Acuerdo de protección de datos
Este Acuerdo de protección de datos (el “DPA”) entra en vigencia el 25 de mayo de 2018.
El Cliente pondrá a disposición de GLOBAL GPS PERÚ y el Cliente autoriza a GLOBAL GPS PERÚ a procesar la información, incluidos los Datos personales, para la prestación de los Servicios en virtud del Acuerdo. Las partes acordaron celebrar este DPA para confirmar las disposiciones de protección de datos relacionadas con su relación y para cumplir con los requisitos de la Ley de Protección de Datos aplicable.
1. Definiciones
1.1 A los efectos de este DPA:
“ Datos personales” significa cualquier información relacionada con una persona física identificada o identificable (‘sujeto de datos’); una persona física identificable es aquella que puede identificarse, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea o a uno o más factores específicos del estado físico, fisiológico, identidad genética, psíquica, económica, cultural o social de esa persona física;
“ Ley de Protección de Datos ” hace referencia a todas las leyes, reglamentos y otros requisitos legales aplicables relacionados con (a) la privacidad, la seguridad de los datos, la protección del consumidor, el marketing, la promoción y los mensajes de texto, correo electrónico y otras comunicaciones; y (b) el uso, la recopilación, la retención, el almacenamiento, la seguridad, la divulgación, la transferencia, la eliminación y otros procesamientos de los Datos personales;
“ Afiliado de GLOBAL GPS PERÚ” significa cualquier entidad que directa o indirectamente controle, sea controlada o esté bajo el control común de GLOBAL GPS PERÚ. “ Control ”, a efectos de esta definición, significa propiedad o control directo o indirecto de más del 50% de los derechos de voto de la entidad en cuestión;
“ Servicios ” significa cualquiera de los siguientes servicios proporcionados por GLOBAL GPS PERÚ: (a) ofertas de productos de la marca GLOBAL GPS PERÚ disponibles a través de Internet en https://globalgpsperu.com , (b) servicios de consultoría o capacitación proporcionados por GLOBAL GPS PERÚ de forma remota a través de Internet o en persona, y (c) cualquier servicio de soporte proporcionado por GLOBAL GPS PERÚ, incluido el acceso a la mesa de ayuda de GLOBAL GPS PERÚ;
los términos ” controlador de datos ” , ” procesador de datos “, ” sujeto de datos “, ” datos personales “, ” procesamiento ” y ” medidas técnicas y organizativas apropiadas ” tendrán el significado que se les otorga en la Ley de Protección de Datos aplicable.
2. Objeto, naturaleza y finalidad del tratamiento de datos personales por parte de GLOBAL GPS PERÚ
2.1 El objeto, la naturaleza y el propósito del procesamiento de Datos personales en virtud de este DPA es el desempeño de GLOBAL GPS PERÚ de los Servicios de la plataforma de GLOBAL GPS PERÚ (los “Servicios) según las instrucciones adicionales por escrito del Cliente en su uso de los Servicios, a menos que se le solicite hacerlo en caso contrario por la Ley de Protección de Datos, en cuyo caso en la medida permitida por la Ley de Protección de Datos, GLOBAL GPS PERÚ informará al Cliente de este requisito legal con carácter previo a la realización del tratamiento. GLOBAL GPS PERÚ solo recopilará o procesará Datos personales durante el período de prestación de los Servicios en la medida y de la manera que sea necesaria para la prestación de los Servicios y de conformidad con el DPA y la Ley de protección de datos aplicable a GLOBAL GPS PERÚ.
3. Duración
3.1 GLOBAL GPS PERÚ llevará a cabo el procesamiento de los Datos personales mientras exista la Cuenta de GLOBAL GPS PERÚ del Cliente o según sea necesario para el cumplimiento de las obligaciones y derechos entre GLOBAL GPS PERÚ y el Cliente , a menos que se acuerde lo contrario por escrito.
4. Tipo de Datos Personales Procesados
4.1 El Cliente puede enviar Datos personales del Cliente a los Servicios, cuyo alcance está determinado y controlado por el Cliente a su exclusivo criterio, y que puede incluir, entre otros, las siguientes categorías de Datos personales:
- Información de la cuenta. Cuando el Cliente se registra en una Cuenta de GLOBAL GPS PERÚ , se requiere cierta información, como el nombre y el correo electrónico. El Cliente puede actualizar o corregir su información y preferencias de correo electrónico en cualquier momento visitando la Cuenta de GLOBAL GPS PERÚ . GLOBAL GPS PERÚ puede brindarle al Cliente soporte adicional para acceder, corregir, eliminar o modificar la información que el Cliente proporcionó a GLOBAL GPS PERÚ y está asociada con la Cuenta de GLOBAL GPS PERÚ del Cliente . Para proteger la seguridad, GLOBAL GPS PERÚ toma medidas razonables (como solicitar cualquier información legal) para verificar la identidad del Cliente antes de realizar correcciones. El Cliente es responsable de mantener en secreto la contraseña y la información del GLOBAL GPS PERÚ del Cliente.Cuenta en todo momento.
