Acuerdo de tramitación de pedidos (APD)

Versión; abril de 2023.
Sujeto a cambios en cualquier momento.

Preámbulo
El presente Acuerdo de Procesamiento de Datos (en adelante "APD") especifica las obligaciones en materia de protección de datos derivadas de la relación contractual entre ASMIQ I/O AG (en adelante "Proveedor") y sus clientes (en adelante "Cliente"). La relación contractual entre las partes se basa en las Condiciones Generales de Contratación (en adelante "CGC") y en la Política de Privacidad (en adelante "DPA"), por lo que éstas forman parte integrante de la DPA. La DPA se aplicará a todas las actividades derivadas de la relación contractual entre las Partes en las que los empleados del Proveedor o terceros encargados por el Proveedor procesen datos personales (en adelante "Datos") del Cliente. El Cliente puede ponerse en contacto con el responsable de protección de datos del Proveedor en datenschutz@old.asmiq.io para todas las cuestiones de protección de datos que puedan surgir.

  1. Objeto, duración y especificación de la tramitación del pedido
    1.1 El objeto y la duración del pedido, así como el tipo y la finalidad del tratamiento, se establecen generalmente en las CGC, salvo que las disposiciones siguientes contengan obligaciones adicionales.
    1.2 El anexo A de la DPA especifica el objeto, la naturaleza y la finalidad del tratamiento encargado.
  2. Ámbito de aplicación y responsabilidad
    2.1 El Proveedor procesa datos personales en nombre del Cliente. Esto incluye las actividades que se especifican en los TCG, el DSE, en el Anexo A de las CGU y en la descripción actual del servicio en el sitio web del Proveedor.
    2.2 En el marco de la relación contractual, el cliente es el único responsable del cumplimiento de las disposiciones legales en materia de protección de datos, en particular de la legalidad de la transferencia de datos al proveedor y de la legalidad del tratamiento de datos.
  3. Obligaciones del prestador
    3.1 El proveedor procesa los datos de los interesados únicamente en el ámbito de la relación contractual de conformidad con los TCG, la DSE y la presente DPA, a menos que exista una excepción regulada legalmente.
    3.2 El proveedor diseñará la organización interna en su ámbito de responsabilidad de tal forma que cumpla los requisitos especiales de la protección de datos. Adoptará medidas técnicas y organizativas para la protección adecuada de los datos del cliente que cumplan los requisitos legales pertinentes. En particular, éstas garantizarán la confidencialidad, integridad, disponibilidad y resistencia de los sistemas y servicios relacionados con el tratamiento a largo plazo. El Cliente conoce estas medidas técnicas y organizativas y es responsable de garantizar que ofrecen un nivel de protección adecuado a los riesgos de los datos que se van a tratar.
    3.3 Las medidas adoptadas por el Proveedor se especifican en el Anexo B. Las medidas técnicas y organizativas están sujetas al progreso técnico y al desarrollo posterior. A este respecto, el Proveedor está autorizado a aplicar medidas alternativas adecuadas en cualquier momento. Al hacerlo, no se podrá menoscabar el nivel de seguridad acordado contractualmente con esta CGU.
    3.4 Si así se acuerda, la Entidad Adjudicadora apoyará al Comitente dentro de sus posibilidades en el cumplimiento de las solicitudes y reclamaciones de protección de datos de los interesados y en el cumplimiento de las obligaciones de protección de datos. De conformidad con los TCG, el Proveedor está autorizado a exigir una compensación por los gastos incurridos a este respecto.
    3.5 Los empleados que participen en el procesamiento de los datos del cliente y otros terceros que trabajen para el proveedor procesarán los datos exclusivamente en el marco de la relación contractual de conformidad con los TCG, la DSE y la presente DPA y están obligados a mantener la confidencialidad.
    3.6 Si el proveedor tiene conocimiento de una violación de la protección de datos personales, tomará medidas razonables para proteger los datos y minimizar las posibles consecuencias negativas para las personas afectadas. Además, el Proveedor cumplirá plenamente las disposiciones legales aplicables en materia de notificación de violaciones de datos.
    3.7 El Proveedor cumple plenamente las disposiciones aplicables en materia de protección de datos y revisa periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
    3.8 La Entidad Adjudicadora procesará y almacenará los datos personales mientras exista la relación contractual entre la Entidad Adjudicadora y el Comitente. La Entidad Adjudicadora rectificará o borrará los datos contractuales si el Comitente así se lo ordena y esto está contemplado en el alcance de las instrucciones. Esto no se aplica a los datos que son necesarios para el procesamiento posterior debido a la normativa legal o para fines internos obligatorios. La cesión de los datos y la remuneración correspondiente se regulan en las CGC.
  4. Obligaciones del cliente
    4.1 El Comitente debe informar al Proveedor inmediatamente y en su totalidad por escrito o a través del centro de ayuda en línea (sistema de tickets) si descubre errores o irregularidades en los resultados del pedido en relación con la normativa de protección de datos.
