Acuerdo de procesamiento de datos

Todo lo que necesita saber sobre nuestro Acuerdo de Procesamiento de Datos.

GDPR - Acuerdo de procesamiento de datos

Este contrato está escrito en Inglés. Hasta el punto que si alguna versión traducida de este contrato entra en conflictos con la versión en Inglés, la versión en Inglés predominará.

Este Acuerdo de procesamiento de datos ("DPA") refleja el acuerdo entre Intuitive Security Systems Pty Ltd ("ISS") y usted (denominados colectivamente las "Partes") con respecto a los términos que rigen el procesamiento de datos personales conforme a Intuitive Password Términos del servicio (el" ToS ").

Este DPA es una enmienda al ToS y entra en vigencia a partir de su incorporación al ToS, cuya incorporación puede especificarse en un acuerdo de compra ("Pedido") o una modificación ejecutada al ToS. Una vez incorporado al ToS, el DPA formará parte del ToS. Con la incorporación, usted reconoce que ISS es un proveedor de seguridad con cero conocimiento. Solo el usuario de Intuitive Password tiene control total sobre el cifrado y descifrado de los datos almacenados en sus cuentas. Además, usted reconoce que ISS está certificado como SOC 2 Tipo 2 compatible.

En todos los casos, Intuitive Password ("Procesador"), o un tercero que actúa en nombre del Procesador, actúa como el procesador de Datos Personales y usted ("Controlador") sigue siendo el controlador de los Datos Personales. El término de esta DPA seguirá el término de la ToS. Los términos no definidos de otra manera en este documento tendrán el significado tal como se establece en el ToS.

Este DPA incluye:

1 Cláusulas contractuales estándar, adjuntas a este como ANEXO 1.

A. Apéndice 1 de las cláusulas contractuales estándar, que incluye datos específicos sobre los datos personales transferidos por el exportador de datos al importador de datos.

B. El apéndice 2 de las cláusulas contractuales estándar, que incluye una descripción de las medidas de seguridad técnicas y organizativas implementadas por el importador de datos tal como se hace referencia.

2 Lista de subcontratistas, adjunta a la presente como ANEXO 2.

1. Definiciones

Datos personales significa cualquier elemento individual de información relacionado con las circunstancias personales o materiales de una persona identificada o identificable.

Procesamiento significa el procesamiento de Datos Personales en nombre, que abarca el almacenamiento, modificación, transferencia, bloqueo o borrado de datos personales por parte del procesador que actúa en nombre del Controlador.

Instrucción significa la instrucción escrita, emitida por Controller to Processor, y la dirección de la misma para realizar una acción específica con respecto a los Datos Personales (incluyendo, pero no limitado a, despersonalización, bloqueo, eliminación, puesta a disposición). Las instrucciones se especificarán inicialmente en el ToS y pueden, eventualmente, modificarse, amplificarse o reemplazarse por el controlador en instrucciones escritas por separado (instrucciones individuales).

2. Alcance y responsabilidad

El procesador procesará los datos personales en nombre del controlador. El procesamiento incluirá las acciones que se especifiquen en el ToS y una orden. Dentro del alcance del ToS, el Controller será el único responsable de cumplir con los requisitos legales relacionados con la protección de datos, en particular con respecto a la transferencia de Datos Personales al Procesador y al Tratamiento de Datos Personales (actuando como "órgano responsable" como se define en Sección 3, párrafo 7, Ley Federal de Protección de Datos de Alemania (BDSG) o una disposición correspondiente de la ley nacional de protección de datos, que de otro modo sería aplicable.

Con base en esta responsabilidad, el Controlador tendrá derecho a exigir la rectificación, eliminación, bloqueo y puesta a disposición de los Datos Personales durante y después del plazo de los TdC de acuerdo con las especificaciones adicionales de dicho acuerdo sobre devolución y eliminación de datos personales.

Las reglamentaciones de este DPA se aplicarán igualmente si las pruebas o el mantenimiento de procesos automáticos o del equipo de procesamiento se realizan en nombre del Controlador, y no se puede excluir el acceso a los Datos personales en dicho contexto.

3. Obligaciones del procesador

El procesador debe recopilar, procesar y usar Datos personales solo dentro del alcance de las Instrucciones del controlador. Si el Procesador considera que una instrucción del Controlador infringe la BDSG u otras disposiciones de protección de datos, deberá señalar esto al principal sin demora.

Dentro del área de responsabilidad del Procesador, el Procesador debe estructurar la organización corporativa interna del Procesador para garantizar el cumplimiento de los requisitos específicos de la protección de los Datos Personales. El Procesador tomará las medidas técnicas y organizativas adecuadas para proteger adecuadamente los Datos Personales del Controlador contra abusos y pérdidas de acuerdo con los requisitos de la Ley Federal Alemana de Protección de Datos (Sección 9 BDSG) o una disposición correspondiente de la ley nacional de protección de datos aplicable. Tales medidas a continuación incluirán, pero no estarán limitadas a:

1 La prevención de que personas no autorizadas tengan acceso a los sistemas de procesamiento de datos personales (control de acceso físico).

2 La prevención del uso de sistemas de procesamiento de datos personales sin autorización (control de acceso lógico).

3 Garantizar que las personas autorizadas a utilizar un sistema de procesamiento de datos personales obtengan acceso únicamente a los datos personales a los que tienen derecho de acceder de acuerdo con sus derechos de acceso, y que, durante el procesamiento o uso y después del almacenamiento, los datos personales no puedan leerse , copiado, modificado o eliminado sin autorización (control de acceso a datos).

4 Garantizar que los datos personales no puedan leerse, copiarse, modificarse o eliminarse sin autorización durante la transmisión, el transporte o el almacenamiento electrónicos en medios de almacenamiento, y que las entidades objetivo para cualquier transferencia de datos personales mediante instalaciones de transmisión de datos puedan establecerse y verificarse (datos control de transferencia).

5 Asegurar el establecimiento de una pista de auditoría para documentar si, y por quién, se han ingresado, modificado o eliminado los Datos Personales en los sistemas de Procesamiento de Datos Personales (control de entrada).

6 Garantizar que los datos personales se procesen únicamente de acuerdo con las instrucciones (control de instrucciones).

7 Garantizar que los datos personales estén protegidos contra la destrucción o pérdida accidental (control de disponibilidad).

8 Asegurar que los datos personales recopilados para diferentes propósitos se puedan procesar por separado (control de separación).

Una medida como se menciona en lit. b d arriba se aplicarán, en particular, pero no se limitarán a, el uso de tecnología de encriptación avanzada para el acceso del cliente. Se adjuntará a este DAP un resumen de las medidas técnicas y organizativas enumeradas anteriormente como apéndice.

A solicitud del Contralor, el Procesador deberá proporcionar un programa actual de protección y seguridad de Datos Personales que cubra el Procesamiento a continuación.