- Información adicional del perfil. El Cliente puede optar por proporcionar información adicional como parte de su perfil de GLOBAL GPS PERÚ . La información del perfil ayuda al Cliente a obtener más de la Plataforma GLOBAL GPS PERÚ . Es decisión del Cliente incluir información confidencial en su perfil de GLOBAL GPS PERÚ .
- Otra información. De lo contrario, el Cliente puede optar por proporcionar información de GLOBAL GPS PERÚ cuando complete un formulario, realice una búsqueda, actualice o agregue información a su Cuenta de GLOBAL GPS PERÚ, responda a encuestas, publique en foros de la comunidad, participe en promociones o use otras funciones de GLOBAL GPS PERÚ. Plataforma.
5. Obligaciones de GLOBAL GPS PERÚ
5.1 GLOBAL GPS PERÚ acepta y/o garantiza:
(a) procesar los Datos personales solo en nombre del Cliente y de conformidad con sus instrucciones y el DPA; si no puede proporcionar dicho cumplimiento por cualquier motivo, se compromete a informar de inmediato al Cliente de su incapacidad para cumplir, en cuyo caso el Cliente tiene derecho a suspender la transferencia de datos y/o cancelar los Servicios;
(b) que todos los Datos personales procesados en nombre del Cliente siguen siendo propiedad del Cliente y/o de los interesados correspondientes;
(c) que no tiene motivos para creer que la legislación que le es aplicable le impide cumplir las instrucciones recibidas del Cliente y sus obligaciones en virtud del DPA y que, en caso de que se produzca un cambio en esta legislación que pueda tener un efecto sustancial efecto adverso en las garantías y obligaciones previstas por el DPA, notificará oportunamente el cambio al Cliente tan pronto como tenga conocimiento, en cuyo caso el Cliente tiene derecho a suspender la transferencia de datos y/o dar por terminados los Servicios;
(d) que ha implementado las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 1 antes de procesar los Datos personales transferidos;
(e) que notificará de inmediato al Cliente acerca de:
i. cualquier solicitud legalmente vinculante para la divulgación de los Datos personales por parte de una autoridad encargada de hacer cumplir la ley, a menos que esté prohibido, como una prohibición en virtud de la ley penal para preservar la confidencialidad de una investigación policial;
ii. cualquier acceso accidental o no autorizado; y
iii. cualquier solicitud recibida directamente de los interesados sin responder a esa solicitud, a menos que haya sido autorizado para hacerlo;
(f) atender de manera rápida y adecuada todas las consultas del Cliente relacionadas con el procesamiento de los Datos personales sujetos a la transferencia y cumplir con el consejo de la autoridad supervisora con respecto al procesamiento de los datos transferidos;
(g) a solicitud del Cliente, presentar sus instalaciones de procesamiento de datos para la auditoría de las actividades de procesamiento cubiertas por el DPA;
(h) que, en caso de subtratamiento, haya informado previamente al Cliente y obtenido su consentimiento previo por escrito;
(i) que los servicios de procesamiento por parte del subprocesador se llevarán a cabo de conformidad con la Sección 8;
(j) nombrar un delegado de protección de datos, que ejerza sus funciones de conformidad con la Ley de Protección de Datos. Los datos de contacto de los delegados de protección de datos están disponibles en la página web de GLOBAL GPS PERÚ.
(k) confiar solo a aquellos empleados con el procesamiento de datos descrito en este DPA que han estado obligados a la confidencialidad y previamente se han familiarizado con las disposiciones de protección de datos relevantes para su trabajo. GLOBAL GPS PERÚ y cualquier persona que actúe bajo su autoridad que tenga acceso a Datos Personales, no procesará esos datos salvo por instrucciones del Cliente, salvo que así lo exija la Ley de Protección de Datos;
(l) monitorear periódicamente los procesos internos para garantizar que el procesamiento dentro del área de responsabilidad de GLOBAL GPS PERÚ sea de acuerdo con los requisitos de la Ley de Protección de Datos y la protección de los derechos del interesado.
