Términos y condiciones de Keeper Security

Volver a los Términos de uso de SaaS

Anexo sobre el tratamiento de datos

Este Anexo de tratamiento de datos (“Anexo”) complementa los Términos de uso (“Términos”) y/u otro acuerdo escrito o electrónico (“Acuerdo”) entre: (i) Keeper, es decir, la entidad Keeper que es la parte contratante en virtud del Acuerdo, (“Keeper” o “Proveedor”) actuando en su propio nombre y como agente de cualquier Afiliado de Keeper; y (ii) el Cliente de Keeper (“Usted” o “Cliente”) actuando en su propio nombre y como agente de cualquier Afiliado cliente.

Los términos utilizados en este Anexo tendrán los significados que se establecen en este Anexo. Los términos en mayúsculas que no se definan en el presente documento tendrán el significado que se les atribuya en el Acuerdo. Si no se encuentran definidos ni en el Anexo ni en el Acuerdo, dichos términos tendrán el significado establecido en el Reglamento General de Protección de Datos de la Unión Europea [Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016] (RGPD), según sus modificaciones periódicas. Salvo por las modificaciones que se indiquen a continuación, los términos del Acuerdo permanecerán en pleno vigor y efecto.

Definiciones

En la presente Adenda, los siguientes términos tendrán los significados establecidos a continuación:

  1. Afiliado significa cualquier entidad que ejerza control directo o indirecto sobre la entidad en cuestión, que sea controlada por ella, o que se encuentre bajo un control común con dicha entidad. A efectos de esta definición, “control” alude a la propiedad o al control, directos o indirectos, de más del 50 % de los intereses con derecho a voto de la entidad en cuestión.
  2. Las Leyes aplicables incluyen todas las leyes aplicables al Tratamiento de los datos de los clientes, que pueden incluir las leyes de protección de datos de la UE, otras leyes de la Unión Europea o de cualquiera de sus Estado miembro, las leyes del Reino Unido y las leyes de cualquier otro país que rijan al Cliente o los Datos del cliente.
  3. Datos del cliente se refiere a Datos personales que Keeper recopila, recibe y/o trata en nombre del Responsable del tratamiento y de acuerdo con las instrucciones del Responsable del tratamiento de conformidad con el Acuerdo, excluyendo cualquier Dato personal que Keeper procese como Responsable del tratamiento. Los ejemplos de Datos del cliente incluyen listas de nombres de usuario autorizados, correos electrónicos, roles designados u otra información de contacto.
  4. Responsable del tratamiento se refiere a la entidad que, sola o de manera conjunta con otras, determina los fines y los medios del Tratamiento de datos personales. Para mayor claridad, nada de lo dispuesto en este Anexo tiene por objeto crear una relación de corresponsabilidad entre las partes. Cada parte seguirá siendo individualmente responsable del cumplimiento de sus respectivas obligaciones en virtud de las Leyes aplicables.
  5. Interesado se refiere a la persona física cuyos datos personales se van a tratar en el marco de esta Adenda.
  6. Leyes de Protección de Datos de la UE: el RGPD y la Directiva de Privacidad Electrónica 2002/58/CE (modificada por la Directiva 2009/136/CE, y modificada y sustituida periódicamente) y su legislación nacional de aplicación, si la hubiera.
  7. RGPD se refiere al Reglamento General 2016/679 de Protección de Datos de la UE.
  8. El RGPD del Reino Unido se refiere al Reglamento General de Protección de Datos del Reino Unido y a la Ley de Protección de Datos de 2018.
  9. Responsable del tratamiento independiente: una entidad que determina los fines y medios del tratamiento de Datos personales para sus propios fines independientes.
  10. Datos personales: Datos del cliente que comprenden cualquier información relacionada con una persona física identificada o identificable.
  11. Encargado (del tratamiento) se refiere a la entidad que trate datos personales en nombre del Responsable del tratamiento.
  12. Tratamiento se refiere a cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea de forma individualizada o en conjuntos, y ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, divulgación por transmisión, difusión o cualquier otra forma de habilitación del acceso, cotejo o interconexión, limitación, supresión o destrucción.
  13. Servicios se refiere a los servicios y otras actividades prestados o ejecutados por Keeper al Cliente en virtud de este Acuerdo.
  14. Cláusulas contractuales estándar: las cláusulas contractuales estándar para la transferencia de datos personales a encargados del tratamiento establecidos en terceros países que no garantizan un nivel adecuado de protección de datos, establecido en la decisión 2021/914 de la Comisión Europea del 4 de junio de 2021.
  15. Subencargado del tratamiento: cualquier Encargado del tratamiento contratado por Keeper para tratar datos personales en relación con los Servicios.