A solicitud del Contralor, y salvo que el Controlador pueda obtener dicha información directamente, el Procesador deberá proporcionar toda la información necesaria para compilar el resumen definido en la Sesión 4g, párr. 2 oración 1 BDSG o una disposición correspondiente de la ley nacional de protección de datos aplicable.

El procesador garantizará que todo el personal encargado de los Datos personales del responsable del tratamiento se haya comprometido a cumplir el principio de confidencialidad de datos de conformidad con la sesión 5 BDSG (o una disposición correspondiente de la ley nacional de protección de datos aplicable) y haya recibido las instrucciones regulaciones de la BDSG o la ley nacional de protección de datos aplicable. El compromiso de mantener el secreto continuará después de la terminación de las actividades antes mencionadas.

El Procesador deberá designar un oficial de protección de datos, si esto es legalmente requerido y, a solicitud del Controlador, el Procesador deberá notificar al Controlador los detalles de contacto del funcionario de protección de datos.

El Procesador deberá, sin demora indebida, informar al Controlador en caso de una interrupción grave de las operaciones o violaciones por parte del Procesador o las personas empleadas por el mismo de las disposiciones para proteger los Datos Personales o de los términos especificados en este DPA. En tal caso, el Procesador implementará las medidas necesarias para asegurar los Datos Personales y para mitigar los posibles efectos adversos sobre los interesados ​​y acordará lo mismo con el Controlador sin demora indebida. El procesador apoyará al controlador para cumplir las obligaciones de divulgación del controlador según la sección 42a BDSG (o una disposición correspondiente de la ley nacional de protección de datos aplicable).

El controlador retendrá el título de cualquier medio portador proporcionado al procesador, así como cualquier copia o reproducción del mismo. El procesador almacenará dichos medios de forma segura y los protegerá contra el acceso no autorizado por parte de terceros. El Procesador deberá, a solicitud del Contralor, proporcionar al Controlador toda la información sobre los Datos Personales e información del Contralor. El procesador estará obligado a eliminar de forma segura cualquier prueba y material de desecho basado en una instrucción emitida por el controlador caso por caso. Cuando el Controlador así lo decida, el Procesador deberá entregar dicho material al Controlador o almacenarlo en nombre del Controlador.

El procesador estará obligado a auditarse y verificar el cumplimiento de las obligaciones mencionadas anteriormente y deberá mantener una documentación adecuada de dicha verificación.

4. Obligaciones del controlador

El controlador y el procesador serán responsables por separado de cumplir con las regulaciones legales de protección de datos que les sean aplicables.

El controlador deberá informar al Procesador sin demoras indebidas y exhaustivamente sobre cualquier error o irregularidad relacionada con las disposiciones legales sobre el Tratamiento de Datos Personales detectados durante la verificación de los resultados de dicho Procesamiento.

El controlador estará obligado a mantener el registro de acceso público como se define en la Sección 4g, párr. 2 oración 2 BDSG (o una disposición correspondiente de la ley nacional de protección de datos aplicable).

El controlador será responsable de cumplir con las obligaciones de informar derivadas de la Sección 42a BDSG o una disposición correspondiente de la ley nacional de protección de datos aplicable.

El controlador, al finalizar o expirar el ToS y mediante la emisión de una Instrucción, estipulará, dentro de un período de tiempo establecido por el Procesador, las medidas razonables para devolver el medio del soporte de datos o eliminar los datos almacenados.

Cualquier costo adicional que surja en relación con la devolución o eliminación de Datos Personales después de la finalización o vencimiento de los TdS correrá a cargo del Controlador.

5. Consultas por sujetos de datos al controlador

Cuando el Controlador, con base en la ley de protección de datos aplicable, esté obligado a proporcionar información a un individuo sobre la recopilación, procesamiento o uso de sus Datos Personales, el Procesador deberá ayudar al Controlador a poner esta información a disposición, siempre que: (i) El Controlador haya instruido al Procesador por escrito para hacerlo, y (ii) el controlador reembolsa al procesador los costos derivados de esta asistencia.

Cuando un sujeto de datos solicite al Procesador que corrija, elimine o bloquee Datos Personales, el Procesador remitirá dichos datos al Controlador.

6. Obligaciones de auditoría

El controlador deberá, antes del comienzo del procesamiento, y a intervalos regulares a partir de entonces, auditar las medidas técnicas y organizativas tomadas por el procesador y deberá documentar los resultados resultantes.

Para tal fin, el controlador puede;

1 Obtener información del procesador;

2 Solicitar al Procesador que presente a la Controladora una atestación o certificado existente por un experto profesional independiente;

3 Con un acuerdo anticipado razonable y oportuno, durante el horario comercial normal y sin interrumpir las operaciones comerciales del procesador, realice una inspección en el sitio de las operaciones comerciales del procesador o haga que la misma sea realizada por un tercero calificado que no sea competidor del procesador (según lo determine el procesador).

El procesador deberá, a solicitud del Contralor y dentro de un período de tiempo razonable, proporcionar al Controlador toda la información necesaria para dicha auditoría.

7. Subcontratistas

El Procesador tendrá derecho a subcontratar las obligaciones del Procesador definidas en el ToS a terceros únicamente con el consentimiento por escrito del Contralor.

El controlador consiente en la subcontratación del Procesador a las empresas afiliadas y terceros del Procesador, tal como se detalla en el Anexo 2, de las obligaciones contractuales del Procesador a continuación.

Si el Procesador tiene la intención de instruir subcontratistas que no sean las empresas enumeradas en el Anexo 2, el Procesador debe notificar al Controlador por escrito (correo electrónico a las direcciones de correo electrónico registradas en la información de la cuenta del Procesador para el Controlador es suficiente) y debe dar el Controlador la posibilidad de objetar contra la instrucción del subcontratista dentro de los 30 días posteriores a la notificación. La objeción debe basarse en motivos razonables (por ejemplo, si el Controlador demuestra que existen riesgos significativos para la protección de sus Datos personales en el subcontratista). Si el Procesador y el Controlador no pueden resolver dicha objeción, cualquiera de las partes podrá rescindir el ToS mediante notificación por escrito a la otra parte. El controlador recibirá un reembolso de cualquier tarifa prepaga pero no utilizada por el período posterior a la fecha de vigencia de la terminación.

Cuando el Procesador contrata subcontratistas, el Procesador estará obligado a transmitir las obligaciones contractuales del Procesador a los subcontratistas. La oración 1 se aplicará en particular, pero no se limitará a, los requisitos contractuales de confidencialidad, protección de datos y seguridad de datos estipulados entre las partes del ToS.