6. Obligaciones del Cliente
6.1 El Cliente acepta y/o garantiza:
(a) que el procesamiento, incluida la transferencia misma, de los Datos personales se ha realizado y se seguirá realizando de conformidad con las disposiciones pertinentes de la Ley de protección de datos y no infringe las disposiciones pertinentes;
(b) que ha instruido y durante la duración de los servicios de procesamiento de datos personales instruirá a GLOBAL GPS PERÚ para procesar los Datos personales transferidos solo en nombre del Cliente y de conformidad con la Ley de Protección de Datos y el DPA;
(c) que GLOBAL GPS PERÚ proporcionará garantías suficientes con respecto a las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 1 de este DPA;
(d) que después de la evaluación de los requisitos de la Ley de Protección de Datos, las medidas de seguridad son apropiadas para proteger los Datos Personales contra la destrucción accidental o ilegal o pérdida accidental, alteración, divulgación o acceso no autorizado, en particular cuando el procesamiento implica la transmisión de datos a través de una red, y contra todas las demás formas ilegales de procesamiento, y que estas medidas garanticen un nivel de seguridad adecuado a los riesgos presentados por el procesamiento y la naturaleza de los datos a proteger teniendo en cuenta el estado de la técnica y el costo de su implementación;
(e) que velará por el cumplimiento de las medidas de seguridad;
(f) acceder y utilizar los Servicios solo para fines legales, autorizados y aceptables . propósitos El Cliente no utilizará (ni ayudará a otros a utilizar) los Servicios de formas que: (a) violen, se apropien indebidamente o infrinjan los derechos de GLOBAL GPS PERÚ, sus usuarios u otros, incluidos los derechos de privacidad, publicidad, propiedad intelectual u otros derechos de propiedad ; (b) son ilegales, obscenas, difamatorias, amenazantes, intimidatorias, acosadoras, odiosas, racial o étnicamente ofensivas, o instigan o alientan conductas que serían ilegales o inapropiadas; (c) involucren la publicación de falsedades, tergiversaciones o declaraciones engañosas; (d) hacerse pasar por alguien; (e) involucren el envío de comunicaciones ilegales o no permitidas, como mensajes masivos, mensajes automáticos, marcación automática y similares; o (f) implique cualquier otro uso de los Servicios prescritos en este DPA a menos que GLOBAL GPS PERÚ autorice lo contrario;
(g) no acceder, usar, copiar, adaptar, modificar, preparar trabajos derivados basados en, distribuir, otorgar licencias, sublicenciar, transferir, exhibir, ejecutar o explotar de otro modo la Plataforma de GLOBAL GPS PERÚ de manera no permitida o no autorizada (ni ayudar a otros a) manera, o en formas que cargan, perjudican o dañan a GLOBAL GPS PERÚ, la Plataforma de GLOBAL GPS PERÚ , los sistemas, otros usuarios u otros, incluido que el Cliente no podrá, directamente o a través de medios automatizados: (a) realizar ingeniería inversa, alterar, modificar, crear derivados trabaja, descompila o extrae código de la plataforma de GLOBAL GPS PERÚ ; (b) enviar, almacenar o transmitir virus u otros códigos informáticos dañinos a través o en la Plataforma de GLOBAL GPS PERÚ ; (c) obtener o intentar obtener acceso no autorizado a laPlataforma o sistemas de GLOBAL GPS PERÚ; (d) interferir o interrumpir la integridad o el rendimiento de la Plataforma de GLOBAL GPS PERÚ ; (e) crear cuentas para la Plataforma de GLOBAL GPS PERÚ a través de medios no autorizados o automatizados; (f) recopilar la información de o sobre otros usuarios de cualquier manera no permitida o no autorizada; (g) vender, revender, alquilar o cobrar por la Plataforma de GLOBAL GPS PERÚ ; o (h) distribuir o hacer que la Plataforma de GLOBAL GPS PERÚ esté disponible a través de una red en la que varios dispositivos puedan utilizarla al mismo tiempo;
(h) que el Cliente es responsable de mantener la Cuenta de GLOBAL GPS PERÚ del Cliente segura y protegida, y el Cliente notificará a GLOBAL GPS PERÚ de inmediato sobre cualquier uso no autorizado o violación de la seguridad de la Cuenta del Cliente o la Plataforma de GLOBAL GPS PERÚ ;
(i) que GLOBAL GPS PERÚ otorga al Cliente una licencia limitada, revocable, no exclusiva, no sublicenciable e intransferible para usar la Plataforma GLOBAL GPS PERÚ . Esta licencia tiene el único propósito de permitir que el Cliente use la Plataforma de GLOBAL GPS PERÚ , de la manera permitida por este DPA. No se otorgan licencias ni derechos al Cliente por implicación o de otra manera, excepto las licencias y derechos otorgados expresamente al Cliente.