TRATAMIENTO DE DATOS PERSONALES

  1. El propósito del tratamiento según la Adenda es la prestación de los Servicios por parte de Keeper según lo especificado en el Acuerdo. Las partes acuerdan que, con respecto al tratamiento realizado por Keeper en nombre del Cliente, el Cliente es el Responsable del tratamiento y Keeper es el Encargado del tratamiento, excepto para algunos datos limitados que se indican en la sección 2.4 donde Keeper actúa como Responsable del tratamiento. Las categorías y tipos de Datos personales tratados por Keeper se enumeran en el Subapéndice A. La duración del tratamiento de Datos personales según esta Adenda será durante la vigencia del Acuerdo, salvo que lo requieran las Leyes aplicables.
  2. Keeper solo podrá actuar y tratar los Datos personales de conformidad con las instrucciones documentadas del Cliente (las “Instrucciones”), a menos que la ley le exija actuar sin dichas instrucciones. Las Instrucciones en el momento de la firma de la presente Adenda son que Keeper solo podrá tratar los Datos personales con la intención de prestar los Servicios, tal como se describe en el Acuerdo. Según lo estipulado en esta Adenda y con el acuerdo mutuo de las Partes, el Cliente podrá emitir instrucciones adicionales, por escrito, siempre que sean coherentes con los términos de la Adenda. El Cliente es responsable de garantizar que todas las personas que proporcionen instrucciones por escrito estén autorizadas a hacerlo.
  3. Keeper informará al Cliente sobre cualquier instrucción que considere que viola las Leyes aplicables, incluidas las leyes de protección de datos de la UE, y no ejecutará las instrucciones hasta que se hayan confirmado o modificado.
  4. Tratamiento de datos como Responsable del tratamiento: Keeper tratará ciertos datos personales para sus propios fines legales, como Responsable del tratamiento independiente, únicamente cuando el tratamiento sea necesario y proporcionado para uno de los siguientes fines empresariales legítimos: (i) seguridad o detección de fraude, (ii) recopilación y uso de análisis para los fines empresariales razonables de Keeper y para el beneficio del Cliente, (iii) entrega y mejora de la asistencia técnica y el mantenimiento de los servicios (incluido el registro de cuenta, la facturación) y (iv) gestión de la relación con el Cliente, como el tratamiento de los detalles de contacto del Cliente para recibir comunicaciones.

CONFIDENCIALIDAD Y SEGURIDAD

  1. Keeper tratará todos los datos personales como información estrictamente confidencial. Los Datos personales no podrán copiarse, transferirse ni tratarse de ninguna forma que entre en conflicto con las Instrucciones, a menos que el Cliente haya dado su consentimiento por escrito. Los empleados de Keeper estarán sujetos a una obligación de confidencialidad que garantice que todos los Datos personales se van a tratar según lo dispuesto en esta Adenda y con estricta confidencialidad. Los Datos personales solo estarán disponibles para el personal que requiera acceder a dichos Datos personales para la prestación de los Servicios y la ejecución de esta Adenda.
  2. Keeper implementará las medidas técnicas y organizativas adecuadas, tal como se establece en el Subapéndice C del presente Acuerdo y en cumplimiento de las Leyes aplicables, incluido el artículo 32 del RGPD. Las medidas de seguridad están sujetas al progreso técnico y al desarrollo. Keeper puede actualizar o modificar las medidas de seguridad de vez en cuando, siempre que dichas actualizaciones y modificaciones no den lugar a una degradación de la seguridad general.

DERECHOS DEL INTERESADO

  1. Si el Cliente recibe una solicitud de un Interesado para el ejercicio de los derechos del Interesado conforme a las Leyes aplicables y la respuesta correcta y legítima a dicha solicitud requiere la asistencia de Keeper, Keeper asistirá al Cliente proporcionando la información y documentación necesarias. Se concederá a Keeper un tiempo razonable para ayudar al Cliente con dichas solicitudes de conformidad con las Leyes aplicables.
  2. Si Keeper recibe una solicitud de un Interesado para el ejercicio de los derechos del Interesado conforme a las Leyes aplicables y dicha solicitud está relacionada con los Datos personales del Cliente, salvo que la ley lo prohíba, Keeper remitirá de inmediato la solicitud al Cliente y se abstendrá de responder directamente a la persona, a menos que y hasta que el Cliente indique lo contrario.