Cuando se use un subcontratista, se le debe otorgar al Controlador el derecho de supervisar e inspeccionar al subcontratista de acuerdo con este DAP y la Sección 11 BDSG junto con el artículo Nº 6 del Anexo a la Sección 9 BDSG (o de conformidad con la disposición correspondiente de la ley nacional de protección de datos aplicable). Esto también incluye el derecho del Controlador a obtener información del Procesador, previa solicitud por escrito, sobre el contenido del contrato y la implementación de las obligaciones de protección de datos dentro de la relación de subcontrato, cuando sea necesario inspeccionando los documentos contractuales relevantes.

Las disposiciones de esta Sección 7 se aplicarán también si se instruye a un subcontratista en un tercer país. El Controlador autoriza al Procesador a aceptar, en nombre y en nombre del Controlador, a un subcontratista que procesa o utiliza Datos Personales del Controlador fuera del EEE, para ingresar Cláusulas Contractuales Estándar de la UE para la Transferencia de Datos Personales a Procesadores Establecido en terceros países con fecha del 5 de febrero de 2010. Esto se aplica en consecuencia desde la fecha de esta autorización con respecto a las cláusulas contractuales estándar de la UE (procesadores) ya concluidas por el procesador con dichos subcontratistas.

8. Deberes para Informar, Forma Escrita Obligatoria, Elección de la Ley, Términos Adicionales

Cuando los Datos personales del Contralor estén sujetos a registro e incautación, una orden de embargo, confiscación durante procedimientos de quiebra o insolvencia, o eventos o medidas similares por parte de terceros mientras se procesan, el Procesador deberá informar al Controlador sin demora indebida. El Procesador deberá, sin demora indebida, notificar a todas las partes pertinentes en dicha acción, que los Datos Personales afectados están en propiedad exclusiva del Controlador y su área de responsabilidad, que los Datos Personales están a la sola disposición del Controlador, y que el Controlador es el organismo responsable en el sentido del BDSG (o una disposición correspondiente de la ley nacional de protección de datos aplicable).

Con respecto a las actualizaciones y cambios a este DPA, los términos que se aplican en la 'Enmienda; No se aplicará la sección 'Renuncia' de 'TÉRMINOS GENERALES' en el ToS.

En caso de conflicto, las regulaciones de este DPA prevalecerán sobre las regulaciones del ToS. Cuando las reglamentaciones individuales de esta DPA no sean válidas o no se puedan hacer cumplir, la validez y aplicabilidad de las demás reglamentaciones de esta DPA no se verán afectadas.

Las cláusulas contractuales estándar del Anexo 1 ("SCC") se aplicarán al procesamiento de Datos Personales por Procesador bajo el ToS. Tras la incorporación de este DPA en el ToS, las partes indicadas en la Sección 9 a continuación (Partes en este DPA) aceptan los SCC y todos los apéndices adjuntos al mismo. En caso de conflicto o incoherencia entre esta DPA y las cláusulas contractuales estándar del Anexo 1, prevalecerán los SCC.

Los SCC se aplican solo a los datos personales que se transfieren desde el Espacio Económico Europeo (EEE) a fuera del EEE, ya sea directamente o mediante transferencia, a cualquier país o destinatario: (i) no reconocido por la Comisión Europea como proveedor de un nivel adecuado de protección de datos personales (como se describe en la Directiva de protección de datos de la UE), y (ii) no cubiertos por un marco adecuado reconocido por las autoridades o tribunales pertinentes como un nivel adecuado de protección de datos personales, incluidos, entre otros, vinculantes reglas corporativas para procesadores.

9. Partes en este DPA

Este DPA es una enmienda y forma parte de los ToS. Tras la incorporación de este DPA en el Controlador ToS (i) y la entidad Intuitive Password que son partes en el ToS también son parte de este DPA, y (ii) Intuitive Security Systems Pty Ltd es parte de este DPA, pero solo con respeto a un acuerdo con los SCC de conformidad con la Sección 8 de la DPA, esta sección, Sección 9 de la DPA, y con los SCC mismos.

Si Intuitive Security Systems Pty Ltd no es parte en el ToS, la sección del ToS titulada 'Limitación de responsabilidad' se aplicará como entre el Controlador y Intuitive Security Systems Pty Ltd, y en tal respecto cualquier referencia a 'Intuitive Password', 'nosotros', 'nosotros' o 'nuestro 'incluirá Intuitive Security Systems Pty Ltd y la entidad Intuitive Password que es parte del ToS.

La entidad legal que acuerda a este DPA como Controlador declara que está autorizado para aceptar y participar en este DPA para, y está de acuerdo con este DPA únicamente en nombre del Controlador.

ANEXO 1: Cláusulas contractuales estándar (procesadores)

A los efectos del artículo 26, apartado 2, de la Directiva 95/46/CE, para la transferencia de datos personales a transformadores establecidos en terceros países que no garanticen un nivel adecuado de protección de datos.

El Cliente, tal como se define en los Términos del Servicio Intuitive Password (el "Exportador de Datos") y Intuitive Security Systems Pty Ltd, 542 Station Street, Box Hill, Victoria 3128, Australia (el "Importador de Datos"), cada uno una "parte"; juntas 'las partes', han acordado las siguientes Cláusulas Contractuales (las Cláusulas) con el fin de ofrecer salvaguardias adecuadas con respecto a la protección de la privacidad y los derechos y libertades fundamentales de las personas para la transferencia por parte del exportador de datos al importador de la información datos personales especificados en el Apéndice 1.

Cláusula 1: Definiciones

Para los propósitos de las Cláusulas:

1 «Datos personales», «categorías especiales de datos», «proceso / procesamiento», «responsable del tratamiento», «responsable del tratamiento», «sujeto de datos» y «autoridad de control» tendrán el mismo significado que en la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, sobre la protección de las personas físicas en relación con el tratamiento de datos personales y la libre circulación de dichos datos;

2 'El exportador de datos' significa el controlador que transfiere los datos personales;

3 «El importador de datos» es el procesador que acepta recibir de los datos personales del exportador de datos destinados a su tratamiento después de la transferencia, de conformidad con sus instrucciones y los términos de las cláusulas, y que no está sujeto al sistema de un tercer país que garantice una adecuada protección en el sentido del artículo 25, apartado 1, de la Directiva 95/46/CE;

4 «El subprocesador»: cualquier procesador contratado por el importador de datos o por cualquier otro subprocesador del importador de datos que acepte recibir del importador de datos o de cualquier otro subprocesador de los datos personales del importador de datos destinados exclusivamente a actividades de procesamiento que se llevarán a cabo. nombre del exportador de datos después de la transferencia de acuerdo con sus instrucciones, los términos de las Cláusulas y los términos del subcontrato por escrito;

5 «Ley de protección de datos aplicable»: la legislación que protege los derechos y libertades fundamentales de las personas y, en particular, su derecho a la intimidad con respecto al tratamiento de datos personales aplicable a un responsable del tratamiento en el Estado miembro en el que se encuentre el exportador establecido;

6 «Medidas de seguridad técnicas y organizativas»: aquellas medidas destinadas a proteger los datos personales contra la destrucción accidental o ilegal o la pérdida accidental, alteración, divulgación o acceso no autorizados, en particular cuando el procesamiento implica la transmisión de datos a través de una red y contra todos los demás actos ilícitos formas de procesamiento.