7. Medidas Técnicas y Organizativas
7.1 GLOBAL GPS PERÚ tomará las medidas técnicas y organizativas apropiadas para proteger adecuadamente los Datos personales contra la destrucción, pérdida, alteración, divulgación no autorizada o acceso a los Datos personales accidental o ilegalmente, descritas en el Apéndice 1. Dichas medidas incluyen, entre otras, medidas físicas y de TI. medidas y medidas organizativas para:
(a) la prevención de que personas no autorizadas accedan a los sistemas de procesamiento de Datos Personales (control de acceso físico),
(b) la prevención del uso sin autorización de los sistemas de procesamiento de Datos Personales (control de acceso lógico),
(c) garantizar que las personas con derecho a usar un sistema de procesamiento de Datos Personales obtengan acceso solo a los Datos Personales a los que tienen derecho a acceder de acuerdo con sus derechos de acceso, y que, en el curso del procesamiento o uso y después del almacenamiento, los Datos Personales no se puede leer, copiar, modificar o eliminar sin autorización (control de acceso a datos),
(d) garantizar que los Datos personales no se puedan leer, copiar, modificar o eliminar sin autorización durante la transmisión electrónica, el transporte o el almacenamiento en medios de almacenamiento, y que se puedan establecer las entidades de destino para cualquier transferencia de Datos personales por medio de instalaciones de transmisión de datos y verificado (control de transferencia de datos),
(e) asegurar el establecimiento de un registro de auditoría para documentar si los Datos Personales han sido ingresados, modificados o eliminados de los sistemas de procesamiento de Datos Personales (control de entrada), y por quién;
(f) garantizar que los Datos personales estén protegidos contra la destrucción o pérdida accidental (control de disponibilidad).
7.2 Las medidas técnicas y organizativas están sujetas al progreso técnico y al desarrollo posterior. En este sentido, GLOBAL GPS PERÚ puede implementar medidas alternativas adecuadas, sin embargo, el nivel de seguridad de las medidas definidas nunca debe reducirse. Los cambios importantes deben documentarse.
8. Subprocesadores
8.1 El Cliente acepta que GLOBAL GPS PERÚ puede contratar a Afiliados de GLOBAL GPS PERÚ o a terceros para que procesen Datos personales a fin de ayudar a GLOBAL GPS PERÚ a prestar los Servicios en nombre del Cliente ( “Subprocesadores” ). GLOBAL GPS PERÚ ha celebrado o celebrará un contrato por escrito con cada Subencargado del tratamiento que contiene obligaciones de protección de datos no menos protectoras que las de este DPA en la medida aplicable a la naturaleza de los Servicios prestados por dicho Subencargado del tratamiento. Si el Subprocesador procesa los Servicios fuera de la UE/EEE, GLOBAL GPS PERÚ se asegurará de que la transferencia se realice de conformidad con las cláusulas contractuales estándar aprobadas por la Comisión Europea para la transferencia de Datos personales que el Cliente autoriza a GLOBAL GPS PERÚ a celebrar en su nombre, o que se utilizan otros mecanismos legales apropiados de transferencia de datos.
8.2 Los Subprocesadores actuales para los Servicios se establecen en https://globalgpsperu.com/en/sub-processors/ (“Lista de subprocesadores”) y el Cliente acepta y aprueba que GLOBAL GPS PERÚ ha contratado a dichos Subprocesadores para procesar datos personales como se establece en la lista. GLOBAL GPS PERÚ notificará a un nuevo Subprocesador antes de autorizar a cualquier nuevo Subprocesador a procesar Datos personales en relación con la prestación del Servicio aplicable.
8.3 GLOBAL GPS PERÚ notificará al Cliente con treinta (30) días de anticipación cualquier cambio previsto con respecto a la adición o reemplazo de cualquier Subprocesador, período durante el cual el Cliente puede presentar objeciones a la designación del Subprocesador. Cualquier objeción debe presentarse con prontitud (y, en cualquier caso, a más tardar catorce (14) días después de la notificación de GLOBAL GPS PERÚ de los cambios previstos). En caso de que GLOBAL GPS PERÚ decida retener al Subprocesador objetado, GLOBAL GPS PERÚ notificará al cliente al menos catorce (14) días antes de autorizar al Subprocesador a procesar Datos personales y luego el Cliente podrá suspender inmediatamente el uso de la parte relevante de los Servicios y podrá rescindir la parte correspondiente de los Servicios.
8.4 Para evitar dudas, cuando un Subprocesador no cumpla con sus obligaciones en virtud de cualquier acuerdo de subprocesamiento o en virtud de la ley aplicable, GLOBAL GPS PERÚ seguirá siendo totalmente responsable ante el Cliente por el cumplimiento de sus obligaciones en virtud de este DPA.