VIOLACIONES DE DATOS PERSONALES

  1. Keeper deberá dar un aviso inmediato, pero no más tarde de 72 horas al Cliente después de confirmar que ha ocurrido una violación de datos, que puede llevar a la destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o acceso a los Datos personales transmitidos, almacenados o tratados de cualquier otro modo en nombre del Cliente (una “Violación de datos personales”).
  2. Keeper hará todo lo posible por identificar la causa de dicha violación de la seguridad y adoptará las medidas que considere necesarias para establecer la causa y evitar que se repita.

DOCUMENTACIÓN SOBRE EL CUMPLIMIENTO Y DERECHOS DE AUDITORÍA

  1. A petición del Cliente, por causa justificada o en la medida en que lo exija el artículo 28 del RGPD, Keeper pondrá a disposición del Cliente toda la información pertinente necesaria para demostrar el cumplimiento de esta Adenda, y permitirá y cooperará razonablemente con auditorías, incluidas las inspecciones realizadas por el Cliente o un auditor designado por el Cliente. El Cliente notificará cualquier auditoría o inspección de documentos que se vaya a realizar y hará todo lo posible por evitar causar daños o interrupciones a las instalaciones, equipos y operaciones empresariales de Keeper durante dicha auditoría o inspección. Cualquier auditoría o inspección de documentos se llevará a cabo con un aviso previo razonable por escrito de no menos de sesenta (60) días naturales y no se llevará a cabo más de una vez al año.
  2. No obstante las limitaciones anteriores, se permitirán auditorías adicionales en cualquier momento cuando haya indicios de incumplimiento, un incidente de seguridad o a petición o instrucción de una autoridad supervisora competente.
  3. Se le podrá pedir al Cliente que firme un acuerdo de confidencialidad razonablemente aceptable para Keeper antes de que se le facilite lo anterior.

TRANSFERENCIAS DE DATOS

  1. Espacio Económico Europeo y Suiza
    Con respecto a los Datos personales de los Clientes procedentes del Espacio Económico Europeo (“EEE”) o Suiza que se transfieren del Cliente a Keeper, las Partes acuerdan cumplir con las Cláusulas contractuales estándar aprobadas bajo la Decisión de ejecución (UE) 2021/914 de la Comisión (las “CCT de la UE”), que se incorporan en este documento por referencia.
  2. Las Partes acuerdan que se aplicarán los términos del Responsable del Tratamiento al Encargado del tratamiento (Módulo Dos). Para los datos procedentes de Suiza, las referencias a “Estado miembro” incluirán Suiza y las referencias a “RGPD” se entenderán como referencias a la Ley Federal de Protección de Datos de Suiza (FADP). El Comisionado Federal Suizo de Protección de Datos e Información (FDPIC) actuará como autoridad supervisora competente.
  3. Finalización de las CCT de la UE
    A los fines de las CCT de la UE:
    (a) El Cliente actúa como exportador de datos y Keeper como el importador de datos;
    (b) la cláusula 7 (cláusula de incorporación) se aplicará solo con el acuerdo mutuo por escrito de las Partes;
    (c) se aplica la cláusula 9 (uso de Subencargados), opción 2, con los Subencargados identificados en el Subapéndice B
    (d) en la cláusula 11 (resolución independiente de disputas) no se aplicará el idioma opcional;
    (e) Cláusula 17 (legislación aplicable), las leyes de Irlanda; cláusula 18 (jurisdicción), los tribunales de Irlanda; y
    (f) los anexos I y II se completan por referencia a este DPA y las medidas técnicas y organizacionales de Keeper se describen en el Subapéndice C.
  4. Reino Unido
    En el caso de los Datos personales de clientes transferidos desde el Reino Unido a Keeper, las partes acuerdan que el Acuerdo Internacional de Transferencia de Datos (IDTA) del Reino Unido, anexo del Reino Unido a las CCT de la UE, emitido por la Oficina del Comisionado de Información, se aplicará y se incorporará por referencia. A los efectos del anexo del Reino Unido:
    (a) El Cliente actúa como exportador de datos y Keeper como importador de datos;
    (b) Legislación aplicable y jurisdicción: Inglaterra y Gales; y
    (c) Las medidas de seguridad son las establecidas en el Subapéndice C y en la documentación de seguridad de Keeper.
    La cláusula de incorporación se aplicará únicamente mediante acuerdo mutuo por escrito de las Partes.
  5. Brasil (LGPD)
    Para los Datos personales de los clientes sujetos a la Lei Geral de Proteção de Dados Pessoais (Ley Federal N.º 13.709/2018 [LGPD]), las partes acuerdan que las transferencias internacionales deberán cumplir con los artículos 33-36 de la LGPD y el Reglamento sobre Transferencias Internacionales de Datos Personales emitido por la Autoridade Nacional de Proteção de Dados (ANPD), incluyendo las Cláusulas contractuales estándar (Cláusulas-Padrão Contratuais) aprobadas en el Anexo II de dicho Reglamento, las cuales se incorporan aquí por referencia.