    4.2 El Comitente informará al Proveedor sobre la persona de contacto para cuestiones de protección de datos que surjan en el marco de la relación contractual, si ésta difiere de la persona de contacto nombrada.
    4.3 El cliente declara que es el único responsable de informar a las personas afectadas por el tratamiento de datos sobre el posible almacenamiento y uso de los mismos,
    -El Proveedor procesará y transmitirá los datos de conformidad con las disposiciones de las CGC, el DSE y la presente DPA. Si los interesados individuales no están de acuerdo con el tratamiento de datos previsto, el cliente es responsable de solicitar la supresión de los datos respectivos a través del centro de ayuda en línea (sistema de tickets).
    4.4 Al aceptar las CGC y el DSE, el Cliente declara expresamente su consentimiento para la transmisión de sus datos a la empresa matriz y a las empresas afiliadas de la Entidad Adjudicadora. El Cliente exime al Proveedor de cualquier posible reclamación. La obtención del consentimiento de las personas afectadas es responsabilidad del Cliente.
  5. Consultas de los afectados
    5.1 Si un interesado se pone en contacto con la Entidad Adjudicadora con solicitudes de rectificación, supresión o información, la Entidad Adjudicadora remitirá al interesado al Comitente, siempre que la asignación al Comitente sea posible de acuerdo con la información facilitada por el interesado. El Proveedor remitirá la solicitud del interesado al Cliente en un plazo razonable. El Proveedor podrá apoyar al Cliente en caso de reclamaciones de protección de datos por parte de un interesado dentro del ámbito de sus posibilidades. En este caso, el Proveedor tendrá derecho a exigir una compensación por los gastos. El proveedor no será responsable si el cliente no responde a la solicitud del interesado, no lo hace correctamente o no lo hace a tiempo.
  6. Opciones de verificación
    6.1 El Proveedor proporcionará al Cliente pruebas del cumplimiento de las obligaciones establecidas en el presente Anexo por los medios adecuados. Esto adoptará la forma de una autoauditoría y/o certificación ISO.
    6.2 En caso de que, en casos concretos, sea necesario realizar inspecciones por parte del Cliente o de un auditor encargado por el Cliente (por ejemplo, debido al GDPR), estas se llevarán a cabo durante el horario laboral normal sin interrumpir las operaciones tras la notificación, teniendo en cuenta un plazo razonable. El Proveedor podrá supeditarlo a una notificación previa con un plazo de antelación razonable y a la firma de un acuerdo de confidencialidad relativo a los datos de otros clientes y a las medidas técnicas y organizativas establecidas. Si el auditor encargado por el Cliente mantiene una relación de competencia con el Proveedor, éste podrá rechazar al auditor y proponer a una persona neutral. El Proveedor podrá cobrar al Cliente los costes asociados a la auditoría, en particular si no se detectan irregularidades.
    6.3 En caso de que una autoridad supervisora de protección de datos u otra autoridad supervisora soberana del cliente lleve a cabo una inspección, se aplicará en consecuencia el apartado 6.2. No será necesario firmar un acuerdo de confidencialidad si esta autoridad de control está sujeta a una obligación de confidencialidad profesional o legal cuyo incumplimiento sea punible con arreglo al Código Penal alemán.
  7. Subcontratistas (otros transformadores)
    7.1 El Proveedor puede contratar a subcontratistas para cumplir el servicio contractual. Se permite la contratación de subcontratistas como encargados del tratamiento por parte del Proveedor, siempre que cumplan los requisitos del presente APD en el ámbito del subcontrato. El Proveedor celebrará acuerdos con los subcontratistas en la medida necesaria para garantizar la protección de datos y las medidas de seguridad de la información adecuadas. Quedan excluidos de esta sección los subcontratistas que no tengan acceso a datos de clientes o que no procesen datos personales como encargados del tratamiento.
  8. Deber de información
    8.1 En caso de que los datos del Comitente en poder de la Entidad Adjudicadora se vean amenazados por embargo o confiscación, por procedimientos de insolvencia o concurso de acreedores o por otros hechos o medidas de terceros, la Entidad Adjudicadora informará de ello inmediatamente al Comitente. El Proveedor informará inmediatamente a todas las personas responsables en este contexto de que la soberanía y la propiedad de los datos corresponden exclusivamente al Cliente.
  9. Responsabilidad
    9.1 La responsabilidad se regirá por las disposiciones correspondientes de las CGC.
  10. Varios
    10.1 En todos los demás aspectos, se aplicarán las disposiciones de las CGC y las DSE. En caso de contradicción entre las DSE y las CGC, prevalecerán las disposiciones de las CGC. En caso de que algunas partes de las CGU no sean válidas, ello no afectará a la validez de las CGC y de las restantes disposiciones de las CGU. Los Apéndices A y B forman parte integrante de las CGU.

