datos y Privacidad, incluyendo cualquier requisito aplicable de notificar a los Interesados sobre el uso del Proveedor como Encargado del Tratamiento. Para evitar cualquier duda, las instrucciones de BigID para el Tratamiento de Datos Personales deberán cumplir con las Leyes o Reglamentos de Protección de Datos y Privacidad aplicables. BigID no ordenará al Proveedor que trate o divulgue datos personales para ningún otro fin que el establecido en este Anexo, el Acuerdo, según lo acordado por escrito entre las Partes o según lo permita la ley. BigID será el único responsable de la exactitud, calidad y legalidad de los Datos Personales, así como de los medios por los cuales los obtuvo. BigID reconoce específicamente que el uso de los Servicios no vulnera los derechos de ningún Consumidor o Interesado que haya optado por no participar en la venta u otra divulgación de Datos Personales, en la medida aplicable según la CCPA.
3. Tratamiento de datos personales por parte del Proveedor. El Proveedor acepta que todos los Datos Personales recopilados, accedidos o conservados por él durante la prestación de los Servicios son propiedad de BigID. BigID podrá proporcionar Datos Personales al Proveedor en virtud de este Acuerdo, y este se compromete a utilizar dichos Datos Personales únicamente para la prestación de los Servicios, tal como se define en el Anexo 1 (Detalles del Tratamiento), salvo que la legislación de la UE o la legislación de un país del EEE exija el tratamiento de Datos Personales para otros fines. En tal caso, el Proveedor deberá notificar por escrito a BigID con antelación, salvo que la legislación aplicable prohíba dicha notificación por motivos importantes de interés público.
4. Detalles del Tratamiento. El objeto del Tratamiento de Datos Personales por parte del Proveedor es la prestación de los Servicios conforme al Acuerdo. La duración, la naturaleza y la finalidad del Tratamiento, los tipos de Datos Personales y las categorías de Interesados Tratados en virtud de este DPA se especifican con más detalle en el Anexo 1 (Detalles del Tratamiento) de este DPA.
5. Términos de procesamiento adicionales de Estados Unidos. Cuando BigID divulga datos personales sujetos a las leyes de privacidad de datos de EE. UU., se aplican las siguientes disposiciones con respecto al procesamiento de datos personales relacionados con cualquier “consumidor” o “residente” según las leyes de privacidad de datos de EE. UU. aplicables:
   1. El Proveedor acepta cumplir con las instrucciones de BigID para el procesamiento de datos, incluida la naturaleza y el propósito del procesamiento, el tipo de datos sujetos al procesamiento, la duración del procesamiento y los derechos y obligaciones de ambas partes según lo establecido en este Anexo, el Acuerdo y de acuerdo con las leyes y regulaciones aplicables.
   2. El proveedor deberá garantizar que cada individuo que procese datos personales esté sujeto a un deber de confidencialidad con respecto a los datos y que los datos personales permanezcan protegidos por el nivel apropiado de medidas de seguridad técnicas y organizativas relevantes para el riesgo y los datos que se procesan.
   3. A solicitud razonable de BigID, el Proveedor deberá poner a su disposición toda la información que posea necesaria para demostrar su cumplimiento de las obligaciones establecidas en las Leyes de Privacidad de Datos de EE. UU. aplicables. Esta disposición no se aplica a los datos procesados de conformidad con la UCPA.
   4. El Proveedor deberá, bajo la dirección de BigID, eliminar o devolver todos los datos personales a BigID, según lo solicitado, al finalizar la prestación de los Servicios, a menos que la ley exija su conservación. Esta disposición no se aplica a los datos procesados bajo la UCPA.
   5. Después de brindarle a BigID la oportunidad de objetar, el Proveedor debe contratar a cualquier subcontratista (o "agente" según lo define la ICDPA) de conformidad con un contrato escrito de acuerdo con los términos de este Anexo, el Acuerdo y cualquier Ley de Privacidad de Datos de EE. UU. aplicable, que requieren que el subcontratista cumpla con las obligaciones o deberes de procesamiento del Proveedor con respecto a los datos personales.
   6. El Proveedor se compromete a permitir y cooperar con las evaluaciones, auditorías o inspecciones razonables realizadas por BigID o su asesor designado. Alternativamente, el Proveedor podrá encargar a un asesor o auditor cualificado e independiente que realice una evaluación, auditoría o inspección de sus políticas y medidas técnicas y organizativas para cumplir con sus obligaciones de conformidad con las Leyes de Privacidad de Datos de EE. UU. pertinentes y aplicables, utilizando un estándar o marco de control y un procedimiento de evaluación o auditoría adecuados y aceptados para dichas evaluaciones, auditorías o inspecciones. El Proveedor deberá presentar a BigID un informe de dichas evaluaciones, auditorías o inspecciones si así se lo solicita.
   7. El proveedor se compromete a proporcionar la información necesaria para permitir que BigID realice y documente evaluaciones de protección de datos y deberá ayudar a BigID a cumplir con sus obligaciones con respecto a las solicitudes de acceso de los interesados.
   8. El Proveedor deberá ayudar a BigID a cumplir con sus obligaciones relacionadas con la seguridad del procesamiento de datos personales y con respecto a las notificaciones en caso de que los sistemas de seguridad del Proveedor o de los subprocesadores del Proveedor sufran una violación.
   9. El proveedor otorga a BigID el derecho, previa notificación, de detener y remediar el acceso y uso no autorizados de datos personales.
   10. En el caso de que el Proveedor reciba o utilice datos seudónimos o datos desidentificados en relación con el Acuerdo, el Proveedor deberá implementar y cumplir con todas las medidas de protección que garanticen que los datos personales procesados no puedan rastrearse hasta las personas, y todos los requisitos de datos seudónimos o datos desidentificados establecidos en las Leyes de Privacidad de Datos de los EE. UU. pertinentes y aplicables.
   11. El Proveedor no deberá divulgar, revelar, difundir, poner a disposición, transferir o de otra manera comunicar Datos Personales a ningún tercero, excepto a los subprocesadores de BigID que estén sujetos a términos consistentes con los establecidos en este DPA.
   12. El Proveedor acepta notificar a BigID sin demoras indebidas si determina que no puede cumplir con sus obligaciones.

3. Términos adicionales de procesamiento de California

Cuando BigID divulga Datos Personales sujetos a la Ley de Privacidad del Consumidor de California (“CCPA”), modificada por la Ley de Derechos de Privacidad de California (“CPRA”), y sus reglamentos de implementación, se aplican las siguientes disposiciones con respecto al procesamiento de Datos Personales relacionados con cualquier “consumidor” u “hogar” bajo la CCPA:

1. El Proveedor acepta que todos los Datos Personales recopilados, accedidos o retenidos por el Proveedor durante la prestación de los Servicios siguen siendo propiedad de BigID.
2. BigID podrá divulgar Datos Personales al Proveedor en virtud de este Acuerdo, y este se compromete a utilizar dichos Datos Personales únicamente para la Prestación de los Servicios. Para evitar cualquier duda, las partes reconocen que los Datos Personales que BigID divulga al Proveedor se proporcionan únicamente para Fines Comerciales.
3. El Proveedor es un Proveedor de Servicios (según se define ese término en la CCPA) para BigID y, por lo tanto, no retendrá, usará, modificará, transformará, compartirá ni divulgará Datos Personales salvo lo establecido en el Acuerdo o según lo permita expresamente la CCPA.
4. BigID no deberá instruir al Proveedor para que procese o divulgue Datos Personales de manera distinta a la establecida en el Acuerdo, el DPA y según lo acordado de otro modo entre las Partes, o según lo permita la CCPA.
5. El Proveedor no deberá vender, compartir ni revender los Datos Personales proporcionados al Proveedor en su rol de Proveedor de Servicios.
6. El Proveedor no deberá divulgar, revelar, difundir, poner a disposición, transferir o de otra manera comunicar Datos Personales a ningún tercero, excepto a los subprocesadores del Proveedor que estén sujetos a términos consistentes con los establecidos en este DPA.
7. El proveedor acepta informar y proporcionar notificación por escrito a BigID si determina que ya no puede cumplir con sus obligaciones de conformidad con la CCPA, dentro del período especificado.
8. El Proveedor acepta implementar medidas de seguridad técnicas y organizativas razonables apropiadas a la naturaleza de la Información Personal para proteger la Información Personal contra acceso, destrucción, uso, modificación o divulgación no autorizados o ilegales.
9. El proveedor otorga a BigID el derecho, previa notificación, de detener y remediar el acceso y uso no autorizados de datos personales.
10. En el caso de que el Proveedor reciba o utilice datos anónimos en relación con el Acuerdo, el Proveedor está obligado contractualmente a cumplir con todos los requisitos de datos anónimos establecidos en la CCPA.
11. Nada de lo dispuesto en esta sección requerirá que BigID revele secretos comerciales, como se especifica en la CCPA y sus regulaciones de implementación.