    5.1 Estas Cláusulas se aplicarán sin modificación y se completarán de la siguiente manera:
    (a) Exportador: Cliente (Responsable del tratamiento). (b) Importador: Keeper (Encargado del tratamiento) (c) Propósito: prestación de los servicios de Keeper y asistencia relacionada en virtud del Acuerdo. (d) Categorías de sujetos de datos: Datos del cliente en virtud del Acuerdo. (e) Datos personales: como se describe en el Subapéndice A. (f) Transferencias posteriores: se permiten a los Subencargados autorizados de Keeper disponibles en el Subapéndice B con protecciones equivalentes. (g) Parte designada (cláusula 4): Keeper es responsable de la transparencia, la gestión de los derechos de los Interesados y la notificación de incidentes conforme a las Cláusulas 14-16 de las CCT brasileñas. (h) Legislación aplicable y jurisdicción: a pesar de la legislación aplicable del Acuerdo, las cláusulas contractuales estándar brasileñas se regirán e interpretarán de acuerdo con las leyes de Brasil y estarán sujetas a la jurisdicción de los tribunales competentes de Brasil. (i) Medidas de seguridad: aquellas descritas en el Subapéndice C.

    5.2 La Cláusula de incorporación (cláusula 9 de las CCT brasileñas) se aplicará únicamente mediante acuerdo mutuo por escrito de las Partes.

  6. Para todas las demás jurisdicciones que carezcan de una decisión de adecuación, Keeper deberá implementar mecanismos de transferencia adecuados conforme al Artículo 46 del RGPD, el RGPD del Reino Unido y los Artículos 33-36 del LGPD; u otra ley aplicable para garantizar una protección adecuada.
  7. Cuando no se apliquen los marcos de privacidad de datos, las Partes se basarán en las cláusulas contractuales estándar adecuadas o en las protecciones equivalentes reconocidas en virtud de las leyes de protección de datos aplicables.
  8. Para todas las demás jurisdicciones que carezcan de una decisión de adecuación, Keeper deberá implementar mecanismos de transferencia adecuados conforme al Artículo 46 del RGPD, el RGPD del Reino Unido y los Artículos 33-36 del LGPD; u otra ley aplicable para garantizar una protección adecuada.
  9. Actualizaciones a los mecanismos de transferencia
    Si la Comisión Europea, la ICO del Reino Unido, la FDPIC suiza o la ANPD brasileña adoptan mecanismos de transferencia revisados o de reemplazo, esos mecanismos reemplazarán automáticamente las cláusulas que se mencionan en este documento para mantener el cumplimiento continuo con las leyes de protección de datos aplicables.
  10. Marco de protección de datos UE-EE. UU.
    Keeper participa activamente en el marco de protección de datos entre la UE y EE. UU., la extensión del Reino Unido al marco de protección de datos entre la UE y EE. UU. y el marco de protección de datos entre Suiza y EE. UU. Puede consultar el estado de la certificación de Keeper aquí: https://www.dataprivacyframework.gov/list. En caso de que el Marco de privacidad de datos deje de aplicarse, las transferencias de datos continuarán realizándose conforme a las Cláusulas contractuales estándar.
  11. Si el Cliente considera que estas medidas son insuficientes para satisfacer los requisitos legales en cualquier circunstancia particular, el Cliente notificará por escrito a Keeper los motivos de dichas opiniones y las Partes colaborarán de buena fe para encontrar una alternativa aceptable para todos.
  12. Leyes estatales de privacidad de EE. UU. (incluida la CCPA, en su versión modificada)