9. Auditoría
9.1 Para confirmar el cumplimiento de este DPA, el Cliente tendrá la libertad de realizar una auditoría designando a un tercero independiente que estará obligado a observar la confidencialidad a este respecto. Cualquier auditoría de este tipo debe realizarse durante el horario comercial normal de GLOBAL GPS PERÚ y solo se permitirá en la medida necesaria para que el Cliente evalúe el cumplimiento de GLOBAL GPS PERÚ con este DPA. En relación con dicha auditoría, el Cliente se asegurará de que el auditor: (a) revise cualquier información en las instalaciones de GLOBAL GPS PERÚ; (b) observar el acceso razonable en el sitio y otras restricciones razonablemente impuestas por GLOBAL GPS PERÚ; (c) cumplir con las políticas y procedimientos de GLOBAL GPS PERÚ, y (d) no interferir injustificadamente con las actividades comerciales de GLOBAL GPS PERÚ. GLOBAL GPS PERÚ se reserva el derecho de restringir o suspender cualquier auditoría en caso de incumplimiento de las condiciones especificadas en esta Sección 9.
9.2 En caso de que el Cliente, un regulador o una autoridad de protección de datos requiera información adicional o una auditoría relacionada con los Servicios, entonces, GLOBAL GPS PERÚ acepta enviar sus instalaciones de procesamiento de datos, archivos de datos y documentación necesarios para procesar Datos personales para que el Cliente los audite. (o cualquier tercero, como agentes de inspección o auditores, seleccionados por el Cliente) para determinar el cumplimiento de este DPA, sujeto a que se le notifique y el auditor celebre un acuerdo de confidencialidad directamente con GLOBAL GPS PERÚ. GLOBAL GPS PERÚ acepta brindar una cooperación razonable al Cliente en el curso de tales operaciones, lo que incluye brindar toda la información relevante y acceso a todos los equipos, software, datos, archivos, sistemas de información, etc. utilizados para la prestación de los Servicios, incluido el procesamiento de Datos personales.
9.3 La auditoría solo podrá llevarse a cabo cuando existan motivos específicos para sospechar el uso indebido de los Datos personales, y no antes de dos semanas después de que el Cliente haya notificado por escrito a GLOBAL GPS PERÚ.
9.4 Los hallazgos con respecto a la auditoría realizada serán discutidos y evaluados por las partes y, cuando corresponda, implementados en consecuencia, según sea el caso, por una de las partes o conjuntamente por ambas partes. Los costes de la auditoría correrán a cargo del Cliente.
10. Notificación de una violación de datos
10.1 En caso de que GLOBAL GPS PERÚ tenga conocimiento de cualquier violación de la seguridad que resulte en la destrucción accidental, no autorizada o ilegal o la divulgación o el acceso no autorizados a los Datos personales, GLOBAL GPS PERÚ deberá, en la medida de sus posibilidades, notificarlo al Cliente con una demora indebida, después de lo cual el Cliente determinará si informa o no a los interesados y/oa la(s) autoridad(es) reguladora(s) pertinente(s). Este deber de informar se aplica independientemente del impacto de la fuga. GLOBAL GPS PERÚ procurará que la información proporcionada sea completa, correcta y precisa.
10.2 Si lo exige la ley y/o el reglamento, GLOBAL GPS PERÚ cooperará para notificar a las autoridades pertinentes y/o a los interesados. El Cliente sigue siendo la parte responsable de cualquier obligación legal al respecto.
10.3 El deber de informar incluye en todo caso el deber de informar del hecho de que se ha producido una fuga, incluyendo detalles sobre:
- la (supuesta) causa de la fuga;
- las consecuencias (actualmente conocidas y/o previstas) de los mismos;
- la solución (propuesta);
- las medidas que ya se han tomado.
11. Eliminación y devolución de datos personales
11.1 Las partes acuerdan que al finalizar la prestación de los servicios de procesamiento de datos, GLOBAL GPS PERÚ y sus subcontratistas, a elección del Cliente, devolverán todos los Datos Personales transferidos y las copias de los mismos al Cliente o destruirán todos los Datos Personales. Datos y certificar al Cliente que así lo ha hecho, salvo que la legislación impuesta a GLOBAL GPS PERÚ le impida devolver o destruir la totalidad o parte de los Datos Personales transferidos. En ese caso, GLOBAL GPS PERÚ garantiza que garantizará la confidencialidad de los Datos Personales transferidos y no procesará activamente más los Datos Personales transferidos. GLOBAL GPS PERÚ y sus subcontratistas garantizan que a solicitud del Cliente y/o de la autoridad de control, someterá sus instalaciones de procesamiento de datos para una auditoría de las medidas a que se refiere la Sección 9 .
