Prueba 1

OpenMethods

Términos de servicio

 

Los presentes Términos de servicio (este “Acuerdo”) son un contrato vinculante y rigen el uso y el acceso a los Servicios por parte Suya (el “Suscriptor” identificado en el SOW de Zendesk al que se adjunta este Acuerdo), los agentes y el usuario final en relación con una Suscripción a los Servicios.

 

Tras la ejecución de la SOW de Zendesk a la que se adjunta este Acuerdo, Usted acepta estar obligado por este Acuerdo a partir de la fecha de dicho acceso o uso del Servicio (la "Fecha de entrada en vigor"). Si Usted celebra este Acuerdo en nombre de una compañía, organización u otra entidad legal (una “Entidad”), acepta este Acuerdo para esa Entidad y declara ante OpenMethods que Usted tiene la autoridad para vincular a tal Entidad y sus Filiales a este Acuerdo, en cuyo caso los términos “Suscriptor”, “Usted”, “Su” o “Cliente” en el presente documento se refieren a tal Entidad y sus Filiales. Si Usted no tiene dicha autoridad, o si no está de acuerdo con este Acuerdo, no debe usar ni autorizar ningún uso de los Servicios.  El Suscriptor y OpenMethods se denominarán “Parte” y colectivamente “Partes” a los efectos del presente Acuerdo.

 

En caso de inconsistencia o conflicto entre los términos de este Acuerdo y los términos de cualquier SOW de Zendesk, prevalecerán los términos de la SOW de Zendesk.

 

OpenMethods y Usted aceptan lo siguiente:

 

SERVICIOS.

 

1.  Uso de los Servicios. OpenMethods otorga al Cliente el derecho de acceder a los Servicios.

1.1.       Suscripción. Después de que OpenMethods acepte una SOW de Zendesk y sujeto a los términos de este Acuerdo, OpenMethods otorga al Cliente una Suscripción limitada mundial, no exclusiva, no asignable y libre de regalías para usar los Servicios únicamente para las operaciones comerciales del Cliente.  OpenMethods proporcionará estos Servicios a través de la web desde su entorno de software como servicio ("SaaS") basado en la nube o desde el entorno SaaS basado en la nube de sus socios terceros autorizados ("Socios").

1.2.       Este Acuerdo contempla una o más SOW de Zendesk para los Servicios, y cada SOW de Zendesk describirá los Servicios pedidos y las tarifas asociadas con más detalle.

1.3.       Las suscripciones vencen al final del Plazo de Pedido aplicable (definido a continuación) establecido en la SOW de Zendesk, a menos que se renueven.

1.4.       Los empleados, agentes y contratistas del Cliente (cada uno un "Usuario final autorizado") y los usuarios finales del Cliente (cada uno un "Usuario final") pueden usar los Servicios.  Cada Usuario Final Autorizado debe estar registrado con un nombre de usuario y contraseña únicos; no hay dos Usuarios Finales Autorizados que puedan registrarse o usar los Servicios como el mismo Usuario Final Autorizado registrado, ni tampoco pueden compartir el mismo nombre de usuario y contraseña. El cliente es responsable de que cada usuario final autorizado y cada usuario final cumplan con el Acuerdo.

1.5.       El Cliente puede pedir Servicios para su uso por sus Afiliados y, en tal caso, la Suscripción otorgada al Cliente en virtud del presente Acuerdo se aplicará a dichos Afiliados, siempre que solo el Cliente tendrá el derecho de hacer cumplir este Acuerdo contra OpenMethods.  El Cliente seguirá siendo responsable de todas las obligaciones bajo este Acuerdo y del cumplimiento de este Acuerdo por parte de sus Afiliados y cualquier SOW de Zendesk aplicable.

1.6.       OpenMethods se reserva todos los derechos no otorgados expresamente en este Acuerdo.  No se otorgará ningún derecho ni estará implícito en la renuncia ni en la suspensión.

1.7.       Obligaciones de soporte.

Support. OpenMethods, sin cargo adicional, proporcionará Support estándar al Suscriptor para los Servicios como se detalla en el Sitio y la Documentación aplicables. Si el Suscriptor lo compra, OpenMethods proporcionará Support actualizado o Support que incluya contratos de nivel de servicio.

1.8.   OpenMethods declara y garantiza que los Servicios alcanzarán un porcentaje de disponibilidad mensual de al menos 99,9% en cualquier mes calendario (es decir, un máximo de cuarenta y tres (43) minutos de inactividad por mes) durante el Plazo del Pedido. El mantenimiento planificado/tiempo de inactividad se limitará a menos de cuatro (4) horas en un mes determinado y OpenMethods notificará por escrito (aceptable por correo electrónico) con al menos siete (7) días de anticipación al Cliente sobre dicha falta de disponibilidad.

1.9.   OpenMethods notificará al Cliente con al menos seis (6) meses de anticipación sobre cualquier fin de vida útil o obsoleto de la función.

 

2.  Responsabilidades del cliente. 

2.1.       Administración de inicio de sesión.  A falta de una Suscripción por escrito de OpenMethods que indique expresamente lo contrario, Usted acepta y reconoce que no puede usar los Servicios, incluida, entre otras, la API, para eludir el requisito de un Inicio de sesión de agente individual para cada persona que (a) aproveche los Servicios para interactuar con los Usuarios finales; (b) utilice datos relacionados con interacciones con los Usuarios finales en los Servicios; o (c) utilice datos relacionados con interacciones que se originan en un Servicio que no es de OpenMethods que proporciona una funcionalidad similar a la funcionalidad proporcionada por los Servicios y que, de conformidad con este Acuerdo, requeriría un Inicio de sesión de agente individual, si se utilizan los Servicios para dicha interacción. Además, el Cliente no utilizará la API ni ningún Servicio de tal manera que eluda las restricciones aplicables del Plan de Servicio o las restricciones de Licencias de Agente que se aplican en la interfaz de usuario del Servicio. OpenMethods se reserva el derecho de cobrarle a Usted, y por la presente Usted acepta pagar, por cualquier excedente de uso del Servicio en violación de la SOW de Zendesk.

2.2.       Cumplimiento Entre Usted y OpenMethods, Usted es responsable del cumplimiento de las disposiciones de este Acuerdo por los Agentes y Usuarios Finales, y de todas las actividades que ocurran bajo Su Cuenta, que OpenMethods puede verificar de vez en cuando. Sin perjuicio de lo anterior, Usted se asegurará de que Su uso de los Servicios cumpla con todas las leyes y reglamentos aplicables, así como con todos y cada uno de los avisos de privacidad, acuerdos u otras obligaciones que Usted pueda mantener o contraer con Agentes o Usuarios finales.

2.3.       Contenido y conducta En el uso que Usted haga de los Servicios, se compromete a no (a) modificar, adaptar o piratear los Servicios o intentar obtener acceso no autorizado a los Servicios o a sistemas o redes relacionados; (b) intentar eludir o romper cualquier mecanismo de seguridad o limitación de velocidad de cualquiera de los Servicios o usar los Servicios de manera que interfiera o interrumpa la integridad, seguridad o rendimiento de los Servicios y sus componentes; (c) intentar descifrar, descompilar, aplicar ingeniería inversa o descubrir de otra manera el código fuente de cualquier software que integre los Servicios; o (d) en la medida en que Usted esté sujeto a la Ley de portabilidad y responsabilidad de seguros médicos de Estados Unidos de 1996, y sus reglamentos de implementación (HIPAA), usar los Servicios para almacenar o transmitir cualquier “información médica protegida” como se define en HIPAA, a menos que OpenMethods acuerde expresamente lo contrario por escrito.

2.4.       Requisitos del sistema Se requiere una conexión a Internet de alta velocidad para el uso correcto de los Servicios. Usted se hace responsable de facilitar y mantener las conexiones de red que conectan Su red con los Servicios, entre las que se incluyen el software del navegador Support con los protocolos usados por OpenMethods y establecidos en la Documentación, incluidos el protocolo Transport Layer Security (TLS) y otros protocolos admitidos por OpenMethods; y de seguir los procedimientos que dan acceso a los servicios que admiten tales protocolos.  OpenMethods no es responsable de notificar a Usted, Agentes o Usuarios finales acerca de actualización, corrección o mejora alguna realizada a tal software ni acerca de datos que se vieran comprometidos, incluidos Sus datos, durante la transmisión por redes informáticas o instalaciones de telecomunicaciones (incluida Internet) que no pertenezcan a OpenMethods ni sean operadas ni controladas por OpenMethods. OpenMethods no se hace responsable de la fiabilidad ni del comportamiento de ninguna conexión conforme a lo dispuesto en la presente sección.

2.5.       Solo propósitos internos del negocio A menos que OpenMethods autorice lo contrario en este Acuerdo o que OpenMethods acuerde expresamente lo contrario por escrito, Usted no puede usar los Servicios de ninguna manera en la que actúe como una oficina de servicios o para proporcionar servicios de procesos comerciales subcontratados en nombre de más de un (1) tercero (que no sea Afiliados) a través de una sola Cuenta. Esta disposición no tiene el propósito de impedir o restringir el uso de los Servicios para proporcionar Support comercial a varios Usuarios Finales; sin embargo, Usted se compromete a no otorgar licencias, sublicencias, ventas, externalizaciones, alquileres, arrendamientos, transferencias, asignaciones, distribuciones, tiempos compartidos o explotar o revender comercialmente los Servicios a terceros, que no sean Agentes y Usuarios Finales autorizados en cumplimiento de Sus propósitos comerciales internos según lo expresamente permitido por este Acuerdo. Sin perjuicio de lo anteriormente mencionado, Su derecho de acceder y usar la API de OpenMethods también está sujeto a las restricciones y las políticas implementadas por OpenMethods de vez en cuando con respecto a la API, según lo establecido en la Documentación o lo que se le comunique a Usted según este Acuerdo.

2.6.       No hay acceso competitivo. Usted no puede (i) hacer ingeniería inversa de los Servicios, (ii) eliminar o modificar cualquier marca de propiedad o leyenda restrictiva en los Servicios, o (iii) acceder a los Servicios para crear un producto o servicio competitivo, o copiar cualquier característica, función, interfaz de usuario o gráficos de los Servicios. No podrá acceder a los Servicios si Usted es un competidor de OpenMethods.

 

3.  Datos del cliente y privacidad.

3.1.       El Cliente debe proporcionar todos los datos ("Datos del Cliente") para el uso de los Servicios, y OpenMethods no está obligado a modificar o agregar los Datos del Cliente.  El Cliente es el único responsable de la licitud de los Datos del Cliente.  OpenMethods no almacenará ni archivará ningún Dato del Cliente de los Servicios, por lo tanto es responsabilidad del Cliente almacenar y archivar sus Datos del Cliente.

3.2.       Los Datos del cliente pertenecen al Cliente, y OpenMethods no reclama ningún derecho de propiedad sobre ellos.

3.3.       Subprocesadores. OpenMethods utilizará subprocesadores que tendrán acceso a los Datos del cliente o los procesarán para ayudar a proporcionarle los Servicios. Por el presente documento confirma y proporciona autorización general para el uso de OpenMethods de los Subprocesadores que se enumeran dentro de nuestra Política de subprocesadores en: https://www.openmethods.com/privacy. OpenMethods será responsable de los actos y omisiones de los miembros del personal y subprocesadores de OpenMethods en la misma medida en que seríamos responsables si OpenMethods estuviera realizando los servicios de cada personal o subprocesador de OpenMethods directamente bajo los términos de este Acuerdo. Puede registrarse para recibir notificaciones de cualquier cambio a nuestra Política de subprocesadores dentro de la página web de la política.

3.4.       Terceros proveedores de servicios. OpenMethods puede utilizar proveedores de servicios de terceros que son utilizados por OpenMethods para ayudar a proporcionarle los Servicios, pero que no tienen acceso a los Datos de servicio. Los terceros proveedores de servicios utilizados por OpenMethods estarán sujetos a obligaciones de confidencialidad que son sustancialmente similares a los términos de confidencialidad del presente documento.

3.5.       Salvaguardias. OpenMethods mantendrá las medidas de protección administrativas, físicas y técnicas apropiadas para la protección de la seguridad, la confidencialidad y la integridad de los Servicios de acuerdo con nuestra política de privacidad en: https://www.openmethods.com/privacy, y los requisitos de seguridad de la información establecidos en el Anexo A, adjunto al presente.

3.6.       Información de contacto del agente. OpenMethods será un Procesador de Datos de la Información de Contacto del Agente, y procesará dicha Información de Contacto del Agente de acuerdo con Nuestro Aviso de Privacidad en: https://www.openmethods.com/privacy. Usted es responsable de informar a Sus Agentes sobre sus derechos establecidos en Nuestro Aviso de Privacidad. Usted declara y garantiza que ha obtenido todos los consentimientos, permisos y derechos pertinentes y proporcionado todas las notificaciones pertinentes necesarias bajo las Leyes de Protección de Datos Aplicables para que OpenMethods procese legalmente la Información de Contacto del Agente.

3.7.       Acuerdo de procesamiento de datos. El Acuerdo de Procesamiento de Datos establecido en el Anexo B, adjunto al presente documento, y/o cualquier otro término de privacidad proporcionado por OpenMethods ubicado en: https://www.OpenMethods.com/privacy se incorporará como referencia en el presente Acuerdo.

 

4.  Garantías de servicios.  OpenMethods garantiza que: (i) los Servicios funcionarán sustancialmente como se describe en la Documentación; y (ii) OpenMethods posee o tiene el derecho de proporcionar los Servicios al Cliente de conformidad con este Acuerdo.  Los recursos establecidos en esta Sección 4 son recursos exclusivos del Cliente por incumplimiento de cualquiera de las dos garantías.

4.1.       Si los Servicios no funcionan sustancialmente de acuerdo con la Documentación, OpenMethods debe, a su elección, (i) modificar los Servicios para que se ajusten a su Documentación; o (ii) proporcionar una solución alternativa que satisfaga razonablemente los requisitos del Cliente.  Si ninguna de estas opciones es viable comercialmente, cualquiera de las partes puede terminar la SOW de Zendesk correspondiente bajo este Acuerdo.

4.2.       Si se encuentra que la operación normal, posesión o uso de los Servicios por parte del Cliente infringe cualquier derecho de propiedad intelectual de terceros en Estados Unidos o OpenMethods cree que esto es probable, OpenMethods debe, a su elección, (i) obtener una licencia o Suscripción de dicho tercero en beneficio del Cliente; (ii) modificar los Servicios para que ya no infrinja; o (iii) si ninguna de estas opciones es comercialmente factible, terminar la SOW de Zendesk relevante bajo este Acuerdo.

4.3.       Sin embargo, OpenMethods no tiene ninguna obligación de garantía para:

4.3.1. en la medida en que los Servicios hayan sido modificados por el Cliente o cualquier tercero;

4.3.2. problemas en los Servicios causados por software o hardware de terceros, por daños accidentales o por otros asuntos fuera del control razonable de OpenMethods.

4.4.       OpenMethods realizará análisis de vulnerabilidad de red internos y externos de manera regular.  Las vulnerabilidades identificadas se remediarán de una manera comercialmente razonable y en función de la gravedad.

 

SERVICIOS PROFESIONALES.

 

5.  Servicios profesionales. 

5.1 SOW.  Los productos, las tarifas, el personal, el alcance y otros términos de cada participación en los Servicios profesionales se establecerán en la SOW de Zendesk.  Las contrataciones de Servicios profesionales se facturan en el momento y los materiales o las tarifas fijas de acuerdo con la SOW de Zendesk.

5.2 Garantías. OpenMethods garantiza que (i) los Servicios profesionales se ajustarán sustancialmente a la SOW; y (ii) los Servicios profesionales se realizarán con habilidad, cuidado y diligencia razonables. Los recursos establecidos en esta Sección 5 son recursos exclusivos del Cliente por incumplimiento de cualquiera de las dos garantías.

5.2.1 Si los Servicios profesionales no se ajustan a la SOW o no se realizan con habilidad, cuidado y diligencia razonables, OpenMethods volverá a realizar los Servicios profesionales en la medida necesaria para corregir el rendimiento defectuoso.

5.3 Responsabilidades del cliente.  El Cliente debe proporcionar a OpenMethods toda la información, el acceso y la plena cooperación de buena fe razonablemente necesarios para permitir que OpenMethods entregue los Servicios profesionales y debe hacer cualquier cosa que se identifique en la SOW como responsabilidad del Cliente.  Si el Cliente no lo hace, OpenMethods se eximirá de sus obligaciones en la medida en que las obligaciones dependan del rendimiento del Cliente.

 

PROPIEDAD INTELECTUAL.

 

6.  Propiedad intelectual.  OpenMethods es el único propietario de todos los derechos de propiedad intelectual sobre los Servicios y cualquier cosa que se entregue como parte de los Servicios profesionales, o que ha otorgado licencias para ellos. OpenMethods posee todos los derechos sobre cualquier comentario, mejora, mejora o modificación de los Servicios.

 

GENERAL

 

7.  Pagos. 

7.1 Facturas. Zendesk procesará la facturación de las tarifas por la compra de los Servicios de OpenMethods por parte del Cliente en virtud del presente Acuerdo. El cliente debe pagar las tarifas que aparecen en la SOW de Zendesk correspondiente, y toda la información de facturación se incluirá en la SOW de Zendesk. 

 

 

8.  Plazo, Terminación y Suspensión.

8.1 Este Acuerdo continuará mientras dure la SOW de Zendesk, hasta que una parte dé por terminada la SOW, como se describe a continuación (“Término”).  El plazo para cada pedido ("Plazo del pedido") se establecerá en la SOW de Zendesk. Una vez finalizado el Plazo del Pedido, se extinguirán los derechos del Cliente a acceder o usar los Servicios.

8.2 Cualquiera de las partes podrá rescindir este Acuerdo de inmediato si el Cliente incumple algún término material de este Acuerdo y el incumplimiento no se corrige dentro de los 30 días posteriores a la notificación por escrito. 

8.3 Las secciones 2, 6, 7, 8, 9, 10, 11, 12 y 15.3 continúan después de que finalice el presente Acuerdo.

8.4 Si OpenMethods rescinde este Acuerdo debido a la falta de pago por parte del Cliente, todas las tarifas no pagadas por el resto del Plazo del Pedido se vencen inmediatamente para el pago.

 

9.  Descargo de garantía.  SALVO LO DISPUESTO EXPRESAMENTE EN ESTE ACUERDO, LOS SERVICIOS Y SERVICIOS PROFESIONALES NO SE PROPORCIONAN CON NINGUNA OTRA GARANTÍA DE NINGÚN TIPO, Y OPENMETHODS NIEGA TODAS LAS DEMÁS GARANTÍAS, EXPRESAS O IMPLÍCITAS, INCLUIDAS, ENTRE OTRAS, CUALQUIER GARANTÍA DE COMERCIALIZACIÓN O IDONEIDAD PARA UN PROPÓSITO PARTICULAR. OPENMETHODS NO GARANTIZA QUE EL USO DE LOS SERVICIOS O SERVICIOS PROFESIONALES SERÁ ININTERRUMPIDO O ESTARÁ LIBRE DE ERRORES.

 

10. Limitación de responsabilidad.  NINGUNA PARTE SERÁ RESPONSABLE BAJO ESTE ACUERDO ANTE LA OTRA PARTE POR DAÑOS INDIRECTOS, ESPECIALES, INCIDENTALES, PUNITIVOS O CONSECUENTES (INCLUYENDO, SIN LIMITACIÓN, DAÑOS POR PÉRDIDA DE BUENA VOLUNTAD, PARO DE TRABAJO, FALLA O MAL FUNCIONAMIENTO DE LA COMPUTADORA, DATOS PERDIDOS O CORRUPTOS, PÉRDIDA DE GANANCIAS, NEGOCIO O OPORTUNIDAD PERDIDA), O CUALQUIER OTRO DAÑO SIMILAR BAJO CUALQUIER TEORÍA DE RESPONSABILIDAD (YA SEA EN CONTRATO, EXTRACCIÓN, RESPONSABILIDAD ESTRICTA O CUALQUIER OTRA TEORÍA), INCLUSO SI LA OTRA PARTE HA SIDO INFORMADA DE ESTA POSIBILIDAD. LA RESPONSABILIDAD TOTAL AGREGADA DE CADA PARTE POR CUALQUIER PÉRDIDA, COSTO, RECLAMACIÓN O DAÑO DIRECTO DE CUALQUIER TIPO RELACIONADO CON LA CERDA DE ZENDESK PERTINENTE NO EXCEDERÁ EL MONTO DE LAS TASAS PAGADAS O PAGADERAS POR EL CLIENTE BAJO DICHA CERDA DE ZENDESK PERTINENTE DURANTE LOS DOCE (12) MESES ANTERIORES AL EVENTO QUE DIO LUGAR A DICHA PÉRDIDA, COSTO, RECLAMACIÓN O DAÑOS.  SIN EMBARGO, NO HAY LIMITACIÓN DE RESPONSABILIDAD POR LA VIOLACIÓN POR PARTE DEL CLIENTE DE LOS DERECHOS DE PROPIEDAD INTELECTUAL DE LA COMPAÑÍA, POR LOS MONTOS ADEUDADOS POR EL CLIENTE A OPENMETHODS BAJO ESTE ACUERDO O EN RELACIÓN CON LAS OBLIGACIONES DE INDEMNIZACIÓN DE UNA PARTE.  ESTA LIMITACIÓN DE RESPONSABILIDAD FORMABA Y FORMA PARTE EXPRESA DEL NEGOCIO ENTRE LA EMPRESA Y EL CLIENTE Y FUE UN FACTOR DE CONTROL EN LA FIJACIÓN DE LAS TASAS PAGADERAS A OPENMETHODS.

 

11. Confidencialidad.

11.1 Este Acuerdo y los Servicios, la Documentación y el Producto de Trabajo contienen valiosos secretos comerciales que son propiedad exclusiva de OpenMethods, y el Cliente se compromete a tener un cuidado razonable para evitar que otras partes se enteren de estos secretos comerciales.  El Cliente debe tener un cuidado razonable para evitar el acceso no autorizado o la duplicación de los Servicios, la Documentación y el Producto de trabajo, pero en ningún caso menos cuidado que el que utiliza para proteger su propia información confidencial y secretos comerciales.

11.2 Los Datos del Cliente y otros materiales marcados como “Confidenciales” por el Cliente o que razonablemente deben reconocerse como información confidencial, y divulgados a OpenMethods pueden incluir valiosos secretos comerciales que son propiedad exclusiva del Cliente.  OpenMethods debe tener un cuidado razonable para evitar que otras partes se enteren de estos secretos comerciales, pero en ningún caso menos cuidado que el que OpenMethods utiliza para proteger su propia información confidencial y secretos comerciales.

11.3 Las Cláusulas 12.1 y 12.2 no se aplican a ninguna información que (i) sea ahora, o posteriormente se convierta, en ninguna acción o no acción por parte de la parte receptora (el “Receptor”), generalmente conocida o disponible; (ii) sea conocida por el Receptor en el momento de recibir dicha información, como lo demuestran los registros del Receptor; (iii) sea proporcionada posteriormente al Receptor por un tercero, como cuestión de derecho y sin restricciones en la divulgación; o (iv) esté obligada a ser revelada por ley, siempre que la parte a la que pertenece la información reciba notificación previa por escrito de cualquier divulgación propuesta.

11.4 Una vez terminada la relación por cualquier motivo, a solicitud de la parte reveladora, la parte receptora devolverá sin demora toda la Información Confidencial de la parte reveladora, sin embargo, ninguna de las partes estará obligada a devolver la Información Confidencial recibida por la parte reveladora que esté almacenada en el sistema de copia de seguridad rutinario de la parte receptora y, en tal caso, las obligaciones de confidencialidad de la parte receptora con respecto a dicha Información Confidencial sobrevivirán indefinidamente.

 

12. Indemnización de OpenMethods.

12.1 OpenMethods deberá indemnizar y eximir de responsabilidad al Cliente, a sus afiliados y a sus directores, funcionarios y empleados de los daños finalmente otorgados o acordados en un acuerdo contra el Cliente (lo que incluye, entre otros, los costos razonables y los honorarios legales incurridos por el Cliente) que surjan de cualquier demanda de terceros, reclamo de terceros u otra acción legal de terceros que alegue que el uso de los Servicios, la Documentación o el Producto de trabajo por parte del Cliente infringe cualquier derecho de autor, secreto comercial o patente de los Estados Unidos ("Acción legal").  OpenMethods también debe asumir la defensa de la Acción legal.

12.2 Sin embargo, OpenMethods no tendrá ninguna obligación de indemnización por ninguna Acción legal que surja de: (i) una combinación de los Servicios, o Producto de trabajo con software o productos no suministrados por OpenMethods; (ii) cualquier reparación, ajuste, modificación o alteración de los Servicios por parte del Cliente o cualquier tercero; o (iii) cualquier negativa del Cliente a instalar y usar una versión no infractora de los Servicios, o Producto de trabajo ofrecido por OpenMethods.  La Sección 4.2(ii) y esta Sección 12 establecen la responsabilidad total de OpenMethods con respecto a cualquier infracción de propiedad intelectual por parte de los Servicios o el Producto de trabajo.

12.3 El cliente debe notificar por escrito a OpenMethods sobre cualquier acción legal a más tardar 30 días después de recibir la notificación por primera vez de una acción legal, y debe dar copias a OpenMethods de todas las comunicaciones, notificaciones y otras acciones relacionadas con la acción legal.  El cliente debe darle a OpenMethods el control exclusivo de la defensa de cualquier Acción legal, debe actuar de acuerdo con las instrucciones razonables de OpenMethods y debe brindar a OpenMethods la asistencia que OpenMethods solicite razonablemente para defender o resolver dicho reclamo. OpenMethods debe realizar su defensa en todo momento de manera que no sea perjudicial para los intereses del Cliente. El cliente puede contratar a su propio abogado para que le ayude con respecto a cualquier reclamo de este tipo.  El cliente debe asumir todos los costos de contratar a su propio abogado, a menos que la contratación de un abogado sea necesaria debido a un conflicto de intereses con OpenMethods o su abogado, o porque OpenMethods no asuma el control de la defensa.  El cliente no puede resolver ni comprometer ninguna Acción legal sin el consentimiento expreso y por escrito de OpenMethods. OpenMethods quedará exonerado de su obligación de indemnización bajo la Sección 12 si el Cliente incumple materialmente con la Sección 12.2.