    En la medida en que Keeper trate Datos personales del cliente que estén sujetos a la Ley de Privacidad del Consumidor de California de 2018, modificada y vigente de vez en cuando (incluida la Ley de Derechos de Privacidad de California y cualquier enmienda posterior, colectivamente la “CCPA”) o cualquier otra ley estatal de privacidad de los Estados Unidos que imponga obligaciones materialmente similares a los encargados del tratamiento o los proveedores de servicios (colectivamente, las “Leyes de privacidad estatales”), Keeper actuará como Proveedor de servicios o Encargado del tratamiento de datos del Cliente, según corresponda:

    (a) Keeper tratará dichos Datos personales únicamente para los fines empresariales descritos en el Acuerdo y esta Adenda, pero para ningún otro fin que no sea la prestación de los Servicios.
    (b) Keeper no venderá, compartirá ni divulgará de otro modo Datos personales, ni divulgará dichos datos para ningún propósito fuera de la relación empresarial directa con el cliente, salvo que lo permitan las Leyes de privacidad estatales.
    (c) Keeper se cerciorará de que cualquier acuerdo de Subencargado incluya restricciones y obligaciones equivalentes entre el proveedor de servicios o el encargado del tratamiento.
    (d) Keeper notificará rápidamente al Cliente si determina que ya no puede cumplir con sus obligaciones en virtud de las Leyes de privacidad estatales y el Cliente podrá tomar medidas razonables y apropiadas para detener y remediar cualquier uso no autorizado de Datos personales.
    (e) Keeper certifica que comprende y cumplirá con sus obligaciones conforme a las Leyes de privacidad estatales.

SUBENCARGADOS DEL TRATAMIENTO

  1. Keeper tiene una autorización general para contratar a terceros para que traten los Datos personales (“Subencargados”) sin necesidad de obtener ninguna autorización adicional, específica y por escrito del Cliente. Keeper celebrará un acuerdo por escrito con cada Subencargado. Dicho acuerdo incluirá, como mínimo, las mismas obligaciones de protección de datos que las que se aplican a Keeper, incluidas las obligaciones dispuestas en esta Adenda. Keeper supervisará y controlará de forma continua el cumplimiento por parte de sus Subencargados de la ley de protección de datos aplicable, y la documentación de dicha supervisión y control se proporcionará al Cliente, si la solicita por escrito.
  2. Si el Subencargado presta los servicios acordados fuera de la UE o el EEE, Keeper garantizará su admisibilidad de conformidad con la legislación en materia de protección de datos mediante la adopción de las medidas adecuadas.
  3. En el momento de suscribir esta Adenda, Keeper utiliza los Subencargados como se indica en el Subapéndice B. Keeper proporciona al Cliente un mecanismo para registrarse con el fin de recibir actualizaciones de Subencargados nuevos en su Centro de confianza. La notificación de Subencargados nuevos o de su sustitución se realizará a través del Centro de confianza de Keeper u otros medios electrónicos razonables, y el plazo de oposición comenzará a partir de dicha notificación.
  4. El cliente puede, de buena fe, objetar razonablemente el cambio o uso de un nuevo Subencargado por parte de Keeper proporcionando un aviso por escrito por email a privacy@keepersecurity.com dentro de los diez (10) días hábiles posteriores a recibir la notificación de un nuevo Subencargado. Dicha notificación por escrito incluirá, como mínimo, los fundamentos razonables y de buena fe por los que el Cliente se opone a lo anterior. Keeper deberá realizar esfuerzos comercialmente razonables para recomendar un cambio en el uso de los Servicios por parte del Cliente. La ausencia de objeciones por parte del Cliente en los diez (10) días hábiles posteriores se considerará como consentimiento al Subencargado pertinente.
  5. En el caso de que el Cliente se oponga a un nuevo Subencargado y las partes no puedan resolver mutuamente la objeción del Cliente, el Cliente puede rescindir los Servicios solo con respecto a los Servicios que Keeper no puede proporcionar sin el uso de los nuevos Subencargados impugnados mediante notificación por escrito a Keeper.
  6. Keeper es responsable ante el Cliente por cualquier acción u omisión de un Subencargado en la misma medida en que lo es por sus propias acciones y omisiones.