12. Ley Aplicable/Foro
12.1 Este DPA se regirá e interpretará de conformidad con las leyes de PERÚ.
12.2 Todos y cada uno de los reclamos, disputas o controversias que surjan de, o en relación con este DPA, incumplimiento, terminación o validez del mismo, que no hayan sido resueltos mediante negociaciones de buena fe entre GLOBAL GPS PERÚ y el Cliente dentro de un período de treinta (30) días calendario posteriores a la recepción de una notificación de una parte a la otra solicitando negociaciones se resolverán mediante arbitraje final y vinculante en el Tribunal de Arbitraje Comercial de LIMA de acuerdo con sus Reglas de Arbitraje vigentes en la fecha del DPA. Las disputas serán resueltas por un solo árbitro. Los procedimientos de arbitraje se llevarán a cabo en LIMA, PERÚ. El lugar del arbitraje será LIMA, PERÚ. El idioma del arbitraje será el inglés. Los documentos pertinentes en otros idiomas se traducirán al inglés si los árbitros así lo ordenan. Todos los gastos y costos de los árbitros y el arbitraje en relación con el mismo se compartirán por igual, excepto que GLOBAL GPS PERÚ y el Cliente correrán con los costos de su propio procesamiento y defensa, incluidos, entre otros, los honorarios de los abogados y la presentación de testigos y otras pruebas. Cualquier laudo dictado en dicho arbitraje será definitivo y podrá ser ejecutado por cualquiera de las partes.
12.3 Las partes acuerdan mantener todos los detalles de los procedimientos de arbitraje y el laudo arbitral estrictamente confidenciales y harán todos los esfuerzos razonables para tomar las medidas que sean apropiadas para evitar la divulgación no autorizada de los procedimientos, cualquier información divulgada en relación con los mismos y el laudo otorgado. .
Apéndice No. 1
Descripción de las medidas técnicas y organizativas implementadas por GLOBAL GPS PERÚ:
GLOBAL GPS PERÚ implementará las medidas descritas en este anexo, siempre que las medidas directa o indirectamente contribuyan o puedan contribuir a la protección de los Datos Personales durante el período de prestación de los Servicios de GLOBAL GPS PERÚ al Cliente. Si GLOBAL GPS PERÚ considera que una medida no es necesaria para el Servicio respectivo o parte del mismo, GLOBAL GPS PERÚ lo justificará y llegará a un acuerdo con el Cliente.
Las medidas técnicas y organizativas están sujetas al progreso y desarrollo técnico. A este respecto, GLOBAL GPS PERÚ tiene permitido implementar medidas alternativas adecuadas. El nivel de seguridad debe alinearse con las mejores prácticas de seguridad de la industria y no menos que las medidas establecidas en este documento. Todos los cambios importantes deben ser acordados con el Cliente y documentados.
1. Gestión de riesgos
1.1 Gestión de riesgos de seguridad
1.1.1 GLOBAL GPS PERÚ identificará y evaluará los riesgos de seguridad relacionados con la confidencialidad, la integridad y la disponibilidad y, en función de dicha evaluación, implementará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.
1.1.2 GLOBAL GPS PERÚ deberá contar con procesos y rutinas documentados para el manejo de riesgos dentro de sus operaciones.
1.1.3 GLOBAL GPS PERÚ evaluará periódicamente los riesgos relacionados con los sistemas de información y el procesamiento, almacenamiento y transmisión de información.
1.2 Gestión de riesgos de seguridad para datos personales
1.2.1 GLOBAL GPS PERÚ identificará y evaluará los riesgos de seguridad relacionados con la confidencialidad, la integridad y la disponibilidad y, en función de dicha evaluación, implementará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad que sea apropiado para el riesgo de los tipos y fines de datos personales específicos que se procesan. por GLOBAL GPS PERÚ, incluyendo, entre otras cosas, según corresponda:
- La seudonimización y encriptación de Datos Personales;
- La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de procesamiento;
- La capacidad de restaurar la disponibilidad y el acceso a los Datos del Cliente de manera oportuna en caso de un incidente físico o técnico;
- Un proceso para probar, evaluar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento.
1.2.2 GLOBAL GPS PERÚ deberá contar con procesos y rutinas documentados para el manejo de riesgos al procesar Datos Personales en nombre del Cliente.