 

13. Indemnización por cliente.

13.1 El Cliente debe indemnizar y eximir a OpenMethods, sus afiliados y sus directores, funcionarios y empleados de los daños finalmente otorgados o acordados en un acuerdo contra OpenMethods (lo que incluye, entre otros, los costos razonables y los honorarios legales incurridos por el Cliente) que surjan de cualquier demanda de terceros, reclamo de terceros u otra acción legal de terceros (lo que incluye, entre otros, cualquier investigación gubernamental, queja y acción) en relación con el uso que el Cliente haga de los Servicios o el Producto de Trabajo (colectivamente, el "Reclamo Legal").  El cliente también debe asumir la defensa del reclamo legal.

13.2 OpenMethods debe notificar por escrito al Cliente sobre cualquier Reclamo Legal a más tardar 30 días después de recibir la notificación por primera vez de un Reclamo Legal, y debe dar copias al Cliente de todas las comunicaciones, notificaciones y/u otras acciones relacionadas con el Reclamo Legal.  OpenMethods debe darle al Cliente el control exclusivo de la defensa de cualquier Reclamo Legal, debe actuar de acuerdo con las instrucciones razonables del Cliente y debe brindarle la asistencia que el Cliente solicite razonablemente para defender o resolver dicho reclamo. El cliente debe realizar su defensa en todo momento de una manera que no perjudique los intereses de OpenMethods. OpenMethods puede contratar a su propio abogado para que le ayude con respecto a cualquier reclamo de este tipo.  OpenMethods debe asumir todos los costos de contratar a su propio abogado, a menos que la contratación de un abogado sea necesaria debido a un conflicto de intereses con el Cliente o su abogado, o porque el Cliente no asuma el control de la defensa.  OpenMethods no puede resolver ni comprometer ninguna Demanda Legal sin el consentimiento expreso por escrito del Cliente. El cliente quedará exonerado de su obligación de indemnización bajo la Sección 13 si OpenMethods incumple sustancialmente con la Sección 13.2.

 

14.         Publicidad.  OpenMethods puede incluir al Cliente como cliente y usar el logotipo del Cliente en el sitio web de OpenMethods, en listas de clientes disponibles al público y en comunicados de prensa.

 

15.         Varios.

15.1 Este Acuerdo, junto con la SOW de Zendesk, representan el acuerdo completo de las partes y reemplazan cualquier entendimiento anterior o actual, ya sea escrito u oral. 

15.2 Este Acuerdo no puede ser modificado ni se puede renunciar a ninguna parte salvo por escrito de las partes.

15.3 Este Acuerdo se regirá por las leyes de California. Las partes aceptan el ejercicio de la jurisdicción exclusiva por parte de los tribunales estatales o federales del Estado de California para cualquier reclamo relacionado con este Acuerdo.

15.4 El Cliente no podrá ceder ni transferir de ninguna otra manera ninguno de sus derechos u obligaciones en virtud del presente Acuerdo sin el consentimiento previo por escrito de OpenMethods.  OpenMethods no podrá negar dicho consentimiento en el caso de una cesión por parte del Cliente de sus derechos y obligaciones a una entidad que haya adquirido todos, o sustancialmente todos, los activos del Cliente, o a una cesión que forme parte de una auténtica reestructuración corporativa.  Cualquier asignación que incumpla esta Sección será nula.

15.5 Cualquier notificación dada de conformidad con este Acuerdo será por escrito y se dará por servicio personal o por correo certificado de los Estados Unidos, recibo de devolución solicitado, franqueo pagado por adelantado o por mensajería reconocida durante la noche a la dirección que aparece al principio de este Acuerdo o según se haya cambiado a través de una notificación escrita a la otra parte. 

15.6 El Cliente no debe exportar ni reexportar, directa o indirectamente, ningún Servicio, Documentación, Producto de Trabajo ni información confidencial a ningún país fuera de los Estados Unidos, excepto en la medida en que lo permita la ley de Estados Unidos. Reglamento de administración de exportaciones del Departamento de Comercio.

15.7 Los servicios, el producto de trabajo y la documentación proporcionados a los Estados Unidos Gobierno son "Artículos comerciales", como se define ese término en 48 C.F.R. 2.101, consistente en "Software informático comercial" y "Documentación de software informático comercial", en el sentido del artículo 48 C.F.R. 12.212 o 48 C.F.R.227.7202, según corresponda. Conforme a 48 C.F.R. 12.212 o 48 C.F.R. 227.7202-1 a 227.7202-4, según corresponda, el Software Informático Comercial y la Documentación de Software Informático Comercial están siendo licenciados a U.S. Usuarios finales gubernamentales (a) solo como Artículos comerciales y (b) con solo los derechos que se otorgan a todos los demás usuarios finales de acuerdo con los términos y condiciones del presente documento, según lo dispuesto en FAR 12.212, y DFARS 227.7202-1(a), 227.7202-3(a), 227.7202-4, según corresponda.

15.8 OpenMethods procurará y mantendrá, a su propio costo, en pleno vigor y efecto durante la vigencia de este Acuerdo, pólizas de seguro, de los tipos y en las cantidades mínimas que se describen a continuación, con compañías de seguros responsables debidamente calificadas en aquellos estados (lugares) donde se realicen los Servicios, que cubran las operaciones de OpenMethods, de conformidad con este Acuerdo: responsabilidad general comercial ($2,000,000 por ocurrencia, $5,000,000 agregados); responsabilidad profesional ($1,000,000 por ocurrencia, $2,000,000 agregados); compensación laboral (límites legales) y responsabilidad de los empleadores ($500,000 por accidente); responsabilidad por errores y omisiones (y, cobertura de responsabilidad cibernética ($2,000,000 agregados).  Dichas políticas requerirán que el Cliente reciba una notificación por escrito con una antelación mínima de treinta (30) días calendario de cualquier cancelación de las mismas o cambio sustancial en las mismas.  OpenMethods proporcionará al Cliente, previa solicitud, certificados de seguro que acrediten toda la cobertura anterior.

 

DEFINICIONES.

 

16.         Glosario.

“Datos del cliente” se refiere a los nombres de usuario de los agentes y las extensiones de agentes almacenadas en la base de datos de servicios.

“Documentación” se refiere a la documentación del usuario proporcionada por OpenMethods para su uso con los Servicios, actualizada periódicamente.

“Servicios” se refiere al software alojado cuya funcionalidad se describe en el SOW de Zendesk y en Documentación, cualquier modificación al software alojado realizada por OpenMethods y cualquier comentario, mejora o mejora realizada o sugerida para el software alojado, pero no incluye los Servicios profesionales.

“Servicios profesionales” se refiere a la capacitación, consultoría, desarrollo y otros servicios profesionales identificados en una SOW, pero no incluyen los Servicios.

“Zendesk” se refiere a Zendesk, Inc., una corporación de Delaware, y cualquiera de sus afiliados aplicables, que servirá como agente de facturación para la suscripción del Suscriptor al Servicio OpenMethods encargado por el Suscriptor a OpenMethods en virtud de este Acuerdo de conformidad con una SOW de Zendesk ejecutada entre el Cliente y Zendesk.

“Zendesk SOW” se refiere a la declaración de trabajo o documento de pedido similar emitido por Zendesk al Suscriptor que establece, entre otras cosas, el plan de Suscripción del Cliente, las tarifas de Suscripción, la facturación y el Plazo de Suscripción bajo este Acuerdo.

 

 

 

Prueba A

Métodos abiertos Medidas de seguridad de la información

 

1. Medidas de seguridad de la información

OpenMethods garantiza y declara que hará todos los esfuerzos comercialmente razonables para implementar y mantener las medidas de seguridad que se detallan a continuación para mantener todo el contenido, materiales, datos (incluidos los datos personales) e información no pública proporcionada o puesta a disposición por el Suscriptor (colectivamente, “Datos”) seguros y proteger los Datos contra el procesamiento no autorizado o ilegal, la pérdida accidental, la destrucción o el daño, como se establece a continuación. Al hacerlo, OpenMethods actuará de buena fe y diligencia, con un cuidado y una habilidad razonables.

 

2. Definiciones

“Proceso” se refiere a cualquier operación relacionada con los Datos independientemente de los propósitos y medios aplicados, incluido, entre otros, el acceso, la recopilación, la retención, el almacenamiento, la transferencia, la divulgación, el uso, la eliminación, la destrucción y cualquier otra operación.

“Incumplimiento” se refiere a cualquier (a) Procesamiento de Datos no autorizado o (b) cualquier acto u omisión que comprometa o socave las medidas de protección físicas, técnicas u organizativas establecidas por OpenMethods con respecto al Procesamiento de Datos o establecidas de otra manera para cumplir con estos requisitos. Para evitar cualquier duda, el “Procesamiento no autorizado” incluye, entre otros: uso indebido, pérdida, destrucción, compromiso o acceso, recolección, retención, almacenamiento o transferencia no autorizados.

“Incidente” se refiere a cualquier deterioro de la seguridad de los Datos, incluido cualquier (i) acto que viole cualquier ley o política de seguridad de OpenMethods, (ii) interrupción no planificada del servicio que impida el funcionamiento normal de los Servicios, o (iii) Incumplimiento.

 

3. Medidas: Medidas técnicas y organizativas para el almacenamiento, manejo y disposición de los Datos.
   • OpenMethods utilizará algoritmos de encriptación estándar del sector y fortalezas de clave para encriptar lo siguiente:
   • Cifrar todos los Datos que se encuentren en forma electrónica mientras están en tránsito a través de todas las redes cableadas públicas (es decir, Internet) y todas las redes inalámbricas.
   • Encripte todos los Datos mientras está almacenado. “En almacenamiento” se refiere a la información almacenada en bases de datos, en sistemas de archivos y en diversas formas de medios conectados y desconectados (dispositivos móviles, laptops, DASD, cinta, etc.) y también se conoce comúnmente como “en reposo”.
   • Salvo cuando la ley lo prohíba, OpenMethods eliminará los Datos rápidamente al (a) completar los Servicios; o (b) solicitar por parte del Suscriptor (o Zendesk, cuando corresponda) que se eliminen del entorno de OpenMethods, y los destruirá dentro de un plazo razonable, pero en ningún caso más de veintiún (21) días después de la fecha de solicitud o cese de los servicios. OpenMethods proporcionará al Suscriptor (y a Zendesk, cuando corresponda) una certificación por escrito con respecto a dicha eliminación, destrucción y/o limpieza dentro de los treinta (30) días posteriores a tal ocurrencia.

4. Medidas: Protección de código malicioso.
   • Todas las estaciones de trabajo y servidores (virtuales o físicos) ejecutarán la versión actual del software antivirus y/o antimalware estándar del sector con las actualizaciones más recientes disponibles en cualquier estación de trabajo o servidor. Las definiciones de virus deben actualizarse rápidamente cuando el proveedor de software antivirus las publique. OpenMethods configurará el equipo y tendrá políticas de soporte para prohibir que los usuarios desactiven el software antivirus, alteren las configuraciones de seguridad o desactiven otras medidas de protección establecidas para garantizar la seguridad de los Datos o del entorno informático de OpenMethods.
   • OpenMethods analizará el contenido entrante y saliente en busca de código malicioso en todas las puertas de enlace a las redes públicas, incluidos los servidores de correo electrónico y proxy.
   • OpenMethods pondrá en cuarentena o eliminará los archivos que hayan sido identificados como infectados y registrará el evento.

5. Medidas: Medidas técnicas y organizativas para el control del acceso, especialmente para controlar la legitimidad de los entrantes autorizados a las instalaciones y sistemas a los que se puede acceder a los Datos:
   • OpenMethods garantiza que se tomen medidas para proteger el local (por ejemplo, asegurar las entradas y salidas), así como medidas dentro de su edificio mediante el uso de los siguientes procedimientos:
   • seguridad y encriptación de todos los ordenadores personales u otros dispositivos móviles que puedan acceder a los Datos;
   • acceso limitado a empleados y contratistas, excepto a visitantes autorizados;
   • identificación de las personas que tienen autoridad de acceso;
   • restricción de claves;
   • libros de visitantes (incluido el cronometraje); y
   • sistema de alarma de seguridad u otras medidas de seguridad apropiadas.
   • OpenMethods revocará el acceso a ubicaciones físicas, sistemas y aplicaciones que contengan o procesen Datos dentro de las veinticuatro (24) horas posteriores al cese de la necesidad de dicho agente autorizado de acceder a los sistemas o aplicaciones.

 

6. Medidas: Medidas técnicas (protección con contraseña) y organizativas (registro maestro de usuario) relativas a la identificación y autenticación de los usuarios:

OpenMethods informará al Suscriptor, previa solicitud razonable, a qué personas autorizadas se les confía acceso a los Datos.

El control del usuario incluirá las siguientes medidas:

• perfil VPN restringido;
• implementación de la autenticación de dos factores

El control del acceso a los Datos incluirá las siguientes medidas:

• medidas disciplinarias eficaces y medidas contra las personas que acceden a los datos sin autorización.

7. Medidas: Medidas técnicas y organizativas relativas a la seguridad de las redes (incluidas las redes inalámbricas) utilizadas por OpenMethods.

Todos los controles de red incluirán las siguientes medidas:

• Con regularidad, OpenMethods realizará análisis de vulnerabilidad de red internos y externos. Las vulnerabilidades identificadas se remediarán de una manera comercialmente razonable y en función de la gravedad.
• OpenMethods desplegará una tecnología de firewall razonablemente apropiada en la operación de sus redes.
• Como mínimo, OpenMethods revisará trimestralmente los conjuntos de reglas de firewall para asegurarse de que las reglas heredadas se eliminen y las reglas activas se configuren correctamente.
• OpenMethods implementará sistemas de detección o prevención de intrusiones para monitorear las redes en busca de actividad inapropiada.
• OpenMethods desplegará una solución de administración de registros y conservará los registros producidos por firewalls y sistemas de detección de intrusiones por un período mínimo de un (1) año.

Los controles de red inalámbrica incluirán las siguientes medidas adicionales:

• El acceso a la red a las redes inalámbricas debe restringirse solo a las personas autorizadas.
• Los puntos de acceso se segmentarán a partir de una LAN interna cableada utilizando un dispositivo de pasarela.
• El identificador del conjunto de servicios (SSID), la ID de usuario del administrador, la contraseña y las claves de encriptación cambiarán del valor predeterminado.
• La encriptación de todas las conexiones inalámbricas se activará usando algoritmos de encriptación estándar en el sector. Los protocolos de encriptación se basarán en el “acceso protegido inalámbrico” (WPA2) o superior.

 

8. Medidas: OpenMethods mantendrá una función de respuesta a incidentes capaz de identificar, mitigar los efectos y prevenir la recurrencia de incidentes. Si ocurre un Incidente, OpenMethods (i) tomará rápidamente todas las medidas necesarias para evitar cualquier compromiso adicional de los Datos o cualquier Incidente futuro; (ii) notificará al Suscriptor dentro de las veinticuatro (24) horas posteriores a la identificación del Incidente y proporcionará un informe por escrito dentro de los tres (3) días posteriores; y (iii) responderá rápidamente a cualquier solicitud razonable del Suscriptor de información detallada relacionada con el Incidente. El aviso y el informe de OpenMethods contendrán una descripción de la naturaleza del Incidente, su impacto y las acciones de investigación, correctivas o correctivas tomadas o planeadas.

 

9. Medidas: Continuidad del negocio y recuperación ante desastres. OpenMethods ha proporcionado al Suscriptor un plan de continuidad comercial comercialmente razonable y estándar del sector para mantener la disponibilidad del Servicio (el "Plan de continuidad"). El Plan de continuidad incluye y debe incluir, entre otros, elementos como (a) administración de crisis, activación de planes y equipos, documentación de procesos de eventos y comunicaciones; (b) administración de eventos, recuperación comercial, ubicaciones alternativas del sitio y pruebas de árboles de llamadas; y (c) detalles de infraestructura, tecnología y sistemas, actividades de recuperación e identificación de las personas / equipos necesarios para dicha recuperación. OpenMethods conservará dicho Plan de Continuidad durante todo el período de vigencia de todas las suscripciones; siempre que OpenMethods tenga derecho a modificar o enmendar el Plan de Continuidad siempre que dicha modificación o enmienda no tenga un efecto adverso material sobre la capacidad de OpenMethods para mantener la disponibilidad del Servicio.

 

A petición del Suscriptor, OpenMethods hará modificaciones comercialmente razonables a su programa de seguridad de la información o a los procedimientos y prácticas bajo el mismo para cumplir con los requisitos de seguridad de referencia del Suscriptor como se describe en todas las pruebas aplicables al Acuerdo y como existen de vez en cuando. El Suscriptor proporcionará a OpenMethods la documentación de dichas líneas de base, que formará parte de la información confidencial del Suscriptor en virtud del presente Acuerdo. OpenMethods elaborará un plan escrito de seguridad de la información para el Suscriptor que contenga, como mínimo, los temas solicitados en este acuerdo.

 

Prueba B

Adición OpenMethods Data Processing

 

El presente Apéndice de procesamiento de datos ("DPA") se celebra entre OpenMethods, Inc. ("OpenMethods" o "importador de datos") y la entidad identificada como el Suscriptor en la SOW de Zendesk ("Cliente" o "exportador de datos") y se adjunta a los Términos de servicio de OpenMethods (el "Acuerdo"). Las partes acuerdan que el presente Acuerdo se incorporará y formará parte del Acuerdo y estará sujeto a las disposiciones del mismo, incluidas las limitaciones de responsabilidad.

Este DPA establece los términos y condiciones bajo los cuales OpenMethods puede recibir y procesar Datos personales del cliente del cliente e incorpora las Cláusulas contractuales estándar. Si el Cliente hace cualquier eliminación o revisión a este DPA, dichas eliminaciones o revisiones serán rechazadas y no serán válidas, a menos que OpenMethods lo acuerde. El firmante del cliente declara y garantiza que tiene la autoridad para vincular al cliente con este DPA. Este DPA terminará automáticamente al terminar el Acuerdo, o como terminó anteriormente de acuerdo con los términos de este DPA.

Términos de procesamiento

1. Definiciones

“Ley(es) de Privacidad aplicable(s)” se refiere a todas las leyes y reglamentos mundiales de protección de datos y privacidad aplicables a los Datos Personales en cuestión, incluida, cuando corresponda, la Ley de Protección de Datos de la UE/RU.

Por “Datos personales del cliente” se entiende cualquier Contenido del cliente que sea Datos personales y esté protegido por las Leyes de privacidad aplicables.

Por “Ley de Protección de Datos de la UE/RU” se entiende: (i) el Reglamento 2016/679 del Parlamento Europeo y del Consejo sobre la protección de las personas físicas con respecto al Procesamiento de Datos Personales y sobre la libre circulación de dichos datos (Reglamento General de Protección de Datos) (el “RGPD UE”); (ii) el RGPD tal como se guardó en la legislación del Reino Unido en virtud de la sección 3 de la Ley de (Retiro) de la Unión Europea de 2018 y la Ley de Protección de Datos del Reino Unido de 2018 (colectivamente el “RGPD británico”); (iii) la Directiva 2002/58/EC de la UE; (iv) la Ley Federal de Protección de Datos de Suiza (“DPA suiza”); y (v) todas y cada una de las leyes nacionales de protección de datos aplicables elaboradas en virtud de, o que se apliquen en conjunto con cualquiera de (i), (ii) (iii) o (iv); en cada caso, según se pueda modificar o reemplazar de vez en cuando;

“Subsidiaria de OpenMethods”“Subsidiaria de OpenMethods” se refiere a cualquier entidad que esté controlada directa o indirectamente por OpenMethods, que lo controle o que esté bajo su control común.

“Transferencia restringida” significa: (i) cuando se aplica el RGPD UE, una transferencia de Datos personales del EEE a un país fuera del EEE que no está sujeto a una determinación de adecuación por parte de la Comisión Europea; (ii) cuando se aplica el RGPD Reino Unido, una transferencia de Datos personales del Reino Unido a cualquier otro país que no esté sujeto a regulaciones de adecuación de conformidad con la Sección 17A de la Ley de Protección de Datos del Reino Unido de 2018; y (iii) cuando se aplica el DPA suizo, una transferencia de Datos personales de Suiza a cualquier otro país que no esté determinado a proporcionar una protección adecuada para los Datos personales por la Comisión Federal de Protección de Datos e Información o el Consejo Federal (según corresponda).

Por “cláusulas contractuales estándar” se entiende: (i) cuando se aplique el RGPD UE o el DPA suizo, las cláusulas contractuales anexas a la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea, de 4 de junio de 2021 (“EU SCC”); y (ii) cuando se aplique el RGPD Reino Unido, las cláusulas de protección de datos estándar para los encargados del tratamiento adoptadas de conformidad con el artículo 46, apartado 2, letras c) o d), del RGPD británico (en concreto, la adición sobre transferencia internacional de datos a las cláusulas contractuales estándar de la Comisión Europea) (“UK SCC”), según corresponda de conformidad con la Sección 8 (Transferencias de datos).

“Incidente de seguridad” se refiere a cualquier violación de seguridad no autorizada o ilegal que conduzca a la destrucción, pérdida, alteración, divulgación no autorizada o acceso a los Datos personales del cliente. Un “Incidente de seguridad” no incluirá intentos o actividades fallidos que no comprometan la seguridad de los Datos personales del cliente, incluidos intentos fallidos de inicio de sesión, pings, escaneos de puertos, ataques de denegación de servicio y otros ataques a la red en firewalls o sistemas conectados en red.

Por “subprocesador” se entiende cualquier tercero (incluida cualquier filial de OpenMethods) contratado por OpenMethods para procesar los Datos personales del cliente (excluidos los empleados o contratistas de OpenMethods).

Los términos “Controlador”, “interesado”, “Datos personales”, “Encargado” y “procesamiento” tienen los significados que se les asignan en las Leyes de privacidad aplicables. Si y en la medida en que la(s) Ley(es) de Privacidad Aplicable(s) no defina(n) dichos términos, se aplicarán las definiciones dadas en la Ley de Protección de Datos de la UE/RU.

2. Rol y alcance del procesamiento

2.1 Las partes reconocen que con respecto al procesamiento de los Datos personales del cliente, el Cliente será el Controlador y OpenMethods procesará los Datos personales del cliente como un Encargado del procesamiento en nombre del Cliente.

2.2 OpenMethods procesará los Datos Personales del Cliente solo de acuerdo con las instrucciones documentadas del Cliente y no procesará los Datos Personales del Cliente para sus propios fines, excepto como se establece en este DPA o cuando sea requerido por las leyes aplicables. El Acuerdo, incluido este DPA, junto con la configuración por parte del Cliente de cualquier configuración u opción en los Servicios (según lo que el Cliente pueda modificar de vez en cuando), constituyen las instrucciones completas y finales del Cliente a OpenMethods con respecto al Procesamiento de los Datos Personales del Cliente, incluso para fines de las Cláusulas Contractuales Estándar. Instrucciones adicionales fuera del alcance de dichas instrucciones de procesamiento (si las hay) requieren el acuerdo previo por escrito entre las partes.

2.3 Cada parte cumplirá con sus obligaciones bajo la(s) Ley(es) de Privacidad Aplicable(s) con respecto a los Datos Personales del Cliente que Procese bajo o en relación con los Servicios o este DPA. Sin perjuicio de lo anterior, el Cliente es responsable de determinar si los Servicios son adecuados para el almacenamiento y procesamiento de los Datos Personales del Cliente de conformidad con la(s) Ley(es) de Privacidad Aplicable(s) y para la exactitud, calidad y legalidad de los Datos Personales del Cliente y los medios por los cuales adquirió los Datos Personales del Cliente. El Cliente acepta además que ha notificado y obtenido todos los consentimientos, permisos y derechos necesarios para que OpenMethods y sus Subprocesadores procesen legalmente los Datos Personales del Cliente para los fines contemplados en el Acuerdo (incluido este DPA).

2.4 OpenMethods notificará sin demora al Cliente si determina que las instrucciones del Cliente infringen la(s) Ley(es) de Privacidad Aplicable(s) (pero sin obligación de monitorear activamente el cumplimiento por parte del Cliente de la(s) Ley(es) de Privacidad Aplicable(s) y, en tal caso, OpenMethods no estará obligado a realizar dicho Procesamiento hasta el momento en que el Cliente haya actualizado sus instrucciones de procesamiento y OpenMethods haya determinado que la incidencia de incumplimiento se ha resuelto.

2.5 Detalles del procesamiento de datos:

a) Tema: El objeto del procesamiento de datos bajo este DPA son los Datos personales del cliente.

b) Duración: Entre el Cliente y OpenMethods, la duración del procesamiento es el plazo del Acuerdo más cualquier periodo posterior a la terminación o vencimiento del Acuerdo durante el cual OpenMethods procesará los Datos Personales del Cliente de acuerdo con el Acuerdo.

c) Objeto: OpenMethods procesará los Datos Personales del Cliente según sea necesario para realizar los Servicios de conformidad con el Acuerdo, según las instrucciones adicionales del Cliente en su uso de los Servicios.

d) Naturaleza del tratamiento: La prestación de los Servicios según se describe en el Acuerdo e iniciada por el Cliente de vez en cuando.

(e) Tipos de Datos Personales del Cliente. Datos Personales del Cliente cargados en los Servicios bajo la cuenta de OpenMethods del Cliente.

f) Categorías de sujetos de datos: Los sujetos de datos podrían incluir empleados del Cliente, consultores, agentes y terceros autorizados para usar los Servicios como "Usuarios" bajo la cuenta de OpenMethods del Cliente y cualquier otro sujeto de datos cuyos datos personales sean enviados a OpenMethods por el Cliente a través de los Servicios.

 

3. Subprocesamiento

3.1 El Cliente otorga a OpenMethods una autorización general para subcontratar el procesamiento de los Datos Personales del Cliente a un Subprocesador, incluidos los Subprocesadores que se enumeran en https://OpenMethods.com/static/legal/OpenMethods-Current-Subprocessors-List.pdf (o cualquier otro URL sucesor) (“Lista de Subprocesadores“).

3.2 Si OpenMethods contrata un Subprocesador nuevo o de reemplazo, OpenMethods:

a) Actualizar la lista de subprocesadores;

(b) imponer sustancialmente los mismos términos de protección de datos a cualquier Subprocesador que contrate según lo dispuesto en este DPA (incluidas las disposiciones sobre transferencia de datos, cuando corresponda); y

(c) serán responsables ante el Cliente por cualquier incumplimiento de este DPA causado por un acto, error u omisión de dicho Subprocesador.