Cláusula 2: Detalles de la transferencia

Los detalles de la transferencia y, en particular, las categorías especiales de datos personales, cuando corresponda, se especifican en el Apéndice 1, que forma parte integrante de las Cláusulas.

Cláusula 3: cláusula de beneficiario de terceros

1 El sujeto de datos puede hacer cumplir en contra del exportador de datos esta Cláusula, Cláusula 4 (b) a (i), Cláusula 5 (a) a (e), y (g) a (j), Cláusula 6 (1) y (2) , Cláusula 7, Cláusula 8 (2) y Cláusulas 9 a 12 como beneficiario externo.

2 El sujeto de datos puede hacer cumplir contra el importador de datos esta Cláusula, Cláusula 5 (a) a (e) y (g), Cláusula 6, Cláusula 7, Cláusula 8 (2) y Cláusulas 9 a 12, en los casos en que el exportador de datos ha desaparecido o ha dejado de existir en la ley a menos que cualquier entidad sucesora haya asumido todas las obligaciones legales del exportador de datos por contrato o por el cumplimiento de la ley, como resultado de lo cual asume los derechos y obligaciones del exportador de datos, en en cuyo caso el sujeto de los datos puede aplicarlos contra dicha entidad.

3 El sujeto de datos puede hacer cumplir contra el subprocesador esta Cláusula, Cláusula 5 (a) a (e) y (g), Cláusula 6, Cláusula 7, Cláusula 8 (2) y Cláusulas 9 a 12, en los casos en que tanto el exportador de datos y el importador de datos ha desaparecido o dejado de existir en la ley o se ha declarado insolvente, a menos que cualquier entidad sucesora haya asumido todas las obligaciones legales del exportador de datos por contrato o por ley como resultado de lo cual asume los derechos y obligaciones del exportador de datos, en cuyo caso el interesado puede aplicarlas contra dicha entidad. Dicha responsabilidad de terceros del subprocesador se limitará a sus propias operaciones de procesamiento bajo las Cláusulas.

4 Las partes no se oponen a que un interesado esté representado por una asociación u otro órgano si el interesado lo desea expresamente y si lo permite la legislación nacional.

Cláusula 4: Obligaciones del exportador de datos

El exportador de datos acepta y garantiza:

1 Que el procesamiento, incluida la transferencia propiamente dicha, de los datos personales ha sido y continuará realizándose de conformidad con las disposiciones pertinentes de la ley de protección de datos aplicable (y, en su caso, ha sido notificado a las autoridades competentes de los Estados miembros Estado donde está establecido el exportador de datos) y no infringe las disposiciones pertinentes de ese Estado;

2 Que ha instruido y durante todo el tiempo de los servicios de procesamiento de datos personales instruirá al importador de datos para procesar los datos personales transferidos solo en nombre del exportador de datos y de acuerdo con la ley de protección de datos aplicable y las Cláusulas;

3 Que el importador de datos proporcionará garantías suficientes con respecto a las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 2 de este contrato;

4 Que después de evaluar los requisitos de la ley de protección de datos aplicable, las medidas de seguridad son adecuadas para proteger los datos personales contra destrucción accidental o ilegal o pérdida accidental, alteración, divulgación no autorizada o acceso, en particular cuando el procesamiento implica la transmisión de datos a través de un red, y frente a todas las demás formas ilegales de procesamiento, y que estas medidas garanticen un nivel de seguridad adecuado a los riesgos presentados por el procesamiento y la naturaleza de los datos que se protegerán teniendo en cuenta el estado de la técnica y el costo de su implementación;

5 Que garantizará el cumplimiento de las medidas de seguridad;

6 Que si la transferencia implica categorías especiales de datos, el interesado ha sido informado o será informado antes o tan pronto como sea posible después de la transferencia de que sus datos podrían ser transmitidos a un tercer país que no proporciona la protección adecuada en el sentido de la Directiva 95/46/CE;

7 Enviar cualquier notificación recibida del importador de datos o cualquier subprocesador de conformidad con la Cláusula 5 (b) y la Cláusula 8 (3) a la autoridad de supervisión de protección de datos si el exportador de datos decide continuar la transferencia o levantar la suspensión.

8 Poner a disposición de los interesados, previa solicitud, una copia de las Cláusulas, con la excepción del Apéndice 2, y una descripción resumida de las medidas de seguridad, así como una copia de cualquier contrato de servicios de subprocesamiento que deba realizarse de conformidad con las Cláusulas, a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso puede eliminar dicha información comercial;

9 Que en el caso de subprocesamiento, la actividad de procesamiento se lleva a cabo de acuerdo con la Cláusula 11 por un subprocesador que proporciona al menos el mismo nivel de protección para los datos personales y los derechos del interesado como importador de datos bajo las Cláusulas, y que asegurará el cumplimiento de la Cláusula 4 (a) a (i).

Cláusula 5: Obligaciones del importador de datos

El importador de datos acepta y garantiza:

1 Procesar los datos personales solo en nombre del exportador de datos y de acuerdo con sus instrucciones y las Cláusulas; si no puede proporcionar dicho cumplimiento por los motivos que sean, acepta informar oportunamente al exportador de datos de su incapacidad de cumplir, en cuyo caso el exportador de datos tiene derecho a suspender la transferencia de datos y / o rescindir el contrato;

2 Que no tiene motivos para creer que la legislación aplicable le impide cumplir las instrucciones recibidas del exportador de datos y sus obligaciones en virtud del contrato y que, en caso de un cambio en esta legislación que pueda tener un efecto adverso sustancial en las garantías y obligaciones provistas por las Cláusulas, notificará inmediatamente el cambio al exportador de datos tan pronto como tenga conocimiento, en cuyo caso el exportador de datos tiene derecho a suspender la transferencia de datos y / o rescindir el contrato;

3 Que ha implementado las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 2 antes de procesar los datos personales transferidos;

4 Que notificará sin demora al exportador de datos sobre cualquier solicitud jurídicamente vinculante de divulgación de los datos personales por una autoridad encargada de hacer cumplir la ley a menos que se prohíba, como una prohibición penal para preservar la confidencialidad de una investigación policial y cualquier intento accidental o no autorizado acceso, y cualquier solicitud recibida directamente de los interesados ​​sin responder a esa solicitud, a menos que se haya autorizado de otra manera para hacerlo;