1.2.3 GLOBAL GPS PERÚ evaluará periódicamente los riesgos relacionados con los sistemas de información y el procesamiento, almacenamiento y transmisión de Datos Personales.
1.3 Políticas de seguridad de la información
1.3.1 GLOBAL GPS PERÚ deberá contar con un sistema de gestión de seguridad de la información definido y documentado que incluya una política y procedimientos de seguridad de la información implementados, que deberán ser aprobados por la gerencia de GLOBAL GPS PERÚ. Se publicarán dentro de la organización de GLOBAL GPS PERÚ y se comunicarán al personal pertinente de GLOBAL GPS PERÚ.
1.3.2 GLOBAL GPS PERÚ revisará periódicamente las políticas y procedimientos de seguridad de GLOBAL GPS PERÚ y los actualizará si es necesario para garantizar su cumplimiento con este Apéndice.
2. Organización de la seguridad de la información
2.1 GLOBAL GPS PERÚ deberá tener funciones y responsabilidades de seguridad definidas y documentadas dentro de su organización.
2.2 GLOBAL GPS PERÚ designará al menos un oficial de protección de datos que tenga la competencia de seguridad adecuada y que tenga la responsabilidad general de implementar las medidas de seguridad en virtud de este Apéndice y que será la persona de contacto para el personal de seguridad del Cliente.
3. Seguridad de los recursos humanos
3.1 GLOBAL GPS PERÚ se asegurará de que el personal de GLOBAL GPS PERÚ maneje la información de acuerdo con el nivel de confidencialidad requerido por el DPA.
3.2 GLOBAL GPS PERÚ se asegurará de que el personal pertinente de GLOBAL GPS PERÚ conozca el uso aprobado (incluidas las restricciones de uso, según sea el caso) de la información, las instalaciones y los sistemas en virtud de la DPA.
3.3 GLOBAL GPS PERÚ se asegurará de que todo el personal de GLOBAL GPS PERÚ que realice asignaciones en virtud del Acuerdo sea confiable, cumpla con los criterios de seguridad establecidos y haya estado, y seguirá estando sujeto a la verificación adecuada de antecedentes durante el período de la asignación.
3.4 GLOBAL GPS PERÚ se asegurará de que el personal de GLOBAL GPS PERÚ con responsabilidades de seguridad esté adecuadamente capacitado para llevar a cabo tareas relacionadas con la seguridad.
3.5 GLOBAL GPS PERÚ brindará o garantizará capacitación periódica en materia de seguridad para el personal pertinente de GLOBAL GPS PERÚ. Dicha capacitación de GLOBAL GPS PERÚ incluirá, entre otros:
(a) Cómo manejar la seguridad de la información del cliente (es decir, la protección de la confidencialidad, integridad y disponibilidad de la información);
(b) Por qué es necesaria la seguridad de la información para proteger la información y los sistemas de los clientes;
(c) Los tipos comunes de amenazas a la seguridad (como robo de identidad, malware, piratería, fuga de información y amenazas internas);
(d) La importancia de cumplir con las políticas de seguridad de la información y aplicar los estándares/procedimientos asociados;
(e) Responsabilidad personal por la seguridad de la información (como proteger la información relacionada con la privacidad del cliente y reportar violaciones de datos reales y sospechadas).
4. Control de acceso
GLOBAL GPS PERÚ deberá tener una política de control de acceso definida y documentada para instalaciones, sitios, red, sistema, aplicación y acceso a información/datos (incluidos controles de acceso físico, lógico y remoto), un proceso de autorización para acceso y privilegios de usuarios, procedimientos para revocar derechos de acceso y un uso aceptable de los privilegios de acceso para el personal de GLOBAL GPS PERÚ.
GLOBAL GPS PERÚ tendrá implementado un proceso formal y documentado de registro y baja de usuarios para permitir la asignación de derechos de acceso.
GLOBAL GPS PERÚ asignará todos los privilegios de acceso según el principio de necesidad de saber y el principio de privilegio mínimo.
GLOBAL GPS PERÚ utilizará una autenticación sólida (multifactor) para los usuarios de acceso remoto y los usuarios que se conectan desde una red no confiable.
GLOBAL GPS PERÚ se asegurará de que el personal de GLOBAL GPS PERÚ tenga un identificador personal y único (ID de usuario), y utilice una técnica de autenticación adecuada, que confirme y asegure la identidad de los usuarios.
5. Seguridad física y ambiental
GLOBAL GPS PERÚ protegerá las instalaciones de procesamiento de información contra amenazas y peligros externos y ambientales, incluidas fallas de energía/cableado y otras interrupciones causadas por fallas en los servicios de apoyo. Esto incluye protección perimetral física y de acceso.