4. Derechos de los interesados

1. Solicitud del interesado. El Proveedor deberá, en la medida legalmente permitida, notificar con prontitud a BigID en un plazo no inferior a cinco (5) días hábiles si recibe una solicitud específica de un Interesado en relación con los Datos de BigID para ejercer su derecho de acceso, rectificación, restricción del Tratamiento, supresión ("derecho al olvido"), portabilidad de datos, oposición al Tratamiento o su derecho a no ser objeto de una toma de decisiones individual automatizada. Cada solicitud se considerará una "Solicitud del Interesado". Teniendo en cuenta la naturaleza del Tratamiento, el Proveedor asistirá a BigID implementando las medidas técnicas y organizativas adecuadas, en la medida de lo posible, para el cumplimiento de la obligación de BigID de responder a una Solicitud del Interesado en virtud de las Leyes o Reglamentos de Protección de Datos y Privacidad. Además, si BigID, al usar los Servicios, no puede atender una Solicitud del Titular de los Datos, el Proveedor, a petición de BigID, realizará todos los esfuerzos comercialmente razonables para ayudar a BigID a responder a dicha Solicitud, siempre que la ley lo permita y la respuesta sea requerida por las Leyes o Reglamentos de Protección de Datos y Privacidad. En la medida legalmente permitida, BigID será responsable de cualquier costo derivado de la prestación de dicha asistencia por parte del Proveedor.

5. Disposiciones específicas europeas

1. Cumplimiento. El Proveedor, como Encargado del Tratamiento, ha cumplido y seguirá cumpliendo con todas las leyes aplicables en materia de privacidad y protección de datos, incluyendo, entre otras, el RGPD y la legislación actualizada del Reino Unido. BigID, como Responsable del Tratamiento, será responsable de garantizar que, en relación con los Datos Personales y los Servicios:
   1. Ha cumplido y continuará cumpliendo con todas las regulaciones de protección de datos y leyes de privacidad aplicables, incluida la legislación de protección de datos de la UE; y
   2. Tiene y seguirá teniendo el derecho de transferir o proporcionar acceso a los Datos Personales a BigID para su procesamiento de conformidad con los términos del Acuerdo, incluido este DPA.
2. Evaluación de Impacto de la Protección de Datos. A solicitud de BigID, el Proveedor deberá proporcionar a BigID la cooperación y asistencia razonables necesarias para cumplir con su obligación, según el RGPD, de realizar una evaluación de impacto de la protección de datos relacionada con el uso de los Servicios por parte de BigID, siempre que BigID no tenga acceso a la información pertinente y dicha información esté disponible para el Proveedor. El Proveedor deberá proporcionar asistencia razonable a BigID en la cooperación o consulta previa con una Autoridad de Control en el desempeño de sus funciones en relación con la Sección 4.2 del presente DPA, en la medida requerida por el RGPD.
3. Autoridades de supervisión. El Proveedor deberá, en la medida legalmente permitida, notificar a BigID sin demora indebida si una Autoridad de Supervisión o una autoridad policial realiza alguna consulta o solicitud de divulgación con respecto a Datos Personales.
4. Entrada en las Cláusulas Contractuales Tipo: Las Cláusulas Contractuales Tipo y los términos adicionales especificados en esta Sección se incorporan a este DPA por referencia y se aplican a las transferencias de Datos Personales al Proveedor desde (i) el Proveedor si está sujeto a las leyes y regulaciones de protección de datos de Europa, y (ii) sus Afiliadas. En la medida en que dicha transferencia de Datos Personales sea:
   1. sujeto al RGPD del Reino Unido y no al RGPD de la UE, las Cláusulas Contractuales Estándar se modificarán de acuerdo con el Anexo del Reino Unido, o
   2. sujeto tanto al RGPD del Reino Unido como al RGPD de la UE, BigID y el Proveedor deberán cumplir con las Cláusulas Contractuales Estándar (a) tal como están y (b) de manera paralela, según lo modificado por el Anexo del Reino Unido, pero solo en la medida en que la transferencia de Datos Personales esté sujeta al RGPD del Reino Unido y sin perjuicio de sus obligaciones bajo las Cláusulas Contractuales Estándar.

A los efectos de las Cláusulas Contractuales Estándar (incluido el Anexo del Reino Unido, cuando corresponda), BigID y cualquiera de sus Afiliados serán considerados “exportadores de datos” y el Proveedor será considerado “importador de datos”.

6. Personal del proveedor

1. Confidencialidad. El Proveedor se asegurará de que todo el personal involucrado en el Tratamiento de Datos Personales esté informado sobre la naturaleza sensible de los mismos, haya recibido la capacitación adecuada sobre sus responsabilidades y haya firmado acuerdos de confidencialidad por escrito. El Proveedor también se asegurará de que sus empleados conozcan sus obligaciones, así como sus deberes y/u obligaciones personales en virtud del Acuerdo y de la legislación aplicable.
2. Responsabilidad. El Proveedor debe informar a sus empleados que el incumplimiento de sus responsabilidades en el procesamiento de la Información Protegida puede resultar en medidas disciplinarias. El Proveedor seguirá siendo legalmente responsable de las obligaciones de sus empleados y de sus actos u omisiones, como si fueran actos u omisiones del Proveedor.
3. Fiabilidad. El Proveedor deberá tomar medidas comercialmente razonables para garantizar la confiabilidad de cualquier personal del Proveedor involucrado en el Procesamiento de Datos Personales.
4. Limitación de acceso. El Proveedor deberá garantizar que su acceso a los Datos Personales esté limitado a aquel personal que preste Servicios de conformidad con el Acuerdo.
5. Delegado de Protección de Datos. El Proveedor ha designado un delegado de protección de datos. Puede contactar con la persona designada en [a completar por el Proveedor]

7. Subprocesamiento

1. 1. Subprocesadores. El Proveedor no divulgará Datos Personales de BigID a terceros sin el consentimiento previo por escrito de BigID. El Proveedor debe (i) garantizar que todos los Subencargados del Tratamiento ofrezcan garantías suficientes respecto a las medidas técnicas y organizativas que rigen el tratamiento de Datos Personales y tomar medidas razonables para garantizar que los Subencargados del Tratamiento cumplan dichas medidas; (ii) que cualquier contrato escrito que tenga con los Subencargados del Tratamiento les exija actuar únicamente según sus instrucciones y les imponga la obligación de respetar la confidencialidad y seguridad de los Datos Personales que deban tratar; (iii) que todos los Subencargados del Tratamiento cumplan, como mínimo, todos los requisitos detallados en este documento; y (iv) que el Proveedor sea responsable de las obligaciones de los Subencargados del Tratamiento y de las acciones u omisiones de estos como si fueran acciones u omisiones suyas.
   2. Compartir datos de BigID con subprocesadoresEn caso de que el Proveedor comparta o divulgue Datos Personales de BigID a un Subencargado del Tratamiento o a un tercero (con o sin el consentimiento de BigID), el Proveedor: (a) será responsable de garantizar que las personas a quienes les otorgue acceso a los Datos Personales de BigID cumplan con todas las medidas de seguridad, privacidad y uso requeridas en este Acuerdo y en todas las Leyes o Reglamentos de Protección de Datos y Privacidad; y (b) será plenamente responsable de cualquier acto u omisión del tercero relacionado con los Datos Personales de BigID, a menos que se especifique lo contrario en el Acuerdo o el Formulario de Pedido correspondiente.
   3. Lista de subprocesadores. El Proveedor pondrá a disposición de BigID, por escrito o como enmienda a este Anexo de Protección de Datos, la lista actual de Subencargados del Tratamiento, que incluirá la identidad y los datos de dichos Subencargados y su país de ubicación, si se conoce («Lista de Subencargados del Tratamiento»), el nombre del Subencargado, los servicios para los que está contratado y la región donde aloja los Datos de BigID. La Lista de Subencargados a la fecha de ejecución de este DPA se considerará autorizada por BigID.
   4. Cambios en los subprocesadores. Si el Proveedor necesita añadir o modificar su Lista de Subencargados del Tratamiento, deberá notificar a BigID cualquier cambio con 60 días de antelación. BigID podrá oponerse al nombramiento de Subencargados adicionales en un plazo de treinta (30) días naturales a partir de dicha notificación, alegando motivos razonables relacionados con la Protección de Datos Personales, si dicho Subencargado no puede cumplir con los estándares de este DPA. En tal caso, el Proveedor tendrá derecho a subsanar la objeción mediante una de las siguientes opciones: (a) El Proveedor cancelará sus planes de utilizar al Subencargado del Tratamiento en lo que respecta a los Datos Personales u ofrecerá una alternativa para prestar los Servicios sin dicho Subencargado; o (b) El Proveedor adoptará las medidas correctivas solicitadas por BigID en su objeción (que derogan la objeción de BigID) y procederá a utilizar al Subencargado del Tratamiento en lo que respecta a los Datos Personales. o (c) Si ninguna de las opciones anteriores está razonablemente disponible y la objeción no se ha resuelto a satisfacción mutua razonable de las partes dentro de un período de treinta (30) días después de que el Proveedor reciba la objeción de BigID, cualquiera de las partes puede rescindir el Acuerdo y BigID tendrá derecho a un reembolso prorrateado por las tarifas prepagas por los Servicios de suscripción no realizados a la fecha de terminación.
   5. Responsabilidad. El Proveedor será completamente responsable de los actos y omisiones de sus Subprocesadores en la misma medida en que sería responsable si realizara los servicios de cada Subprocesador directamente según los términos de este DPA, excepto que se establezca lo contrario en el Acuerdo.