ASMIQ E/S AG
Baslerstrasse 60
8048 Zúrich

Apéndice A Objeto, naturaleza y finalidad
Apéndice B Medidas técnicas y organizativas

  1. Apéndice A - Objeto, naturaleza y finalidad
Objeto de la orden:Tratamiento de los datos personales del cliente como parte de su uso de los servicios del proveedor como Software as a Service.
Naturaleza y finalidad del tratamiento de datos previsto:Los datos personales procesados por el cliente se transfieren al proveedor como parte de los servicios de Software as a Service. El proveedor procesa estos datos exclusivamente de conformidad con las CGC y la descripción del servicio correspondiente en el sitio web del proveedor (gestión de pedidos, gestión de contactos (CRM), contabilidad, banca electrónica, contabilidad de nóminas, gestión de almacenes, gestión de proyectos, etc.).
Tipo de datos personales:Los tipos de datos dependen de los datos transmitidos por el cliente. Se trata, en particular, de (según el orden):
● Datos personales maestros (nombre, fecha de nacimiento, dirección, empleador), incluidos los datos de contacto (por ejemplo, teléfono, correo electrónico).
● Datos contractuales, incluidos los de facturación y pago.
● Historial de los datos del contrato
Categorías de interesados:Las categorías de interesados dependen de los datos transmitidos por el cliente. Se trata, en particular, de (según el orden):
● Empleados (incluidos solicitantes y antiguos empleados) del cliente.
● Clientes del cliente
● Partes interesadas del cliente
● Proveedor de servicios del cliente
● Datos de contacto de las personas de contacto
Supresión, bloqueo y corrección de datos:Las solicitudes de supresión, bloqueo y corrección deberán dirigirse al cliente; en caso contrario, se aplicarán las disposiciones de las CGC, las DSE y las presentes CGU.


Apéndice B - Medidas técnicas y organizativas (MTO)

  1. Confidencialidad
    1.1. Control de acceso
    1.1.1 Medidas físicas
    - Planificación de la construcción según la norma SIA

1.1.2 Medidas técnicas
- Sistema de alarma contra intrusos (si está instalado)
- Sistema de alarma contra incendios
- Videovigilancia puntual
- Sistema (electrónico) de control de acceso

1.1.3 Medidas organizativas
- Recepción
- Registro de visitantes
- Selección cuidadosa del personal

1.2 Control de acceso
1.2.1 Medidas técnicas
- Uso de cortafuegos
- Software antimalware
- Iniciar sesión con ID de usuario y contraseña
- Acceso remoto mediante VPN y/o MFA (token hardware, app o SMS (mTAN))
- Cambio forzoso de contraseña según especificaciones informáticas
- Impresora con función de autenticación (si procede)

1.2.2 Medidas organizativas
- Selección de contraseña por defecto

1.3 Control de acceso / control de entrada
1.3.1 Medidas técnicas
- Asignación de una identidad única a cada cuenta
- Destrucción física de los soportes de datos
- Borrado no reversible de soportes de datos

1.3.2 Medidas organizativas
- Especificación de la política de mesas limpias (si procede)
- Especificación para la destrucción de archivos y soportes de datos (en su caso)

1.4 Control de separación
1.4.1 Medidas técnicas
- Uso de cortafuegos
- Separación de los entornos de producción, integración y pruebas
- Separación lógica de clientes (capacidad multicliente)

1.4.2 Medidas organizativas
- Conceptos de autorización (usuarios/administradores/superusuarios)

  1. Integridad
    2.1 Control de las transferencias
    2.1.1 Medidas técnicas
  • Uso de VPN
  • Transporte seguro de datos (SSL/TLS, SFTP (FTP sobre SSH))
  • Autenticación WLAN

2.1.2 Medidas organizativas

  • Documentación sobre los destinatarios de los datos y la duración de los periodos de transferencia o supresión previstos (transferencia web "rumplet")
  • Selección cuidadosa del personal y los vehículos
  • Acceso remoto/mantenimiento remoto por defecto
  1. Disponibilidad (y resistencia)
    3.1 Control de disponibilidad
    3.1.1 Medidas técnicas
  • Centros de datos redundantes
  • Sistema SAI / grupo electrógeno diésel
  • Copias de seguridad completas e incrementales periódicas
  • Copias de seguridad offline (almacenamiento de datos separado localmente)
  • Pruebas periódicas de recuperación
  • Comprobaciones periódicas de la seguridad de la infraestructura y las aplicaciones
  • Automatización de edificios: supervisión de salas de servidores (temperatura, humedad, humo)
  • Protección contra sobretensión
  • Sala de servidores protegida con alarma (alarma en caso de acceso no autorizado/puerta abierta)