RESOLUCIÓN, DEVOLUCIÓN O ELIMINACIÓN DE DATOS PERSONALES

  1. Tras la terminación o resolución del Acuerdo, Keeper eliminará o devolverá al Cliente todos los Datos personales que tenga en su poder, según lo dispuesto en el Acuerdo, salvo en la medida en que las Leyes aplicables exijan a Keeper que conserve parte o la totalidad de los Datos personales (en cuyo caso, Keeper archivará los datos y aplicará medidas razonables para evitar que se sigan tratando los Datos personales). Los términos de esta Adenda seguirán aplicándose a dichos Datos personales.

EVALUACIÓN DEL IMPACTO EN MATERIA DE PROTECCIÓN DE DATOS Y CONSULTA PREVIA

  1. Si la asistencia de Keeper es necesaria y relevante, las partes cooperarán en la medida razonablemente necesaria en la preparación de evaluaciones de impacto en la protección de datos conforme al RGPD, artículo 35, junto con cualquier consulta previa conforme al RGPD, artículo 36. Las partes asumirán cada una sus respectivos costos al cumplir con tales obligaciones.

DISPOSICIONES VARIAS

  1. Modificación de la Adenda: Esta Adenda solo puede modificarse mediante una enmienda por escrito, firmada por cada una de las Partes.
  2. Legislación aplicable, jurisdicción y competencia: Todas las disputas y acciones relacionadas con este Acuerdo serán exclusivamente: presentadas ante los tribunales e interpretadas (sin tener en cuenta las disposiciones sobre conflictos de leyes) de conformidad con las leyes especificadas en el Acuerdo.
  3. Invalidez y divisibilidad; conflicto: Si alguna disposición de esta Adenda es considerada inválida o inaplicable por cualquier tribunal u organismo administrativo competente, la invalidez o inaplicabilidad de dicha disposición no afectará a ninguna otra disposición de esta Adenda y todas las disposiciones no afectadas por dicha invalidez o inaplicabilidad permanecerán plenamente vigentes. En caso de incoherencia entre la presente Adenda y las Cláusulas contractuales estándar suscritas por las Partes, si la hubiera, prevalecerán las Cláusulas contractuales estándar.

SUBAPÉNDICE A

Datos personales

  1. Keeper trata los siguientes tipos de Datos personales en relación con la prestación de los servicios:
    1. Los datos personales transferidos incluyen la información de contacto (nombre, dirección, correo electrónico y teléfono), los datos de la entidad, la dirección IP, el identificador del dispositivo e información sobre la versión de la aplicación.

Categorías de Interesados

  1. Keeper trata los datos personales de las siguientes categorías de Interesados en nombre del Cliente:
    1. Cliente
    2. Usuarios finales autorizados del Cliente, incluidos los empleados del Cliente.

SUBAPÉNDICE B: Subencargados del tratamiento aprobados

Una lista actual de Subencargados de Keeper está disponible en 1B Subencargados . Esto incluye detalles sobre los nombres y las ubicaciones de las entidades legales de los Subencargados. Los Subencargados se actualizan periódicamente y el Cliente puede registrarse para recibir actualizaciones en el Centro de confianza de Keeper.

SUBAPÉNDICE C: Anexo de seguridad de datos

Este Anexo de seguridad de datos complementa el Acuerdo entre el Cliente y Keeper que rige su uso de los Servicios. A menos que se defina lo contrario en este Anexo, todos los términos en mayúscula utilizados en este Anexo tendrán el significado que se les da en el Acuerdo.