3.3 Si el Cliente decide recibir una notificación por escrito 10 días antes de que OpenMethods se comunique con un Subprocesador nuevo o de reemplazo, el Cliente debe suscribirse a dichas notificaciones a través del portal de notificaciones;

3.4 El Cliente puede oponerse al nombramiento por escrito de OpenMethods de cualquier Subprocesador nuevo o reemplazante dentro de los treinta (30) días posteriores a la recepción de la notificación de acuerdo con (3.2 (a)) y por motivos razonables relacionados con la capacidad del Subprocesador para cumplir con las Leyes de Privacidad Aplicables. En tal caso, las partes discutirán de buena fe las preocupaciones del Cliente con el fin de lograr una resolución comercialmente razonable. Si las partes no Reach dicha resolución, OpenMethods tendrá el derecho, a su entera discreción, de no nombrar al Subprocesador en disputa, o permitir que el Cliente suspenda o rescinda el Pedido aplicable y/o el Acuerdo. Estos procedimientos son el remedio exclusivo del Cliente y toda la responsabilidad de OpenMethods de resolver las objeciones del Cliente al nombramiento de Subprocesadores por parte de OpenMethods bajo este DPA.

 

4. Cooperación

4.1 OpenMethods cooperará razonablemente con el Cliente para permitirle responder a cualquier solicitud, queja u otra comunicación de los sujetos de datos y los organismos reguladores o judiciales relacionados con el procesamiento de los Datos Personales del Cliente, incluidas las solicitudes de los sujetos de datos que deseen ejercer sus derechos en virtud de las Leyes de Privacidad aplicables. En el caso de que dicha solicitud, queja o comunicación se haga directamente a OpenMethods, OpenMethods, una vez que haya identificado la solicitud es de un sujeto de datos o está relacionada con un sujeto de datos del que es responsable el Cliente, la transmitirá al Cliente y no responderá a dicha comunicación sin la autorización expresa del Cliente (salvo que sea necesario para cumplir con las leyes aplicables).

4.2 En la medida en que OpenMethods sea requerido por la(s) Ley(es) de Privacidad Aplicable(s), OpenMethods ayudará al Cliente a realizar una evaluación del impacto de la protección de datos y, cuando sea legalmente requerido, consultará con las autoridades de protección de datos aplicables con respecto a cualquier actividad de procesamiento propuesta que presente un alto riesgo para los sujetos de datos.

4.3 Teniendo en cuenta la naturaleza del procesamiento, el Cliente acepta que es poco probable que OpenMethods tenga conocimiento de que los Datos personales del Cliente transferidos en virtud de las Cláusulas contractuales estándar sean inexactos o estén desactualizados. No obstante, si OpenMethods tiene conocimiento de que los Datos Personales del Cliente transferidos en virtud de las Cláusulas Contractuales Estándar son inexactos u obsoletos, informará al Cliente sin demora indebida. OpenMethods cooperará razonablemente con el Cliente para borrar o rectificar los Datos Personales del Cliente inexactos u obsoletos transferidos en virtud de las Cláusulas Contractuales Estándar.

 

5. Acceso a datos y medidas de seguridad

5.1 OpenMethods garantizará que todo el personal encargado del procesamiento de los Datos Personales del Cliente esté sujeto a un deber de confidencialidad apropiado (ya sea un deber contractual o legal) y que procese los Datos Personales del Cliente solo con el fin de prestar los Servicios.

5.2 OpenMethods implementará y mantendrá medidas de seguridad técnicas y organizativas razonables y apropiadas con el objetivo de proteger los Datos Personales del Cliente contra Incidentes de Seguridad de acuerdo con las medidas enumeradas en el Anexo 2 (“Medidas de Seguridad”). El Cliente reconoce que las Medidas de Seguridad están sujetas al progreso y desarrollo técnico y que OpenMethods puede actualizar o modificar las Medidas de Seguridad de vez en cuando, siempre que dichas actualizaciones y modificaciones no degraden o disminuyan la seguridad general de los Servicios.

 

6. Incidentes de seguridad

En caso de un Incidente de Seguridad, OpenMethods informará al Cliente sin demora indebida y proporcionará detalles por escrito del Incidente de Seguridad al Cliente, incluido el tipo de datos afectados y la identidad de las personas afectadas, una vez que OpenMethods tenga conocimiento de dicha información o esté disponible para ella. OpenMethods, en la medida de lo posible, proporcionará información y cooperación oportunas al Cliente para permitirle cumplir con sus obligaciones de informar sobre filtraciones de datos bajo las Leyes de privacidad aplicables y tomará medidas razonables para remediar o mitigar los efectos del Incidente de seguridad. Las obligaciones del presente documento no se aplicarán a los Incidentes de seguridad causados por el Cliente o sus usuarios.

 

7. Informes e inspecciones de seguridad

7.1 A solicitud del Cliente, OpenMethods proporcionará copias de las certificaciones, los resúmenes de los informes de auditoría y/o cualquier otra documentación pertinente que posea, cuando sea razonablemente requerido por el Cliente para verificar el cumplimiento de OpenMethods con este DPA.

7.2 Si bien la intención de las partes es normalmente confiar en las obligaciones de OpenMethods establecidas en la Sección 7.1 para verificar el cumplimiento de OpenMethods con este DPA, después de un Incidente de Seguridad confirmado o cuando una autoridad de protección de datos lo requiera, el Cliente puede proporcionar a OpenMethods una notificación por escrito con treinta (30) días de anticipación solicitando que un tercero realice una auditoría de las operaciones e instalaciones de OpenMethods (“Auditoría”); siempre que (i) cualquier Auditoría se realice a expensas del Cliente; (ii) las partes acuerden mutuamente el alcance, el momento y la duración de la Auditoría; (iii) la Auditoría no afectará injustificadamente las operaciones regulares de OpenMethods.

7.3 Todas las respuestas escritas o Auditorías descritas en esta Sección 7 estarán sujetas a las disposiciones de confidencialidad del Acuerdo. Las partes acuerdan que las auditorías descritas en la cláusula 8.9 de las CCCC de la UE se llevarán a cabo de conformidad con la presente sección 7 (Informes e instrucciones de seguridad).

 

8. Transferencias de datos

8.1 Los Datos Personales del Cliente que OpenMethods procese en virtud del Acuerdo podrán procesarse en cualquier país en el que OpenMethods, sus Filiales y Subprocesadores de OpenMethods mantengan instalaciones para realizar los Servicios, como se detalla en la Lista de Subprocesadores. OpenMethods no procesará ni transferirá los Datos Personales del Cliente (ni permitirá que dichos datos se procesen o transfieran) fuera del EEE, Suiza o el Reino Unido, a menos que primero tome las medidas necesarias para garantizar que la transferencia cumpla con esta Ley de Protección de Datos de la UE/RU.

8.2 Las partes acuerdan que, cuando la transferencia de Datos Personales del Cliente a OpenMethods sea una Transferencia Restringida, se regirá por

(a) para las transferencias de Datos Personales del Cliente sujetas al RGPD o al DPA suizo, las SCC de la UE, que las partes celebran e incorporan en el presente DPA, o

(b) para las transferencias de Datos Personales del Cliente sujetas al RGPD británico, las SCC del Reino Unido, que las partes celebran e incorporan en este DPA.

8.3 A los efectos de las Cláusulas Contractuales Uniformes, los anexos, apéndices o cuadros pertinentes se considerarán rellenados con la información pertinente que se establece en el Anexo I. En caso de que alguna disposición de este DPA contradiga, directa o indirectamente, las Cláusulas Contractuales Uniformes, prevalecerán las Cláusulas Contractuales Uniformes.

8.4 Si OpenMethods adopta un mecanismo alternativo de exportación de datos legal para la transferencia de datos personales no descrito en este DPA (“Mecanismo Alternativo de Transferencia”), el Mecanismo Alternativo de Transferencia se aplicará en lugar de cualquier mecanismo de transferencia aplicable descrito en este DPA (pero solo en la medida en que dicho Mecanismo Alternativo de Transferencia cumpla con la Ley de Protección de Datos de la UE/RU y se extienda a los territorios a los que se transfieren los Datos Personales del Cliente pertinentes).

 

9. Borrado y devolución

9.1 A petición del Cliente, o al terminar o vencer este DPA, OpenMethods destruirá o devolverá al Cliente todos los Datos Personales del Cliente que posea de acuerdo con los plazos y políticas de eliminación de datos vigentes de OpenMethods, que puedan ser solicitados por el Cliente en cualquier momento. Este requisito no se aplicará en la medida en que OpenMethods esté obligado por cualquier ley aplicable a retener parte o la totalidad de los Datos personales del cliente, o a los Datos personales del cliente archivados en sistemas de copia de seguridad, datos que OpenMethods aislará y protegerá de cualquier procesamiento adicional excepto en la medida en que lo exija dicha ley. Las partes acuerdan que OpenMethods proporcionará al Cliente la certificación de eliminación de los Datos Personales descritos en las Cláusulas 8.5 y 16.(d) de las SCC de la UE solo previa solicitud escrita del Cliente.

 

10. Ley de Privacidad del Consumidor de California (CCPA)

10.1 En la medida en que el Cliente tenga usuarios de los Servicios que sean residentes del estado de California en los Estados Unidos y se aplique la CCPA, los términos establecidos en esta Sección 10 se aplicarán a este DPA.

10.2 Se introducirán las siguientes modificaciones en las definiciones establecidas en la sección 1 del presente DPA:

(a) “CCPA” se refiere a la Ley de Privacidad del Consumidor de California, Cal. Civ. Código § 1798.100 y siguientes.

b) Por “negocio” se entiende el significado que se le da en la CCPA.

c) Por “Proveedor de servicios” se entiende el significado dado en la CCPA.

10.3 Para propósitos de los Datos Personales del Cliente que constituyen “información personal” bajo la CCPA, el Cliente es un Negocio y OpenMethods es un Proveedor de Servicios. La transferencia de los Datos personales del cliente a OpenMethods por parte del cliente no es una venta, y OpenMethods no proporciona ninguna contraprestación monetaria o de otro tipo valiosa al cliente a cambio de Datos personales.

10.4 OpenMethods se compromete a cumplir con todos los requisitos aplicables de la CCPA, y si y en la medida acordada entre el Cliente y OpenMethods por escrito como se establece en este DPA.

10.5 En la medida en que sea aplicable a los Servicios, OpenMethods ayudará razonablemente al Cliente a responder (a expensas del Cliente) a cualquier solicitud de un sujeto de datos (incluidas las “solicitudes verificables del consumidor”, como se define dicho término en la CCPA), en relación con el procesamiento de los Datos Personales del Cliente en virtud del Acuerdo.

 

11. General

11.1 Excepto por los cambios realizados por el presente Acuerdo, el Acuerdo permanece sin cambios y en pleno vigor y efecto. Si hay algún conflicto entre cualquier disposición de este DPA y cualquier disposición del Acuerdo, este DPA controla y tiene precedencia. Con efecto a partir de la fecha de entrada en vigencia, este DPA forma parte del Acuerdo y se incorpora al mismo.

11.2 En ningún caso este DPA restringe ni limita los derechos de ningún sujeto de datos ni de ninguna autoridad de supervisión competente.

11.3 Cualquier reclamación o recurso que el Cliente pueda tener contra OpenMethods, sus empleados, agentes y Subprocesadores, que surja bajo o en relación con este DPA (incluidas las Cláusulas Contractuales Estándar), ya sea contractual, extracontractual (incluida la negligencia) o bajo cualquier otra teoría de responsabilidad, estará sujeto a las limitaciones y exclusiones de responsabilidad permitidas por la ley en el Acuerdo. En consecuencia, cualquier referencia en el Acuerdo a la responsabilidad de una parte significa la responsabilidad agregada de esa parte en virtud y en relación con el Acuerdo y este DPA juntos.

11.4 El presente DPA no podrá ser modificado salvo por un instrumento escrito posterior firmado por ambas partes.

11.5 El presente DPA se regirá e interpretará de acuerdo con la ley vigente y las disposiciones de jurisdicción en el Acuerdo, a menos que se requiera lo contrario por las Leyes de privacidad aplicables o las Cláusulas contractuales estándar.

11.6 Si alguna parte de este DPA se considera inaplicable, la validez de todas las partes restantes no se verá afectada.

 

ANEXO I

A. LISTA DE PARTES

MODULO DOS: Transferir controlador al procesador

Exportador(es) de datos:

Nombre: La entidad identificada como el “Cliente” en este DPA.

Dirección: La dirección del Cliente asociada con su cuenta de OpenMethods o especificada de otra manera en el DPA o el Acuerdo.

Nombre, cargo y detalles de contacto de la persona de contacto: Los detalles de contacto asociados con la cuenta del Cliente, o especificados de otra manera en este DPA o el Acuerdo.

Actividades relacionadas con los datos transferidos en virtud de estas cláusulas: Las actividades especificadas en el anexo 1, letra B), infra.

Rol (controlador/procesador): Contralor

Importador de datos:

Nombre: OpenMethods, Inc. ("OpenMethods")

Dirección: 1100 Main St., Suite 400, Kansas City, MO 64105

Nombre, cargo y detalles de contacto de la persona de contacto: Shannon Lekas, privacy@OpenMethods.com (Datos y cumplimiento)

Actividades relacionadas con los datos transferidos en virtud de estas cláusulas: Las actividades especificadas en el anexo 1, letra B), infra.

Rol (controlador/procesador): Procesador

 

B. DESCRIPCIÓN DE LA TRANSFERENCIA

MODULO DOS: Transferir controlador al procesador

Categorías de sujetos de datos cuyos datos personales se transfieren: Los empleados del cliente, consultores, agentes y terceros autorizados para usar los Servicios como “usuarios” bajo la cuenta de OpenMethods del Cliente y cualquier otra persona cuyos datos personales sean enviados a OpenMethods por el Cliente a través de los Servicios.

Categorías de sujetos de datos cuyos datos personales se transfieren: Nombre, dirección de correo electrónico y cualquier otro dato personal enviado por el Cliente a través de los Servicios, incluido el Contenido del Cliente

Datos confidenciales transferidos (si procede) y restricciones o salvaguardias aplicadas que tengan plenamente en cuenta la naturaleza de los datos y los riesgos implicados, como por ejemplo una limitación estricta de propósitos, restricciones de acceso (incluido el acceso solo para el personal que ha seguido una formación especializada), mantener un registro del acceso a los datos, restricciones para las transferencias posteriores o medidas de seguridad adicionales: Ninguno; no está permitido bajo la política de uso prohibido de OpenMethods.

La frecuencia de la transferencia (p. ej., si los datos se transfieren una sola vez o de forma continua): Los Datos Personales del Cliente pueden transferirse de manera continua o de una sola vez según el uso que el Cliente haga de los Servicios y las instrucciones de procesamiento del Cliente.

Objetivo(s) de la transferencia de datos y el procesamiento posterior: Para que OpenMethods proporcione, mantenga y mejore los Servicios proporcionados al exportador de datos de conformidad con el Acuerdo.

El periodo durante el cual se conservarán los datos personales o, si no es posible, los criterios utilizados para determinar ese periodo: OpenMethods conservará los Datos Personales del Cliente hasta 180 días después de la terminación o vencimiento del Acuerdo. Para las transferencias a (sub)procesadores, especifique también el objeto, la naturaleza y la duración del procesamiento.

Duración: El plazo del Acuerdo más cualquier periodo posterior a la terminación o vencimiento del Acuerdo durante el cual OpenMethods procesará los Datos personales del Cliente de acuerdo con el Acuerdo.

Tema: El objeto del procesamiento de datos bajo este DPA son los Datos personales del cliente.

Naturaleza del tratamiento: La prestación de los Servicios según se describe en el Acuerdo e iniciada por el Cliente de vez en cuando.

 

C. AUTORIDAD DE SUPERVISIÓN COMPETENTE

MODULO DOS: Transferir controlador al procesador

Identifique las autoridades de supervisión competentes de conformidad con la cláusula 13: La autoridad de supervisión competente del exportador de datos se determinará de acuerdo con el RGPD.

 

ANEXO II

MEDIDAS TÉCNICAS Y ORGANIZATIVAS, INCLUIDAS MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS

MODULO DOS: Transferir controlador al procesador

OpenMethods utiliza las siguientes medidas técnicas y organizativas para proteger la información personal:

• Medidas de seudonimización y encriptación de datos personales
• Medidas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de procesamiento
• Medidas para garantizar la capacidad de restablecer la disponibilidad y el acceso oportunos a los datos personales en caso de un incidente físico o técnico
• Procesos para probar, evaluar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas con el fin de garantizar la seguridad del procesamiento
• Medidas de identificación y autorización del usuario Medidas de protección de datos durante la transmisión
• Medidas de protección de datos durante el almacenamiento
• Medidas para garantizar la seguridad física de las ubicaciones en las que se procesan los datos personales
• Medidas para garantizar el registro de eventos
• Medidas para garantizar la configuración del sistema, incluida la configuración predeterminada
• Medidas para la gobernanza y la administración internas de TI y seguridad informática
• Medidas de certificación/garantía de procesos y productos
• Medidas para minimizar los datos
• Medidas para garantizar la calidad de los datos
• Medidas para garantizar una retención limitada de datos
• Medidas para garantizar la rendición de cuentas
• Medidas para permitir la portabilidad de datos y garantizar el borrado

Las medidas técnicas y organizativas que el importador de datos impondrá a los subprocesadores se describen en el DPA

 

ANEXO III

Cláusulas contractuales estándar

A) Con sujeción a la Sección 8.2 de este DPA, cuando la transferencia de Datos Personales del Cliente a OpenMethods sea una Transferencia Restringida y el RGPD o el DPA suizo exijan que se establezcan las medidas de protección apropiadas, la transferencia se regirá por las SCC de la UE de la siguiente manera:

i. i) Se aplicará el módulo dos (Transferir controlador al encargado del tratamiento);

ii) ii) en la cláusula 7 (cláusula de atraque), se aplicará la cláusula de atraque opcional;

iii. iii) en la Cláusula 9 (Uso de subprocesadores), se aplicará la Opción 2, y el plazo para la notificación previa de los cambios de subprocesadores será el establecido en la Cláusula 3.2 de este DPA;

iv. (iv) en la Cláusula 11 (Reparación), no se aplicará el lenguaje opcional para permitir que los sujetos de datos presenten quejas ante un órgano independiente de resolución de disputas;

v. v) en la cláusula 17 (Derecho aplicable), se aplicará la opción 1 y las CCCC de la UE se regirán por el Derecho neerlandés;

vi. (vi) en la Cláusula 18(b) (Elección de foro y jurisdicción), las disputas se resolverán ante los tribunales de Amsterdam, Países Bajos; y

B) cuando la transferencia de Datos personales del cliente a OpenMethods sea una Transferencia restringida y el RGPD británico exija que se establezcan las medidas de protección apropiadas, se aplicarán las SCC del Reino Unido de acuerdo con el párrafo (a) anterior.

Exposición 2 - Entregables de OpenMethods

PRUEBA C 

NOMBRE DEL PROYECTO DEL CLIENTE

DECLARACIÓN DE TRABAJO (SOW)

SOW NUMBER: 08102024-000

VERSION: 1.0

INTRODUCCIÓN

OpenMethods se complace en proporcionar esta Declaración de trabajo al Suscriptor identificado en la Declaración de trabajo de Zendesk, o un acuerdo similar, al que se adjunta esta Declaración de trabajo (el "Cliente") como una descripción de los servicios que se proporcionarán para activar la solución Experience Cloud para su uso en el entorno del Cliente como se define en esta Declaración de trabajo y/o el Pedido de venta de OpenMethods asociado, si corresponde. 

Esta Declaración de trabajo se celebra bajo los Términos de servicio de OpenMethods, y todas las Exposiciones, Horarios, Adiciones, archivos adjuntos, Declaraciones de trabajo (incluida, entre otras, esta Declaración de trabajo) y sus Enmiendas (“Acuerdo”) e incorpora por medio de esta referencia.  Los términos escritos en mayúsculas que se utilicen en esta Declaración de trabajo y que no se definan en el presente documento son los definidos en el Acuerdo.

RESUMEN

Esta declaración de trabajo (SOW) describe los requisitos, el alcance y las actividades para configurar Experience Cloud para usar en el entorno del cliente. Como parte de este proyecto OpenMethods:

• Solución con licencia de provisión.
• Crear, probar e implementar flujos emergentes del diseñador de experiencias.
• Soporte Cliente en pruebas de aceptación de usuarios y actividades de lanzamiento.
• Impartir capacitación relacionada con soluciones.

Descripción general del entorno

Definiciones

Los siguientes términos se usan para describir las soluciones de OpenMethods o sus varios componentes principales:

1. Experience Cloud: el portal principal basado en Internet que se usa para administrar la solución OpenMethods y sus distintos componentes.
2. Experience Designer: una interfaz de usuario dentro de Experience Cloud que permite a los administradores diseñar, probar y publicar flujos pop que orquestan las actividades de los agentes, asociadas con una interacción, en el CRM.

Actividades

El aprovisionamiento de la solución OpenMethods estará limitado a los objetivos que se enumeran a continuación. Es responsabilidad del dueño identificado de cada objetivo completar cada paso (se describe en el apéndice A). 

• Provisión (OpenMethods): OpenMethods proporcionará Experience Cloud para Support el entorno del Cliente y los requisitos comerciales como se definen en esta Declaración de trabajo.
• Asignación de recursos y roles (OpenMethods): OpenMethods trabajará con Client en los requisitos básicos de integración y configuración de la solución OpenMethods y proporcionará información relacionada con esos requisitos.
• Preparar (Cliente): El cliente configurará y proporcionará acceso (cuenta de usuario) a su entorno cuando sea necesario para satisfacer los requisitos de esta declaración de trabajo. Esto incluye instalar la aplicación Experience Cloud, que está disponible de inmediato en el Apps Marketplace de ZenDesk.
• Crear flujos emergentes (OpenMethods): OpenMethods será responsable de la creación de PopFlows como se documenta en la sección “Diseño y creación de PopFlows” de esta Declaración de trabajo.
• Prueba de validación (OpenMethods): Una vez activada la solución y creados los flujos pop, OpenMethods se asegurará de que la solución funcione según las especificaciones.
• Prueba de aceptación del usuario (cliente): El cliente realizará la UAT e informará sobre cualquier problema descubierto. Los problemas reportados se clasificarán según la criticidad y se resolverán antes de la activación o después de la activación, según la criticidad del problema. El cliente es responsable de crear los scripts o procedimientos de prueba necesarios para su proceso UAT.
• Capacitación (OpenMethods): OpenMethods será responsable de capacitar al cliente sobre el uso, la configuración y la administración de la solución OpenMethods. Esta capacitación consistirá en lo siguiente: 
  • Capacitación de usuarios de PopFlow: se centra en enseñar a un agente a interactuar correctamente con los PopFlows asociados y a usarlos. Como tal, la sesión se ofrece como capacitación para “entrenar al instructor” para que la organización de capacitación del cliente pueda educar a sus agentes según lo permitan los plazos del proyecto. Esta sesión de capacitación normalmente requiere 2 horas.
  • Capacitación en administración de la nube: esta capacitación se centra en la administración, el cuidado y la alimentación de la solución OpenMethods desde una perspectiva técnica. Esta sesión de capacitación normalmente requiere 2 horas.
  • Capacitación de diseñador de experiencias: esta capacitación se centra en el uso del diseñador de experiencias. Está dirigido a todos los usuarios que serán responsables de la creación, el mantenimiento, las pruebas y la implementación de PopFlows. Esta capacitación normalmente se divide en varias sesiones para un tiempo total de capacitación de <16 horas>.
• Activación (Cliente/Métodos abiertos): OpenMethods ayudará al cliente a activar la solución. OpenMethods Project Management Office (PMO) seguirá participando durante 10 días después de su lanzamiento en preparación para la transición a la atención al cliente y el éxito.
• Cuidado y éxito (OpenMethods): OpenMethods llevará a cabo una reunión formal para presentar al personal del cliente apropiado a los equipos de atención al cliente y éxito de OpenMethods y asegurarse de que estén familiarizados con el proceso y los requisitos relacionados con obtener Support en el futuro.

Diseño y creación de flujos emergentes

Las automatizaciones facilitadas por la solución OpenMethods requieren un evento disparador específico para el agente para comenzar la automatización (por ejemplo, un agente que hace clic en un botón, un agente que responde a un teléfono/correo electrónico/chat, un agente que ingresa o cambia los datos del campo en CRM, etc.). El cliente proporcionará y configurará los mecanismos de activación necesarios, para activar automatizaciones, según la documentación de OpenMethods “OpenConnect API” o como se defina durante el inicio del proyecto. El cliente proporcionará documentación de API (interfaz de programación de aplicaciones), conectividad y acceso requeridos para todos los servicios o aplicaciones dentro del alcance que se describen en esta Declaración de trabajo. Las capacidades de la solución OpenMethods pueden verse limitadas por la funcionalidad expuesta por las API de terceros proporcionadas.

Los siguientes flujos emergentes se crearán y desplegarán como parte de este proyecto. Los casos de uso adicionales y/o el trabajo de diseño, creación o implementación de PopFlow se considerarán fuera del alcance de este proyecto y se tratarán en una declaración de trabajo separada.

<INSERTAR ALCANCE AQUÍ>

de restricciones e hipótesis del proyecto

1. El cliente es responsable de todos los requisitos de preparación del sitio y de asegurarse de que se cumplan de acuerdo con el paquete “OpenMethods Client Readiness”.
2. El cliente es responsable de proporcionar un recurso disponible con acceso a nivel de administrador a las instancias CRM necesarias.
3. El cliente es responsable de proporcionar cuentas de “Prueba” que se usarán para realizar pruebas de validación. Las credenciales deben proporcionarse a través de métodos seguros (p. ej., Zoom Chat, Slack con eliminación, correo electrónico no permitido).
4. El cliente es responsable de proporcionar conectividad segura a los servicios de OpenMethods. 
5. El cliente acepta cumplir los roles de partes interesadas, como se definen en el “Apéndice A”, y entiende que son necesarios para una implementación exitosa. 
6. El cliente reconoce que parte o la totalidad de la solución requerida puede entregarse como configuración personalizada (denominada en el presente documento "Servicios personalizados") para cumplir con los requisitos específicos descritos en esta Declaración de trabajo y que:  

a. los Servicios personalizados creados como parte de este proyecto se proporcionan tal cual. OpenMethods garantizará que la implementación esté libre de defectos materiales por un periodo de 60 días, después de lo cual no ofrece garantías o garantías con respecto a la funcionalidad, compatibilidad o rendimiento a largo plazo de dicho Activo de servicios. 

b. aunque diseñados usando API e interfaces publicadas en servicios integrados, los Servicios personalizados pueden requerir modificaciones o actualizaciones para seguir siendo compatibles con actualizaciones o cambios futuros en el software proporcionado por OpenMethods, o en las API o servicios integrados de terceros. OpenMethods no será responsable de admitir o mantener la configuración personalizada que se vuelva obsoleta o incompatible debido a dichas actualizaciones. OpenMethods proporcionará Support continuo al Cliente para los productos en los mejores esfuerzos únicamente y no estará obligado a remediar las deficiencias que se le informen después del vencimiento del Periodo de garantía. Cualquier solicitud de modificación, actualización o Support para una configuración personalizada obsoleta estará sujeta a una Declaración de trabajo separada y puede incurrir en cargos adicionales.     