5 Tratar pronta y adecuadamente todas las consultas del exportador de datos en relación con el procesamiento de los datos personales sujetos a la transferencia y atenerse al asesoramiento de la autoridad supervisora ​​con respecto al procesamiento de los datos transferidos;

6 A petición del exportador de datos, presente sus instalaciones de procesamiento de datos para la auditoría de las actividades de tratamiento cubiertas por las Cláusulas que deberá llevar a cabo el exportador de datos o un organismo de inspección compuesto por miembros independientes y en posesión de las cualificaciones profesionales requeridas por un deber de confidencialidad, seleccionado por el exportador de datos, según corresponda, de acuerdo con la autoridad supervisora;

7 Poner a disposición del interesado, previa solicitud, una copia de las Cláusulas o cualquier contrato existente para el subproceso, a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso puede eliminar dicha información comercial, con la excepción del Apéndice 2, que será reemplazado por una descripción resumida de las medidas de seguridad en aquellos casos en que el interesado no puede obtener una copia del exportador de datos;

8 Que en caso de subprocesamiento, haya informado previamente al exportador de datos y haya obtenido su consentimiento previo por escrito;

9 Que los servicios de procesamiento por parte del subprocesador se llevarán a cabo de acuerdo con la Cláusula 11;

10 Para enviar rápidamente una copia de cualquier acuerdo de subprocesador, concluye bajo las Cláusulas para el exportador de datos.

Cláusula 6: Responsabilidad

1 Las partes acuerdan que cualquier sujeto de datos que haya sufrido daños como resultado de cualquier incumplimiento de las obligaciones mencionadas en la Cláusula 3 o en la Cláusula 11 por cualquier parte o subprocesador tiene derecho a recibir una compensación del exportador de los datos por el daño sufrido.

2 Si un interesado no puede presentar una reclamación de indemnización de conformidad con el párrafo 1 contra el exportador de datos, que surja de un incumplimiento por parte del importador de datos o su subprocesador de cualquiera de sus obligaciones mencionadas en la cláusula 3 o en la cláusula 11, porque el exportador de datos ha desaparecido o dejado de existir por ley o se ha declarado insolvente, el importador de datos acepta que el interesado puede emitir un reclamo contra el importador de datos como si fuera el exportador de datos, a menos que una entidad sucesora haya asumido la totalidad obligaciones legales del exportador de datos por contrato o por ministerio de la ley, en cuyo caso el interesado puede hacer valer sus derechos contra dicha entidad.

3 El importador de datos no puede confiar en un incumplimiento por parte de un subprocesador de sus obligaciones para evitar sus propios pasivos.

4 Si un interesado no puede presentar un reclamo contra el exportador de datos o el importador de datos mencionado en los párrafos 1 y 2, que surja de un incumplimiento por parte del subprocesador de cualquiera de las obligaciones mencionadas en la Cláusula 3 o en la Cláusula 11 porque tanto el exportador de datos como el importador de datos han desaparecido o dejado de existir por ley o se han declarado insolventes, el subprocesador acuerda que el interesado puede emitir un reclamo contra el subprocesador de datos con respecto a sus propias operaciones de procesamiento bajo las Cláusulas como si era el exportador de datos o el importador de datos, a menos que cualquier entidad sucesora haya asumido todas las obligaciones legales del exportador o importador de datos por contrato o por ministerio de la ley, en cuyo caso el interesado puede hacer valer sus derechos contra dicha entidad. La responsabilidad del subprocesador se limitará a sus propias operaciones de procesamiento según las Cláusulas.

Cláusula 7: Mediación y jurisdicción

1 El importador de datos acepta que si el interesado invoca contra él derechos de terceros beneficiarios y / o reclamaciones por daños y perjuicios en virtud de las Cláusulas, el importador de datos aceptará la decisión del interesado:

A. Referir la disputa a la mediación, por una persona independiente o, cuando corresponda, por la autoridad supervisora;

B. Para remitir el conflicto a los tribunales del Estado miembro en el que está establecido el exportador de datos.

2 Las partes acuerdan que la elección hecha por el interesado no perjudicará sus derechos sustantivos o de procedimiento para buscar soluciones de conformidad con otras disposiciones del derecho nacional o internacional.

Cláusula 8: Cooperación con las autoridades de supervisión

1 El exportador de datos acuerda depositar una copia de este contrato ante la autoridad supervisora ​​si así lo solicita o si dicho depósito es requerido según la ley de protección de datos aplicable.

2 Las partes acuerdan que la autoridad supervisora ​​tiene derecho a realizar una auditoría del importador de datos y de cualquier subprocesador, que tiene el mismo alcance y está sujeto a las mismas condiciones que se aplicarían a una auditoría del exportador de datos según los datos aplicables. ley de protección

3 El importador de datos informará sin demora al exportador de datos acerca de la existencia de legislación aplicable a él o cualquier subprocesador que impida la realización de una auditoría del importador de datos, o de cualquier subprocesador, de conformidad con el párrafo 2. En tal caso, el exportador de datos tendrá derecho tomar las medidas previstas en la Cláusula 5 (b).

Cláusula 9: ley aplicable

Las cláusulas se regirán por la legislación del Estado miembro en el que esté establecido el exportador de datos.

Cláusula 10: Variación del contrato

Las partes se comprometen a no modificar o modificar las Cláusulas. Esto no impide que las partes agreguen cláusulas sobre asuntos comerciales cuando se requiera, siempre que no contradigan la Cláusula.

Cláusula 11: Subproceso

1 El importador de datos no subcontratará ninguna de sus operaciones de procesamiento realizadas en nombre del exportador de datos bajo las Cláusulas sin el previo consentimiento por escrito del exportador de datos. Cuando el importador de datos subcontrate sus obligaciones en virtud de las Cláusulas, con el consentimiento del exportador de datos, lo hará únicamente mediante un acuerdo por escrito con el subprocesador que impone las mismas obligaciones al subprocesador que se imponen al importador de datos en virtud del Cláusulas. Cuando el subprocesador no cumpla con sus obligaciones de protección de datos conforme a dicho acuerdo escrito, el importador de datos seguirá siendo totalmente responsable ante el exportador de datos por el cumplimiento de las obligaciones del subprocesador en virtud de dicho acuerdo.

2 El contrato escrito previo entre el importador de datos y el subprocesador también deberá prever una cláusula de beneficiario de terceros según lo establecido en la cláusula 3 para los casos en que el interesado no pueda presentar el reclamo de indemnización a que se refiere el párrafo 1 de la Cláusula 6 contra el exportador de datos o el importador de datos porque han desaparecido o han dejado de existir en la ley o se han declarado insolventes y ninguna entidad sucesora ha asumido todas las obligaciones legales del exportador o importador de datos por contrato o por ministerio de la ley. Dicha responsabilidad de terceros del subprocesador se limitará a sus propias operaciones de procesamiento bajo las Cláusulas.