3.1.2 Medidas organizativas

  • Proceso de seguridad para software y aplicaciones informáticas
  • Proceso integral de copia de seguridad y recuperación (en línea/fuera de línea; in situ/fuera de las instalaciones)
  • Plan de emergencia (técnico, organizativo)
  • Procesos normalizados para los cambios y bajas de empleados
  1. Procedimientos de revisión, valoración y evaluación periódicas
    4.1 Gestión de la protección de datos
    Al prestar servicios a sus clientes, ASMIQ concede gran importancia al tratamiento responsable y conforme a la ley de los datos personales. ASMIQ garantiza que los datos se tratan con sumo cuidado y de conformidad con las disposiciones legales pertinentes de la ley de protección de datos.

4.1.1 Medidas técnicas

  • Documentación sobre protección de datos para empleados (intranet)
  • Revisión periódica de la eficacia de las medidas técnicas de protección
  • Gestión de la protección de datos con soluciones de herramientas de apoyo (gestión de interfaces, directorios de procesamiento, etc.)

4.1.2 Medidas organizativas

  • Nombramiento del responsable o responsables de la protección de datos
  • Obligación de confidencialidad de los trabajadores
  • Garantía de las obligaciones de información
  • Proceso de tramitación de las solicitudes de información y otros derechos de los interesados

4.2 Gestión de la respuesta a incidentes
4.2.1 Medidas técnicas Requisito previo:

  • Herramientas de respuesta a incidentes
  • Servicios antiphishing
  • Protección DDoS

4.2.2 Medidas organizativas

  • Proceso de notificación de las violaciones de datos
  • Participación de los responsables de la protección de datos en incidentes de seguridad y violaciones de datos
  • Implicación de los responsables de seguridad de la información en incidentes de seguridad y violaciones de datos
  • Definido el papel de las operaciones en la gestión de crisis

4.3 Privacidad y seguridad desde el diseño
4.3.1 Medidas técnicas

  • Aplicación de diferentes herramientas de seguridad en el contexto del desarrollo de software
  • Comprobaciones de seguridad del software desarrollado internamente

4.3.2 Medidas organizativas

  • Recomendaciones de medidas técnicas para un desarrollo de software seguro
  • Despliegue de campeones de seguridad (empleados expertos en seguridad con profundos conocimientos sobre seguridad de la información y/o protección de datos).
  • Oportunidad de seguir formándose en desarrollo de software
  1. Programa de gestión de la seguridad de los proveedores
    ASMIQ concede gran importancia a trabajar de forma segura y en colaboración con sus proveedores de servicios, porque ASMIQ quiere contribuir a la confianza digital y reforzar la confianza de los clientes en sus productos. ASMIQ considera que el contacto personal y de confianza con proveedores de servicios altamente críticos es la clave para una colaboración segura y resistente en un ecosistema digital cada vez más cargado de riesgos. ASMIQ considera los informes, las evaluaciones y los intercambios profesionales con los proveedores de servicios como un valor añadido a favor de sus proveedores de servicios. ASMIQ cree que esto contribuye a la optimización de la seguridad digital en interés de todos los clientes.
  2. Desarrollo de software
    ASMIQ basa su desarrollo de software en las mejores prácticas internacionales y ha establecido una configuración de seguridad mínima para cada proyecto. En función de la criticidad de los servicios o productos explotados, se llevan a cabo otras pruebas de seguridad exhaustivas en función del riesgo.

ASMIQ utiliza los siguientes métodos para el desarrollo seguro de software:

  • Revisión segura del código con el objetivo de identificar errores, defectos e incompatibilidades con los requisitos o vulnerabilidades de seguridad, así como mejorar la gestión del conocimiento.
  • Pruebas estáticas de seguridad de aplicaciones (SAST) para comprobar el código fuente, los archivos binarios y el código de bytes con cobertura de la mayoría de los lenguajes de programación (herramienta de caja blanca).
  • Herramienta dinámica de pruebas de seguridad de aplicaciones (DAST) para reconocer las condiciones que indican vulnerabilidades de seguridad en una aplicación en ejecución con pruebas en profundidad de vulnerabilidades de entrada y salida (herramienta de caja negra).
  • Herramienta interactiva de comprobación de la seguridad de las aplicaciones (IAST) como agente de comprobación del flujo de datos para acceder al código estático.
  • Análisis de la composición del software (SCA) para analizar la composición del software de código abierto, incluidas las dependencias transitivas, y para gestionar las licencias (FOSS).

ASMIQ utiliza las siguientes herramientas, entre otras, para el desarrollo de software:

  • Git/ Bitbucket (Revisión de código)
  • Sonar (SAST)
  • Fortalecer (SAST)
  • Buscador (IAST)
  • Rayos X (SCA)
Nach oben scrollen