8. Seguridad

1. Controles para la Protección de Datos Personales
   1. El Proveedor deberá implementar y mantener un programa de seguridad de la información ("WISP") escrito que incorpore medidas de seguridad administrativas, técnicas y físicas diseñadas para garantizar razonablemente la seguridad, confidencialidad e integridad de los Datos Personales y otros datos, incluyendo la información que recibe en relación con los Servicios, de conformidad con las Leyes de Protección de Datos. El Proveedor deberá proporcionar a BigID una copia o un resumen de su WISP inmediatamente después de que BigID lo solicite. El Proveedor deberá, como mínimo, mantener un WISP que utilice medidas razonables para: (a) garantizar la seguridad y confidencialidad de cualquier Dato Personal; (b) proteger contra cualquier amenaza o riesgo previsto para la seguridad o integridad de los Datos Personales PIP; (c) proteger contra el acceso no autorizado, la modificación, la destrucción, la divulgación o el uso de Datos Personales que pudieran resultar en un daño sustancial a cualquier persona o a BigID; (d) abordar cómo se gestionará cualquier Incidente de Seguridad (según se define en el presente documento) de Datos Personales; (e) sea gestionado por un empleado sénior responsable de la supervisión e implementación del programa; y (f) sea adecuado a la naturaleza, el tamaño y la complejidad de las operaciones comerciales del Proveedor. Dicho WISP deberá cumplir con los estándares actuales de la industria, cumplir con todos y cada uno de los estándares específicos de seguridad de la información contenidos en las Leyes de Protección de Datos aplicables, incluyendo específicamente, según corresponda, las medidas a las que se refiere el Artículo 32 del RGPD, así como los requisitos contenidos en el Código de Regulaciones de Massachusetts, 201 CMR Secciones 17.00 y siguientes.
   2. El Proveedor debe, en todo momento, tener implementadas medidas de seguridad técnicas y organizativas apropiadas para que la Información Protegida esté protegida contra el procesamiento no autorizado o ilegal y contra pérdida o destrucción accidental o daño.
   3. El Proveedor realizará una evaluación de riesgos periódicamente e implementará con prontitud, a su exclusivo cargo, un plan de acción correctiva para corregir cualquier problema que se reporte como resultado de la evaluación o de cualquier análisis, vulnerabilidad o prueba de penetración. El Proveedor realizará al menos: (i) análisis de vulnerabilidad trimestrales; y (ii) pruebas de penetración anuales.
   4. La información personal puede ser desidentificada o agregada como parte de los Servicios, pero solo en la medida en que dicha desidentificación o agregación, según sea el caso, cumpla con los estándares para dicha actividad que requieren las leyes de privacidad de datos de los EE. UU. pertinentes y aplicables.
2. Confidencialidad del Tratamiento BigID garantizará que cualquier persona que autorice a procesar los Datos Personales (incluido su personal, agentes, subcontratistas y subprocesadores) estará sujeta a un deber de confidencialidad que sobrevivirá a la terminación de su empleo y/o relación contractual.
3. Capacitación El proveedor impartirá capacitación sobre seguridad de la información a todos los empleados que participan en la prestación del servicio. Esto garantizará que todos los involucrados conozcan la necesidad de proteger los activos de información de BigID y las políticas y procedimientos asociados. Los empleados y contratistas que utilicen los sistemas y servicios de información de la organización deberán registrar e informar cualquier vulnerabilidad de seguridad de la información observada o sospechada.
4. Hospedaje El Proveedor deberá proporcionar a BigID información sobre la(s) ubicación(es) y el(los) servicio(s) de alojamiento que utiliza para alojar sus Datos Personales (el "Servicio de Alojamiento"). El Proveedor deberá notificar a BigID, con al menos sesenta (60) días de antelación, por escrito, su intención de cambiar el Servicio de Alojamiento a otro proveedor externo. Dicha notificación deberá incluir el nombre y la ubicación del nuevo Servicio de Alojamiento. En cualquier caso, BigID se reserva el derecho de rescindir el Contrato mediante un preaviso de treinta (30) días al Proveedor.
5. Controlar el acceso a los datos de BigID El Proveedor aplicará medidas y controles de seguridad comercialmente razonables para garantizar que el acceso a los Datos Personales de BigID se limite a su personal y agentes autorizados, quienes necesiten conocer dicha información únicamente para los fines contemplados en el/los Acuerdo(s). Sin perjuicio de lo anterior, el Proveedor acepta que:
   1. El proveedor debe tener un inventario de todos los activos de la empresa (software, hardware, etc.) que puedan acceder a los Datos Personales de BigID. El inventario debe registrar y rastrear, como mínimo, la descripción, la propiedad, la ubicación y los usuarios asignados de los activos.
   2. El Proveedor debe garantizar que sólo sus empleados que puedan ser requeridos por el Proveedor para ayudarlo a cumplir con sus obligaciones bajo el Acuerdo tendrán acceso a la Información Protegida.
   3. El proveedor debe aplicar el principio del mínimo privilegio (es decir, a cada individuo solo se le otorgan las capacidades de acceso mínimas necesarias para cumplir con los requisitos comerciales) al proporcionar a los empleados acceso a sistemas que contienen información protegida.
   4. El proveedor debe asegurarse de que sólo sus administradores de sistemas tengan privilegios para crear cuentas de acceso a sistemas que contengan información protegida.
   5. El acceso a los sistemas que contienen Información Protegida debe controlarse mediante un procedimiento de inicio de sesión seguro. Los usuarios no deben compartir nombres, cuentas ni contraseñas.
   6. El proveedor debe garantizar que cada usuario que acceda a sistemas que contengan información protegida sea identificable de forma única.
   7. El proveedor debe garantizar que los empleados que accedan a la información protegida de forma remota estén autenticados mediante mecanismos de autenticación de dos factores a través de una conexión segura.
   8. El acceso a la información protegida, incluidas las cuentas de usuario y las contraseñas, debe revocarse inmediatamente cuando ya no sea necesario.
   9. El proveedor debe mantener los detalles de todos los empleados con acceso a la información protegida.
   10. El Proveedor deberá informar a todo el personal con exposición o acceso a Datos Personales de BigID sobre los requisitos de uso, confidencialidad y seguridad de la información del Proveedor y deberá garantizar que cada uno esté sujeto a obligaciones legales no menos restrictivas que los términos de este Acuerdo.
   11. El proveedor debe realizar revisiones periódicas del acceso de los usuarios a la información protegida (por ejemplo, al menos cada 6 meses y rápidamente después de cualquier cambio, como promoción, degradación o finalización del empleo).
   12. El proveedor debe mantener registros de eventos de seguridad en los sistemas que almacenan, procesan o transmiten información protegida para permitir el seguimiento de la actividad del sistema (p. ej., fecha, quién, dónde). Los registros de eventos de seguridad deben conservarse durante un mínimo de 365 días y revisarse periódicamente para detectar actividades no autorizadas o ilegales.
   13. El proveedor debe garantizar que existan controles de acceso físico adecuados en el lugar donde se almacena la información protegida.
   14. No se permitirá el acceso a áreas públicas y los resultados tales como impresiones deberán estar en áreas a las que sólo el personal de la organización autorizado para acceder a la Información Protegida pueda acceder.
   15. El proveedor no deberá utilizar ni divulgar datos personales de BigID para contactar o comercializar con clientes o empleados de BigID.
6. Almacenamiento de información protegida
   1. El Proveedor reconoce y acepta que toda la Información Protegida que recopile en nombre de BigID en virtud de este Acuerdo se separará, al menos lógicamente, de la información relacionada con cualquier otro cliente del Proveedor. El Proveedor declara y garantiza que su infraestructura de bases de datos está protegida mediante cortafuegos de Internet que cumplen con los estándares actuales del sector de forma continua y que los datos de BigID se separarán lógicamente.
   2. Los registros electrónicos y en papel que contienen información protegida deben almacenarse en una habitación o área cerrada con llave donde el acceso esté controlado.
   3. La información protegida no debe almacenarse en dispositivos terminales, dispositivos móviles, discos duros externos o medios extraíbles (por ejemplo, unidades USB, CD o DVD) sin el consentimiento previo por escrito de BigID.
   4. Se pueden realizar copias de seguridad si esto no proporciona más acceso que cuando la información se encuentra dentro del sistema informático. Los medios de copia de seguridad deben estar sujetos a un almacenamiento seguro. Se utilizarán controles adicionales, como el cifrado.
   5. La información protegida almacenada por el Proveedor debe estar protegida mediante encriptación.
   6. El Proveedor debe garantizar la implementación de un software antivirus/antimalware adecuado en todos los sistemas de información que procesan Información Protegida de su organización. Asimismo, debe asegurarse de que dicho software esté actualizado con las firmas y definiciones de virus y malware más recientes.
7. Transferencia de información protegida
   1. El proveedor no debe revelar información protegida a un tercero bajo ninguna circunstancia que no sea la especificada en el Anexo de protección de datos o por solicitud específica por escrito de BigID.
   2. Sujeto a la obligación de recuperación ante desastres y continuidad comercial del Proveedor según Sección 11 (Copia de seguridad y recuperación ante desastres)El Proveedor no debe, bajo ninguna circunstancia, transferir, usar o procesar Información Protegida fuera de la jurisdicción del Proveedor. Servicio de alojamiento del proveedor según la Sección 4 o como se describe en una Enmienda a este Anexo, a menos que BigID lo autorice por escrito para hacerlo.
   3. En relación con las transferencias de Información Protegida hacia y desde BigID y cualquier Subencargado del Tratamiento: (i) Todas las transferencias electrónicas de Información Protegida deben estar protegidas mediante cifrado. La Información Protegida no se enviará sin cifrar a través de conexiones sin cifrar. (ii) Al transferir Información Protegida en papel, el documento debe etiquetarse como "BigID Confidencial" y enviarse por correo seguro en sobres con doble envoltorio y sellados de forma que cualquier manipulación sea evidente. (iii) Al transferir Información Protegida mediante medios extraíbles (p. ej., CD, memoria USB, discos duros externos), todos los medios deben etiquetarse como "BigID Confidencial", protegerse mediante el cifrado adecuado y enviarse en sobres con doble envoltorio y sellados de forma que cualquier manipulación sea evidente. (iv) Si el Proveedor utiliza un servicio de mensajería segura para transferir Información Protegida, debe asegurarse de que el servicio de mensajería solo entregue el sobre a un contacto específico después de examinar un documento de identidad con fotografía original y válido (por ejemplo, un pase emitido por BigID, una licencia de conducir o un pasaporte). Después de la entrega, se debe obtener una firma como confirmación de recepción. Si el destinatario especificado no está disponible, entonces la entrega debe retrasarse o si la entrega no puede completarse, el sobre debe devolverse sin abrir. (v) El Proveedor siempre debe solicitar el permiso por escrito de BigID antes de transferir Información Protegida que no cumpla con los criterios anteriores. (vi) La cadena de custodia de la Información Protegida de BigID debe estar claramente definida y rastreada mediante entregas formales, incluyendo firmas de aceptación. (vii) El Proveedor debe mantener, durante la vigencia del Acuerdo y posteriormente por el tiempo que lo exija la ley, registros completos y precisos de todas las transferencias de Información Protegida en relación con el Acuerdo.