7. estarán sujetos a una Declaración de trabajo separada y pueden incurrir en cargos adicionales.

Tarifas de servicios profesionales

Los honorarios de Servicio Profesional citados en esta Declaración de trabajo son válidos por 90 días a partir de la entrega inicial de SOW al Cliente y vencen dentro de los 30 días posteriores a la ejecución de esta Declaración de trabajo. Este Service Pack de integración vence 6 meses después de la Fecha de inicio de la suscripción.

El Cliente autoriza a OpenMethods a prestar Servicios Profesionales, y a facturar al Cliente a través de Zendesk, por dichos Servicios Profesionales, según lo establecido en esta Declaración de Trabajo. Esta Declaración de trabajo de OpenMethods entrará en vigor a partir de la fecha en que el Cliente y Zendesk ejecuten la SOW (o documento de pedido similar) de Zendesk a la que se adjunta esta Declaración de trabajo de OpenMethods.

 

APÉNDICE A – REQUISITOS PARA LAS PARTES INTERESADAS

 

Prueba 1 

CONTRATO GENERAL DE SERVICIOS

Teniendo en cuenta las promesas mutuas, los acuerdos y los contratos aquí contenidos, las partes acuerdan que la relación comercial se regirá por lo siguiente:

1. El objeto del presente contrato es la prestación de servicios por parte de la empresa BCR TELECOMUNICAÇÕES LTDA ("Contratista") en SOFTWARE COMO PLATAFORMA DE SERVICIO PARA CX, en los parámetros y modalidad elegidos y presentes en el Plazo de Especificación del Contrato.
2. El Contratista ofrece los siguientes productos y servicios, de forma conjunta o separada, según lo contratado:

1. Conciex Talk: Solución CCaaS, con informes, panel de administración y una interfaz de agente fácil de usar, enfocada a mejorar las experiencias y reducir los costos y que se integra con los distintos CRM del mercado.

2. Mensajería conciex: aplicación que funciona como una plataforma de comunicación que ayuda a los usuarios a enviar mensajes individuales o masivos desde distintos canales (Whatsapp, SMS y correo electrónico) a través de integraciones con CRM del mercado

3. Los servicios de Contratista aplicables que el Cliente solicite al Contratista en virtud de este Acuerdo se establecerán en el Acuerdo de reventa de Zendesk (como se define a continuación).
4. Zendesk, Inc., una corporación de Delaware, y cualquiera de sus afiliados aplicables (“Zendesk”) servirá como agente de facturación para la suscripción del Cliente a los servicios de Contratista encargados por el Cliente al Contratista bajo este Acuerdo de conformidad con el Acuerdo de Reventa de Zendesk. “Acuerdo de reventa de Zendesk” se refiere al pedido de servicio, acuerdo o documento de pedido similar emitido por Zendesk al Cliente, al cual se adjunta o incorpora este Acuerdo, que establece, entre otras cosas, el plan de suscripción, el plazo de suscripción, las tarifas y la facturación del Cliente por los servicios de Contratista bajo este Acuerdo. Las partes acuerdan que Zendesk puede recibir precios e información contractual relacionada con los servicios de Contratista que el Cliente ordene bajo este Acuerdo de conformidad con un Acuerdo de Reventa de Zendesk según sea necesario para que Zendesk actúe como agente de facturación.

1. Los Términos y condiciones específicos, firmados por las partes al cerrar, se incorporan al presente Acuerdo como referencia y se considerarán incorporados en todas las Declaraciones de trabajo.
2. Ambos deben ser leídos, aplicados y comprendidos en conjunto, sin embargo, en caso de divergencia entre este ("MSA") y el mencionado ("Términos y Condiciones Específicos"), prevalecerá este último.
3. Este término también se aplicará a las posibles modificaciones que puedan firmarse entre las partes.

3.1 El plazo de suscripción del Cliente a los servicios del Contratista se establecerá en el Acuerdo de reventa de Zendesk al que se adjunta este Acuerdo.

3.2 El presente Acuerdo podrá rescindirse de inmediato en los siguientes casos:

3.3.1 Incumplimiento o cumplimiento irregular de las cláusulas contractuales por cualquiera de las partes, siempre que no se subsane en un plazo de 10 (diez) días a partir de la notificación escrita;

3.3.2 En caso de insolvencia, quiebra, disolución o solicitud de reorganización judicial o extrajudicial de cualquiera de las partes;

3.3.3 Ocurrencia de caso fortuito o fuerza mayor, que imposibilite o dificulte la prestación del servicio;

3.3.4 En caso de comercialización o cesión de los servicios contratados a terceros por la Parte Contratante sin el consentimiento previo del Contratista, el incumplimiento de las disposiciones legales o el uso de los servicios de manera fraudulenta o ilegal.

4.1 El Cliente pagará todos los honorarios por los servicios de Contratista a Zendesk especificados en el Acuerdo de reventa de Zendesk. Cualquier modificación a los servicios de Contratista que el Cliente compre del Contratista a través de Zendesk estará sujeta a un cambio de orden o enmienda.

4.2 Una vez notificado a la Parte Contratante, si el incumplimiento persiste por más de 15 (quince) días, los servicios serán suspendidos inmediatamente, sin perjuicio de los pagos adeudados, y el contrato podrá rescindirse, a discreción del Contratista, después de 30 (treinta) días de interrupción total sin pago adeudado, y no se adeudará ningún tipo de indemnización o compensación, bajo ninguna circunstancia.

4.3 Para la inicialización de cualquier servicio y configuración, se puede cobrar un importe si SETUP está estipulado en el plazo, y el inicio está condicionado al pago, que debe producirse, aunque la cancelación se produzca durante el procedimiento, ya que corresponde al tiempo dedicado.

5.1 El Contratista es consciente de que la prestación de servicios puede requerir que el Contratista cuente con infraestructura básica, como acceso a Internet y espacio interno, en estos casos, el Contratista no será responsable de los impactos derivados de los servicios prestados por terceros.

5.2 El contrato puede considerarse resuelto por ley si se detecta la inviabilidad técnica u operativa en el momento de la instalación/inicio de los servicios, sin que las partes tengan derecho a indemnización alguna.

6.1 El contratista cumplirá las responsabilidades y procedimientos de soporte adjuntas al anexo A.

6.2 Contratista declara y garantiza que los servicios del Contratista alcanzarán un porcentaje de disponibilidad mensual de al menos 99,9% en cualquier mes calendario (es decir, un máximo de cuarenta y tres (43) minutos de inactividad por mes) durante el Plazo. El mantenimiento planificado/tiempo de inactividad estará limitado a menos de cuatro (4) horas en un mes determinado y el Contratista notificará por escrito (por correo electrónico aceptable) con al menos siete (7) días de anticipación al Cliente sobre dicha indisponibilidad ("Tiempo de inactividad programado").

6.3 El Contratista notificará al Cliente con al menos seis (6) meses de anticipación sobre cualquier fin de vida útil o obsoleto de la función.

7.1 Las partes acuerdan que a efectos de la prestación de servicios, los términos aquí tratados se interpretarán de conformidad con la Ley General de Protección de Datos (Ley 13.709/2018).

7.2 Las partes se comprometen, por sí mismas y por sus empleados, a través del presente contrato, a cumplir, a lo largo de la prestación del servicio, las leyes y determinaciones legales vigentes en materia de Protección de Datos de Carácter Personal, especialmente la Ley 13.709/2018.

7.3 El Contratista se compromete a seguir las mejores normas de seguridad utilizadas para garantizar la seguridad de sus clientes, de modo que toda la información proporcionada por el Contratista estará protegida por compañías especializadas y toda la información recopilada a través de la Plataforma se almacenará en entornos seguros con acceso restringido.

7.4 Usted declara y garantiza que solo nos proporcionará información verdadera, completa y actualizada. El Contratista no será responsable de la información proporcionada por el Contratista, lo que incluye no estar obligado a inspeccionar o controlar la veracidad de la información proporcionada durante ninguna etapa del uso de la Plataforma. La Parte Contratante es responsable civil y penalmente de la veracidad de la información proporcionada.

7.5 El Contratista se reserva el derecho de suspender o terminar la prestación de servicios en los casos en que la información proporcionada por el Contratista sea falsa o sea considerada ilegal por cualquier autoridad judicial o administrativa.

7.6 El Contratista podrá, en cualquier momento, si ha sido notificado previamente, suspender inmediatamente los servicios prestados, en caso de órdenes judiciales o como resultado de una legislación que prohíba o impida la prestación de servicios.

7.7 Solo divulgaremos la información proporcionada por usted a terceros si una autoridad judicial lo requiere. El Contratista proporcionará toda la información solicitada por el gobierno, los organismos públicos o la administración directa o indirecta, si está debidamente justificada y es compatible con la ley vigente, previa autorización judicial y notificará inmediatamente al Contratista, quien adoptará las medidas legales que considere pertinentes y apropiadas.

7.8 La Parte Contratante tiene derecho a obtener, en cualquier momento, previa solicitud formal con 15 (quince) días de antelación, información sobre sus datos procesados por BCR.CX, o a suspender la autorización para el procesamiento de datos, como garantiza la Ley General de Protección de Datos (Ley 13.709/2018).

7.9 Las partes se comprometen a informar, en un plazo de 24 horas, de cualquier violación de la seguridad en el ámbito de sus actividades y responsabilidades

7.10 El contratista cumplirá con las medidas de seguridad de la información adjuntas como prueba B.

8.1 El Contratista declara que el presente contrato, así como todos los servicios prestados, se ajustan a los criterios ESG, respetando y aplicando las mejores prácticas ambientales, sociales y de gobernanza.

8.2 En sus actividades, el Contratista respeta e implementa medidas para combatir la práctica del lavado de dinero y la corrupción en todas sus formas, incluidas la extorsión y el soborno, respetando toda la legislación aplicable, especialmente la ley de "blanqueo" u ocultamiento de activos, derechos y valores (Ley 9.613/98) y la ley anticorrupción (Ley 12.846/2013).

8.3 El Contratista adopta y apoya compromisos sociales para combatir las prácticas ilegales y la conducta discriminatoria e inhumana en las relaciones laborales.

8.4 El Contratista se esfuerza por prestar sus servicios de manera sostenible y atenta al factor ambiental, mitigando los riesgos ambientales y aplicando políticas de preservación ambiental en sus actividades, evitando prácticas nocivas y cumpliendo con la Legislación Ambiental vigente, incluida, entre otras, la Ley de Política Ambiental Nacional (Ley 6.938/1981) y la Ley de Delitos Ambientales (Ley 9.605/1998)

8.5 Observar y asegurarse de que sus agentes y empleados cumplan con las políticas, normas y estándares establecidos por la otra Parte, cuando permanezcan en sus instalaciones, obligándose, por sí mismo, por sus empleados y cualquier subcontratista, a cumplir con las normas pertinentes en materia de seguridad, medio ambiente, higiene y medicina del trabajo, y el trabajo de los menores.

9.1 Las partes declaran, en el acto de contratación, una manifestación válida y efectiva de aceptación de este término.

9.2 Las partes eligen la jurisdicción de São Paulo - SP, domicilio del Contratista, para resolver las cuestiones derivadas del presente instrumento.

 

Anexo A – Responsabilidades y procedimientos de soporte

1. Definiciones

En esta prueba A:

(a) “Soporte Nivel 1” se refiere al primer nivel de soporte dado al Cliente por el Contratista para recopilar las opiniones del cliente, verificar los síntomas y escalar, si es necesario, al soporte Nivel 2.

b) Por “Level 2 Support” se entiende el segundo nivel de Support prestado por el Contratista al Cliente que aborda cuestiones y resoluciones operacionales y de infraestructura de los servicios del Contratista.

c) Por “Level 3 Support” se entiende el tercer nivel de Support prestado por el Contratista que abarca la resolución de bugs de código de aplicación o de código de infraestructura.

(d) “Horario de soporte” para asuntos que no son críticos y que no tienen un impacto comercial importante se refiere a entre las 09:00 y las 24:00 BRT de un día hábil (lunes a viernes, todas las semanas del año). El horario de soporte y las obligaciones de respuesta para asuntos críticos y de gran impacto empresarial son los que se describen a continuación.

2. Obligaciones de soporte

El Contratista proporcionará al Cliente todo Support en relación con los asuntos identificados por el Cliente e informados al Contratista. Estos servicios de Support se proporcionarán a través del sistema de tickets help desk de Zendesk.

El Contratista responderá a las solicitudes de Support:

(a) con respecto a los asuntos de Impacto Crítico en el Negocio, dentro de los treinta (30) minutos veinticuatro (24) horas del día, trescientos sesenta y cinco (365) días del año. El Contratista proporcionará al Cliente (y a Zendesk, si dichos asuntos de Impacto Crítico en el Negocio se relacionan con las solicitudes de Client Support reenviadas al Contratista por Zendesk) actualizaciones sobre los asuntos de Impacto Crítico en el Negocio cada treinta (30) minutos hasta que se resuelva el asunto. Impacto crítico en el negocio se definirá como un problema que interrumpe la funcionalidad material dentro del entorno de producción en los servicios del contratista o compromete la seguridad/integridad de los datos en los servicios del contratista. Los problemas críticos de impacto empresarial seguirán existiendo mientras dure la interrupción, la necesidad de resolución sea agudamente apremiante y no haya una solución razonable disponible;

(b) con respecto a los asuntos de Impacto Empresarial Importante dentro de una (1) hora, veinticuatro (24) horas al día, trescientos sesenta y cinco (365) días al año. El Contratista proporcionará al Cliente (y a Zendesk, si dichos asuntos de Impacto Crítico en el Negocio se relacionan con las solicitudes de Client Support reenviadas al Contratista por Zendesk) actualizaciones sobre los Problemas de Impacto Principal en el Negocio cada hora (1) hasta que se resuelva el problema. Impacto comercial importante se definirá como un problema que degrada una funcionalidad material o interrumpe o degrada significativamente la operación comercial normal del cliente, se encuentra en el entorno de producción de un cliente y es altamente urgente en el tiempo, o se requiere un esfuerzo no planificado significativo para resolver el problema para mantener las operaciones comerciales normales; 

(c) para otros asuntos y consultas, dentro de las seis (6) horas de soporte;

d) resolver las cuestiones que se le presenten en un plazo razonable desde el punto de vista comercial; y

e) Proporcionando actualizaciones continuas sobre los problemas no resueltos por lo menos una vez a la semana hasta que el problema se resuelva correctamente.

 

Anexo B – Medidas de seguridad de la información

El Contratista garantiza y declara que hará todos los esfuerzos comercialmente razonables para implementar y mantener las medidas de seguridad que se detallan a continuación para mantener protegido todo el contenido, materiales, datos (incluidos los datos personales) e información no pública proporcionada o puesta a disposición por el Cliente (colectivamente, "Datos") y proteger los Datos contra el procesamiento no autorizado o ilegal, la pérdida accidental, la destrucción o el daño, como se establece más adelante. Al hacerlo, el Contratista actuará de buena fe y diligencia, con cuidado y habilidad razonables. 

A. Definiciones:

• “Proceso” se refiere a cualquier operación relacionada con los Datos independientemente de los propósitos y medios aplicados, incluido, entre otros, el acceso, la recopilación, la retención, el almacenamiento, la transferencia, la divulgación, el uso, la eliminación, la destrucción y cualquier otra operación.
• “Incumplimiento” se refiere a cualquier (a) Procesamiento de Datos no autorizado o (b) cualquier acto u omisión que comprometa o socave las medidas de protección físicas, técnicas u organizativas establecidas por el Contratista con respecto al Procesamiento de Datos o establecidas de otra manera para cumplir con estos requisitos. Para evitar cualquier duda, el “Procesamiento no autorizado” incluye, entre otros: uso indebido, pérdida, destrucción, compromiso o acceso, recolección, retención, almacenamiento o transferencia no autorizados.
• “Incidente” se refiere a cualquier deterioro de la seguridad de los Datos, incluido cualquier (i) acto que viole cualquier ley o política de seguridad del Contratista, (ii) interrupción no planificada del servicio que impida el funcionamiento normal de los Servicios del Contratista, o (iii) Incumplimiento.

2. Medidas: Medidas técnicas y organizativas para el almacenamiento, manejo y disposición de los Datos.

• El contratista utilizará algoritmos de encriptación estándar del sector y fortalezas de clave para encriptar lo siguiente:
• Encripte todos los Datos que estén en forma electrónica mientras están en tránsito a través de todas las redes cableadas públicas (es decir, Internet) y todas las redes inalámbricas. 
• Encripte todos los Datos mientras está almacenado. “En almacenamiento” se refiere a la información almacenada en bases de datos, en sistemas de archivos y en diversas formas de medios conectados y desconectados (dispositivos móviles, laptops, DASD, cinta, etc.) y también se conoce comúnmente como “en reposo”.
• Excepto cuando la ley lo prohíba, el Contratista eliminará los Datos rápidamente al (a) completar los servicios del Contratista; o (b) solicitar por parte del Cliente que se eliminen del entorno del Contratista, y los destruirá dentro de un plazo razonable, pero en ningún caso más de veintiún (21) días después de la fecha de solicitud o cese de los servicios. El Contratista proporcionará al Cliente una certificación por escrito con respecto a tal retiro, destrucción y/o limpieza dentro de los treinta (30) días posteriores a tal ocurrencia.

3. Medidas: Protección de código malicioso. 

• Todas las estaciones de trabajo y servidores (virtuales o físicos) ejecutarán la versión actual del software antivirus y/o antimalware estándar del sector con las actualizaciones más recientes disponibles en cualquier estación de trabajo o servidor. Las definiciones de virus deben actualizarse rápidamente cuando el proveedor de software antivirus las publique. El Contratista configurará el equipo y tendrá políticas de apoyo para prohibir que los usuarios desactiven el software antivirus, alteren las configuraciones de seguridad o desactiven otras medidas de protección establecidas para garantizar la seguridad de los Datos o el entorno informático del Contratista.
• El contratista analizará el contenido entrante y saliente en busca de código malicioso en todas las puertas de enlace a las redes públicas, incluidos los servidores de correo electrónico y proxy.
• El contratista pondrá en cuarentena o eliminará los archivos que hayan sido identificados como infectados y registrará el evento.

4. Medidas: Medidas técnicas y organizativas para el control del acceso, especialmente para controlar la legitimidad de los entrantes autorizados a las instalaciones y sistemas a los que se puede acceder a los Datos:

• El contratista se asegura de que se tomen medidas para proteger los locales (por ejemplo, asegurar las entradas y salidas), así como medidas dentro de su edificio mediante el uso de los siguientes procedimientos:
• seguridad y encriptación de todos los ordenadores personales u otros dispositivos móviles que puedan acceder a los Datos;
• acceso limitado a los empleados y contratistas excepto a los visitantes autorizados; 
• identificación de las personas que tienen autoridad de acceso;
• restricción de claves;
• libros de visitantes (incluido el registro del tiempo); y
• sistema de alarma de seguridad u otras medidas de seguridad apropiadas.

El Contratista revocará el acceso a ubicaciones físicas, sistemas y aplicaciones que contengan o procesen Datos dentro de las veinticuatro (24) horas posteriores al cese de la necesidad de dicho agente autorizado de acceder a los sistemas o aplicaciones.

5. Medidas: Medidas técnicas (protección con contraseña) y organizativas (registro maestro de usuario) relativas a la identificación y autenticación de los usuarios:
   
   

El Contratista informará al Cliente, previa solicitud razonable, a qué personas autorizadas se les confía acceso a los Datos.

El control del usuario incluirá las siguientes medidas:

• perfil restringido de VPN;
• implementación de la autenticación de dos factores

El control de acceso a los Datos incluirá las siguientes medidas:

• medidas disciplinarias eficaces y medidas contra las personas que acceden a los datos sin autorización.

6. Medidas: Medidas técnicas y organizativas relativas a la seguridad de las redes (incluidas las redes inalámbricas) utilizadas por el Contratista.

Todos los controles de red incluirán las siguientes medidas:

• Con regularidad, el contratista realizará análisis de vulnerabilidad de red internos y externos. Las vulnerabilidades identificadas se remediarán de una manera comercialmente razonable y en función de la gravedad.
• El Contratista desplegará tecnología de firewall razonablemente apropiada en la operación de sus redes. 
• Como mínimo, el contratista revisará trimestralmente los conjuntos de reglas de firewall para asegurarse de que las reglas heredadas se eliminen y las reglas activas se configuren correctamente.
• El contratista desplegará sistemas de detección o prevención de intrusiones para monitorear las redes en busca de actividades inapropiadas.
• El contratista desplegará una solución de administración de registros y conservará los registros producidos por firewalls y sistemas de detección de intrusiones por un período mínimo de un (1) año.

Los controles de la red inalámbrica incluirán las siguientes medidas adicionales:

• El acceso a la red a las redes inalámbricas debe restringirse solo a las personas autorizadas. 
• Los puntos de acceso se segmentarán a partir de una red LAN cableada interna utilizando un dispositivo de pasarela.
• El identificador del conjunto de servicios (SSID), la ID de usuario del administrador, la contraseña y las claves de encriptación se cambiarán del valor predeterminado.
• La encriptación de todas las conexiones inalámbricas se activará usando algoritmos de encriptación estándar del sector. Los protocolos de encriptación se basarán en el “acceso protegido inalámbrico” (WPA2) o más fuerte. 

7. Medidas: El contratista mantendrá una función de respuesta a incidentes capaz de identificar, mitigar los efectos y prevenir la recurrencia de incidentes. Si ocurre un Incidente, el Contratista (i) tomará rápidamente todas las medidas necesarias para evitar cualquier compromiso adicional de los Datos o cualquier Incidente futuro; (ii) notificará al Cliente dentro de las veinticuatro (24) horas posteriores a la identificación del Incidente y proporcionará un informe por escrito dentro de los tres (3) días posteriores; y (iii) responderá rápidamente a cualquier solicitud razonable del Cliente de información detallada relacionada con el Incidente. El aviso y el informe del contratista contendrán una descripción de la naturaleza del Incidente, su impacto y las acciones de investigación, correctivas o correctivas tomadas o planeadas.

8. Medidas: Continuidad del negocio y recuperación ante desastres. El Contratista implementará un plan de continuidad comercial comercialmente razonable y estándar del sector para mantener la disponibilidad de los servicios del Contratista (el "Plan de continuidad"). El Plan de continuidad incluye y debe incluir, entre otros, elementos como (a) administración de crisis, activación de planes y equipos, documentación de procesos de eventos y comunicaciones; (b) administración de eventos, recuperación comercial, ubicaciones alternativas del sitio y pruebas de árboles de llamadas; y (c) detalles de infraestructura, tecnología y sistemas, actividades de recuperación e identificación de las personas / equipos necesarios para dicha recuperación. El Contratista conservará dicho Plan de Continuidad durante el plazo de todas las suscripciones; siempre que el Contratista tenga el derecho de modificar o enmendar el Plan de Continuidad siempre que dicha modificación o enmienda no tenga un efecto adverso material sobre la capacidad del Contratista para mantener la disponibilidad de los servicios del Contratista.

1. A solicitud del Cliente, el Contratista hará modificaciones comercialmente razonables a su programa de seguridad de la información o a los procedimientos y prácticas bajo el mismo para cumplir con los requisitos de seguridad de referencia del Cliente como se describe en todas las pruebas aplicables al Acuerdo y como existen de vez en cuando. El Cliente proporcionará al Contratista la documentación de dichas líneas de base, que formará parte de la información confidencial del Cliente en virtud del Acuerdo. El Contratista elaborará un plan escrito de seguridad de la información para el Cliente que contenga, como mínimo, los temas solicitados en este Acuerdo.

 

 

Prueba 1 

Contrato de cliente final de Aircall

Este Acuerdo de Cliente Final de Aircall ("ECA") rige la relación entre el Cliente ("usted" o "Cliente") y Aircall ("nosotros" o "Aircall") en el contexto de los servicios proporcionados en virtud del acuerdo contractual más amplio entre Zendesk y el Cliente ("Acuerdo de Zendesk"). 

Este ECA entrará en vigencia a partir de la fecha en que el Cliente acepte por primera vez o acepte los términos del presente documento, o utilice o acceda por primera vez a los Servicios (la "Fecha de Vigencia"). Este ECA es un acuerdo vinculante entre el Cliente y Aircall, y no con Zendesk. En caso de conflicto entre el Acuerdo de Zendesk y este ECA, con respecto a los Servicios de llamadas aéreas que no son Servicios de Zendesk bajo el Acuerdo de Zendesk, prevalecerá este ECA. 

Este ECA incorpora como referencia los Términos y condiciones (“T&C”) de Aircall, disponibles en https://legal.aircall.io/ con las modificaciones que se introduzcan de vez en cuando, salvo que se modifiquen o complementen expresamente en el presente documento. En caso de conflicto o incoherencia entre los términos de la CEPA y los Términos y condiciones, prevalecerán los Términos y condiciones. El Anexo A establece el conjunto de condiciones y condiciones aplicables según la ubicación geográfica del cliente.

Al usar los Servicios de Aircall, usted acepta los términos establecidos en este ECA y los T&C aplicables. La CEPA y los T y C se conocen conjuntamente como el “Acuerdo”. 

1. Definiciones

Los términos escritos en mayúsculas utilizados pero no definidos en este Acuerdo tendrán el significado que se les asigne en los Términos y Condiciones.

2. Documentos contractuales - Orden de precedencia

El Acuerdo entre el Cliente y Aircall con respecto a los servicios de Aircall está compuesto por los Términos y condiciones de Aircall pertinentes (como se detalla en el Anexo A a continuación) incluida cualquier adición aplicable a los Términos y condiciones, esta ECA, incluidas las Pruebas de ECA, el Acuerdo de procesamiento de datos de Aircall (como se define a continuación) y, cuando corresponda, cualquier Formulario de pedido o Compra (como se definen estos términos en la Sección 1 de los Términos y condiciones). 

En caso de cualquier conflicto o incoherencia entre los documentos que componen este Acuerdo, se aplicará el siguiente orden de precedencia (de mayor a menor): (i) el Acuerdo de procesamiento de datos de llamadas aéreas; (ii) este Acuerdo del cliente final, únicamente con respecto a: (a) los términos relacionados con las tarifas, facturación y pago manejados por Zendesk como se describe en la Sección 5.1 a continuación, (b) los compromisos específicos establecidos expresamente en el presente documento, en el Anexo B y la Sección 11.5; (iii) los Términos y Condiciones de Aircall; (iv) cuando corresponda, los Formularios de Pedido y/o los Documentos de Compra.