  1. Alcance del tratamiento de datos. Este Anexo se aplica a todos los Servicios de Keeper y al tratamiento de todos los datos proporcionados por el Cliente a Keeper (“Datos del cliente”).
  2. Confidencialidad de los Datos de los clientes. Keeper no accederá, usará ni divulgará a ningún tercero ningún Dato del cliente, excepto, en cada caso, en la medida en que sea necesario para mantener o proporcionar los Servicios o en la medida en que sea necesario para cumplir con la ley o una orden válida y vinculante de un organismo gubernamental (como una citación o una orden judicial). Si un organismo gubernamental envía a Keeper una solicitud de Datos del cliente, Keeper intentará redirigir al organismo gubernamental para que solicite esos datos directamente al Cliente. Como parte de este esfuerzo, Keeper puede proporcionar la información básica de contacto del Cliente al organismo gubernamental. Si se ve obligado a revelar los Datos del cliente a un organismo gubernamental, Keeper se lo notificará al Cliente con antelación razonable para que pueda solicitar una orden de protección u otra medida cautelar adecuada, salvo que Keeper tenga prohibido hacerlo legalmente. Keeper restringe a su personal el tratamiento de los Datos del cliente sin la autorización de Keeper como se describe en el Anexo 1: Normas de seguridad que se adjuntan al presente documento. Keeper impone obligaciones contractuales apropiadas a su personal, incluyendo obligaciones relevantes respecto a la confidencialidad, protección de datos y seguridad de datos.
  3. Seguridad del tratamiento de datos. Keeper ha implementado y mantendrá las medidas técnicas y organizativas para los sistemas de Keeper según lo descrito en las Normas de seguridad y en esta Sección. En particular, Keeper ha implementado y mantendrá las siguientes medidas técnicas y organizativas:
    1. Seguridad de los sistemas Keeper según lo establecido en las Normas de seguridad.
    2. Seguridad física de las instalaciones según lo establecido en las Normas de seguridad.
    3. Medidas para controlar los derechos de acceso del personal autorizado a los sistemas de Keeper según lo establecido en las Normas de seguridad.
    4. Procesos para probar y evaluar de forma regular la efectividad de las medidas técnicas y organizativas implementadas por Keeper como se describe en la sección 2 de las Normas de seguridad.
  4. Certificaciones y auditorías de Keeper.
    1. Certificación e informes de Keeper. Además de la información que se incluye en este Anexo, a petición del Cliente, Keeper pondrá a disposición sus certificados ISO 27001 y SOC2. Los controles de seguridad de la información de Keeper se validan mediante evaluaciones y certificaciones independientes, a los que se puede acceder en el Centro de confianza de Keeper. Las certificaciones incluyen:
      • SOC 2 tipo II (Criterios de servicios de confianza del AICPA)
      • ISO 27001, ISO 27017 e ISO 27018
      • Autorización moderada de FedRAMP (para Keeper Security Government Cloud)
      • Módulos criptográficos validados por FIPS 140-3
      • Arquitectura alineada con HIPAA (Keeper no es un socio comercial ya que no puede acceder a ePHI)
      • Alineación del cumplimiento del RGPD, el RGPD del Reino Unido y la Ley de Resiliencia Operativa Digital (DORA)
    2. Auditorías. Keeper utiliza auditores externos para verificar la idoneidad de sus medidas de seguridad, incluida la seguridad de los centros de datos físicos desde los que Keeper presta los Servicios. Esta auditoría: (a) se realizará al menos una vez al año; (b) se realizará conforme a las normas ISO 27001 u otras normas alternativas sustancialmente equivalentes; (c) será realizada por profesionales de seguridad independientes externos a elección y por cuenta de Keeper; y (d) dará lugar a la generación de un informe de auditoría (“Informe”), que se considerará Información confidencial de Keeper.

Anexo 1: Normas de seguridad

Programa de seguridad de la información. Keeper mantendrá un programa de seguridad de la información diseñado para (a) permitir al Cliente proteger los Datos del cliente contra pérdidas, accesos o divulgaciones accidentales o ilegales; (b) identificar riesgos razonablemente previsibles para la seguridad y disponibilidad de los sistemas de Keeper; y (c) minimizar los riesgos físicos y lógicos de seguridad para los sistemas de Keeper, incluso mediante evaluaciones y pruebas regulares de riesgos. KEEPER designará a uno o más empleados para coordinar y gestionar el programa de seguridad de la información.