8. Eliminación de datos Tras la rescisión o vencimiento del Acuerdo, o en cualquier momento a solicitud escrita de BigID, el Proveedor deberá, de acuerdo con los términos del Acuerdo y a solicitud de BigID, eliminar toda la Información Protegida en su posesión, salvo en la medida en que la legislación aplicable le exija conservar parte o la totalidad de dicha Información Protegida. El Proveedor eliminará todos los Datos Personales de sus sistemas (y, cuando corresponda, de sus Subencargados) de acuerdo con las Directrices para la Saneamiento de Medios del Instituto Nacional de Estándares y Tecnología (NIST). Siempre que sea posible, una segunda persona autorizada verificará la destrucción segura. El Proveedor certificará por escrito, dentro de los treinta (30) días siguientes a la solicitud de destrucción de BigID, que estas acciones se han completado. Cuando la legislación aplicable le exija conservar parte o la totalidad de la Información Protegida, extenderá las protecciones del Acuerdo y este DPA a dicha Información Protegida y limitará cualquier procesamiento posterior de dicha Información Protegida únicamente a los fines que requieran su conservación, mientras la conserve.
9. Gestión de incidentes
   1. El proveedor debe garantizar que los procedimientos de gestión de incidentes estén implementados en toda su organización y se comuniquen a todo el personal, y que los incidentes se registren.
   2. En caso de pérdida o corrupción de Datos Personales, el Proveedor hará todos los esfuerzos comercialmente razonables para restaurarlos a partir de la última copia de seguridad que mantenga, de acuerdo con sus procedimientos de archivo. Dichos incidentes se registrarán e investigarán de acuerdo con los procedimientos de gestión de incidentes de seguridad del Proveedor. El Proveedor notificará a BigID por escrito en un plazo de cuarenta y ocho (48) horas si tiene conocimiento de una brecha de seguridad, piratería informática, divulgación no autorizada, acceso, adquisición u otra pérdida o uso de cualquier PI de BigID («Incidente de Seguridad»).
      1. La notificación del Proveedor deberá incluir, como mínimo: (a) una descripción de la infracción o pérdida, incluyendo la fecha en que ocurrió; (b) el número de personas afectadas y sus estados de residencia; (c) una descripción de la información accedida, adquirida, perdida o mal utilizada; (d) si la infracción o pérdida fue informática, electrónica o en papel; (e) si dicha información estaba cifrada o no; (f) si las claves de cifrado o las contraseñas pudieron haber sido comprometidas; y (g) una descripción de las medidas adoptadas para investigar el incidente, proteger los sistemas del Proveedor o recuperar la información perdida, y prevenir la recurrencia de nuevas infracciones de seguridad o pérdidas del mismo tipo. En relación con cualquier Incidente de Seguridad, el Proveedor proporcionará a BigID una copia de los informes forenses correspondientes.
      2. Salvo que la legislación aplicable lo exija estrictamente, el Proveedor se compromete a no informar a terceros sobre ningún Incidente de Seguridad sin el consentimiento previo por escrito de BigID. Si la legislación aplicable exige dicha divulgación, el Proveedor se compromete a consultar con BigID y obtener su aprobación (que no se denegará ni retrasará injustificadamente) sobre el contenido de dicha divulgación antes de realizarla. Sin perjuicio de lo anterior, BigID determinará quién realizará la divulgación a las autoridades policiales o reguladoras en relación con una Violación de Datos, y el Proveedor se compromete a acatar la decisión de BigID.
      3. En caso de cualquier Incidente de Seguridad real de cualquier Dato Personal, el Proveedor cooperará con BigID, a expensas del Proveedor, si dicha Violación de Datos se debe a fallos de control, errores u omisiones del Proveedor (o de cualquier tercero del cual el Proveedor sea responsable según la Sección 5(2)), para (a) evaluar con mayor profundidad la naturaleza y el alcance de dicho Incidente de Seguridad y revisar todos los registros pertinentes en la medida en que estos pertenezcan a BigID y no comprometan las obligaciones de confidencialidad del Proveedor con terceros; (b) tomar otras medidas correctivas que sean razonablemente necesarias o apropiadas para mitigar el riesgo derivado del uso o la divulgación no autorizados de la IP de BigID; y (c) proporcionar notificaciones de violación, según lo solicite, proporcione y apruebe razonablemente BigID, a las personas afectadas, notificándoles que su IP fue accedida o comprometida de otra manera. El Proveedor cooperará plenamente con todas las agencias reguladoras gubernamentales y las fuerzas del orden con jurisdicción y autoridad para investigar una Violación de Datos.
10. Verificación y Auditoría
    1. El Proveedor mantendrá una certificación AICPA SOC 2 Tipo 2 para los Criterios de Servicios de Confianza para Seguridad, Disponibilidad, Integridad de Procesamiento, Confidencialidad y Privacidad y una Evaluación de Impacto de Privacidad realizada por un auditor externo independiente calificado y reconocido en la industria, a cargo del Proveedor.
    2. Cada auditoría se realizará de acuerdo con los estándares y normas del organismo regulador o de acreditación para cada estándar de control aplicable de los marcos de privacidad y seguridad. Los informes de auditoría generados por dichas auditorías serán información confidencial del Proveedor y contendrán las conclusiones relevantes del auditor. A solicitud de BigID y bajo un acuerdo de confidencialidad, el Proveedor proporcionará el informe de auditoría para que BigID pueda verificar su cumplimiento con el marco de seguridad adoptado.
    3. A solicitud de BigID, pero no más de una vez cada 12 meses, a menos que se produzca un incidente de seguridad, el Proveedor deberá completar un cuestionario del programa de seguridad de la información proporcionado por BigID ("Revisión de Seguridad"). El Proveedor se compromete a cooperar plenamente con dicha Revisión de Seguridad e implementar todos los cambios comercialmente razonables en su programa de seguridad de la información que, como resultado de dicha Revisión, sean necesarios para garantizar el cumplimiento de este Anexo, a su exclusivo costo y cargo.
    4. El Proveedor reconoce y acepta que BigID o un tercero designado por BigID (en conjunto, el "Monitor") tiene derecho, a efectos de verificar el cumplimiento de los requisitos de estos Términos, a revisar los términos, registros o instalaciones del Proveedor y de sus subcontratistas o afiliados que proporcionen bienes o servicios relacionados con el procesamiento, transporte o almacenamiento de la Información de BigID. BigID anunciará su intención de revisar al Proveedor de acuerdo con estos Términos mediante un aviso con al menos cinco (5) días hábiles de antelación. El Proveedor proporcionará al Monitor acceso a su sitio, sistemas y registros según sea razonablemente necesario para evaluar el cumplimiento de los requisitos de estos Términos. A petición razonable de BigID, el Proveedor proporcionará al Monitor una guía personal del sitio mientras se encuentre en el sitio. El Proveedor pondrá a disposición del Monitor, para entrevistas presenciales o telefónicas, a cualquier empleado o contratista del Proveedor para que proporcione información y coopere en relación con la verificación aquí descrita. Dicha verificación correrá a cargo de BigID, salvo que revele un incumplimiento material de los requisitos de estos Términos, en cuyo caso correrá a cargo del Proveedor.
11. Copia de seguridad y recuperación ante desastres
    1. El proveedor debe mantener un plan de recuperación ante desastres y continuidad del negocio que defina cómo se recuperará la información protegida de las cintas de respaldo y los sistemas de información externos, y cómo la empresa continuará operando durante el período de recuperación. Los objetivos de tiempo de recuperación (RTO) y de punto de recuperación (RPO) deben definirse y compartirse con BigID si se solicita.
    2. El proveedor debe probar el plan de recuperación ante desastres y continuidad del negocio al menos una vez al año para validar los procedimientos de recuperación ante desastres y continuidad del negocio, así como los objetivos de tiempo de recuperación (RTO) y de punto de recuperación (RPO). Las pruebas deben incorporar escenarios de fallo de zona de disponibilidad, así como un fallo regional.
    3. El Proveedor debe realizar copias de seguridad cifradas periódicas de la Información Protegida procesada en sus sistemas de información. La frecuencia de las copias de seguridad dependerá del tipo, volumen y frecuencia de los cambios en la Información Protegida procesada por el Proveedor, según lo acordado con BigID.
12. Desarrollo de sistemas
    1. El Proveedor debe mantener documentación sobre la arquitectura general del sistema, la red y la aplicación, los flujos de datos, los flujos de procesos y la funcionalidad de seguridad de todas las aplicaciones que procesen o almacenen Información Protegida. El Proveedor debe emplear directrices, estándares y protocolos de programación segura documentados en el desarrollo de aplicaciones que procesen o almacenen Información Protegida.
    2. El proveedor debe tener un programa documentado para revisiones de código seguro y mantener documentación de las revisiones de código seguro realizadas para todas las aplicaciones que almacenan o procesan información protegida.
    3. El proveedor debe utilizar una metodología de modelo de amenazas para identificar los riesgos clave para los activos y funciones importantes proporcionados por todas las aplicaciones que almacenan o procesan información protegida, realizar un análisis de los errores de programación más comunes y documentar por escrito que se han mitigado.
    4. El Proveedor instalará en todas las estaciones de trabajo y servidores los parches actuales del sistema operativo, la base de datos y las aplicaciones implementados en su entorno informático, según un cronograma basado en la criticidad del parche. El Proveedor deberá tomar las medidas necesarias para garantizar que los parches no comprometan la seguridad de los recursos de información que se estén aplicando.
    5. El Proveedor empleará un programa eficaz y documentado de gestión de cambios en relación con los Servicios como parte integral de su perfil de seguridad. Esto incluye entornos lógica o físicamente separados de la producción para todo el desarrollo y las pruebas. El Proveedor no utilizará Información Protegida en entornos de desarrollo o prueba, a menos que esta haya sido depurada lo suficiente como para que no represente un riesgo de incidente de seguridad.
    6. El proveedor debe notificar a BigID y aceptar por escrito cualquier cambio significativo en cualquier sistema utilizado para procesar información protegida.