Salvo que se describa explícitamente más arriba, los Términos y condiciones de Aircall en su forma enmendada de vez en cuando prevalecerán sobre este Contrato de cliente final.

3. Ámbito de servicios

Los Servicios IA pueden incluir el suministro de números de teléfono, telefonía entrante y saliente, administración de llamadas, funcionalidades de IA y otras funciones relacionadas, actualizadas de vez en cuando (en conjunto, los "Servicios"). El cliente reconoce y acepta que la prestación de servicios telefónicos y números de teléfono es una actividad regulada proporcionada directa y exclusivamente por la Entidad Contratante de Llamadas Aéreas correspondiente, como se describe en el Anexo A.

Estos Servicios están sujetos a los términos descritos en los Términos y condiciones de Aircall, disponibles en https://legal.aircall.io/. Los términos y reglas que rigen el acceso y el uso de los Servicios se rigen por las Secciones 3 a 4 de los Términos y Condiciones. 

4. Niveles de servicio

Los niveles de servicio y los compromisos de tiempo de actividad se describen en el Anexo C.

5. Tasas y facturación

   1. Honorarios, facturación y pagos

1. Honorarios fijos (facturación de Zendesk).

El cliente pagará a Zendesk todas las tarifas de suscripción recurrentes para los Servicios según lo establecido en la SOW o factura de Zendesk aplicable. Los términos relacionados con la facturación y el pago de las tarifas de suscripción se rigen por el Acuerdo de Zendesk.

2. Tarifas de uso y tarifas adicionales (facturadas por llamada aérea).

A efectos de la presente sección: 

1. “Tarifas adicionales” se refiere a los cargos, tarifas o costos incurridos por el Cliente de vez en cuando en relación con los Servicios, excepto las Tarifas de uso, incluidas las tarifas por Compras realizadas a través del Panel de llamadas aéreas (lo que incluye, entre otros, Usuario adicional y Números adicionales como se definen en los Términos y condiciones).

2. “Tarifas de uso” se refiere a los cargos por llamada por minuto u otras tarifas basadas en el consumo asociadas con el uso real de los Servicios por parte del Cliente, como se describe en la Sección 7 de los Términos y Condiciones. 

A menos que se disponga lo contrario en una SOW, Aircall facturará directamente al Cliente por las Tarifas de Uso y/o las Tarifas Adicionales incurridas en virtud de este Acuerdo en relación con el uso de los Servicios por parte del Cliente y/o cualquier Compra realizada por el Cliente, como indica Aircall de vez en cuando, incluso a través de los Paneles de Aircall o a través de un aviso separado. La facturación puede ocurrir mensualmente en mora o en otra frecuencia especificada por Aircall de vez en cuando.

2. Impuestos.

Las Tarifas aplicables no incluyen los impuestos y recargos requeridos por las Leyes aplicables, incluidos el IVA, los costos / desembolsos, los cargos, las evaluaciones regulatorias o cualquier otro derecho, gravamen, tasa de registro o impuesto que se cobre adicionalmente. En su caso, el monto facturado o los montos cargados al Cliente pueden fluctuar de un mes a otro y el Cliente se compromete a pagar todas y cada una de las tarifas y/o impuestos adeudados.

6. Propiedad intelectual y licencia

Como se describe en la Sección 5 de los Términos y Condiciones, el Cliente reconoce y acepta que Aircall o, en su caso, sus Afiliados son propietarios de todos los derechos, títulos e intereses en y sobre todos los derechos de Propiedad Intelectual en la Solución Aircall y en el Sitio, así como cualquier contenido de la misma o en el mismo. Todos los derechos no otorgados expresamente al Cliente están reservados por Aircall y sus licenciantes. Los Servicios pueden contener software o código fuente abierto y el Cliente reconoce que el uso indebido de los Servicios puede infringir los derechos de propiedad intelectual de Terceros.

Sujeto al cumplimiento continuo y completo por parte del Cliente de todos los términos y condiciones en este Acuerdo (incluidos los Términos y condiciones de Aircall pertinentes), Aircall otorga al Cliente y sus Usuarios, según corresponda, durante el Plazo, una licencia revocable, intransferible (salvo que se disponga lo contrario en la Sección 3.2 de los Términos y condiciones), no exclusiva y limitada y el derecho de acceder y usar el Sitio, la Licencia de número, la Licencia de usuario, el Panel de Aircall y aquellos ciertos Servicios debidamente comprados u ordenados por el Cliente bajo su Plan (incluidos los Números de Aircall debidamente comprados u ordenados) únicamente para sus fines comerciales internos y solo según lo permitido por este Acuerdo.

7. Obligaciones de los clientes y restricciones de uso

   1. Cumplimiento de las leyes. El Cliente acepta usar los Servicios de conformidad con todas las leyes y reglamentos aplicables, incluidos los que rigen las telecomunicaciones, la privacidad y la protección de datos.

   2. Política de uso permitido. El Cliente es responsable de que él y sus Usuarios cumplan con la Política de Uso Permisible (“PUP”) que se detalla en la Sección 6 de los Términos y Condiciones (accesible aquí: https://legal.aircall.io/). 

   3. Actividades prohibidas. El Cliente no podrá (i) usar los Servicios para ningún propósito ilegal o fraudulento y/o en violación del PUP, (ii) revender los Servicios a menos que Aircall permita lo contrario, o (iii) eludir o violar cualquier dispositivo de seguridad o protección utilizada en relación con los Servicios.

   4. Configuración de cuenta. El Cliente es responsable de mantener la confidencialidad de su Cuenta de Cliente (como se define este término en la Sección 1 de los Términos y Condiciones), incluidas sus credenciales y las de cualquier Usuario, y de todas las actividades que ocurran bajo las Cuentas.

   5. Cooperación reglamentaria. Cuando sea necesario para cumplir con las regulaciones aplicables, el Cliente proporcionará cualquier información o documentación solicitada a Aircall de manera oportuna (por ejemplo, prueba de identidad, ubicación), y cooperará con cualquier consulta gubernamental o reglamentaria legal relacionada con su uso de los Servicios.

8. Confidencialidad

   1. Como se detalla en la Sección 6 de los Términos y Condiciones, ambas partes acuerdan mantener la confidencialidad de cualquier información no pública divulgada bajo este Acuerdo.

   2. El cliente no debe divulgar la información confidencial de Aircall a terceros sin el consentimiento previo por escrito, excepto cuando sea requerido por la ley.

9. Protección de datos y privacidad

   1. Privacidad. Aircall toma en serio la privacidad de sus clientes y utilizará la información de identificación personal proporcionada por el Cliente de acuerdo con:

1. los términos y condiciones contenidos en el Acuerdo de procesamiento de datos https://aircall.io/dpa/ , cuando dicha información constituya Datos personales (como se define en el Acuerdo de procesamiento de datos) y cuando Aircall procese dicha información en nombre del Cliente; y

2. las condiciones descritas en la Política de privacidad de Aircall disponible en: https://aircall.io/privacy/ , donde Aircall procesa dicha información para los fines y por los medios determinados conjunta o independientemente por Aircall (como controlador de datos).

2. Acuerdo de procesamiento de datos. Al suscribir este Acuerdo, las Partes también suscriben el Acuerdo de Procesamiento de Datos, que forma parte inseparable del mismo.

3. Seguridad informática. Aircall se esfuerza por usar medidas de protección técnicas y operativas comercialmente razonables diseñadas para proteger los Datos del cliente y la Información confidencial del cliente contra el uso o la divulgación no autorizados de acuerdo con los términos del Anexo B. Cuando los Datos del cliente constituyen Datos personales y su Procesamiento por Aircall está sujeto al Acuerdo de Procesamiento de Datos, Aircall protegerá dichos Datos personales implementando medidas técnicas y operativas descritas en el Acuerdo de Procesamiento de Datos.

10. Garantías, descargos de responsabilidad, indemnización y responsabilidad

    1. Garantías: De acuerdo con la Sección 10 de los Términos y Condiciones, Aircall proporcionará los servicios de manera profesional y profesional. Sin embargo, Aircall no garantiza el funcionamiento ininterrumpido o libre de errores de los Servicios.

    2. Descargos de responsabilidad: De acuerdo con la Sección 10.3 de los Términos y Condiciones, en la medida máxima permitida por la ley, Aircall desestima todas las garantías implícitas, incluidas la comerciabilidad y la idoneidad para un propósito particular.

    3. Indemnización: De acuerdo con la Sección 11 de los Términos y Condiciones, el Cliente acepta indemnizar y eximir a Aircall de cualquier reclamo, daño o responsabilidad que surja del uso de los servicios o el incumplimiento de este Acuerdo.

    4. Responsabilidad: EN LA MEDIDA MÁXIMA PERMITIDA POR LA LEGISLACIÓN APLICABLE, LA RESPONSABILIDAD ACUMULATIVA DE AIRCALL O SUS AFILIADOS EN NINGÚN CASO SUPERARÁ LOS IMPORTES TOTALES PAGADOS O A PAGAR POR EL CLIENTE POR LOS SERVICIOS DURANTE LOS DOCE (12) MESES ANTERIORES A LA RECLAMACIÓN QUE DIO LUGAR A DICHOS DAÑOS O CIEN EUROS (100€) SI SE TRATA DE UNA PRUEBA GRATUITA. EN LA MEDIDA MÁXIMA PERMITIDA POR LA LEY APLICABLE, EN NINGÚN CASO AIRCALL O SUS AFILIADOS SERÁN RESPONSABLES POR NINGÚN DAÑO CONSECUENTE, INDIRECTO, INCIDENTAL, EJEMPLAR, REPUTACIONAL, ESPECIAL O PUNITIVO DE NINGÚN TIPO, COMO PÉRDIDA DE DATOS O BENEFICIOS, O INTERRUPCIÓN DEL NEGOCIO, PÉRDIDA DE OPORTUNIDAD DE NEGOCIO, DAÑO A LA IMAGEN O REPUTACIÓN, YA SEA EN CUALQUIERA DE LOS ANTERIORES, QUE SURJAN BAJO CONTRATO, GARANTÍA, EXTRACCIÓN (INCLUIDA NEGLIGENCIA O RESPONSABILIDAD ESTRICTA) O CUALQUIER OTRA TEORÍA DE RESPONSABILIDAD INCLUSO SI AIRCALL O SUS AFILIADOS HAN SIDO NOTIFICADOS ORALMENTE O POR ESCRITO DE LA POSIBILIDAD DE DICHOS DAÑOS. CUALQUIER RECLAMO O CAUSA DE ACCIÓN RESULTANTE DEL ACCESO O USO DEL CLIENTE DEL SITIO Y LOS SERVICIOS DEBE SER PROPORCIONADO OFICIALMENTE POR ESCRITO A AIRCALL POR CORREO CERTIFICADO CON ACUSE DE RECIBO DIRIGIDO A SU OFICINA CENTRAL DENTRO DE UN (1) AÑO DESPUÉS DE QUE EL RECLAMO O CAUSA DE ACCIÓN HAYA SURGIDO O SERÁ CONSIDERADO RENUNCIADO POR EL CLIENTE.

11. Plazo, suspensión y terminación

    1. Plazo Este Acuerdo comenzará en la Fecha de entrada en vigencia y seguirá vigente mientras el Cliente tenga un plazo de suscripción activo bajo el Acuerdo de Zendesk o utilice cualquier porción de los Servicios, a menos que se termine antes de conformidad con esta Sección.

    2. Suspensión. Aircall puede suspender o limitar el acceso del Cliente y/o Usuarios a los Servicios de inmediato si (i) el Cliente incumple sus obligaciones de pago por Tarifas de Uso o Tarifas Adicionales, (ii) el Cliente y/o cualquier Usuario está usando los Servicios en violación de la ley o estos términos, o (iii) es necesaria la suspensión para evitar daños materiales a los Servicios u otros clientes. Además de cualquier otro derecho y recurso en este documento, Aircall puede suspender la provisión, el acceso y / o el uso de los Servicios, en su totalidad o en parte, en los siguientes casos, según lo determine Aircall a su entera pero razonable discreción:

1. El Cliente o cualquier Usuario infrinja (i) los términos del Acuerdo (incluido el caso de impago en la fecha de vencimiento), (ii) las Leyes aplicables o (iii) cualquier política proporcionada o puesta a disposición del Cliente por escrito, incluida la Política de uso permitido;

2. en caso de que el acceso y/o el uso de los Servicios por parte del Cliente o de cualquier Usuario dé lugar a una degradación de los Servicios o dañe o pueda dañar los derechos de Aircall o de terceros;

Sin perjuicio de lo anterior, Aircall puede suspender el acceso a los Servicios, si el Cliente no ha cumplido dentro del retraso proporcionado por Aircall en la notificación enviada por Aircall al Cliente, Aircall puede suspender el acceso y la prestación de los Servicios hasta que el Cliente haya remediado dicha violación, degradación o daño. La suspensión no eximirá al Cliente de su obligación de pagar Honorarios y cualquier costo asociado con la reactivación de los Servicios. Aircall no será responsable de ningún daño derivado de la suspensión de los Servicios.

3. Terminación. Sujeto a los Términos de la Sección 12 de los Términos y Condiciones, cualquiera de las partes puede rescindir este Acuerdo (a) si la otra parte incumple materialmente y no logra subsanar dentro de los treinta (30) días posteriores a la recepción de la notificación por escrito, o (b) en caso de insolvencia o quiebra de la otra parte. La terminación del Acuerdo de Zendesk también puede resultar en la terminación de este Acuerdo a menos que Aircall y el Cliente acuerden por separado continuar con los Servicios.

4. Efectos de la terminación. Al terminar, el Cliente debe dejar de usar los Servicios de inmediato, y las obligaciones de pago pendientes (incluidas las Tarifas de uso acumuladas y las Tarifas adicionales) se volverán exigibles y pagaderas. Aircall proporcionará instrucciones razonables para que el Cliente recupere los datos almacenados, si corresponde.

5. Aviso de fin de vida útil. Aircall notificará al Cliente con al menos seis (6) meses de antelación sobre el fin de la vida útil o el retiro de la Solución de Aircall, siempre que dicho plazo de notificación no se aplique en los casos en que se requiera el retiro debido a obligaciones legales, reglamentarias o judiciales. Se proporcionará un aviso de acuerdo con los términos de este Acuerdo. 

12. Ley aplicable y resolución de disputas

    1. Ley aplicable. Este Acuerdo se regirá e interpretará de acuerdo con las leyes especificadas en los Términos y condiciones de Aircall aplicables. 

    2. Lugar y jurisdicción. Los tribunales u órganos de resolución de disputas indicados en la Prueba A (T y C aplicables) tendrán jurisdicción exclusiva a menos que la legislación local disponga otra cosa.

    3. Resolución de disputas. En caso de cualquier disputa, reclamo, pregunta o desacuerdo (“Disputa”) que surja de o esté relacionado con el Acuerdo, las Partes harán todo lo posible por resolver la disputa mediante discusiones comerciales normales. Si la disputa sigue sin resolverse treinta (30) días después de que una Parte notificó la disputa a la otra, cualquiera de las Partes puede tomar más acciones legales para resolver la disputa.

13. Enmiendas

Aircall puede actualizar los Términos y condiciones, incluidos los cambios en las tarifas, las funciones de los Servicios de Aircall o el contenido de las ofertas seleccionadas por el Cliente, o en cualquier política, previa notificación al Cliente con treinta (30) días de anticipación a la dirección de correo electrónico asociada con la Cuenta del Cliente. Dichas actualizaciones entrarán en vigencia treinta (30) días después de dicha notificación al Cliente. En caso de que dicha actualización afecte a una parte importante del Acuerdo, el Cliente podrá, dentro de los treinta (30) días posteriores a la recepción de la actualización, notificar a la terminación del Acuerdo, o a los Servicios afectados sin costo ni penalización y sin tener derecho a ninguna compensación. Cualquier uso de los Servicios después de la fecha de entrada en vigencia se considerará aceptación del cambio por parte del Cliente. La versión actualizada de los Términos y condiciones se considerará incorporada por referencia a este Acuerdo a partir de su fecha de vigencia y regirá el uso continuo de los Servicios en consecuencia. La versión actual de los Términos y condiciones en vigor está disponible en: https://legal.aircall.io/ .

Para evitar cualquier duda, se especifica que no se podrá dar por terminada la prestación si los cambios realizados son impuestos por Ley o reglamento y/o si no afectan negativamente los elementos sustanciales de los Servicios. 

14. Varios

    1. Avisos. Las notificaciones requeridas en virtud del presente Acuerdo deben presentarse por escrito y entregarse:

1. al Cliente: a las direcciones especificadas en el Formulario de Pedido correspondiente o por correo electrónico al contacto de cuenta designado.

2. a Aircall: a la dirección indicada en el Anexo A más abajo. 

2. Acuerdo completo. Este ECA (incluidos los Términos y condiciones de Aircall y sus Anexos) constituye el acuerdo completo entre las partes con respecto a la materia objeto del presente documento y reemplaza todos los acuerdos o entendimientos anteriores o contemporáneos relacionados con dicha materia

Al suscribirse y usar los Servicios de Aircall, el Cliente reconoce y acepta estar obligado por los términos de este Acuerdo, incluidos los Términos y condiciones aplicables de Aircall incorporados en el presente documento como referencia.

Anexo A – Términos aplicables

 

Anexo B - Medidas de seguridad de la información

Teniendo en cuenta el estado de la técnica, los costos de implementación y la naturaleza, el alcance, el contexto y los propósitos del procesamiento, así como el riesgo de variabilidad de probabilidad y gravedad para los Clientes, Aircall hará todos los esfuerzos comercialmente razonables para implementar y mantener medidas apropiadas sustancialmente similares a las detalladas a continuación según corresponda al nivel de riesgo para mantener el contenido, los materiales, los datos (incluidos los datos personales) y la información no pública proporcionada o puesta a disposición por el Cliente (colectivamente, los "Datos") seguros y proteger los Datos contra el procesamiento no autorizado o ilegal, la pérdida accidental, la destrucción o el daño, como se establece más adelante. Al hacerlo, Aircall actuará de buena fe y diligencia, con un cuidado y una habilidad razonables de acuerdo con los estándares del sector. 

A. Definiciones:

● “Proceso” se refiere a cualquier operación relacionada con los Datos independientemente de los propósitos y medios aplicados, incluido, entre otros, el acceso, la recopilación, la retención, el almacenamiento, la transferencia, la divulgación, el uso, la eliminación, la destrucción y cualquier otra operación.

● “Incumplimiento” se refiere a cualquier (a) Procesamiento de Datos no autorizado o (b) cualquier acto u omisión que comprometa o socave las salvaguardias físicas, técnicas u organizativas establecidas por Aircall con respecto al Procesamiento de Datos o establecidas de otra manera para cumplir con estos requisitos. Para evitar cualquier duda, el “Procesamiento no autorizado” incluye, entre otros: uso indebido, pérdida, destrucción, compromiso o acceso, recolección, retención, almacenamiento o transferencia no autorizados.

● “Incidente” se refiere a cualquier deterioro de la seguridad de los Datos, incluido cualquier (i) acto que viole cualquier ley o política de seguridad de Aircall, (ii) interrupción no planificada del servicio que impida el funcionamiento normal de los Servicios, o (iii) Incumplimiento.

B. Medidas: Medidas técnicas y organizativas para el almacenamiento, manejo y disposición de los Datos.

● Aircall utilizará algoritmos de encriptación y fortalezas de clave estándar del sector para encriptar lo siguiente:

● Encriptar todos los Datos que se encuentren en forma electrónica mientras están en tránsito a través de todas las redes cableadas públicas (es decir, Internet) y todas las redes inalámbricas. 

● Cifre todos los Datos mientras está almacenado. “En almacenamiento” se refiere a la información almacenada en bases de datos, en sistemas de archivos y en diversas formas de medios conectados y desconectados (dispositivos móviles, laptops, DASD, cinta, etc.) y también se conoce comúnmente como “en reposo”.

● Excepto cuando la ley lo prohíba, Aircall eliminará rápidamente los Datos que el Cliente solicite para eliminarlos del entorno de Aircall, y los destruirá dentro de un plazo razonable, pero en ningún caso más de veintiún (21) días después de la fecha de solicitud. Si el Cliente lo solicita, Aircall le proporcionará una confirmación por escrito con respecto a tal retiro, destrucción y/o limpieza dentro de los treinta (30) días posteriores a tal ocurrencia.

C. Medidas: Protección de código malicioso. 

● Todas las estaciones de trabajo y servidores (virtuales o físicos) ejecutarán la versión actual del software antivirus y/o antimalware estándar del sector con las actualizaciones más recientes disponibles en cualquier estación de trabajo o servidor. Las definiciones de virus deben actualizarse rápidamente cuando el proveedor de software antivirus las publique. Aircall configurará el equipo y tendrá políticas de soporte para prohibir que los usuarios desactiven el software antivirus, alteren las configuraciones de seguridad o desactiven otras medidas de protección establecidas para garantizar la seguridad de los Datos o el entorno informático de Aircall.

● Aircall analizará el contenido entrante y saliente en busca de código malicioso en todas las puertas de enlace a las redes públicas, incluidos los servidores de correo electrónico y proxy.

● Aircall pondrá en cuarentena o eliminará los archivos que hayan sido identificados como infectados y registrará el evento.

D. Medidas: Medidas técnicas y organizativas para el control del acceso, especialmente para controlar la legitimidad de los entrantes autorizados a las instalaciones y sistemas a los que se puede acceder a los Datos:

● Aircall garantiza que se tomen medidas para proteger los locales (por ejemplo, asegurar las entradas y salidas), así como medidas dentro de su edificio mediante el uso de los siguientes procedimientos:

● seguridad y encriptación de todos los ordenadores personales u otros dispositivos móviles que puedan acceder a los Datos;

● acceso limitado a los empleados y contratistas excepto a los visitantes autorizados; 

● identificación de las personas que tienen autoridad de acceso;

● restricción de llaves; y sistema de alarma de seguridad u otras medidas de seguridad apropiadas.

Aircall revocará el acceso a ubicaciones físicas, sistemas y aplicaciones que contengan o procesen Datos sin demora indebida después de que dicho agente autorizado deje de necesitar acceso a los sistemas o aplicaciones.

E. Medidas: Medidas técnicas (protección con contraseña) y organizativas (registro maestro de usuario) relativas a la identificación y autenticación de los usuarios:

Aircall informará al Cliente, previa solicitud razonable, a qué Usuarios autorizados se les confía acceso a los Datos.

El control del usuario incluirá las siguientes medidas:

● perfil de VPN restringido;

● implementación de la autenticación de dos factores

El control de acceso a los Datos incluirá las siguientes medidas:

● medidas disciplinarias eficaces y medidas contra las personas que acceden a los datos sin autorización.

F. Medidas: Medidas técnicas y organizativas relativas a la seguridad de las redes (incluidas las redes inalámbricas) utilizadas por Aircall.

Todos los controles de red incluirán las siguientes medidas:

● Con regularidad, Aircall realizará análisis de vulnerabilidad de red internos y externos. Las vulnerabilidades identificadas se remediarán de una manera comercialmente razonable y en función de la gravedad.

● Aircall desplegará tecnología de firewall razonablemente apropiada en el funcionamiento de sus redes. 

● Como mínimo, Aircall revisará los conjuntos de reglas de firewall con regularidad para asegurarse de que las reglas heredadas se eliminen y las reglas activas se configuren correctamente.

● Aircall implementará sistemas de detección o prevención de intrusiones para monitorear las redes en busca de actividad inapropiada.

● Aircall desplegará una solución de administración de registros y conservará los registros producidos por firewalls y sistemas de detección de intrusiones por un período mínimo de un (1) año.

Los controles de la red inalámbrica incluirán las siguientes medidas adicionales:

● El acceso a la red a las redes inalámbricas debe restringirse solo a las autorizadas. 

● Los puntos de acceso se segmentarán a partir de una LAN interna cableada usando un dispositivo de puerta de enlace.

● El identificador del conjunto de servicios (SSID), la ID de usuario del administrador, la contraseña y las claves de encriptación se cambiarán del valor predeterminado.

● La encriptación de todas las conexiones inalámbricas se activará usando algoritmos de encriptación estándar del sector. Los protocolos de encriptación se basarán en el “acceso protegido inalámbrico” (WPA2) o más fuerte. 

G. Medidas: Aircall mantendrá una función de respuesta a incidentes capaz de identificar, mitigar los efectos y prevenir la recurrencia de incidentes. Si ocurre un Incidente, Aircall (i) tomará rápidamente todas las medidas necesarias para evitar cualquier compromiso adicional de los Datos o cualquier Incidente futuro; (ii) cuando sea requerido por las Leyes de Protección de Datos Aplicables, notificará al Cliente afectado sin demora indebida después de que se identifique el Incidente y proporcionará un informe por escrito posteriormente; y (iii) responderá rápidamente a cualquier solicitud razonable del Cliente de información detallada relacionada con el Incidente. El aviso y el informe de Aircall contendrán una descripción de la naturaleza del Incidente, su impacto y las acciones de investigación, correctivas o correctivas tomadas o planeadas.

H. Medidas: Continuidad del negocio y recuperación ante desastres. Aircall implementará un plan de continuidad comercial comercialmente razonable y estándar del sector para mantener la disponibilidad de los Servicios (el “Plan de continuidad”). Aircall conservará dicho Plan de Continuidad durante todo el período de vigencia de todas las suscripciones; siempre que Aircall tenga derecho a modificar o enmendar el Plan de Continuidad siempre que dicha modificación o enmienda no tenga un efecto adverso material sobre la capacidad de Aircall para mantener la disponibilidad de los Servicios.

 

Anexo C

Contrato de nivel de servicio de llamadas aéreas

1. Definiciones 

Para los fines de esta prueba, los siguientes términos tienen el significado que se describe a continuación. Todos los términos escritos con mayúscula inicial en este Programa que no estén definidos en esta Sección o en este Programa tendrán los significados respectivos que se les asignen en el Acuerdo con el cliente final (como se define a continuación). 