3 Las disposiciones relativas a los aspectos de protección de datos para el subproceso del contrato a que se refiere el apartado 1 se regirán por la legislación del Estado miembro en el que esté establecido el exportador de datos.

4 El exportador de datos mantendrá una lista de los acuerdos de subprocesamiento celebrados en virtud de las Cláusulas y notificado por el importador de datos de conformidad con la Cláusula 5 (j), que se actualizará al menos una vez al año. La lista estará disponible para la autoridad supervisora ​​de protección de datos del exportador de datos.

Cláusula 12: Obligación tras la finalización de los servicios de procesamiento de datos personales

1 Las partes acuerdan que al finalizar la provisión de servicios de procesamiento de datos, el importador y el subprocesador de datos, a elección del exportador de datos, devolverán todos los datos personales transferidos y las copias de los mismos al exportador de datos o destruirán todos los datos personales transferidos. los datos personales y certificar al exportador de datos que lo ha hecho, a menos que la legislación impuesta al importador de datos le impida devolver o destruir la totalidad o parte de los datos personales transferidos. En ese caso, el importador de datos garantiza que garantizará la confidencialidad de los datos personales transferidos y no procesará activamente los datos personales transferidos.

2 El importador de datos y el subprocesador garantizan que, a petición del exportador de datos y / o de la autoridad de control, presentará sus instalaciones de procesamiento de datos para una auditoría de las medidas mencionadas en el párrafo 1.

APÉNDICE 1 de las cláusulas contractuales estándar

Este Apéndice forma parte de las Cláusulas. Los Estados miembros pueden completar o especificar, de acuerdo con sus procedimientos nacionales, cualquier información adicional necesaria que figura en este Apéndice.

1 Exportador de datos: El exportador de datos es el Cliente, tal como se define en los Términos de servicio de Intuitive Password.

2 Importador de datos: El importador de datos es Intuitive Security Systems Pty Ltd, un proveedor global de productos y servicios de encriptación de cero conocimiento de SaaS.

3 Sujetos de datos: Los datos personales transferidos se refieren a los usuarios finales del Exportador de datos, incluidos los empleados, contratistas y el personal de clientes, proveedores, colaboradores y subcontratistas. Los sujetos de datos también incluyen individuos que intentan comunicarse o transferir información personal a los usuarios finales del exportador de datos.

4 Categorías de datos: Los datos personales transferidos se refieren a datos personales, datos de entidades, datos de navegación (incluyendo información de uso del sitio web), datos de correo electrónico, datos de uso del sistema, datos de integración de aplicaciones y otros datos electrónicos enviados, almacenados o recibidos por los usuarios finales a través del Servicio de Suscripción .

5 Categorías especiales de datos (si corresponde): Las partes no anticipan la transferencia de categorías especiales de datos.

6 Operación de procesamiento: Con respecto a los datos personales de usuarios finales no alemanes como exportadores de datos, se aplicarán las siguientes disposiciones:

Los datos personales transferidos estarán sujetos a las siguientes actividades básicas de procesamiento:

Alcance del procesamiento: los datos personales pueden ser procesados ​​para los siguientes propósitos: (a) proporcionar el Servicio de Suscripción (que puede incluir la detección, prevención y resolución de problemas de seguridad y técnicos); (b) para responder a las solicitudes de soporte al cliente; y (c) cumplir las obligaciones bajo los Términos de Servicio de Intuitive Password. El Exportador de datos ordena al Importador de datos que procese datos personales en países en los que el Importador de datos o sus subprocesadores mantienen las instalaciones necesarias para proporcionar el Servicio de suscripción.

Plazo de procesamiento de datos: el procesamiento de datos será por el término especificado en los Términos de servicio de Intuitive Password. Para el término de los Términos de servicio de Intuitive Password, y por un período de tiempo razonable después de la expiración o terminación de los Términos de servicio de Intuitive Password, el Importador de datos proporcionará al Exportador de datos acceso y la capacidad de exportar el Exportador de datos. datos personales procesados ​​de conformidad con los Términos de servicio de Intuitive Password.

Eliminación de datos: durante el término de los Términos de servicio de Intuitive Password, el Importador de datos proporcionará al Exportador de datos la capacidad de eliminar los datos tal como se detalla en los Términos de servicio de Intuitive Password.

Acceso a los datos: durante el término de las Condiciones del servicio Intuitive Password, el Importador de datos proporcionará al Exportador de datos la capacidad de corregir, bloquear, exportar y eliminar los datos personales del Exportador de datos del Servicio de suscripción de conformidad con los Términos de servicio de Intuitive Password. .

Subprocesadores: el Importador de datos puede contratar subprocesadores para proporcionar partes del Servicio de suscripción. El Importador de datos garantizará que los subprocesadores solo accedan y usen los datos personales del Exportador de datos para proporcionar los productos y servicios del Importador de datos y no para ningún otro propósito. Con respecto a los datos personales de los usuarios finales alemanes como exportadores de datos, se aplican las siguientes disposiciones: Especificación de las actividades de procesamiento de acuerdo con la Sección 11 BDSG. Teniendo en cuenta los requisitos de la Sección 11 de la Ley Federal Alemana de Protección de Datos (Bundesdatenschutzgesetz - BDSG) sobre el procesamiento de datos encargado, las actividades de procesamiento se especifican de la siguiente manera:

Sujeto y duración de la comisión: los datos personales pueden ser procesados ​​para los siguientes propósitos: (a) proporcionar el Servicio de Suscripción (que puede incluir la detección, prevención y resolución de problemas de seguridad y técnicos); (b) para responder a las solicitudes de soporte al cliente; y (c) cumplir las obligaciones bajo los Términos de Servicio de Intuitive Password.

Las Cláusulas se han celebrado por la duración del acuerdo de servicio respectivo (Términos de Servicio de Intuitive Password).

A. Medidas técnicas y organizativas que se tomarán en virtud de la Sección 9 BDSG: consulte el tipo de datos y el grupo de personas afectadas por las descripciones incluidas en este Apéndice 1 bajo los títulos "Categorías de datos" y "Datos". El propósito del procesamiento es: (a) proporcionar el Servicio de Suscripción (que puede incluir la detección, prevención y resolución de problemas de seguridad y técnicos); (b) para responder a las solicitudes de soporte al cliente; y (c) cumplir las obligaciones bajo los Términos de Servicio de Intuitive Password.

B. Alcance, tipo y finalidad de la recopilación, el procesamiento o el uso planificados de los datos; el tipo de datos y el grupo de personas afectadas: El Importador de datos tomará las medidas técnicas y organizativas apropiadas para proteger adecuadamente los datos personales del exportador de datos contra el uso indebido y la pérdida de acuerdo con los requisitos de la Sección 9 BDSG. Ver el Apéndice 2 para más detalles.