9. Seguro cibernético y de privacidad

Además de los requisitos de seguro establecidos en el Acuerdo, el Proveedor deberá mantener, a su exclusivo costo y cargo, un seguro de Privacidad y Ciberseguridad (o su equivalente) por no menos de cinco millones de dólares estadounidenses ($5,000,000) por cada incidente o reclamo. La cobertura deberá ser lo suficientemente amplia como para responder a los deberes y obligaciones asumidos por el Proveedor en este Acuerdo e incluirá, pero no se limitará a, reclamos que involucren infracción de propiedad intelectual, incluyendo, pero no limitado a, infracción de derechos de autor, marca registrada, imagen comercial, invasión de violaciones de privacidad, robo de información, daño o destrucción de información electrónica, divulgación de información privada, alteración de información electrónica, extorsión y seguridad de la red. La póliza proporcionará cobertura para los costos de respuesta a infracciones y multas regulatorias directamente aplicables al Proveedor con límites suficientes para responder a estas alegaciones o al Límite de Responsabilidad aplicable establecido en el Acuerdo. La fecha de cobertura retroactiva no será posterior a la fecha de vigencia de este Acuerdo. El Proveedor deberá mantener esta cobertura durante la vigencia de este Acuerdo y por un período no menor a un (1) año después del vencimiento, cancelación o terminación de este Acuerdo.

10. Terminación y supervivencia

1. El Proveedor dejará de procesar Información Protegida al momento de la terminación o vencimiento del Acuerdo.
2. Las disposiciones de estos Términos relacionadas con la protección de la Información Protegida sobrevivirán a la terminación del Acuerdo o de estos Términos y permanecerán en vigor mientras el Proveedor tenga Información Protegida.

11. Varios

1. El Proveedor acepta que BigID tiene el derecho de modificar unilateralmente, con un aviso razonable proporcionado al Proveedor, los requisitos de este Anexo en la medida necesaria para seguir cumpliendo con la legislación estatal o federal que contenga estándares adicionales o diferentes relacionados con el manejo de Datos Personales, y dichas modificaciones entrarán en vigencia automáticamente sesenta (60) días después de que se proporcione dicho aviso (o antes cuando sea necesario para cumplir con la ley).
2. Salvo que se modifique mediante este DPA, el Acuerdo permanecerá en pleno vigor y efecto.
3. Si existe un conflicto entre el Acuerdo y este DPA, prevalecerán los términos de este DPA.
4. Cualquier reclamación presentada bajo este DPA estará sujeta a los términos y condiciones del Acuerdo, incluidas, entre otras, las exclusiones y limitaciones incluidas en el mismo.

ANEXO 1 – DETALLES DEL TRATAMIENTO

Naturaleza y finalidad del tratamiento
El Proveedor (y cualquier subencargado del tratamiento que contrate) tratará los datos personales según sea necesario para prestar los servicios de conformidad con el Acuerdo y según las instrucciones adicionales de BigID al utilizar los servicios. Esto incluye:

Para ser completado por el Proveedor

Duración y frecuencia del Tratamiento, y periodo durante el cual se conservarán los Datos Personales

Para ser completado por el Proveedor

Categorías de interesados
BigID puede enviar Datos Personales a los Servicios, cuyo alcance es determinado y controlado por BigID a su exclusivo criterio, y que puede incluir, pero no se limita a, Datos Personales relacionados con las siguientes categorías de interesados:

Para ser completado por el Proveedor

Tipo de datos personales
BigID puede enviar Datos Personales a los Servicios, cuyo alcance es determinado y controlado por el Cliente a su exclusivo criterio, y que puede incluir, pero no se limita a, las siguientes categorías de Datos Personales:

Para ser completado por el Proveedor

ANEXO 2 – INFORMACIÓN SOBRE CLÁUSULAS CONTRACTUALES ESTÁNDAR

Cuándo se aplican las Cláusulas Contractuales Tipo:

• El Anexo IA se completa con los nombres, direcciones y personas de contacto de las partes según lo establecido en el Acuerdo.
• Se considerarán insertadas las firmas de cada parte y la fecha del presente DPA.
• El rol de BigID se especifica como “controlador” y el rol del Proveedor se especifica como “procesador”.
• El Anexo IB se completa con la información establecida en el Anexo 1 de este DPA, así como los detalles de las restricciones y salvaguardas establecidas en el Anexo 3 de este DPA que, tomando en consideración la naturaleza de los datos y los riesgos involucrados, se aplican a todos los Datos Personales transferidos, incluidos los datos sensibles.
• El Anexo II se completa con los detalles de las medidas técnicas y organizativas establecidas en el Anexo 3 del presente DPA.
• El Anexo IC se completa de la siguiente manera:
  • Cuando el procesamiento de datos personales por parte de BigID no esté dentro del alcance del RGPD de la UE, la Oficina del Comisionado de Información del Reino Unido se insertará como autoridad de supervisión competente, según el Anexo del Reino Unido.
  • Cuando el procesamiento de Datos Personales por parte de BigID esté dentro del alcance del RGPD de la UE, la autoridad de supervisión competente será (i) la autoridad de supervisión del estado miembro de la UE en el que BigID esté establecido, o (ii) (si BigID no esté establecido en la UE) el estado miembro de la UE en el que el Cliente haya designado a su representante en la UE, o (iii) (si el Cliente no esté establecido en la UE y no haya designado un representante en la UE) la Comisión Irlandesa de Protección de Datos.
• Se elimina la opción 1 de la cláusula 9(a) y (sujeto a la Sección 6.4 de este DPA), el plazo aplicable será de catorce (14) días naturales. La «lista acordada» a la que se refiere esta disposición será la Lista de Subencargados del Tratamiento a la que se refiere la Sección 6.2 de este DPA.
• Se suprime el texto opcional del apartado 11(a).
• Se suprime la opción 2 de la cláusula 17 y:
  • cuando el procesamiento de Datos Personales por parte de BigID no esté dentro del alcance del RGPD de la UE, la ley aplicable será la de Inglaterra y Gales; pero
  • cuando el procesamiento de Datos Personales por parte de BigID esté dentro del ámbito de aplicación del RGPD de la UE, la ley aplicable será la ley de la República de Irlanda.
• La cláusula 18(b) se completa de la siguiente manera:
  • Cuando el procesamiento de los Datos Personales por parte de BigID no esté dentro del ámbito de aplicación del RGPD de la UE, con las palabras “Inglaterra y Gales”; o
  • Cuando el procesamiento de datos personales por parte de BigID esté dentro del ámbito de aplicación del RGPD de la UE, con las palabras “la República de Irlanda”.

Cuando se aplique la Adenda del Reino Unido, además de la información relacionada con las Cláusulas Contractuales Estándar establecidas en este Anexo anterior:

• La Tabla 1 se completa con la fecha de inicio del Acuerdo, y el nombre legal y comercial, la dirección principal, el número de registro oficial, el nombre del contacto clave, el cargo y los datos de contacto (incluida la dirección de correo electrónico) de las Partes, según lo establecido en el Acuerdo. Las firmas de cada parte se consideran incluidas en el Acuerdo principal.
• Las Tablas 2 y 3 se completan con la información sobre las Cláusulas Contractuales Tipo establecidas en este Anexo, aplicables en lo pertinente a una transferencia de conformidad con la Cláusula 4.4 del presente DPA. Se selecciona la primera opción de la Tabla 2, y dicha tabla se completa con la fecha del Acuerdo.
• La Tabla 4 se completa para que cualquiera de las Partes pueda finalizar el Anexo del Reino Unido si la Oficina del Comisionado de Información del Reino Unido modifica dicho Anexo, y las Partes acuerdan que una vez que el Anexo del Reino Unido haya finalizado, BigID ya no transferirá datos personales sujetos al RGPD del Reino Unido al Cliente en virtud del Acuerdo y este DPA a menos que se haya implementado una salvaguarda de transferencia alternativa a satisfacción razonable de BigID.

ANEXO 3 – MEDIDAS DE SEGURIDAD

Este Anexo 3, Medidas de Seguridad (“Medidas de seguridad”), se incorpora por referencia y forma parte del Acuerdo de procesamiento de datos (“DPA”). Todos los términos en mayúsculas no definidos en estas Medidas de Seguridad o en el DPA tendrán el significado establecido en el Acuerdo. El Proveedor aplicará las siguientes medidas de seguridad para proteger los datos y otra información (incluidos los metadatos) (“Datos”) que BigID o sus clientes u otros usuarios finales importan o crean al utilizar los productos y servicios del Proveedor (“Servicios”) o de otro modo proporcionar al Proveedor:

1. Programa de Seguridad de la Información

El Proveedor deberá mantener un programa integral de seguridad de la información por escrito, conforme a los estándares de la industria en materia de medidas de seguridad organizativas, operativas, administrativas, físicas y técnicas que rijan el procesamiento, el almacenamiento y la transmisión de Datos, y que sea adecuado a los riesgos que representa el procesamiento de Datos en el contexto de los Servicios bajo el Acuerdo, y para evitar cualquier acceso a los Datos de una manera no autorizada por el Acuerdo o este Anexo. El Proveedor deberá definir la responsabilidad de la revisión continua del programa de seguridad de la información para garantizar razonablemente su continua idoneidad, adecuación y eficacia. Dicho programa deberá incluir, como mínimo, pero no se limitará a, los requisitos de este Anexo.

2. Desarrollo y pruebas de aplicaciones seguras

1. El proveedor deberá seguir prácticas seguras de desarrollo y codificación de aplicaciones y deberá establecer un marco de desarrollo y mantenimiento de aplicaciones que proteja la seguridad e integridad de los datos y servicios de acuerdo con las Pautas de referencia rápida de prácticas de codificación segura de OWASP y los materiales allí referenciados, actualizados periódicamente.
2. El Proveedor deberá utilizar programas líderes y continuamente actualizados diseñados para garantizar que los Servicios estén libres de cualquier virus, malware, rutina de programa, dispositivo u otra característica no revelada (colectivamente, "Malware"), incluyendo, sin limitación, una bomba de tiempo, bloqueo de software, dispositivo de muerte súbita, lógica maliciosa, gusano, caballo de Troya o trampilla, que sea capaz de eliminar, deshabilitar, desactivar, corromper, dañar, perjudicar, interrumpir, modificar, borrar, interferir con, o de otra manera dañar o proporcionar acceso no autorizado a los Datos, o a la otra información o datos, hardware, máquinas virtuales, contenedores, programas, códigos, recursos o bases de datos de BigID o de cualquier otra parte.
3. El Proveedor realizará análisis de vulnerabilidades/pruebas de penetración de los Servicios al menos cada seis meses y contratará a un proveedor externo de confianza para que las realice al menos una vez al año. Si se le solicita, el Proveedor proporcionará resúmenes de las evaluaciones de vulnerabilidades o cartas de certificación, así como una descripción de los planes de acción correctiva. BigID podrá realizar o contratar a un tercero para que realice análisis de vulnerabilidades/pruebas de penetración de los Servicios.
4. El Proveedor clasificará el malware y las vulnerabilidades de seguridad de acuerdo con las metodologías de clasificación de riesgos estándar de la industria (como NIST) y tomará las medidas oportunas para mitigar los riesgos antes de poder proporcionar un parche de seguridad. El Proveedor instalará una versión de parche de seguridad adecuada y probada que elimine o remedie por completo el malware y las vulnerabilidades identificadas en los próximos 7 días para riesgo crítico, 30 días para riesgo alto, 90 días para riesgo moderado o 180 días para riesgo bajo. Si los datos se han visto afectados negativamente por el malware o una vulnerabilidad, el Proveedor colaborará con BigID en la divulgación de información necesaria o apropiada, así como en otras medidas de investigación, corrección y monitoreo.

3. Notificaciones de infracciones 
El Proveedor deberá, tan pronto como sea razonablemente posible y en un plazo máximo de cuarenta y ocho (48) horas tras tener conocimiento de cualquier Violación de la Seguridad de Datos, notificar a BigID por correo electrónico a [email protected] sobre cualquier Violación de la Seguridad de Datos, incluyendo todos los hechos relevantes que conozca o tenga motivos para creer que se han producido o que pueda haberse producido, o que esté investigando. El Proveedor deberá asistir y cooperar con BigID en cualquier divulgación necesaria o apropiada, así como en otras medidas de investigación, reparación y supervisión derivadas de cualquier Violación de la Seguridad de Datos. En este documento, "Violación de la Seguridad de Datos" se refiere a cualquier divulgación, acceso, adquisición, procesamiento, transferencia o eliminación no autorizados, reales o razonablemente sospechados, de Datos debido a una violación de la seguridad, pérdida o corrupción, o cualquier otra circunstancia.

4. Respuestas a incidentes de seguridad
El Proveedor deberá mantener un equipo de respuesta a incidentes de seguridad compuesto por personal cualificado, capaz de reunirse con poca antelación para abordar cualquier incidente y de centrarse en la implementación de procedimientos en caso de cualquier Violación de la Seguridad de los Datos o de cualquier aplicación o sistema directamente relacionado con el acceso, procesamiento, almacenamiento, comunicación o transmisión de Datos. Dichos procedimientos incluirán: (a) evaluar el riesgo que supone el incidente y determinar quiénes pueden verse afectados; (b) la elaboración de informes internos, así como el proceso de "Notificación de Violaciones" descrito anteriormente; (c) mantener un registro permanente de las acciones realizadas y de quién las realizó, para facilitar el análisis posterior y las posibles acciones legales; (d) realizar y documentar el análisis de la causa raíz y el plan de remediación; y (e) la remediación completa y oportuna de la Violación de la Seguridad de los Datos y de cualquier violación relacionada de cualquier aplicación o sistema.