6. Seguridad de las operaciones
GLOBAL GPS PERÚ tendrá un sistema de gestión de cambios establecido para realizar cambios en los procesos comerciales, las instalaciones y los sistemas de procesamiento de información. El sistema de gestión de cambios incluirá pruebas y revisiones antes de que se implementen los cambios, como procedimientos para manejar cambios urgentes, procedimientos de reversión para recuperarse de cambios fallidos, registros que muestren qué se ha cambiado, cuándo y por quién.
GLOBAL GPS PERÚ implementará la protección contra malware para garantizar que cualquier software utilizado para la prestación de los Servicios al Cliente por parte de GLOBAL GPS PERÚ esté protegido contra malware.
GLOBAL GPS PERÚ realizará copias de seguridad de la información crítica y copias de seguridad de prueba para garantizar que la información pueda restaurarse según lo acordado con el Cliente.
GLOBAL GPS PERÚ registrará y controlará las actividades, como la creación, lectura, copia, modificación y eliminación de los datos procesados, así como las excepciones, las fallas y los eventos de seguridad de la información, y los revisará regularmente. Además, GLOBAL GPS PERÚ protegerá y almacenará (durante al menos 6 meses o el período establecido por la Ley de Protección de Datos) la información de registro y, si así lo solicita, entregará los datos de seguimiento al Cliente. Las anomalías/incidentes/indicadores de compromiso se informarán de acuerdo con los requisitos de gestión de violaciones de datos establecidos en la cláusula 9 a continuación.
GLOBAL GPS PERÚ gestionará las vulnerabilidades de todas las tecnologías relevantes, como sistemas operativos, bases de datos, aplicaciones de manera proactiva y oportuna.
GLOBAL GPS PERÚ establecerá líneas de base de seguridad (endurecimiento) para todas las tecnologías relevantes, como sistemas operativos, bases de datos, aplicaciones.
GLOBAL GPS PERÚ se asegurará de que el desarrollo esté separado del entorno de prueba y producción.
7. Seguridad de las comunicaciones
GLOBAL GPS PERÚ implementará controles de seguridad de la red, como nivel de servicio, cortafuegos y segregación para proteger los sistemas de información.
8. Relación de GLOBAL GPS PERÚ con subproveedores
GLOBAL GPS PERÚ deberá reflejar el contenido de este Apéndice en sus acuerdos con Subprocesadores que realizan tareas asignadas bajo el DPA.
GLOBAL GPS PERÚ deberá monitorear, revisar y auditar regularmente el cumplimiento del Subprocesador con este Apéndice.
GLOBAL GPS PERÚ, a solicitud del Cliente, proporcionará al Cliente evidencia sobre el cumplimiento del Subprocesador con este Apéndice.
9. Gestión de violaciones de datos
GLOBAL GPS PERÚ tendrá establecidos procedimientos para la gestión de violaciones de datos.
GLOBAL GPS PERÚ informará al Cliente sobre cualquier violación de datos (incluidos, entre otros, los incidentes relacionados con el procesamiento de Datos personales) tan pronto como sea posible, pero a más tardar dentro de las 36 horas posteriores a la identificación de la violación de datos.
Todos los informes de incidentes relacionados con la seguridad se tratarán como información confidencial y se encriptarán utilizando métodos de encriptación estándar de la industria.
El informe de violación de datos contendrá al menos la siguiente información:
(a) La naturaleza de la violación de datos,
(b) La naturaleza de los Datos Personales afectados,
c) las categorías y el número de interesados afectados,
(d) El número de registros de Datos Personales en cuestión,
(e) Medidas tomadas para abordar la violación de datos,
(f) Las posibles consecuencias y efectos adversos de la violación de datos, y
(g) Cualquier otra información que el Cliente deba informar al regulador correspondiente o al interesado.
En la medida de lo legalmente posible, GLOBAL GPS PERÚ puede reclamar una compensación por los servicios de soporte en virtud de esta cláusula 9 que no sean atribuibles a fallas por parte de GLOBAL GPS PERÚ.
10. Gestión de la continuidad del negocio
GLOBAL GPS PERÚ identificará los riesgos de continuidad del negocio y tomará las medidas necesarias para controlar y mitigar dichos riesgos.
GLOBAL GPS PERÚ deberá tener procesos y rutinas documentados para manejar la continuidad del negocio.
GLOBAL GPS PERÚ garantizará que la seguridad de la información esté integrada en los planes de continuidad del negocio.
GLOBAL GPS PERÚ evaluará periódicamente la eficiencia de su gestión de continuidad del negocio y el cumplimiento de los requisitos de disponibilidad (si los hubiere).