C. Corrección, borrado y bloqueo de datos: cuando un sujeto de datos solicite al Importador de datos que corrija, elimine o bloquee datos, el Importador de datos remitirá dichos datos al exportador de datos. La eliminación, el bloqueo y la corrección de los datos personales por parte del Importador de datos solo se realizarán previa instrucción del exportador de datos.

D. Obligación del agente según la subsección 4 (de la Sección 11 BDSG), en particular los controles que se llevarán a cabo: ver el Apéndice 2 para más detalles. El Importador de datos ha obligado a sus empleados empleados en el procesamiento de datos a no recopilar, procesar o utilizar datos personales sin autorización (confidencialidad de los datos). Esta obligación continúa siendo válida después de la terminación de la respectiva relación laboral.

E. Derecho a emitir subcontratos: ver Cláusulas 5 (h) y 11 de las Cláusulas. El exportador de datos ya acepta subcontratar los procesadores de datos enumerados en el Anexo 2. Si el Importador de datos intenta instruir a subcontratistas que no sean las empresas enumeradas en el Anexo 2, el Importador de datos debe notificarlo al exportador de datos por escrito (correo electrónico a la dirección de correo electrónico) es) registrado en la información de la cuenta del Importador de Datos para el exportador de datos es suficiente) y debe dar al exportador de datos la posibilidad de objetar contra las instrucciones del subcontratista dentro de los 30 días posteriores a la notificación. La objeción debe basarse en motivos razonables (por ejemplo, si el exportador de datos demuestra que existen riesgos significativos para la protección de sus datos personales en el subcontratista). Si el Importador de datos y el exportador de datos no pueden resolver dicha objeción, cualquiera de las partes puede rescindir el ToS mediante notificación por escrito a la otra parte. El exportador de datos recibirá un reembolso de cualquier tarifa prepaga pero no utilizada para el período posterior a la fecha de vigencia de la terminación.

F. Derechos de control del Mandante y las obligaciones correspondientes del agente para tolerar y cooperar: Ver Cláusulas 5 (e) y (f) de las Cláusulas.

G. Violaciones por parte del agente o personas empleadas por él / ella de disposiciones para proteger datos personales o de términos especificados en la comisión que deben ser reportados: Ver Cláusula 5 (d) de las Cláusulas.

H. Alcance de la autoridad del director para emitir instrucciones al agente: los datos personales solo pueden ser procesados ​​por el importador de datos según las instrucciones del exportador de datos. Excepto cuando sea requerido por ley, los datos personales pueden procesarse o utilizarse para otro fin, incluida la divulgación a terceros, solo con la aprobación previa por escrito del exportador de datos. Las copias de los datos personales no se realizarán sin el consentimiento del exportador de datos, a excepción de las copias que son necesarias para el procesamiento o si se requiere cumplir con las obligaciones legales de retención.

I. Devolución de los medios de almacenamiento de datos y borrado de los datos almacenados por el agente una vez completada la comisión: el exportador de datos tendrá derecho a exigir la rectificación, eliminación, bloqueo y puesta a disposición de los datos personales durante y después del plazo del acuerdo de servicio respectivo (Términos de servicio de Intuitive Password) de acuerdo con las especificaciones adicionales de dicho acuerdo sobre devolución y eliminación de datos personales.

Apéndice 2 a las cláusulas contractuales estándar

Este Apéndice forma parte de las Cláusulas. Descripción de las medidas de seguridad técnicas y organizativas implementadas por el importador de datos de conformidad con las Cláusulas 4 (d) y 5 (c) (o documento / legislación adjunto):

Intuitive Password actualmente observa las prácticas de seguridad descritas en este Apéndice 2. Sin perjuicio de cualquier disposición contraria acordada por Data Exporter, Intuitive Password puede modificar o actualizar estas prácticas a su discreción siempre que tal modificación y actualización no den lugar a una degradación del material en el protección que ofrecen estas prácticas. Todos los términos en mayúscula no definidos de otra manera en el presente tendrán los significados que se establecen en los Términos de servicio de Intuitive Password.

1 Control de acceso

A. Prevención del acceso no autorizado al producto. Procesamiento subcontratado: Intuitive Password aloja su Servicio con proveedores de centros de datos externos con base en Australia. Además, Intuitive Password mantiene relaciones contractuales con los proveedores para proporcionar el Servicio. Intuitive Password depende de acuerdos contractuales, políticas de privacidad y programas de cumplimiento de proveedores para garantizar la protección de los datos procesados ​​o almacenados por estos proveedores.

Seguridad física y ambiental: Intuitive Password aloja su infraestructura de productos con proveedores de centros de datos subcontratados y con varios inquilinos. Los controles de seguridad física y ambiental se auditan para el cumplimiento de SOC 2 tipo II e ISO 27001, entre otras certificaciones.

Autenticación: Intuitive Password implementó una política de contraseña uniforme para sus productos de clientes. Los clientes que interactúan con los productos a través de la interfaz de usuario deben autenticarse antes de acceder a datos de clientes no públicos.

Autorización: los datos del cliente se almacenan en sistemas de almacenamiento de múltiples inquilinos a los que pueden acceder los Clientes a través de interfaces de usuario de aplicaciones y de programación de aplicaciones. Los clientes no tienen acceso directo a la infraestructura de aplicaciones subyacente. El modelo de autorización en cada uno de los productos de Intuitive Password está diseñado para garantizar que solo las personas apropiadamente asignadas puedan acceder a las funciones, vistas y opciones de personalización relevantes. La autorización de los conjuntos de datos se realiza a través de la validación de los permisos del usuario frente a los atributos asociados con cada conjunto de datos.

B. Prevención del uso no autorizado del producto. Intuitive Password implementa controles de acceso y capacidades de detección estándares de la industria para las redes internas que admiten sus productos.

Controles de acceso: los mecanismos de control de acceso a la red están diseñados para evitar que el tráfico de la red utilizando protocolos no autorizados llegue a la infraestructura del producto. Las medidas técnicas implementadas difieren entre los proveedores de centros de datos e incluyen implementaciones de nube privada virtual (VPC) y asignación de grupos de seguridad, junto con el cortafuegos empresarial tradicional y la asignación de red de área local virtual (VLAN).

Detección y prevención de intrusos: Intuitive Password implementó una solución de firewall de aplicaciones web (WAF) para proteger todos los sitios hospedados, así como el acceso al servicio Intuitive Password. El WAF está diseñado para identificar y prevenir ataques contra los servicios de red disponibles públicamente.

Análisis de código estático: se realizan revisiones de seguridad del código almacenado en los repositorios de código fuente de Intuitive Password, buscando las mejores prácticas de codificación y las fallas de software identificables.