5. Otras notificaciones 

El Proveedor deberá, tan pronto como sea razonablemente posible y sin demoras indebidas después de que el Proveedor tenga conocimiento, y no más de 48 horas, notificar a BigID por correo electrónico a [email protected] de:

1. Cualquier solicitud de acceso o información sobre Datos de cualquier funcionario gubernamental (incluida cualquier agencia de protección de datos o agencia del orden público), así como cualquier solicitud, queja u otra comunicación relativa a la información personal de una persona recibida de dicha persona cuya información personal esté o pueda estar incluida en los Datos. El Proveedor entiende que no está autorizado a responder a estas solicitudes, salvo autorización explícita de BigID, salvo que se trate de una solicitud recibida de una agencia gubernamental con una citación o documento legal similar que obligue al Proveedor a divulgar dicha información, siempre que el Proveedor notifique a BigID con antelación, siempre que sea posible.
2. Cualquier malware (según se define anteriormente) o vulnerabilidad dentro de los Servicios o la red o sistemas relacionados que almacenan y procesan Datos que presente un riesgo para la seguridad de los Datos o que pueda tener un impacto adverso en BigID o sus clientes o usuarios finales.

6. Cifrado
El Proveedor deberá cifrar todos los registros y archivos que contengan Datos, tanto en reposo como en tránsito, utilizando un estándar de cifrado industrial actualizado para datos confidenciales e información personal.

7. Verificación de antecedentes y capacitación en seguridad 
El Proveedor deberá obtener verificaciones de antecedentes apropiadas para todas las personas (empleados, contratistas o subcontratistas, etc.) que puedan tener acceso a los Datos o a cualquier entorno de desarrollo o prueba o código fuente (“Personas aplicablesEl Proveedor no permitirá que ninguna Persona Aplicable tenga acceso a los Datos, entornos de desarrollo o prueba, ni al código fuente, si dichas partes no superan la verificación de antecedentes. Sin perjuicio de lo anterior, en la medida en que sea compatible con la legislación aplicable, el Proveedor no permitirá que ninguna Persona Aplicable tenga dicho acceso si ha sido condenada, se ha declarado culpable o nolo contendere por un delito grave o menor relacionado con robo, deshonestidad, fraude o delitos informáticos durante los siete (7) años anteriores. El Proveedor proporcionará un nivel adecuado de supervisión, orientación y capacitación sobre las salvaguardas del programa de seguridad de la información y la importancia de la seguridad de la información personal a las Personas Aplicables antes de conceder dicho acceso y, posteriormente, anualmente.

8. Continuidad de las operaciones comerciales
El Proveedor deberá contar con planes de continuidad de negocio y recuperación ante desastres establecidos para mantener un nivel de servicio acorde con sus obligaciones en virtud del Acuerdo y los estándares del sector, incluyendo, entre otros, procedimientos para realizar copias de seguridad diarias de todos los Datos. El Proveedor deberá probar periódicamente, y en cualquier caso al menos una vez al año, de forma completa y satisfactoria dichos planes de continuidad de negocio y recuperación ante desastres. Si se le solicita, el Proveedor deberá proporcionar los registros de actividad de las pruebas y los resultados de las mismas para su revisión por parte de BigID. Los conjuntos de datos de las copias de seguridad deberán estar protegidos adecuadamente mediante controles de acceso rigurosos, cifrado y los demás requisitos de este Anexo.

9. Proveedor de centro de datos independiente u otros subcontratistas (si corresponde) 
Si el Proveedor utiliza el centro de datos de un tercero para alojar sus Servicios, o un subcontratista para proporcionar cualquier parte de los Servicios o servicios de soporte relacionados, deberá asegurarse de que dicho tercero cumpla con todos los requisitos aquí aplicables. El Proveedor notificará a BigID de inmediato si el proveedor externo incumple los requisitos aquí establecidos, incluyendo, entre otros, el incumplimiento de las certificaciones de seguridad, validaciones, auditorías u otras credenciales de terceros.

10. Seguridad física y ambiental

1. El Proveedor deberá establecer un perímetro de seguridad alrededor de las instalaciones de procesamiento de datos y el entorno de trabajo físico donde se almacenan o procesan los Datos, que incluye (ai) controles de entrada física para garantizar razonablemente que solo personas autorizadas tengan acceso a dichas instalaciones y (bii) controles ambientales para proteger razonablemente contra daños por incendios, inundaciones y otras formas de desastres naturales o provocados por el hombre.
2. El paso a través de las barreras físicas se establecerá mediante validación electrónica de control de acceso (p. ej., sistemas de acceso con tarjeta, etc.) o mediante la validación del personal de seguridad (p. ej., servicio de seguridad contratado o interno, recepcionista, etc.). Los empleados y terceros deberán llevar consigo credenciales de identificación con fotografía durante su estancia en las instalaciones.
3. Los visitantes deberán registrarse con el personal designado, mostrar una identificación apropiada y se les asignará una credencial de visitante que deberán usar mientras se encuentren en cualquiera de las instalaciones, y deberán ser escoltados continuamente por empleados o contratistas autorizados mientras visiten las instalaciones.
4. El Proveedor solo proporcionará acceso a las instalaciones a aquellos empleados y terceros que tengan una necesidad comercial legítima de dichos privilegios. Cuando un empleado o tercero deje de tener dicha necesidad comercial para los privilegios de acceso que le fueron asignados, estos se revocarán de inmediato, incluso si el empleado o tercero continúa siendo empleado o mantiene una relación con el Proveedor.
5. El Proveedor deberá mantener en todas las instalaciones de procesamiento de datos mecanismos de detección y extinción de incendios, humo, calor y agua. Se establecerán suficientes sistemas de energía de respaldo para garantizar un suministro eléctrico ininterrumpido, según corresponda.

11. Restricciones de acceso a los datos; controles
Los Datos son estrictamente confidenciales. En la medida en que BigID permita al Proveedor, a su personal, contratistas o subcontratistas acceder a cualquier Dato, se aplicarán las siguientes disposiciones:

1. El Proveedor pondrá los Datos a disposición únicamente de sus empleados o terceros que tengan una necesidad comercial legítima de acceder a ellos para ayudarle a cumplir con sus obligaciones contractuales con BigID, que estén sujetos a obligaciones de confidencialidad, privacidad y seguridad de datos legalmente exigibles, al menos equivalentes a las estipuladas en el Acuerdo y este Anexo, y que hayan recibido formación sobre el tratamiento adecuado de los Datos. Además, se deberá obtener el consentimiento de BigID cada vez que se proporcione acceso a los Datos a una persona en cuestión. El consentimiento deberá constar por escrito (por ejemplo, por correo electrónico) o otorgarse al iniciar BigID una sesión de pantalla compartida.
2. El Proveedor deberá contar con un proceso formal de gestión del acceso de usuarios, mediante el cual el acceso se solicita formalmente, se aprueba tras la verificación de identidad y se otorga según la necesidad de información, utilizando el principio de privilegio mínimo. El acceso a los Datos estará restringido únicamente a usuarios y cuentas de usuario activos. El acceso a los empleados despedidos o que ya no lo necesiten se revocará de inmediato. Se establecerán procesos para revisar periódicamente el acceso de los usuarios a las instalaciones y sistemas del Proveedor que almacenan y procesan Datos.
3. El proveedor deberá utilizar protocolos seguros de autenticación de usuarios, incluida la asignación de identificaciones únicas y contraseñas seguras a cada persona con acceso a la computadora.
   1. Las contraseñas no deben ser contraseñas predeterminadas proporcionadas por el proveedor y deben guardarse en una ubicación y/o formato que no comprometa la seguridad de los datos que protegen.
   2. La visualización e impresión de contraseñas debe ocultarse, suprimirse u ocultarse de cualquier otra forma, de modo que terceros no autorizados no puedan verlas ni recuperarlas posteriormente. Las contraseñas no deben registrarse ni capturarse mientras se introducen. Las contraseñas de usuario deben almacenarse y transmitirse únicamente con protección criptográfica.
   3. La contraseña para cada tecnología debe elegirse para mitigar los riesgos asociados con las vulnerabilidades conocidas en la longitud de las contraseñas, de acuerdo con las mejores prácticas estándar de la industria. En ningún caso, la longitud de la contraseña podrá ser inferior a doce (12) caracteres. El nivel de complejidad de la contraseña no debe ser inferior a 3 de las 4 clases de caracteres y debe incluir opciones de clases de caracteres como mayúsculas, minúsculas, dígitos numéricos o caracteres especiales (como $, &, #, @, etc.).
   4. Cuando la tecnología específica implementada lo permita, se debe implementar un mecanismo para evitar la reutilización de al menos las últimas veinticuatro (24) contraseñas. Las contraseñas deben cambiarse después de incidentes y, en caso contrario, según las mejores prácticas del sector.
4. Los ID de usuario y las contraseñas no deben compartirse sin una aprobación formal de BigID para los sistemas que almacenan, acceden y transmiten datos.
5. El acceso a la identificación del usuario se bloqueará tras cinco (5) intentos fallidos de acceso. Se establecerán tiempos de inactividad no superiores a 30 minutos para todos los sistemas y aplicaciones que almacenen datos.
6. El Proveedor establecerá un monitoreo razonable de los sistemas para detectar el uso o acceso no autorizado a los Datos. Se registrarán las infracciones de inicio de sesión, ya sean reales o intentadas, y las infracciones de acceso. Estos registros se protegerán durante su vigencia para garantizar la confidencialidad e integridad, y se conservarán durante la vigencia del Acuerdo. Si se solicita, los registros se proporcionarán a BigID en un formato electrónico seguro.
7. El acceso remoto a la red, los sistemas y las aplicaciones del Proveedor que almacenan Datos se establecerá mediante una autorización formal mediante autenticación robusta. La actividad de acceso remoto se registrará y supervisará. El acceso remoto a la red de BigID solo se establecerá previa solicitud y de acuerdo con las políticas de BigID.
8. El Proveedor deberá mantener registros de todas las solicitudes de acceso y registros de las actividades de acceso para todos los sistemas que almacenan, acceden, procesan y transmiten Datos durante un periodo mínimo de 180 días. Si se le solicita, el Proveedor deberá proporcionar dichos registros a BigID para su revisión.
9. El proveedor garantizará la separación de funciones para la administración de la seguridad, la revisión de acceso y la investigación de violaciones de seguridad. El proveedor establecerá una separación entre el personal de desarrollo y el de operaciones, así como otras funciones potencialmente conflictivas.
10. El almacenamiento, alojamiento y procesamiento de datos deben estar lógicamente separados de los de otras empresas a las que presta servicios el Proveedor. En los casos en que BigID autorice un área de trabajo compartida de almacenamiento, alojamiento o procesamiento, el Proveedor deberá actuar con la debida diligencia para evitar la divulgación involuntaria de datos.
11. El proveedor deberá aplicar políticas de escritorio limpio y pantalla limpia para asegurarse de que los datos no queden desatendidos en ningún lugar público en ningún momento.