• "Causa del cliente" se refiere a cualquiera de las siguientes causas de un incidente: (a) cualquier uso negligente o inadecuado, mala aplicación, mal uso o abuso de los Servicios por parte del Cliente o sus Usuarios o daño a los mismos; (b) cualquier mejora u otra modificación o alteración de los Servicios por parte del Cliente o sus Usuarios; (c) cualquier uso de los Servicios por parte del Cliente o sus Usuarios de una manera incompatible con los Términos vigentes en ese momento; (d) cualquier uso por parte del Cliente o los Usuarios de cualquier producto o servicio de terceros que Aircall no haya proporcionado o causado que se proporcione al Cliente; o (e) cualquier uso por parte del Cliente o los Usuarios de una versión o lanzamiento no actual de los Servicios. 
• “Tiempo de inactividad” significa que la funcionalidad básica de los Servicios (recibir y hacer llamadas telefónicas) no estaba disponible para su uso, medido en incrementos continuos de cinco (5) minutos. El término “Tiempo de inactividad” no incluirá ninguna falta de disponibilidad de los Servicios en relación con ninguna Exclusión (como se define a continuación). 
• "Error" se refiere a una falla de los Servicios como se define en la tabla Niveles de servicio en la Sección 3.c a continuación. 
• "Solicitud de función" se refiere a una Solicitud para incorporar una nueva función o mejorar una función existente de los Servicios que actualmente no está disponible. 
•  “Acuerdo de cliente final” se refiere al Acuerdo de cliente de Aircall entre Aircall y el cliente. 
• “Solicitud” se refiere a una solicitud de Support del Cliente al Personal de Aircall Support para responder a una pregunta o problema relacionado con los Servicios o el uso de Aircall. 
• "Soporte". Aircall proporcionará Support técnico al Cliente excluyendo cualquier Support Request en relación con una Exclusión como se define en la Sección 4 a continuación. Para evitar cualquier duda, las preguntas y consultas de facturación y las solicitudes de portabilidad no se consideran parte del soporte en el contexto de este Horario. 
• “Porcentaje de tiempo de inactividad” se refiere a la disponibilidad del servicio general calculada como la diferencia entre el 100 por ciento (100 %) y el porcentaje de tiempo de inactividad calculado mensualmente en el calendario para el mes aplicable. El término “Uptime” no incluirá ninguna falta de disponibilidad de los Servicios en relación con ninguna Exclusión (como se define a continuación).

2. Niveles de servicio de llamadas aéreas 

a) Disponibilidad del servicio de llamadas aéreas 

El porcentaje de actividad de los servicios de llamadas aéreas será del 99,95 %. El mantenimiento planificado/tiempo de inactividad estará limitado de acuerdo con los términos del Contrato de cliente final.

3. Soporte de llamadas aéreas 

a) Condiciones de soporte 

• Acceder al soporte Aircall. Las solicitudes de soporte deben enviarse usando el portal de soporte Aircall (soporte.aircall.io). 
• Cumplimiento del Contrato de cliente final. Aircall hará esfuerzos comercialmente razonables para proporcionar Support técnico para garantizar que el rendimiento de los Servicios cumpla materialmente con el Contrato de cliente final. Para evitar cualquier duda, Aircall no proporcionará Support técnico en caso de Exclusiones como se define a continuación. 
• Caracterización de las solicitudes. El cliente determina el nivel de severidad al enviar la solicitud. Al recibir una Solicitud del Cliente, Aircall confirmará el nivel de gravedad de la Solicitud a su entera discreción y en función de las definiciones establecidas en la Sección 3.c a continuación. Aircall puede actualizar la gravedad y el nivel de prioridad de la designación de la Solicitud según sea necesario. 
• Soporte lingüístico. Las Partes acuerdan que todo soporte proporcionado por Aircall de conformidad con estas pautas puede proporcionarse en francés, español o alemán durante
  • horas de trabajo, haciendo esfuerzos comercialmente razonables. En caso de que no haya hablantes de idiomas regionales disponibles, seguirá habiendo soporte disponible en inglés. 
• Procedimientos de acuse de recibo y resolución de solicitudes. Al crear una Solicitud, el Cliente proporcionará todos los detalles del problema reportado y la información de diagnóstico solicitada, lo que incluye, entre otros: 

○ Nombre de cuenta o nombre de instancia de Aircall; 

○ Descripción del problema, incluidos los mensajes de error; 

○ Descripción de los esfuerzos del cliente para resolver el problema antes de contactar a Aircall; 

○ Versión de software del usuario; 

○ Las especificaciones y configuración de la máquina, la red o el hardware del cliente, según corresponda. 

Antes de crear una Solicitud, el Cliente leerá y utilizará toda la base de conocimientos y la documentación de Aircall para garantizar la alineación con los requisitos, la adopción de las mejores prácticas y la orientación del producto solicitada por Aircall para garantizar el rendimiento de los Servicios. 

El cliente se compromete a comunicarse más por correo electrónico o por teléfono para responder preguntas y ayudar al personal de soporte según sea necesario y lo más rápido posible. El cliente se compromete a seguir las instrucciones y pautas recomendadas por el personal de soporte de Aircall para corregir el error. En caso de falta de disponibilidad del Cliente que requiera su participación, la Solicitud se considerará resuelta por Aircall. 

b) Horario de soporte aéreo 

c) Niveles de gravedad 

La tabla a continuación describe los niveles de gravedad del error reportado por el cliente. Una vez enviada la Solicitud, Aircall investigará el Error y hará todos los esfuerzos comercialmente razonables para responder a dicha Solicitud de acuerdo con la tabla a continuación:

4. Exclusiones 

Sin perjuicio de cualquier disposición en este Acuerdo de cliente final que indique lo contrario, no se considerará que ha ocurrido ningún incumplimiento de SLA si dicho evento: (a) es causado por factores fuera del control razonable de Aircall, incluidos, entre otros, terceros, proveedores de hosting o problemas o problemas relacionados con los proveedores, o acceso a Internet o problemas relacionados que ocurren más allá del punto en la red donde Aircall mantiene el acceso y control sobre los Servicios de Aircall; (b) es resultado de cualquier acción u omisión del Cliente o de cualquier tercero; (c) es resultado de la aplicación del Cliente, el equipo, software u otra tecnología del Cliente o equipo, software u otra tecnología de terceros (excepto por el equipo bajo el control directo de Aircall); (d) ocurre durante el mantenimiento programado o de emergencia de Aircall, eventos de causas de Dios o Fuerza Mayor; y/o (e) es resultado de la Causa del Cliente.

 

Prueba 1

Términos generales de Zuper

Los presentes Términos Generales de Zuper (en lo sucesivo, “Acuerdo”) se establecen y ejecutan entre Zuper, Inc. (en lo sucesivo, ZUPER”) con sede en 24754 NE, 3rd Pl, Sammamish, WA - 98074, y el suscriptor que aparece en la SOW de Zendesk a la que se adjunta este Acuerdo (en lo sucesivo, “Cliente”). El Cliente y ZUPER serán referidos individualmente como una “Parte” y colectivamente como las “Partes”.

 

PREÁMBULO

 

CONSIDERANDO que ZUPER ha desarrollado una solución de gestión de personal (la “Plataforma Zuper”) para mejorar la eficiencia y la productividad del personal y afirma que tiene la experiencia, los conocimientos y el personal necesarios para implementar, integrar y proporcionar Support Services for the Service (como se define a continuación).

 

Y CONSIDERANDO que el Cliente está interesado en implementar el Servicio proporcionado por ZUPER.

 

Y CONSIDERANDO que el Cliente y ZUPER acuerdan que Zendesk, Inc., una corporación de Delaware, y cualquiera de sus afiliados aplicables (“Zendesk”), procesará la facturación por la(s) suscripción(es) del Cliente al Servicio encargado por el Cliente a ZUPER en virtud de este Acuerdo de conformidad con una SOW de Zendesk ejecutada entre el Cliente y Zendesk. “Zendesk SOW” se refiere a la declaración de trabajo o documento de pedido similar emitido por Zendesk al Cliente que establece, sin limitación, el plan de servicio del Cliente, las tarifas, la facturación y el periodo de suscripción al Servicio bajo este Acuerdo.

 

POR LO TANTO, en consideración de las representaciones y los pactos y acuerdos mutuos establecidos en el presente documento, y para una consideración buena y valiosa, cuya suficiencia reconocen las Partes, las Partes acuerdan lo siguiente:

 

PRODUCTO Y SERVICIOS

 

Según los términos de este Acuerdo, ZUPER proporciona y vende suscripciones para soluciones de gestión de personal local (la “Plataforma Zuper”) a través de zuper.co o cualquier otro sitio web especificado por ZUPER (el “Servicio”).

 

Sujeto al pago oportuno de las tarifas aplicables especificadas bajo la SOW de Zendesk, y sujeto a los términos y condiciones de este Acuerdo, ZUPER otorga al Cliente y a cualquier persona o entidad legal que esté sujeta, directa o indirectamente, al Control del Cliente un derecho no sublicenciable, intransferible, no exclusivo de acceso y uso del Servicio. A los efectos de esta Cláusula, “Control” se refiere a la facultad de dirigir o hacer dirigir la dirección de la administración, los negocios o las políticas de una entidad, ya sea a través de la propiedad de valores con derecho a voto, por contrato o de otra manera, o la facultad de elegir o nombrar por lo menos a un tercio de los directores, gerentes, socios u otras personas que ejerzan una autoridad similar con respecto a dicha entidad. 

 

Aparte de los derechos especificados expresamente en el presente documento, no se transfiere ni otorga ningún otro derecho o interés en la Plataforma de Zuper o el Servicio y/o ningún componente de los mismos al Cliente. Sin perjuicio de lo anterior, el Cliente no podrá: (i) utilizar la Plataforma Zuper o el Servicio para fines distintos de los fines establecidos explícitamente en el presente documento; (ii) copiar o duplicar la Plataforma Zuper (iii) aplicar ingeniería inversa o descompilar, modificar o revisar, intentar acceder al origen de la Plataforma Zuper o a cualquier parte de la misma, o crear obras derivadas de la misma; (iv) transferir total o parcialmente el derecho a utilizar el Servicio o cualquier parte del mismo. 

 

Funciones incluidas:

 

CAPACITACIÓN

 

La capacitación en línea impartida por instructores está incluida como parte del paquete. 

 

1.          Sesiones interactivas personalizadas impulsadas por el instructor.

2.          Acceso a la documentación del producto y al contenido práctico

3.          Comparta las mejores prácticas y recomendaciones.

 

El objetivo de la capacitación es garantizar que el equipo se ponga al día y ponga en práctica el producto y comprenda las mejores prácticas para aprovechar todas las capacidades de la manera más optimizada. 

 

TASAS

Zendesk procesará la facturación de las tarifas por la suscripción del Cliente al Servicio encargado por el Cliente a ZUPER en virtud del presente Acuerdo, según lo establecido en la SOW de Zendesk. Las facturas se enviarán a, y el pago será vencido, de acuerdo con los términos de la SOW de Zendesk. Cualquier cambio en el alcance de la suscripción del Cliente al Servicio bajo este Acuerdo se emitirá a través de una SOW de Zendesk separada.

 

ACTUALIZACIONES DE RUTINA Y MEJORAS SOLICITADAS

ZUPER programará reuniones con el Cliente cada dos meses para informar al Cliente sobre la hoja de ruta y las actualizaciones del Servicio. El precio aquí establecido incluye las actualizaciones regulares publicadas por ZUPER y el Cliente no tendrá derecho a pagos adicionales por dichas actualizaciones. Las capacidades premium no están incluidas en el precio de la suscripción. ZUPER compartirá actualizaciones sobre las capacidades premium del Cliente y los precios serán compartidos y acordados mutuamente independientemente de este Acuerdo. 

El cliente puede solicitar de vez en cuando modificaciones al Servicio en función de los requisitos cambiantes. Independientemente de este Acuerdo, las Partes se pondrán de acuerdo mutuamente en términos, tales como costos y plazos, en caso de que el Cliente requiera modificaciones importantes al Servicio. 

 

Todas las futuras integraciones de software de terceros con Zuper están incluidas en los precios mensuales para los usuarios.

 

AVISO DE FIN DE VIDA ÚTIL; DISPONIBILIDAD

ZUPER notificará al Cliente con al menos seis (6) meses de anticipación sobre cualquier fin de vida útil o obsoleto de la función.

ZUPER declara y garantiza que el Servicio alcanzará un porcentaje de disponibilidad mensual de al menos el 99,9% en cualquier mes calendario (es decir, un máximo de cuarenta y tres (43) minutos de inactividad por mes) durante el Plazo. El mantenimiento/tiempo de inactividad planificado estará limitado a menos de cuatro (4) horas en un mes determinado y ZUPER notificará por escrito (por correo electrónico aceptable) al Cliente con al menos siete (7) días de anticipación sobre dicha indisponibilidad ("Tiempo de inactividad programado").

 

SOPORTE

Support telefónico y por correo electrónico están incluidos en el paquete sin costo adicional. En caso de cualquier problema o pregunta, los usuarios del cliente pueden contactar al soporte Zuper para obtener ayuda y asistencia. El especialista en Support telefónico proporcionará asistencia inmediata con Support técnico mediante la resolución de problemas y la depuración del problema. Support disponible por correo electrónico para problemas técnicos y no técnicos. Zuper proporcionará al Cliente los Support Compromisos establecidos en la Prueba A, adjunta al presente.  

 

REQUISITOS DE SEGURIDAD DE LA INFORMACIÓN

ZUPER proporcionará y cumplirá con los requisitos de seguridad de la información establecidos en el Anexo B, adjunto al presente.

 

ACUERDO DE PROCESAMIENTO DE DATOS

Las Partes aceptan el Acuerdo de Procesamiento de Datos establecido en el Anexo C, adjunto al presente.

 

PLAZO

Este Acuerdo entrará en vigor en la fecha de entrada en vigor de la SOW de Zendesk aplicable y permanecerá en vigor, a menos que se termine antes de acuerdo con cualquiera de los términos de la SOW de Zendesk, hasta el vencimiento de todas las SOW de Zendesk aplicables (el "Término").

 

DERECHOS DE PROPIEDAD

Algunas partes del software disponible con la Plataforma Zuper (solo a modo de ejemplo - JQuery) pueden estar sujetas a licencias de "código abierto" o "software libre" ("Software de terceros"). Dicho Software de terceros no está sujeto a los términos y condiciones de este Acuerdo, pero está disponible bajo los términos y condiciones de los términos que acompañan a dicho Software de terceros.

Excepto con respecto al Software de Terceros (como se define más arriba), ZUPER posee y conservará todos los derechos, incluidos todos los derechos de propiedad intelectual, sobre la Plataforma y el Servicio de Zuper, y todas y cada una de las adaptaciones, modificaciones, mejoras o mejoras a los mismos, y sobre la Información Confidencial de ZUPER. Para eliminar cualquier duda, cualquier contenido desarrollado por el Cliente que utilice el Servicio será propiedad del Cliente.

 

MARKETING

 El cliente otorga a ZUPER el derecho de

1.          Usar el nombre y las marcas de servicio en sus materiales de marketing u otras promociones orales, electrónicas o escritas, lo que incluirá nombrar al Cliente como cliente de ZUPER y un breve alcance de los servicios proporcionados. 

2.          Emitir un comunicado de prensa relacionado con este Acuerdo. 

3.          Publique un caso práctico.

4.          Publicar testimonios del sitio web y/u otros materiales de marketing.

 

INDEMNIFICACIÓN Y LIMITACIÓN DE LA RESPONSABILIDAD

ZUPER defenderá, indemnizará y mantendrá indemne al Cliente, de y contra todos y cada uno de los daños, costos y gastos (incluidos los honorarios razonables de abogados) finalmente otorgados por un tribunal competente, que incurran como resultado de cualquier reclamo, demanda o procedimiento iniciado contra cualquiera de ellos basado en un reclamo que la Plataforma Zuper y / o el Servicio infringen los derechos de propiedad intelectual; siempre que el Cliente haya notificado a ZUPER rápidamente por escrito sobre dicho reclamo, y le haya dado a ZUPER la autoridad, información y asistencia (a expensas de la Compañía) para controlar y manejar el reclamo o la defensa de dicho juicio, procedimiento o acuerdo. La indemnización anterior será el único recurso al que tendrá derecho el Cliente en relación con lo anterior. 

Excepto por reclamos de mala conducta deliberada, negligencia grave o cualquier incumplimiento de la confidencialidad, en ningún caso ninguna de las partes será responsable ante la otra por ningún daño indirecto, incidental, especial, consecuente o punitivo de ninguna naturaleza o tipo, incluido, entre otros, el lucro cesante, la pérdida de ingresos o la pérdida de buena voluntad en relación con o como resultado de este acuerdo, incluso si la otra parte ha sido advertida de la posibilidad de tales daños. En ningún caso la responsabilidad agregada de ninguna de las partes bajo este acuerdo excederá las tarifas agregadas pagadas realmente a ZUPER bajo este documento durante el período anterior al reclamo aplicable respectivo.

 

CONFIDENCIALIDAD

ZUPER y el Cliente acuerdan que están mutuamente vinculados y cumplirán con todas las leyes y reglamentos aplicables que rigen la confidencialidad de la información intercambiada de conformidad con este acuerdo.

 

Divulgación interna: Cada Parte mantendrá la confidencialidad y la naturaleza confidencial de la Información Confidencial de la Parte Reveladora y no divulgará a ningún tercero ninguna Información Confidencial. La Parte Receptora podrá divulgar la Información Confidencial de la Parte Reveladora a su propio personal, y a los funcionarios que tengan una necesidad legítima de saber sobre dicha Información Confidencial para los fines de este Acuerdo y que estén obligados por obligaciones de confidencialidad al menos tan restrictivas como los términos de Información Confidencial de este Acuerdo, y la Parte Receptora usará la Información Confidencial solo si y según se requiera para los fines de este Acuerdo.

Divulgación de precios: Los precios citados en Zendesk SOW son precios exclusivos del Cliente y no pueden ser compartidos por el Cliente con ningún otro cliente, socio o prensa de Zuper. 

Protección: La Parte receptora tomará todas las precauciones razonables necesarias y apropiadas para proteger la confidencialidad de la Información confidencial. 

No competir: Zuper no solicitará negocio ni se comunicará directamente con ningún cliente sin aprobación previa.

 

BRECHA MATERIAL

En caso de incumplimiento material de este Acuerdo, la Parte afectada (la “Parte Notificante”) notificará a la otra Parte (la “Parte Notificada”) sobre dicho incumplimiento. Si la Parte Notificada no rectifica el incumplimiento en el plazo de un (1) mes a partir de la recepción de dicha notificación, la Parte Notificante podrá rescindir este Acuerdo sin proporcionar más notificación y podrá emprender acciones legales para reclamar cualquier daño resultante de dicho incumplimiento.

 

FUERZA MAYOR

Si cualquiera de las Partes incumple sus obligaciones bajo el presente, cuando dicho incumplimiento se deba a un acto de Dios, u otras circunstancias fuera de su control razonable, incluyendo, pero no limitado a, incendio, inundación, conmoción civil, motín, guerra (declarada y no declarada), revolución o embargos, entonces dicho incumplimiento se excusará mientras dure dicho evento y por el tiempo posterior que sea razonable para permitir que las partes reanuden el cumplimiento bajo este Acuerdo, sin embargo, siempre que en ningún caso dicho tiempo se extenderá por un período de más de ciento ochenta (180) días.

 

RESOLUCIÓN DE DISPUTAS 

Este Acuerdo y cualquier disputa que surja bajo o relacionada con este Acuerdo se regirán e interpretarán de acuerdo con las leyes del Estado de Washington, sin referencia a sus principios de conflicto de leyes. Ambas Partes acuerdan someterse a la jurisdicción personal para cualquier procedimiento legal y este Acuerdo, independientemente de quién inició el procedimiento. 

 

Anexo A – Responsabilidades y procedimientos de soporte

1. Definiciones

En esta prueba A:

 

a) “Soporte Nivel 1” se refiere al primer nivel de soporte dado al Cliente por ZUPER para recopilar los comentarios del cliente, verificar los síntomas y escalar, si es necesario, al soporte Nivel 2.

(b) “Level 2 Support” se refiere al segundo nivel de Support dado por ZUPER al Cliente que aborda los problemas y las resoluciones operacionales y de infraestructura del Producto.

(c) “Level 3 Support” significa el tercer nivel de Support dado por ZUPER que cubre la resolución de bugs de código de aplicación o código de infraestructura.

(d) Por “horario de soporte” para asuntos que no son críticos ni tienen un impacto comercial importante se entiende entre las 09:00 y las 24:00 de un día hábil (lunes a viernes, todas las semanas del año). El horario de soporte y las obligaciones de respuesta para asuntos críticos y de gran impacto empresarial son los que se describen a continuación.    

 

2. Obligaciones de soporte Zuper

ZUPER proporcionará al Cliente todo Support en relación con asuntos identificados por Zendesk o el Cliente e informados a ZUPER. Estos servicios de Support se proporcionarán a través del sistema de tickets help desk de Zendesk.

 

ZUPER responderá a las solicitudes de Support:

(a) con respecto a los asuntos de Impacto Crítico en el Negocio, dentro de los treinta (30) minutos veinticuatro (24) horas del día, trescientos sesenta y cinco (365) días del año. ZUPER proporcionará al Cliente (y a Zendesk, si dichos asuntos de Impacto Crítico en el Negocio se relacionan con las solicitudes de Customer Support reenviadas a ZUPER por Zendesk) actualizaciones sobre los asuntos de Impacto Crítico en el Negocio cada treinta (30) minutos hasta que se resuelva el asunto. Impacto Crítico en el Negocio se definirá como un asunto que interrumpe la funcionalidad material dentro del entorno de producción en el Servicio o compromete la seguridad/integridad de los datos en el Servicio. Los problemas críticos de impacto empresarial seguirán existiendo mientras dure la interrupción, la necesidad de resolución sea agudamente apremiante y no haya una solución razonable disponible;

(b) con respecto a los asuntos de Impacto Empresarial Importante dentro de una (1) hora, veinticuatro (24) horas al día, trescientos sesenta y cinco (365) días al año. ZUPER proporcionará a los Clientes (y a Zendesk, si dichos asuntos de Impacto Crítico en el Negocio se relacionan con las solicitudes de Customer Support reenviadas a ZUPER por Zendesk) actualizaciones sobre los Problemas de Impacto Principal en el Negocio cada hora (1) hasta que se resuelva el problema. Impacto comercial importante se definirá como un problema que degrada una funcionalidad material o interrumpe o degrada significativamente la operación comercial normal del cliente, se encuentra en el entorno de producción del cliente y es altamente urgente en el tiempo, o se requiere un esfuerzo no planificado significativo para resolver el problema para mantener las operaciones comerciales normales;

(c) para otros asuntos y consultas, dentro de las seis (6) horas de soporte;

d) resolver las cuestiones que se le presenten en un plazo razonable desde el punto de vista comercial; y

e) Proporcionando actualizaciones continuas sobre los problemas no resueltos por lo menos una vez a la semana hasta que el problema se resuelva correctamente.

 

 

Anexo B – Requisitos de seguridad de la información

ZUPER garantiza y declara que hará todos los esfuerzos comercialmente razonables para implementar y mantener las medidas de seguridad que se detallan a continuación para mantener protegido todo el contenido, materiales, datos (incluidos los datos personales) e información no pública proporcionada o puesta a disposición por el Cliente (colectivamente, “Datos”) y proteger los Datos contra el procesamiento no autorizado o ilegal, la pérdida accidental, la destrucción o el daño, como se establece a continuación. Al hacerlo, Zuper actuará de buena fe y diligencia, con cuidado y habilidad razonables.

 

1.           Definiciones:

● “Proceso” se refiere a cualquier operación relacionada con los Datos independientemente de los propósitos y medios aplicados, incluido, entre otros, el acceso, la recopilación, la retención, el almacenamiento, la transferencia, la divulgación, el uso, la eliminación, la destrucción y cualquier otra operación.

● “Incumplimiento” se refiere a cualquier (a) Procesamiento de Datos no autorizado o (b) cualquier acto u omisión que comprometa o socave las medidas de protección físicas, técnicas u organizativas establecidas por ZUPER con respecto al Procesamiento de Datos o establecidas de otra manera para cumplir con estos requisitos. Para evitar cualquier duda, el “Procesamiento no autorizado” incluye, entre otros: uso indebido, pérdida, destrucción, compromiso o acceso, recolección, retención, almacenamiento o transferencia no autorizados.

● “Incidente” se refiere a cualquier deterioro de la seguridad de los Datos, incluido cualquier (i) acto que viole cualquier ley o política de seguridad de ZUPER, (ii) interrupción no planificada del servicio que impida el funcionamiento normal del Servicio, o (iii) Incumplimiento.

 

2.          Medidas: Medidas técnicas y organizativas para el almacenamiento, manejo y disposición de los Datos.

● ZUPER utilizará algoritmos de encriptación estándar del sector y fortalezas de clave para encriptar lo siguiente:

● Encriptar todos los Datos que se encuentren en forma electrónica mientras están en tránsito a través de todas las redes cableadas públicas (es decir, Internet) y todas las redes inalámbricas. 

● Cifre todos los Datos mientras está almacenado. “En almacenamiento” se refiere a la información almacenada en bases de datos, en sistemas de archivos y en diversas formas de medios conectados y desconectados (dispositivos móviles, laptops, DASD, cinta, etc.) y también se conoce comúnmente como “en reposo”.

● Excepto cuando la ley lo prohíba, ZUPER eliminará los Datos sin demora al (a) completar el Servicio; o (b) solicitar por parte del Cliente (o Zendesk, cuando corresponda) que se eliminen del entorno de ZUPER, y los destruirá dentro de un plazo razonable, pero en ningún caso más de veintiún (21) días después de la fecha de solicitud o cese de los servicios. Zuper proporcionará al Cliente (y a Zendesk, cuando corresponda) una certificación por escrito con respecto a dicha eliminación, destrucción y/o limpieza dentro de los treinta (30) días posteriores a tal ocurrencia.

 

3.          Medidas: Protección de código malicioso.

● Todas las estaciones de trabajo y servidores (virtuales o físicos) ejecutarán la versión actual del software antivirus y/o antimalware estándar del sector con las actualizaciones más recientes disponibles en cualquier estación de trabajo o servidor.   Las definiciones de virus deben actualizarse rápidamente cuando el proveedor de software antivirus las publique.  ZUPER configurará el equipo y tendrá políticas de soporte para prohibir que los usuarios desactiven el software antivirus, alteren las configuraciones de seguridad o desactiven otras medidas de protección establecidas para garantizar la seguridad de los Datos o del entorno informático de ZUPER.

● ZUPER analizará el contenido entrante y saliente en busca de código malicioso en todas las puertas de enlace a las redes públicas, incluidos los servidores de correo electrónico y proxy.

● ZUPER pondrá en cuarentena o eliminará los archivos que hayan sido identificados como infectados y registrará el evento.