Prueba de penetración: Intuitive Password mantiene relaciones con proveedores de servicios de prueba de penetración reconocidos en la industria para cuatro pruebas de penetración anuales. La intención de las pruebas de penetración es identificar y resolver los vectores de ataque previsibles y los posibles escenarios de abuso.

C. Limitaciones de los requisitos de privilegio y autorización. Acceso al producto: un subconjunto de empleados de Intuitive Password tiene acceso a los productos y a los datos del cliente a través de interfaces controladas. La intención de proporcionar acceso a un subconjunto de empleados es proporcionar soporte efectivo al cliente, solucionar problemas potenciales y detectar y responder a incidentes de seguridad. El acceso se habilita a través de solicitudes de acceso "just in time". Todas las solicitudes se registran. Los empleados tienen acceso por función y las revisiones de las concesiones de privilegios de alto riesgo se inician diariamente. Las funciones de los empleados se revisan al menos una vez cada seis meses.

Verificación de antecedentes: todos los empleados de Intuitive Password se someten a una amplia verificación de antecedentes de terceros antes de que se les extienda una oferta de empleo. Todos los empleados deben comportarse de manera coherente con las pautas de la empresa, los requisitos de no divulgación y las normas éticas.

2 Control de transmisión

En tránsito: Intuitive Password hace que el cifrado HTTPS (también conocido como SSL o TLS) esté disponible en cada una de sus interfaces de inicio de sesión y de forma gratuita en cada sitio del cliente alojado en los productos Intuitive Password. La implementación de HTTPS de Intuitive Password utiliza algoritmos y certificados estándar de la industria.

At-rest: Intuitive Password almacena las contraseñas de los usuarios siguiendo las políticas que siguen al menos las prácticas estándar de la industria para la seguridad.

3 Control de entrada

Detección: Intuitive Password diseñó su infraestructura para registrar información extensa sobre el comportamiento del sistema, el tráfico recibido, la autenticación del sistema y otras solicitudes de aplicaciones. Los sistemas internos agregaron datos de registro y alertaron a los empleados apropiados sobre actividades maliciosas, involuntarias o anómalas. El personal de Intuitive Password, incluido el personal de seguridad, operaciones y soporte, responde a los incidentes conocidos.

Respuesta y seguimiento: Intuitive Password mantiene un registro de los incidentes de seguridad conocidos que incluyen la descripción, las fechas y horas de las actividades relevantes y la disposición del incidente. Los incidentes de seguridad sospechosos y confirmados son investigados por seguridad, operaciones o personal de apoyo; y se identifican y documentan los pasos de resolución apropiados. Para cualquier incidente confirmado, Intuitive Password tomará las medidas adecuadas para minimizar el daño al producto y al cliente o la divulgación no autorizada.

Comunicación: Si Intuitive Password tiene conocimiento del acceso ilegal a los datos del Cliente almacenados en sus productos, Intuitive Password: 1) notificará a los Clientes afectados el incidente; 2) proporcionar una descripción de los pasos que Intuitive Password está tomando para resolver el incidente; y 3) proporcionar actualizaciones de estado al contacto del Cliente, como Intuitive Password considere necesario. Las notificaciones de incidentes, si las hubiera, se entregarán a uno o más de los contactos del Cliente en un formulario que Intuitive Password selecciona, que puede incluir por correo electrónico o por teléfono.

4 Control de trabajo

La aplicación Intuitive Password proporciona una solución para que los Clientes almacenen y compartan información de autenticación, datos confidenciales y archivos. Los clientes controlan los tipos de datos recopilados y almacenados en sus cuentas. Intuitive Password nunca vende datos personales a ningún tercero. Intuitive Password es un servicio SaaS de cero conocimiento y, como tal, no tiene la capacidad de descifrar o ver los datos cifrados almacenados en una cuenta de Cliente.

Clientes finalizadores: los datos centrales del cliente en las bases de datos activas (es decir, principales) se eliminan mediante una solicitud escrita de un cliente o contactando al servicio de atención al cliente de Intuitive Password, 90 días después de que el cliente rescinda todos los contratos de dichos productos con Intuitive Password. La información de datos del cliente almacenada en copias de seguridad, réplicas e instantáneas no se purga automáticamente, sino que se extingue en el sistema como parte del ciclo de vida de los datos. Intuitive Password se reserva el derecho de modificar el período de purga de datos para cumplir con los requisitos técnicos, de cumplimiento o legales. "Datos principales del cliente" incluye (i) el nombre, dirección de correo electrónico, número de teléfono, nombre (s) de usuario en línea, número de teléfono e información similar presentada voluntariamente por los visitantes a sus páginas de destino en el servicio de suscripción, y (ii) datos relacionados a las actividades de los medios sociales de sus visitantes en la medida en que dichas actividades puedan vincularse con un individuo identificable; y excluye (i) datos analíticos, (ii) Materiales del cliente, (iii) datos anónimos agregados, (iv) registros, datos archivados o archivos de datos de respaldo, (v) otros datos que no son razonablemente prácticos para que podamos eliminar y (v) otros datos que son o llegan a ser generalmente conocidos por el público sin incumplimiento de cualquier obligación debida al Cliente.

5 Control de disponibilidad

Disponibilidad de infraestructura: los proveedores de centros de datos utilizan esfuerzos comercialmente razonables para garantizar un mínimo de 99.95% de tiempo de actividad. Los proveedores mantienen un mínimo de redundancia N + 1 en los servicios de energía, red y HVAC.

Tolerancia a fallas: las estrategias de respaldo y replicación están diseñadas para garantizar la redundancia y las protecciones contra fallas durante una falla significativa en el procesamiento. Los datos del cliente se respaldan en múltiples almacenes de datos duraderos y se replican en múltiples centros de datos y zonas de disponibilidad.

Copias de seguridad y copias de seguridad en línea: cuando sea factible, las bases de datos de producción están diseñadas para replicar datos entre no menos de 1 base de datos primaria y 1 secundaria. Todas las bases de datos son respaldadas y mantenidas usando al menos los métodos estándar de la industria.

Los productos de Intuitive Password están diseñados para asegurar redundancia y failover sin interrupciones. Las instancias de servidor que admiten los productos también están diseñadas con el objetivo de evitar puntos únicos de falla. Este diseño ayuda a las operaciones de Intuitive Password en el mantenimiento y la actualización de las aplicaciones del producto y el back-end, al tiempo que limita el tiempo de inactividad.

6 Separación en el procesamiento

La colección de datos personales de Intuitive Password de sus clientes es proporcionar y mejorar nuestros productos de ventas y marketing. Intuitive Password no usa esa información para otros fines que requieran un procesamiento por separado.

ANEXO 2: Lista de subcontratistas

1. Amazon Web Services, Inc.
2. Microsoft, Inc.
3. Twilio, Inc.
4. Stripe, Inc.
5. PayPal Holdings, Inc.
6. Mailgun, Inc.