12. Seguridad de la red

1. El Proveedor deberá utilizar versiones actualizadas de productos de seguridad del sistema, como firewalls, servidores proxy, firewalls de aplicaciones web e interfaces. Dichos productos deben incluir protección contra malware, parches y definiciones de virus actualizados, y deben estar configurados para recibir las actualizaciones de seguridad más recientes periódicamente. El Proveedor deberá tener instalados y en funcionamiento programas antivirus y antimalware actualizados para detectar y eliminar rápidamente virus y malware en todos los equipos portátiles, servidores y redes.
2. El proveedor deberá contar con un proceso de gestión de parches que incluya probar los parches antes de la instalación en todos los sistemas utilizados para almacenar, acceder y transmitir datos o que se utilizan para prestar servicios a BigID.
3. El proveedor deberá garantizar que los administradores del sistema mantengan información completa, precisa y actualizada sobre la configuración de todos los sistemas de información utilizados para almacenar, acceder y transmitir datos.
4. El Proveedor deberá mantener procesos de detección y/o prevención de intrusiones y de monitoreo y respuesta de manera que identifiquen las vulnerabilidades y los riesgos internos y externos que podrían resultar en la divulgación no autorizada, el uso indebido, la alteración o la destrucción de Datos o sistemas de información que se utilizan para brindar Servicios a BigID.
5. El proveedor deberá suscribirse a servicios de inteligencia sobre vulnerabilidades o a avisos de seguridad de la información y otras fuentes relevantes que proporcionen información actualizada sobre las vulnerabilidades del sistema.
6. El Proveedor realizará análisis de vulnerabilidades/pruebas de penetración trimestrales de su red y contratará a un proveedor de servicios externo de confianza para que realice dichas pruebas al menos una vez al año. Si se le solicita, el Proveedor proporcionará resúmenes de las evaluaciones de vulnerabilidades o cartas de certificación, así como una descripción de los planes de acción correctiva. BigID podrá realizar o contratar a un tercero para que realice análisis de vulnerabilidades/pruebas de penetración de los Servicios.
7. El Proveedor clasificará las vulnerabilidades de seguridad de la red según las metodologías de clasificación de riesgos estándar de la industria y tomará las medidas oportunas para mitigar los riesgos antes de obtener e instalar un parche de seguridad. El Proveedor instalará una versión de parche de seguridad adecuada y probada que elimine o remedie por completo las vulnerabilidades de red identificadas en los próximos 7 días para riesgo crítico, 30 días para riesgo alto, 60 días para riesgo moderado o 90 días para riesgo bajo. Si los Datos se han visto afectados negativamente por la explotación de una vulnerabilidad de la red, el Proveedor asistirá y cooperará con BigID en cualquier divulgación necesaria o apropiada, así como en otras medidas de investigación, reparación y monitoreo.
8. El proveedor deberá mantener registros de red y acceso remoto durante al menos seis (6) meses y ponerlos a disposición de BigID cuando se lo solicite.

13. Gestión de activos 
El proveedor debe tener y utilizar un proceso y herramientas documentados para rastrear los activos físicos y de datos utilizados en el desarrollo, la prueba o la prestación de los Servicios, incluidas las personas adecuadas responsables de cada activo.

14. Devolución y destrucción de datos 
A discreción escrita de BigID, dentro de los treinta (30) días posteriores a la rescisión de este Acuerdo, el Proveedor deberá, a su cargo, (a) entregar de forma segura todos los Datos a BigID en un formato común estándar de la industria, o (b) gestionar la destrucción segura y permanente de todos los Datos de los Servicios, así como de todo el hardware y otros recursos relacionados, incluyendo, entre otros, las copias de seguridad y cualquier medio de almacenamiento. A solicitud de BigID, el Proveedor deberá proporcionar una confirmación por escrito de la devolución y destrucción de los Datos.

15. Auditorías e inspecciones

El Proveedor deberá, a su cargo, someterse a una auditoría o atestación de terceros del marco de seguridad estándar de la industria (por ejemplo, SOC 2, Tipo 2) realizada por una organización independiente y deberá proporcionar a BigID, previa solicitud, un informe elaborado al menos una vez al año como verificación y garantía de la efectividad de los controles internos sobre el manejo de Datos. El alcance de dicha auditoría incluirá el entorno utilizado para procesar Datos y los sistemas host que almacenan, acceden y transmiten Datos. La auditoría debe cubrir, como mínimo, una prueba de efectividad de los controles internos en torno a: (i) seguridad física del centro de datos y controles ambientales; (ii) seguridad del personal; (iii) controles de acceso de usuarios lógicos y físicos; (iv) segregación de funciones; (v) seguridad de la infraestructura; (vi) operaciones de seguridad; (vii) gestión de incidentes de seguridad de la información; (viii) gestión de cambios; (ix) controles de monitoreo y revisión; (x) controles de aplicaciones; y (xi) continuidad del negocio. BigID puede rescindir el Acuerdo total o parcialmente sin ninguna responsabilidad si dicho informe de auditoría identifica fallas materiales y el Proveedor no repara dichas fallas materiales dentro de los treinta (30) días siguientes a la recepción de la notificación de BigID requiriendo al Proveedor que lo haga; en tal caso, el Proveedor deberá proporcionar un reembolso prorrateado de cualquier tarifa prepaga.

BigID podrá exigir al Proveedor que complete de forma precisa y completa un formulario estándar de cuestionario de seguridad de datos anualmente, o con mayor frecuencia en caso de una Violación de la Seguridad de Datos. Además, en caso de una Violación de la Seguridad de Datos, el Proveedor se compromete a proporcionar a BigID copias o información razonable sobre su programa de seguridad de la información escrito. BigID también tendrá derecho a realizar (o a que un tercero profesional realice) inspecciones o auditorías razonables de sus protocolos de seguridad de la información en sus instalaciones donde se procesan los Datos o donde se alojan los sistemas que almacenan, acceden y transmiten Datos. El Proveedor se compromete a cooperar con BigID en dichas inspecciones o auditorías. BigID se esforzará por realizar dichas inspecciones o auditorías de forma que no interfieran injustificadamente con sus operaciones comerciales. Si los resultados de una inspección o auditoría revelan o indican problemas o inquietudes de seguridad, BigID detallará dichos resultados en una notificación al Proveedor y colaborará con él para identificar las maneras de corregir los problemas y abordar las inquietudes a satisfacción razonable de BigID. En el caso de que el Proveedor no pueda corregir dichos problemas a satisfacción razonable de BigID, BigID tendrá el derecho de rescindir este Acuerdo inmediatamente; en tal caso, el Proveedor deberá proporcionar un reembolso prorrateado de cualquier tarifa prepaga.

EN TESTIMONIO DE LO CUAL, las Partes han hecho que este Addendum y los Anexos adjuntos se ejecuten a continuación por sus firmantes debidamente autorizados a partir de la Fecha de Entrada en Vigencia del Addendum:

BIGID, INC.

Nombre: ______________________________

Título: ______________________________

Contacto: _____________________________

Fecha: _______________________________

[PROVEEDOR]

Nombre: ______________________________

Título: ________________________________

Contacto: _____________________________

Fecha: ________________________________