 

4.          Medidas: Medidas técnicas y organizativas para el control del acceso, especialmente para controlar la legitimidad de los entrantes autorizados a las instalaciones y sistemas a los que se puede acceder a los Datos:

● ZUPER garantiza que se tomen medidas para proteger los locales (por ejemplo, asegurar las entradas y salidas), así como medidas dentro de su edificio mediante el uso de los siguientes procedimientos:

● seguridad y encriptación de todos los ordenadores personales u otros dispositivos móviles que puedan acceder a los Datos;

● acceso limitado a los empleados y contratistas excepto a los visitantes autorizados; 

● identificación de las personas que tienen autoridad de acceso;

● restricción de claves;

● libros de visitantes (incluido el registro del tiempo); y

● sistema de alarma de seguridad u otras medidas de seguridad apropiadas.

 

ZUPER revocará el acceso a ubicaciones físicas, sistemas y aplicaciones que contengan o procesen Datos dentro de las veinticuatro (24) horas posteriores al cese de la necesidad de dicho agente autorizado de acceder a los sistemas o aplicaciones.

 

5.          Medidas: Medidas técnicas (protección con contraseña) y organizativas (registro maestro de usuario) relativas a la identificación y autenticación de los usuarios:

ZUPER informará al Cliente, previa solicitud razonable, a qué personas autorizadas se les confía acceso a los Datos.

 

El control del usuario incluirá las siguientes medidas:

● perfil de VPN restringido;

● implementación de la autenticación de dos factores

 

El control de acceso a los Datos incluirá las siguientes medidas:

● medidas disciplinarias eficaces y medidas contra las personas que acceden a los datos sin autorización.

 

6.          Medidas: Medidas técnicas y organizativas relativas a la seguridad de las redes (incluidas las redes inalámbricas) utilizadas por ZUPER.

 

Todos los controles de red incluirán las siguientes medidas:

● Con regularidad, ZUPER realizará análisis de vulnerabilidad de red internos y externos.  Las vulnerabilidades identificadas se remediarán de una manera comercialmente razonable y en función de la gravedad.

● ZUPER desplegará tecnología de firewall razonablemente apropiada en el funcionamiento de sus redes.

● Como mínimo, ZUPER revisará trimestralmente los conjuntos de reglas de firewall para asegurarse de que las reglas heredadas se eliminen y las reglas activas se configuren correctamente.

● ZUPER implementará sistemas de detección o prevención de intrusiones para monitorear las redes en busca de actividad inapropiada.

● ZUPER desplegará una solución de administración de registros y conservará los registros producidos por firewalls y sistemas de detección de intrusiones por un período mínimo de un (1) año.

 

Los controles de la red inalámbrica incluirán las siguientes medidas adicionales:

● El acceso a la red a las redes inalámbricas debe restringirse solo a las autorizadas.

● Los puntos de acceso se segmentarán a partir de una LAN interna cableada usando un dispositivo de puerta de enlace.

● El identificador del conjunto de servicios (SSID), la ID de usuario del administrador, la contraseña y las claves de encriptación se cambiarán del valor predeterminado.

● La encriptación de todas las conexiones inalámbricas se activará usando algoritmos de encriptación estándar del sector. Los protocolos de encriptación se basarán en el “acceso protegido inalámbrico” (WPA2) o más fuerte.

 

7.          Medidas: ZUPER mantendrá una función de respuesta a incidentes capaz de identificar, mitigar los efectos y prevenir la recurrencia de incidentes. Si ocurre un Incidente, ZUPER (i) tomará rápidamente todas las medidas necesarias para evitar cualquier compromiso adicional de los Datos o cualquier Incidente futuro; (ii) notificará al Cliente dentro de las veinticuatro (24) horas posteriores a la identificación del Incidente y proporcionará un informe por escrito dentro de los tres (3) días posteriores; y (iii) responderá rápidamente a cualquier solicitud razonable del Cliente de información detallada relacionada con el Incidente. El aviso y el informe de ZUPER contendrán una descripción de la naturaleza del Incidente, su impacto y cualquier acción de investigación, correctiva o correctiva que se haya tomado o planeado.

 

8.          Medidas: Continuidad del negocio y recuperación ante desastres. ZUPER ha proporcionado al Cliente un plan de continuidad comercial razonable y estándar del sector para mantener la disponibilidad del Servicio (el "Plan de continuidad").  El Plan de continuidad incluye y debe incluir, entre otros, elementos como (a) administración de crisis, activación de planes y equipos, documentación de procesos de eventos y comunicaciones; (b) administración de eventos, recuperación comercial, ubicaciones alternativas del sitio y pruebas de árboles de llamadas; y (c) detalles de infraestructura, tecnología y sistemas, actividades de recuperación e identificación de las personas / equipos necesarios para dicha recuperación.  ZUPER conservará dicho Plan de Continuidad durante todo el período de vigencia de todas las suscripciones; siempre que ZUPER tenga el derecho de modificar o enmendar el Plan de Continuidad siempre que dicha modificación o enmienda no tenga un efecto adverso material sobre la capacidad de ZUPER para mantener la disponibilidad del Servicio.

 

9.          A solicitud del Cliente, Zuper hará modificaciones comercialmente razonables a su programa de seguridad de la información o a los procedimientos y prácticas bajo el mismo para cumplir con los requisitos de seguridad básicos del Cliente como se describe en todas las pruebas aplicables al Acuerdo y como existen de vez en cuando.  El Cliente proporcionará a ZUPER la documentación de dichas bases de referencia, que formarán parte de la información confidencial del Cliente en virtud del Acuerdo.  ZUPER elaborará un plan escrito de seguridad de la información para el Cliente que contenga, como mínimo, los temas solicitados en este acuerdo.

 

 

 

Anexo C – Acuerdo de procesamiento de datos de Zuper

Lea detenidamente el Acuerdo de procesamiento de datos ("DPA") ya que forman un contrato entre el Cliente ("Cliente" o "Controlador", expresión que significará e incluirá a sus sucesores y cesionarios) y Zuper ("Zuper" o "Procesador", expresión que significará e incluirá a sus sucesores y cesionarios). Este DPA se aplicará cuando Zuper sea un procesador de datos personales. El Encargado del tratamiento y el Responsable del tratamiento se conocen individualmente como "Parte" y colectivamente como "Partes".

 

 

1.     Ámbito del contrato y distribución de responsabilidades

 

1.1 Las Partes acuerdan que, para el Procesamiento de Datos Personales, las Partes serán el Responsable y el Encargado del Tratamiento.

1.2 El Procesador procesará los Datos personales solo en nombre del Controlador y en todo momento solo de acuerdo con este Acuerdo de procesamiento de datos, especialmente las pruebas respectivas.

1.3 Dentro del alcance de los Términos Generales de Zuper (el “Acuerdo”), cada Parte será responsable de cumplir con sus respectivas obligaciones como Controlador y Encargado del Tratamiento bajo las Leyes de Protección de Datos.

2.     Instrucciones de procesamiento de

 

2.1 El Procesador procesará los Datos personales de acuerdo con las instrucciones del Controlador. Este Acuerdo de procesamiento de datos contiene las instrucciones iniciales del Responsable del tratamiento al Encargado del tratamiento. Las Partes acuerdan que el Responsable del Tratamiento puede comunicar cualquier cambio en sus instrucciones iniciales al Procesador mediante notificación escrita al Procesador y que el Procesador deberá acatar dichas instrucciones. El Procesador mantendrá un registro seguro, completo, preciso y actualizado de todas las instrucciones individuales.

2.2 Para evitar cualquier duda, las instrucciones que conduzcan al procesamiento fuera del alcance del presente Acuerdo de procesamiento de datos (por ejemplo, porque se introduce un nuevo propósito de procesamiento) requerirán un acuerdo previo entre las Partes y, en su caso, estarán sujetas al procedimiento de cambio de contrato bajo el Acuerdo respectivo.

2.3 Cuando el Responsable del Tratamiento lo indique, el Encargado del Tratamiento corregirá, borrará o bloqueará los Datos Personales.

2.4 El Encargado del Tratamiento informará sin demora por escrito al Responsable del Tratamiento si, a juicio del Encargado del Tratamiento, una instrucción infringe las Leyes de Protección de Datos y proporcionará una explicación de los motivos de su opinión por escrito.

2.5 El Encargado del tratamiento no será responsable de las Pérdidas de DP que surjan de o en relación con cualquier tratamiento realizado de acuerdo con las instrucciones del Controlador que se determine que no cumplen con el RGPD, después de que el Controlador reciba cualquier información proporcionada por el Encargado en esta Sección 2.

3.     Personal de procesamiento de

 

El Procesador restringirá a su personal el Procesamiento de Datos Personales sin autorización. El Encargado del tratamiento impondrá obligaciones contractuales apropiadas a su personal, incluidas las obligaciones pertinentes relativas a la confidencialidad, la protección de datos y la seguridad de los datos.

4.     Divulgación de a terceros; derechos de los sujetos de datos

 

4.1 El Procesador no divulgará los Datos Personales a ningún tercero (incluidas las agencias gubernamentales, los tribunales o las fuerzas del orden) excepto según lo establecido en este acuerdo o con el consentimiento por escrito del Controlador o según sea necesario para cumplir con las leyes obligatorias aplicables. Si el Procesador está obligado a divulgar los Datos Personales a una agencia policial o a un tercero, el Procesador acepta notificar razonablemente al Controlador sobre la solicitud de acceso antes de otorgar dicho acceso, para permitir que el Controlador solicite una orden de protección u otros recursos apropiados. Si dicho aviso está prohibido por ley, el Encargado del Tratamiento tomará medidas razonables para proteger los Datos Personales contra la divulgación indebida como si se tratara de la propia información confidencial del Encargado del Tratamiento y deberá informar al Encargado del Tratamiento lo antes posible si dicha prohibición legal deja de aplicarse.

4.2 En caso de que el Responsable del Tratamiento reciba cualquier solicitud o comunicación de los Sujetos de Datos que se relacione con el Procesamiento de Datos Personales ("Solicitud"), el Procesador proporcionará al Responsable del Tratamiento plena cooperación, información y asistencia ("Asistencia") en relación con dicha Solicitud cuando así lo indique el Responsable.

4.3 Cuando el Procesador reciba una Solicitud, (i) no responderá directamente a dicha Solicitud, (ii) reenviará la solicitud al Controlador dentro de los 3 (tres) días hábiles posteriores a la identificación de la Solicitud como relacionada con el Controlador y (iii) proporcionará Asistencia de acuerdo con instrucciones adicionales del Controlador.

5.     Medidas técnicas y organizativas de (“TOM”)

 

5.1 El Procesador implementará y mantendrá las medidas de seguridad técnicas y organizativas apropiadas para garantizar que los Datos Personales se Procesen de acuerdo con este Acuerdo de Procesamiento de Datos, para proporcionar Asistencia y para proteger los Datos Personales contra una Violación de Datos Personales. Dichas medidas figuran en el apéndice 2 del anexo 2.

5.2 El Encargado del tratamiento documentará los TOM implementados y proporcionará al Responsable dicha documentación previa solicitud, incluida, si está disponible, cualquier certificación como una certificación ISO 27001.

6.     Asistencia de con la evaluación de impacto de la protección de datos

 

6.1 Cuando se requiera una Evaluación de Impacto de Protección de Datos ("DPIA") en virtud de las Leyes de Protección de Datos aplicables para el Procesamiento de Datos Personales, el Procesador proporcionará al Controlador, previa solicitud, la cooperación y asistencia razonables necesarias para cumplir con la obligación del Cliente de llevar a cabo una DPIA relacionada con el uso de los Servicios por parte del Cliente, en la medida en que el Cliente no tenga acceso a la información relevante y en la medida en que dicha información esté disponible para Zuper.

6.2 El Responsable del Tratamiento pagará al Encargado cargos razonables acordados mutuamente entre las partes por proporcionar la asistencia en la Sección 7, en la medida en que dicha asistencia no pueda acomodarse razonablemente dentro de la prestación normal de los Servicios.

7.     Derechos de información y auditoría de

 

7.1 El Encargado del Tratamiento, de conformidad con las Leyes de Protección de Datos, pondrá a disposición del Responsable del Tratamiento, previa solicitud, de forma oportuna la información necesaria para demostrar que el Encargado del Tratamiento cumple con sus obligaciones en virtud de las Leyes de Protección de Datos.

7.2 Zuper ha obtenido certificaciones y auditorías de terceros que se describen en nuestra página de seguridad. Previa solicitud por escrito del Controlador y sujeto a las obligaciones de confidencialidad establecidas en el Acuerdo, Zuper pondrá a disposición del Controlador una copia de las auditorías o certificaciones de terceros más recientes, según corresponda.

 

8.     Administración y notificación de incidentes de datos de

 

Con respecto al incidente de datos de servicio, el Procesador deberá:

 

8.1 notificar al Responsable del tratamiento sobre una filtración de datos personales que implique al Encargado del tratamiento o a un subcontratista sin demora indebida (pero en ningún caso a más tardar 72 horas después de tener conocimiento del incidente).

8.2 hacer todos los esfuerzos razonables para identificar la causa de dicho incidente y tomar las medidas que el Procesador considere necesarias y razonables para remediar la causa del incidente en la medida en que esté dentro del control razonable de Zuper.

8.3 proporcionar información, cooperación y asistencia razonables al Responsable del tratamiento en relación con cualquier acción que deba tomarse en respuesta a una filtración de datos personales en virtud de las leyes de protección de datos, incluida cualquier comunicación de la filtración de datos personales a los Sujetos de datos y las autoridades nacionales de protección de datos.

Las obligaciones contenidas en la Sección 8 no deben aplicarse a los Incidentes de datos causados por el Cliente o los usuarios del Cliente.

 

 

9.     Subprocesamiento de

 

9.1 El Responsable del tratamiento da su consentimiento para que el Encargado del tratamiento contrate a terceros subencargados del tratamiento que se enumeran a continuación para que procesen los Datos personales con el fin de cumplir las obligaciones contraídas en virtud del presente Acuerdo, siempre que el Encargado del tratamiento proporcione al administrador de la cuenta un aviso en el producto o un aviso por correo electrónico por lo menos quince (15) días antes del nombramiento o reemplazo de cualquier subencargado.

 

Lista de subprocesadores

 

 

Información de contacto del subprocesador

 

 

El Responsable del tratamiento puede oponerse al nombramiento o reemplazo de un subencargado del tratamiento antes de su nombramiento o reemplazo, siempre que dicha objeción se base en motivos razonables relacionados con la protección de datos. En tal caso, el Procesador no nombrará ni reemplazará al subprocesador o, si esto no es posible, el Controlador podrá suspender o terminar los Servicios (sin perjuicio de las tarifas incurridas por el Controlador antes de dicha suspensión o terminación).

9.2 Cuando el Encargado del Tratamiento, con el consentimiento del Responsable del Tratamiento, subcontrate sus obligaciones y derechos en virtud del presente Acuerdo de Procesamiento de Datos, lo hará solo mediante un contrato escrito vinculante con el subcontratista que imponga esencialmente las mismas obligaciones de acuerdo con el Art. 28 RGPD especialmente en lo que respecta a las instrucciones y los TOM para el subcontratista que se imponen al Encargado del tratamiento en virtud del presente Acuerdo de tratamiento de datos.

9.3 El Encargado del tratamiento debe asegurarse de haber seleccionado cuidadosamente al subencargado, teniendo en cuenta en particular la idoneidad de los TOM del subcontratista. El Encargado del Tratamiento ha celebrado un acuerdo por escrito con cada Subencargado del Tratamiento que contiene obligaciones de protección de datos no menos protectoras que las del Acuerdo con respecto a la protección de los Datos de Servicio en la medida en que se apliquen a la naturaleza de los Servicios proporcionados por dicho

Subprocesador.

9.4 Cuando el subcontratista no cumpla sus obligaciones de protección de datos en virtud del acuerdo de subcontratación, el Encargado del tratamiento seguirá siendo plenamente responsable ante el Responsable del tratamiento por el cumplimiento de sus obligaciones en virtud del presente Acuerdo de procesamiento de datos y por el cumplimiento de las obligaciones del subcontratista.

 

10.   Plazo y terminación del

 

10.1 El presente Acuerdo de procesamiento de datos entrará en vigor al firmarse. Seguirá teniendo pleno vigor y efecto mientras el Encargado del Tratamiento esté procesando los Datos Personales de acuerdo con el Anexo 1 y cesará automáticamente a partir de entonces.

10.2 El Responsable del Tratamiento puede rescindir el Acuerdo de Procesamiento de Datos así como el Acuerdo por causa, en cualquier momento con una notificación razonable o sin notificación, según lo seleccionado por el Responsable del Tratamiento, si el Procesador incumple sustancialmente los términos de este Acuerdo de Procesamiento de Datos.

10.3 Cuando se requieran modificaciones para garantizar el cumplimiento de los presentes Acuerdos de Procesamiento de Datos o un Apéndice con las Leyes de Protección de Datos, las Partes acordarán dichas modificaciones a solicitud del Responsable del Tratamiento y, para evitar cualquier duda, sin costos adicionales para el Responsable del Tratamiento. Cuando las partes no puedan ponerse de acuerdo sobre dichas enmiendas, cualquiera de las partes podrá rescindir el Acuerdo y este Acuerdo de procesamiento de datos con una notificación por escrito de 90 días a la otra parte.

11.    Supresión o devolución de de datos personales

 

El Controlador puede exportar todos los Datos de Servicio antes de la terminación de la Cuenta del Cliente. En cualquier caso, después de la terminación de la Cuenta del Cliente, (i) sujeto a (ii) y (iii) a continuación y el Acuerdo , los Datos de Servicio se conservarán por un período de 14 días a partir de dicha terminación dentro del cual el Controlador puede contactar al Procesador para exportar los Datos de Servicio; (ii) cuando el Controlador no utilice el buzón personalizado y utilice la función de correo electrónico, si está disponible dentro de los Servicios, los correos electrónicos que forman parte de los Datos de Servicio se archivan automáticamente por un período de 3 meses; y (iii) los registros se archivan por un período de treinta (30) días en los sistemas de administración de registros, después de lo cual los registros se retiran a un almacenamiento frío archivado restringido por un período de once (11) meses (cada uno un "Período de retención de datos"). Después de cada uno de dichos Periodos de retención de datos, el Procesador se reserva el derecho de borrar todos los Datos de servicio en el curso normal de la operación, excepto cuando sea necesario para cumplir con las obligaciones legales del Procesador, mantener registros financieros y de otro tipo precisos, resolver disputas y hacer cumplir sus acuerdos. Una vez borrados, los Datos de servicio no se podrán recuperar.

12.    Varios

 

12.1 En caso de conflicto, las disposiciones de este Acuerdo de procesamiento de datos prevalecerán sobre las disposiciones de cualquier otro acuerdo con el Encargado del procesamiento.

12.2 La limitación de responsabilidad establecida en el Acuerdo se aplica al incumplimiento del Acuerdo de procesamiento de datos.

12.3 Ninguna Parte percibirá remuneración alguna por el cumplimiento de sus obligaciones en virtud del presente Acuerdo de Procesamiento de Datos, salvo lo dispuesto explícitamente en el presente documento o en otro acuerdo.

12.4 Cuando este Acuerdo de procesamiento de datos requiera una "notificación por escrito", dicha notificación también se puede comunicar por correo electrónico a la otra Parte. Se enviarán notificaciones a las personas de contacto que figuran en el anexo 1 VII.

12.5 Los acuerdos complementarios o las enmiendas al presente Acuerdo de procesamiento de datos deberán hacerse por escrito y firmarse por ambas Partes.

12.6 En caso de que las disposiciones individuales de este Acuerdo de procesamiento de datos se vuelvan nulas, no válidas o inviables, esto no afectará la validez de las condiciones restantes de este acuerdo.

13.    Definiciones

"Administrador de cuenta" se refiere a la persona autorizada por el Responsable para recibir notificaciones del Encargado del tratamiento.

"Leyes de Protección de Datos" se refiere a las leyes de protección de datos del país en el que está establecido el Responsable del Tratamiento, incluido el RGPD, y cualquier ley de protección de datos aplicable al Responsable en relación con el Acuerdo.

“Pérdidas de PD” se refiere a todas las responsabilidades, incluidas:

a) las costas (incluidas las costas judiciales)

 

b) reclamos, demandas, acciones, acuerdos, cargos, procedimientos, gastos, pérdidas y daños (materiales o no materiales, e incluso por angustia emocional)

c) en la medida permitida por la ley aplicable:

i) multas administrativas, sanciones, sanciones, responsabilidades u otros recursos impuestos por una autoridad de protección de datos o cualquier otra autoridad reguladora pertinente

ii) compensación a un Interesado ordenada por una autoridad de protección de datos a pagar por el Encargado del tratamiento

iii) los costes del cumplimiento de las investigaciones por parte de una autoridad de protección de datos o cualquier otra autoridad reguladora pertinente.

"RGPD" designa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al Tratamiento de datos personales y a la libre circulación de dichos datos.

"Datos personales" se refiere a cualquier información relacionada con una persona física identificada o identificable como se define en el Reglamento General de Protección de Datos de la Unión Europea ("RGPD" EC-2016/679) que es procesada por el Encargado del Tratamiento como parte de la prestación de los servicios al Responsable del Tratamiento como se describe en el Anexo 1.

"Cláusulas contractuales estándar/Cláusulas contractuales estándar de la UE" designa las cláusulas contractuales estándar establecidas en el Anexo 1 para la transferencia de Datos personales de un Responsable del Tratamiento en el Espacio Económico Europeo a Encargados del Tratamiento establecidos en terceros países en la forma establecida en el Anexo de la Decisión 2010/87/UE de la Comisión Europea, modificada por la incorporación de la descripción de los Datos personales que se transferirán y las medidas técnicas y organizativas que se implementarán como se establece en el Apéndice.

“Controlador”, “Sujeto de datos”, “Filtración de datos personales”, “Encargado del tratamiento” y “Proceso” tendrán el significado que se les da en el RGPD.

 

 

Anexo 1

Detalles del procesamiento

 

Interesados

 

Los Sujetos de datos son aquellas personas con las que se relacionan los datos personales y son Usuarios o Usuarios finales que interactúan usando los Servicios.

Categorías de datos

Categorías de datos se refiere a los datos personales de los Usuarios y Usuarios finales, contenidos en datos electrónicos, texto, mensajes u otros materiales, enviados a los Servicios por el Cliente a través de la Cuenta del Cliente en relación con el uso que el Cliente hace de los Servicios.

Objeto y naturaleza del tratamiento

Los datos personales procesados estarán sujetos a las actividades de procesamiento básicas requeridas para la prestación de los Servicios por parte de Zuper al Cliente que impliquen el procesamiento de datos personales. Los datos personales estarán sujetos a las actividades de procesamiento especificadas en el Acuerdo y el DPA.

Objeto del tratamiento

Los datos personales se procesarán con el fin de proporcionar los Servicios establecidos en un Formulario, según las instrucciones adicionales del Cliente en su uso de los Servicios, y se acordarán de otra manera en el Acuerdo, este DPA y cualquier Formulario aplicable.

Duración del procesamiento

Los Datos personales se procesarán mientras dure el Acuerdo.

 

 

Anexo 2

Cláusulas contractuales estándar de la UE (encargados del tratamiento)

 

A efectos del artículo 46.3 del Reglamento (UE) 2016/679 para la transferencia de datos personales a encargados del tratamiento establecidos en terceros países que no garanticen un nivel adecuado de protección de datos

La entidad identificada como “Controlador” en el Acuerdo de procesamiento de datos (el “exportador de datos”)

Y Zuper, Inc.

24754 NE, 3rd Way, Sammamish, WA - 98074 (el "importador de datos")

cada uno una “parte”; juntos “las partes”,

 

HAN ACORDADO las siguientes Cláusulas contractuales (las Cláusulas) con el fin de establecer salvaguardias adecuadas con respecto a la protección de la privacidad y los derechos y libertades fundamentales de las personas para la transferencia por el exportador de datos al importador de datos de los datos personales especificados en el Apéndice 1.

 

Cláusula 1

Definiciones

A efectos de las Cláusulas:

a) «datos personales», «categorías especiales de datos», «tratamiento/tratamiento», «responsable del tratamiento», «encargado del tratamiento», «interesado» y «autoridad de control» tendrán el mismo significado que en el Reglamento (UE) 2016/679;

b) «el exportador de datos»: el responsable del tratamiento que transfiere los datos personales;

c) «el importador de datos»: el encargado del tratamiento que acepta recibir del exportador de datos los datos personales destinados al tratamiento en su nombre después de la transferencia de conformidad con sus instrucciones y los términos de las cláusulas y que no está sujeto a que el sistema de un tercer país garantice una protección adecuada en el sentido del Reglamento (UE) 2016/679;

d) «el subencargado del tratamiento»: todo encargado del tratamiento contratado por el importador de datos o por cualquier otro subencargado del importador de datos que acepte recibir del importador de datos o de cualquier otro subencargado del importador de datos datos datos personales destinados exclusivamente a las actividades de tratamiento que se realicen en nombre del exportador de datos después de la transferencia, de conformidad con sus instrucciones, los términos de las cláusulas y los términos del subcontrato escrito;

e) «Ley de protección de datos aplicable»: la legislación que protege los derechos y libertades fundamentales de las personas y, en particular, su derecho a la intimidad en lo que respecta al tratamiento de datos personales aplicable a un responsable del tratamiento en el Estado miembro en el que esté establecido el exportador de datos;

f) «medidas de seguridad técnicas y organizativas»: las medidas destinadas a proteger los datos personales contra la destrucción accidental o ilegal o la pérdida, alteración, divulgación o acceso accidentales, en particular cuando el tratamiento implique la transmisión de datos a través de una red, y contra todas las demás formas ilegales de tratamiento.

 

Cláusula 2

Detalles de la transferencia

Los detalles de la transferencia y, en particular, las categorías especiales de datos personales en su caso, se especifican en el apéndice 1, que forma parte integral de las cláusulas.

Cláusula 3

Cláusula de tercero beneficiario

1.      El sujeto de datos puede hacer cumplir contra el exportador de datos esta Cláusula, la Cláusula 4(b) a (i), la Cláusula 5(a) a (e) y (g) a (j), la Cláusula 6(1) y (2), la Cláusula 7, la Cláusula 8(2) y las Cláusulas 9 a 12 como terceros beneficiarios.

2.     El sujeto de datos puede hacer cumplir esta cláusula contra el importador de datos, la cláusula 5, letras a) a e) y g), la cláusula 6, la cláusula 7, la cláusula 8(2) y las cláusulas 9 a 12, en los casos en que el exportador de datos haya desaparecido de hecho o haya dejado de existir en la ley, a menos que una entidad sucesora haya asumido todas las obligaciones legales del exportador de datos por contrato o por operación de ley, como resultado de lo cual asume los derechos y obligaciones del exportador de datos, en cuyo caso el sujeto de datos puede hacer cumplirlas contra dicha entidad.

3.     El sujeto de datos puede hacer cumplir contra el subprocesador esta Cláusula, la Cláusula 5(a) a (e) y (g), la Cláusula 6, la Cláusula 7, la Cláusula 8(2) y las Cláusulas 9 a 12, en los casos en que tanto el exportador de datos como el importador de datos hayan desaparecido de hecho o dejado de existir en la ley o se hayan declarado insolventes, a menos que cualquier entidad sucesora haya asumido todas las obligaciones legales del exportador de datos por contrato o por funcionamiento de la ley como resultado de lo cual asuma los derechos y obligaciones del exportador de datos, en cuyo caso el sujeto de datos puede hacer cumplirlas contra dicha entidad. Dicha responsabilidad de terceros del subprocesador se limitará a sus propias operaciones de procesamiento bajo las Cláusulas.

4.     Las partes no se oponen a que un interesado esté representado por una asociación u otro organismo si el interesado lo desea expresamente y si la legislación nacional lo permite.

 

Cláusula 4

Obligaciones del exportador de datos

 

El exportador de datos acepta y garantiza:

 

a) que el tratamiento, incluida la transferencia en sí, de los datos personales se ha llevado a cabo y se seguirá llevando a cabo de conformidad con las disposiciones pertinentes de la ley de protección de datos aplicable (y, en su caso, se ha notificado a las autoridades competentes del Estado miembro donde esté establecido el exportador de datos) y no infringe las disposiciones pertinentes de ese Estado;

(b) que ha dado instrucciones y durante todo el tiempo que duren los servicios de procesamiento de datos personales dará instrucciones al importador de datos para que procese los datos personales transferidos solo en nombre del exportador de datos y de conformidad con la ley de protección de datos aplicable y las Cláusulas;

c) que el importador de datos proporcionará garantías suficientes con respecto a las medidas de seguridad técnicas y organizativas especificadas en el apéndice 2 del presente contrato;

d) que, tras la evaluación de los requisitos de la ley de protección de datos aplicable, las medidas de seguridad son adecuadas para proteger los datos personales contra la destrucción accidental o ilegal o la pérdida, alteración, divulgación o acceso accidentales, en particular cuando el procesamiento implique la transmisión de datos a través de una red, y contra todas las demás formas ilegales de procesamiento, y que estas medidas garantizan un nivel de seguridad adecuado a los riesgos presentados por el procesamiento y la naturaleza de los datos que se protegerán, teniendo en cuenta el estado de la técnica y el costo de su implementación;

e) garantizará el cumplimiento de las medidas de seguridad;

f) que, si la transferencia afecta a categorías especiales de datos, el interesado ha sido informado o será informado antes o tan pronto como sea posible después de la transferencia de que sus datos podrían transmitirse a un tercer país que no proporciona la protección adecuada en el sentido del Reglamento (UE) 2016/679;

(g) remitir cualquier notificación recibida del importador de datos o de cualquier subprocesador de conformidad con la Cláusula 5(b) y la Cláusula 8(3) a la autoridad de supervisión de la protección de datos si el exportador de datos decide continuar la transferencia o levantar la suspensión.

(h) poner a disposición de los sujetos de datos que lo soliciten una copia de las Cláusulas, con la excepción del Apéndice 2, y una descripción resumida de las medidas de seguridad, así como una copia de cualquier contrato de servicios de subprocesamiento que tenga que realizarse de conformidad con las Cláusulas, a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso podrá eliminar dicha información comercial;

(i) que, en caso de subprocesamiento, la actividad de procesamiento sea realizada de conformidad con la Cláusula 11 por un subprocesador que proporcione al menos el mismo nivel de protección para los datos personales y los derechos del sujeto de datos que los datos importados bajo las Cláusulas; y

j) que garantizará el cumplimiento de la cláusula 4, letras a) a i).

 

Cláusula 5

Obligaciones del importador de datos

 

El importador de datos acepta y garantiza:

 

(a) procesar los datos personales solo en nombre del exportador de datos y en cumplimiento de sus instrucciones y las Cláusulas; si no puede proporcionar dicho cumplimiento por las razones que sean, se compromete a informar rápidamente al exportador de datos de su incapacidad de cumplir, en cuyo caso el exportador de datos tiene derecho a suspender la transferencia de datos y/o terminar el contrato;

b) que no tiene motivos para creer que la legislación aplicable le impide cumplir las instrucciones recibidas del exportador de datos y las obligaciones contraídas en virtud del contrato y que, en caso de que se produzca un cambio en esta legislación que pueda tener un efecto adverso sustancial en las garantías y obligaciones previstas en las Cláusulas, notificará sin demora el cambio al exportador de datos tan pronto como tenga conocimiento, en cuyo caso el exportador de datos tendrá derecho a suspender la transferencia de datos y/o rescindir el contrato;

(c) que ha implementado las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 2 antes de procesar los datos personales transferidos;

(d) que notificará rápidamente al exportador de datos sobre:

(i) cualquier solicitud jurídicamente vinculante de divulgación de los datos personales por parte de una autoridad policial a menos que se prohíba lo contrario, como una prohibición en virtud de la ley penal para preservar la confidencialidad de una investigación policial,

(ii) cualquier acceso accidental o no autorizado, y

(iii) cualquier solicitud recibida directamente de los sujetos de datos sin responder a esa solicitud, a menos que haya sido autorizado de otra manera;

(e) atender rápida y correctamente todas las consultas del exportador de datos relacionadas con su procesamiento de los datos personales sujetos a la transferencia y acatar el asesoramiento de la autoridad de control con respecto al procesamiento de los datos transferidos.

f) a petición del exportador de datos, presentar sus instalaciones de tratamiento de datos para la auditoría de las actividades de tratamiento contempladas en las cláusulas, que serán llevadas a cabo por el exportador de datos o por un organismo de control compuesto por miembros independientes y que posean las cualificaciones profesionales requeridas y sujetas a un deber de confidencialidad, seleccionados por el exportador de datos, en su caso, de acuerdo con la autoridad de control;

(g) poner a disposición del sujeto de datos previa solicitud una copia de las Cláusulas, o de cualquier contrato existente para el subprocesamiento, a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso podrá eliminar dicha información comercial, con la excepción del Apéndice 2 que será reemplazado por una descripción resumida de las medidas de seguridad en aquellos casos en que el sujeto de datos no pueda obtener una copia del exportador de datos;

h) que, en caso de subtratamiento, ha informado previamente al exportador de datos y obtenido su consentimiento previo por escrito;

(i) que los servicios de procesamiento por parte del subprocesador se llevarán a cabo de acuerdo con la Cláusula 11;

(j) enviar sin demora una copia de cualquier acuerdo de subencargado que celebre en virtud de las Cláusulas al exportador de datos.

 

Cláusula 6

Responsabilidad

 

1.      Las partes acuerdan que cualquier sujeto de datos que haya sufrido daños como resultado de cualquier incumplimiento de las obligaciones mencionadas en la Cláusula 3 o en la Cláusula 11 por parte de cualquier parte o subprocesador tiene derecho a recibir una compensación del exportador de datos por los daños sufridos.

2.     Si un sujeto de datos no puede presentar una demanda de compensación de conformidad con el párrafo 1 contra el exportador de datos, como resultado de un incumplimiento por parte del importador de datos o su subprocesador de cualquiera de sus obligaciones mencionadas en la Cláusula 3 o en la Cláusula 11, porque el exportador de datos ha desaparecido de hecho o ha dejado de existir en la ley o se ha vuelto insolvente, el importador de datos acepta que el sujeto de datos puede presentar una demanda contra el importador de datos como si fuera el exportador de datos, a menos que cualquier entidad sucesora haya asumido todas las obligaciones legales del exportador de datos por contrato o por operación de la ley, en cuyo caso el sujeto de datos puede hacer valer sus derechos contra dicha entidad. El importador de datos no podrá invocar el incumplimiento de sus obligaciones por parte de un subencargado del tratamiento para eludir sus propias responsabilidades.

3.     Si un sujeto de datos no puede presentar una reclamación contra el exportador de datos o el importador de datos mencionado en los párrafos 1 y 2, debido al incumplimiento por parte del subprocesador de cualquiera de sus obligaciones mencionadas en la Cláusula 3 o en la Cláusula 11 porque tanto el exportador de datos como el importador de datos han desaparecido de hecho o han dejado de existir en la ley o se han vuelto insolventes, el subprocesador acepta que el sujeto de datos puede presentar una reclamación contra el subprocesador de datos con respecto a sus propias operaciones de procesamiento bajo las Cláusulas como si fuera el exportador de datos o el importador de datos, a menos que cualquier entidad sucesora haya asumido todas las obligaciones legales del exportador de datos o importador de datos por contrato o por operación de la ley, en cuyo caso el sujeto de datos puede hacer valer sus derechos contra dicha entidad. La responsabilidad del subprocesador se limitará a sus propias operaciones de procesamiento bajo las Cláusulas.

 

Cláusula 7

Mediación y jurisdicción

 

1.      El importador de datos acepta que si el sujeto de datos invoca contra él los derechos de terceros beneficiarios y / o reclama una compensación por daños y perjuicios bajo las Cláusulas, el importador de datos aceptará la decisión del sujeto de datos:

(a) remitir la disputa a mediación, por una persona independiente o, en su caso, por la autoridad de supervisión;

b) remitir la disputa a los tribunales del Estado miembro en el que esté establecido el exportador de datos.

2.     Las partes acuerdan que la elección realizada por el interesado no perjudicará sus derechos sustantivos o procesales de interponer recursos de conformidad con otras disposiciones de la legislación nacional o internacional.

 

Cláusula 8

Cooperación con las autoridades de supervisión

 

1.      El exportador de datos se compromete a depositar una copia de este contrato en la autoridad de supervisión si así lo solicita o si dicho depósito es requerido por la ley de protección de datos aplicable.

2.     Las partes acuerdan que la autoridad de supervisión tiene derecho a realizar una auditoría del importador de datos y de cualquier subprocesador, que tenga el mismo alcance y esté sujeto a las mismas condiciones que se aplicarían a una auditoría del exportador de datos de conformidad con la ley de protección de datos aplicable.

3.     El importador de datos informará sin demora al exportador de datos de la existencia de legislación aplicable a él o a cualquier subprocesador que impida la realización de una auditoría del importador de datos o de cualquier subprocesador, de conformidad con el apartado 2. En tal caso, el exportador de datos tendrá derecho a adoptar las medidas previstas en la letra b) de la cláusula 5.

 

Cláusula 9

Ley aplicable

Las cláusulas se regirán por la legislación del Estado miembro en el que esté establecido el exportador de datos.

 

Cláusula 10

Variación del contrato

Las partes se comprometen a no modificar las Cláusulas. Esto no impide que las partes agreguen cláusulas sobre asuntos relacionados con el negocio cuando sea necesario, siempre que no contradigan la cláusula.

Cláusula 11

Subprocesamiento

 

1.      El importador de datos no subcontratará ninguna de sus operaciones de procesamiento realizadas en nombre del exportador de datos en virtud de las Cláusulas sin el consentimiento previo por escrito del exportador de datos. Cuando el importador de datos subcontrate sus obligaciones en virtud de las Cláusulas, con el consentimiento del exportador de datos, lo hará únicamente mediante un acuerdo escrito con el subprocesador que imponga al subprocesador las mismas obligaciones que se imponen al importador de datos en virtud de las Cláusulas. Cuando el subencargado del tratamiento no cumpla sus obligaciones de protección de datos en virtud de dicho acuerdo escrito, el importador de datos seguirá siendo plenamente responsable ante el exportador de datos del cumplimiento de las obligaciones del subencargado del tratamiento en virtud de dicho acuerdo.

2.     El contrato previo por escrito entre el importador de datos y el subencargado también establecerá una cláusula de tercero beneficiario como se establece en la Cláusula 3 para los casos en que el sujeto de datos no pueda presentar la demanda de compensación mencionada en el apartado 1 de la Cláusula 6 contra el exportador de datos o el importador de datos porque han desaparecido de hecho o han dejado de existir en la ley o se han declarado insolventes y ninguna entidad sucesora ha asumido todas las obligaciones legales del exportador de datos o importador de datos por contrato o por operación de la ley. Dicha responsabilidad de terceros del subprocesador se limitará a sus propias operaciones de procesamiento bajo las Cláusulas.

3.     Las disposiciones relativas a los aspectos de protección de datos para el subtratamiento del contrato contemplado en el apartado 1 se regirán por la legislación del Estado miembro en el que esté establecido el exportador de datos.

4.     El exportador de datos conservará una lista de los acuerdos de subtratamiento celebrados en virtud de las cláusulas y notificados por el importador de datos con arreglo a la cláusula 5, letra j), que se actualizará al menos una vez al año. La lista estará a disposición de la autoridad de supervisión de la protección de datos del exportador de datos.

 

Cláusula 12

Obligación después de la terminación de los servicios de procesamiento de datos personales

 

1.      Las partes acuerdan que al finalizar la prestación de los servicios de procesamiento de datos, el importador de datos y el subprocesador, a elección del exportador de datos, devolverán todos los datos personales transferidos y sus copias al exportador de datos o destruirán todos los datos personales y certificarán al exportador de datos que lo ha hecho, a menos que la legislación impuesta al importador de datos le impida devolver o destruir total o parcialmente los datos personales transferidos. En ese caso, el importador de datos garantiza que garantizará la confidencialidad de los datos personales transferidos y ya no procesará activamente los datos personales transferidos.

 

2.     El importador de datos y el subencargado del tratamiento garantizan que, previa solicitud del exportador de datos o de la autoridad de control, someterán sus instalaciones de tratamiento de datos a una auditoría de las medidas contempladas en el apartado 1.

 

Apéndice 1 de las cláusulas contractuales tipo

 

Este apéndice forma parte de las cláusulas y debe ser completado y firmado por las partes. Al firmar la página de firma del Acuerdo de procesamiento de datos, se considerará que las partes han firmado este Apéndice 1.

Exportador de datos: el exportador de datos es la entidad identificada como "Controlador" en el Acuerdo de procesamiento de datos.

Importador de datos: el importador de datos es la entidad identificada como “Encargado del tratamiento” en el Acuerdo de tratamiento de datos.

Sujetos de datos: los sujetos de datos se definen en el Apéndice 1 No.2 del Acuerdo de procesamiento de datos.

Categorías de datos: las categorías de datos se identifican en el Apéndice 1 No. 3 del Acuerdo de procesamiento de datos.

Operaciones de procesamiento: los datos personales transferidos estarán sujetos a las siguientes actividades de procesamiento básicas identificadas en el Apéndice 1 No. 1 del Acuerdo de procesamiento de datos.

 

Apéndice 2 de las cláusulas contractuales tipo

 

Este apéndice forma parte de las cláusulas y debe ser completado y firmado por las partes. Al firmar la página de firma del Acuerdo de procesamiento de datos, se considerará que las partes han firmado este Apéndice 2.

Descripción de las medidas de seguridad técnicas y organizativas aplicadas por el importador de datos de conformidad con las cláusulas 4, letras d) y 5, letra c) (o documento o legislación adjuntos):

El Procesador mantiene y aplica varias políticas, estándares y procesos diseñados para proteger los datos personales y otros datos a los que tienen acceso los empleados del Procesador, y actualiza dichas políticas, estándares y procesos de vez en cuando de acuerdo con los estándares del sector. La siguiente es una descripción de algunas de las medidas técnicas y organizativas implementadas por el Procesador en la fecha de firma:

1.     Procedimientos de seguridad

 

1.1 El Procesador será responsable de establecer y mantener un programa de seguridad de la información que esté diseñado para: (i) proteger la seguridad y confidencialidad de los Datos Personales; (ii) proteger contra amenazas o riesgos anticipados para la seguridad o integridad de los Datos Personales; (iii) proteger contra el acceso no autorizado o el uso de los Datos Personales; (iv) garantizar la eliminación adecuada de los Datos Personales, como se define con más detalle en el presente documento; y, (v) garantizar que todos los empleados y subcontratistas del Procesador, si los hay, cumplan con todo lo anterior. El Procesador designará a una persona para que sea responsable del programa de seguridad de la información. Dichas personas responderán a las consultas del Controlador relacionadas con la seguridad informática y serán responsables de notificar a los contactos designados por el Controlador si ocurre una violación o un incidente, como se describe en el presente documento.

1.2 El Encargado del tratamiento llevará a cabo una capacitación formal de sensibilización sobre privacidad y seguridad para todos sus empleados tan pronto como sea razonablemente posible después del momento de la contratación y/o antes de ser designado para trabajar en los Datos personales y volver a certificarse anualmente a partir de entonces. El Encargado del tratamiento conservará la documentación de la capacitación en materia de seguridad, lo que confirma que se ha completado esta capacitación y el proceso de recertificación anual subsiguiente.

1.3 El Responsable del Tratamiento tendrá derecho a revisar la información general sobre el programa de seguridad de la información del Procesador antes del inicio del Servicio y anualmente a partir de entonces previa solicitud del Responsable del Tratamiento.

1.4 El Encargado del Tratamiento no transmitirá ningún Dato Personal no encriptado a través de Internet o de una red no segura, y no almacenará ningún Dato Personal en ningún dispositivo informático móvil, como un ordenador portátil, una unidad USB o un dispositivo de datos portátil, excepto cuando

existe una necesidad comercial y solo si el dispositivo informático móvil está protegido por software de encriptación estándar en el sector. El Procesador encriptará los Datos Personales en tránsito hacia y desde los Servicios a través de redes públicas usando protocolos estándar del sector.

1.5 En caso de robo aparente o real, uso no autorizado o divulgación de cualquier Dato Personal, el Procesador iniciará de inmediato todos los esfuerzos razonables para investigar y corregir las causas y remediar los resultados de los mismos, y sin demora indebida y dentro de las 72 horas posteriores a la confirmación de tal evento, notificará al Controlador al respecto, y toda otra información y asistencia que pueda solicitarse razonablemente. A solicitud del Controlador, se proporcionarán al Controlador acciones correctivas y garantías razonables de resolución de los problemas descubiertos.

2.     Seguridad de redes y comunicaciones de

 

2.1 Toda la conectividad del Procesador a los sistemas informáticos y/o redes del Controlador y todos los intentos de conexión a los mismos se realizarán únicamente a través de las puertas de enlace/cortafuegos de seguridad del Controlador y únicamente a través de procedimientos de seguridad aprobados por el Controlador.

2.2 El Encargado del tratamiento no accederá ni permitirá que personas o entidades no autorizadas accedan a los sistemas informáticos y/o redes del Controlador sin la autorización expresa y por escrito del Controlador, y todo acceso real o intento de acceso será coherente con dicha autorización.

2.3 El Procesador tomará las medidas apropiadas para garantizar que los sistemas del Procesador que se conecten con los sistemas del Controlador y cualquier cosa que se proporcione al Controlador a través de dichos sistemas no contengan ningún código informático, programa, mecanismo o dispositivo de programación diseñado para, o que permita, la interrupción, modificación, eliminación,

dañar, desactivar, inutilizar, dañar o de cualquier otra manera ser un impedimento para el funcionamiento de los sistemas del Controlador.

2.4 El Encargado del tratamiento mantendrá medidas técnicas y organizativas para la protección de datos que incluyen: (i) firewalls y sistemas de detección de amenazas para identificar intentos de conexión maliciosos, bloquear spam, virus e intrusiones no autorizadas; (ii) tecnología de redes físicas diseñada para resistir ataques de usuarios maliciosos o código malicioso; y (iii) datos encriptados en tránsito por redes públicas usando protocolos estándar de la industria.

3.     Procedimientos de tratamiento de datos

 

3.1 Eliminación de información y destrucción de medios de almacenamiento electrónico. Todos los medios de almacenamiento electrónico que contengan Datos personales deben borrarse o desgastarse para su destrucción física o eliminación, de manera que cumplan con las normas de la industria forense como las Pautas NIST SP800-88 para la desinfección de medios, antes de abandonar las Áreas de trabajo del controlador, con la excepción de los Datos personales encriptados que residen en medios portátiles con el propósito expreso de proporcionar servicio al controlador. El Encargado del tratamiento conservará pruebas documentadas comercialmente razonables de borrado y destrucción de datos para los recursos de nivel de infraestructura.

3.2 El Procesador mantendrá tecnologías y procesos de autorización y autenticación para garantizar que solo las personas autorizadas accedan a los Datos Personales, lo que incluye: (i) otorgar derechos de acceso sobre la base del principio de necesidad de conocer; (ii) revisar y mantener registros de empleados que han sido autorizados o que pueden otorgar, alterar o cancelar el acceso autorizado a los sistemas; (iii) exigir que las cuentas de acceso individuales y personalizadas usen contraseñas que cumplan con los requisitos de complejidad, longitud y duración; (iv) almacenar contraseñas de manera que sean indescifrables si se usan incorrectamente o se recuperan aisladamente; (v) encriptar, registrar y auditar todas las sesiones de acceso a los sistemas que contienen Datos Personales; y (vi) instruir a los empleados sobre métodos de administración seguros cuando los equipos pueden estar desatendidos, como el uso de salvapantallas protegidos con contraseña y los límites de tiempo de las sesiones.

3.3 El Encargado del tratamiento mantendrá controles lógicos para separar los Datos personales de otros datos, incluidos los datos de otros clientes.

3.4 El Encargado del tratamiento mantendrá las medidas para proporcionar un tratamiento separado de los datos para diferentes propósitos, incluidos: (i) aprovisionar al Controlador dentro de su propio dominio de seguridad a nivel de aplicación, lo que crea una separación lógica y el aislamiento de los principios de seguridad entre los clientes; y (ii) aislar los entornos de prueba o desarrollo de los entornos en vivo o de producción.

4.     Seguridad física de

 

4.1 El Encargado del tratamiento se asegurará de que se cumplan por lo menos los siguientes requisitos de seguridad física:

i) Todos los archivos multimedia y de copia de seguridad que contengan Datos personales deben estar contenidos en áreas de almacenamiento seguras y ambientalmente controladas que sean propiedad, estén operadas o hayan sido contratadas por el Encargado del tratamiento. Todos los archivos multimedia y de copia de seguridad que contengan Datos personales deben estar encriptados.

ii) Se han adoptado medidas técnicas y organizativas para controlar el acceso a los locales e instalaciones del centro de datos, entre ellas: i) mostradores de recepción con personal o oficiales de seguridad para restringir el acceso a las personas identificadas y autorizadas; ii) inspección de visitantes a la llegada para verificar la identidad; iii) todas las puertas de acceso, incluidas las jaulas de equipo, protegidas con sistemas de cierre automático de puertas con sistemas de control de acceso que registran y retienen los historiales de acceso; iv) vigilancia y registro de todas las zonas mediante cámaras digitales de CCTV, sistemas de alarma de detección de movimiento y registros detallados de vigilancia y auditoría; v) alarmas de intrusos presentes en todas las puertas de emergencia externas con puertas de salida internas unidireccionales; y

vi) la separación de las zonas de envío y de recepción con controles de los equipos a su llegada.

iii) El Encargado del Tratamiento mantendrá medidas de protección contra la destrucción accidental o la pérdida de Datos Personales, lo que incluye: (i) la detección y supresión de incendios, incluido un sistema de extinción de incendios previo a la acción, de tubería seca y doble enclavamiento, de varias zonas, y una Detección y alarma muy tempranas de humo (VESDA); (ii) generadores de electricidad redundantes in situ con suministro adecuado de combustible para generadores y contratos con múltiples proveedores de combustible; (iii) sistemas de calefacción, ventilación y aire acondicionado (HVAC) que proporcionan flujo de aire, temperatura y humedad estables, con una redundancia mínima de N+1 para todos los equipos pesados y de N+2 para enfriadores y almacenamiento de energía térmica; y (iv) sistemas físicos utilizados para el almacenamiento y transporte de datos que utilizan diseños tolerantes a fallas con múltiples niveles de redundancia.

5 pruebas de seguridad

 

5.1 Durante la prestación de los Servicios en virtud del Acuerdo, el Encargado del Tratamiento contratará, por su cuenta y al menos una vez al año, a un tercero proveedor ("Compañía de Pruebas") para que realice pruebas de penetración y vulnerabilidad ("Pruebas de Seguridad") con respecto a los sistemas del Encargado del Tratamiento que contengan y/o almacenen Datos Personales.

5.2 El objetivo de dichas Pruebas de seguridad será identificar problemas de diseño y/o funcionalidad en las aplicaciones o infraestructura de los sistemas del Procesador que contengan y/o almacenen Datos personales, que puedan exponer los activos del Controlador a riesgos de actividades maliciosas. Las Pruebas de seguridad investigarán las debilidades en las aplicaciones, los perímetros de red u otros elementos de infraestructura, así como las debilidades en los procesos o las contramedidas técnicas relacionadas con los sistemas del Encargado del tratamiento que contengan y/o almacenen Datos personales que podrían ser explotados por una parte maliciosa.

5.3 Las Pruebas de seguridad identificarán, como mínimo, las siguientes vulnerabilidades de seguridad: entrada no válida o no desinfectada; controles de acceso rotos o excesivos; autenticación y administración de sesiones rotas; fallas de scripting entre sitios (XSS); desbordes de búfer; fallas de inyección; manejo incorrecto de errores; almacenamiento inseguro; vulnerabilidades comunes de denegación de servicio; administración de configuración insegura o inconsistente; uso incorrecto de SSL/TLS; uso correcto de la encriptación; y fiabilidad y pruebas de antivirus.

5.4 Dentro de un plazo razonable después de que se haya realizado la Prueba de seguridad, el Encargado del tratamiento corregirá los problemas (si los hay) identificados y posteriormente solicitará a la Compañía de pruebas que realice una Prueba de seguridad de revalidación para garantizar la resolución de los problemas de seguridad identificados. Los resultados se pondrán a disposición del Responsable del tratamiento previa solicitud.

6.     Auditoría de seguridad de

 

6.1 El Encargado del Tratamiento y todas las entidades subcontratadas (según corresponda) llevarán a cabo por lo menos una auditoría anual de SSAE 18 (o equivalente) que abarque todos los sistemas y/o instalaciones utilizados para proporcionar el Servicio al Controlador y proporcionarán al Controlador los resultados de la misma rápidamente después de la solicitud escrita del Controlador. Si, después de revisar dichos resultados de auditoría, el Responsable determina razonablemente que existen problemas de seguridad relacionados con el Servicio, el Responsable notificará al Encargado, por escrito, y el Encargado discutirá rápidamente y, siempre que sea comercialmente factible, abordará los problemas identificados. Los demás problemas se documentarán, se hará el seguimiento y se abordarán en el momento acordado por el Encargado del tratamiento y el Responsable del tratamiento.