El programa de seguridad de la información de Keeper incluirá las siguientes medidas:

  1. Seguridad lógica.
    1. Controles de acceso. Keeper hará que los sistemas de Keeper sean accesibles únicamente para el personal autorizado y solo según sea necesario para mantener y proporcionar los Servicios. Keeper mantendrá controles y políticas de acceso para gestionar las autorizaciones de acceso a los sistemas de Keeper desde cada conexión de red y usuario, incluyendo el uso de cortafuegos o tecnología funcionalmente equivalente y controles de autenticación. Keeper mantendrá controles de acceso diseñados para (i) restringir el acceso no autorizado a los datos y (ii) separar los datos de cada cliente de los demás clientes.
    2. Acceso de usuario restringido. Keeper (i) proporcionará y restringirá el acceso de los usuarios a los sistemas de Keeper de acuerdo con los principios de privilegio mínimo con base en las funciones laborales del personal; (ii) requerirá revisión y aprobación antes de conceder acceso a los sistemas de Keeper por encima de los principios de privilegio mínimo, incluidas las cuentas de administradores; (iii) exigirá al menos una revisión trimestral de los privilegios de acceso a los sistemas Keeper y, cuando sea necesario, revocará los privilegios de acceso a los sistemas de Keeper de manera oportuna; y (iv) requerirá autenticación de dos factores para acceder a los sistemas de Keeper desde ubicaciones remotas.
    3. Evaluaciones de vulnerabilidad. Keeper realizará evaluaciones de vulnerabilidad externas regulares y pruebas de penetración de los sistemas de Keeper e investigará los problemas identificados y los rastreará para su resolución de manera oportuna.
    4. Seguridad de las aplicaciones. Antes de lanzar públicamente Servicios nuevos o funciones nuevas y significativas de los Servicios, Keeper realizará revisiones de seguridad de aplicaciones diseñadas para identificar, mitigar y remediar riesgos de seguridad.
    5. Gestión de los cambios. Keeper mantendrá controles diseñados para registrar, autorizar, probar, aprobar y documentar los cambios en los recursos de los sistemas existentes de Keeper y documentará los detalles de los cambios en sus herramientas de gestión de cambios o implementación. Keeper probará los cambios según sus estándares de gestión de cambios antes de la migración a producción. Keeper mantendrá procesos diseñados para detectar cambios no autorizados en los sistemas de Keeper y realizar un seguimiento de los problemas identificados hasta una resolución. Keeper cuenta con estándares de codificación seguros, análisis estático/dinámico, revisión por pares y aprobación formal de cambios antes de la implementación en producción. Los desarrolladores reciben capacitación anual sobre seguridad y privacidad.
    6. Integridad de los datos. Keeper mantendrá controles diseñados para garantizar la integridad de los datos durante la transmisión, el almacenamiento y el tratamiento dentro de los sistemas de Keeper. Keeper proporcionará al Cliente la capacidad de eliminar los Datos del cliente de los sistemas de Keeper.
    7. El cifrado y el descifrado se realizan únicamente en el dispositivo del usuario final. Keeper no puede acceder al contenido de la bóveda en texto sin formato ni a las contraseñas maestras. Los principios de confianza cero exigen la autenticación de usuarios y dispositivos antes del acceso. Las claves de cifrado se generan en el dispositivo del usuario (p. ej., derivación PBKDF2). Las claves no cifradas o las contraseñas maestras nunca se almacenan ni se transmiten a Keeper.
    8. Keeper es compatible con TOTP, Duo Security, claves FIDO/U2F y datos biométricos. SSO Connect® y SSO Connect® Cloud proporcionan autenticación de conocimiento cero mediante SAML 2.0. Los controles de acceso basados en roles granulares están disponibles para los administradores.
    9. Cifrado TLS para todas las conexiones, autenticación sólida de API, segmentación de red, detección de intrusiones y monitoreo 24/7 de disponibilidad y eventos de amenazas.
    10. Continuidad del negocio y recuperación ante desastres. Keeper mantendrá un programa formal de gestión de riesgos diseñado para respaldar la continuidad de sus funciones empresariales críticas (“Programa de continuidad del negocio”). El Programa de continuidad del negocio incluye procesos y procedimientos para la identificación, respuesta y recuperación de eventos que puedan impedir o perjudicar materialmente la provisión de los servicios por parte de Keeper (un “Evento BCP”). El Programa de continuidad del negocio incluye un enfoque de tres fases que Keeper seguirá para administrar los Eventos BCP:
  2. Fase de activación y notificación. A medida que Keeper identifique problemas que puedan dar lugar a un Evento BCP, Keeper escalará, validará e investigará dichos problemas. Durante esta fase, Keeper analizará la causa raíz del Evento BCP.
    1. Fase de recuperación. Keeper asigna la responsabilidad a los equipos adecuados para tomar medidas a fin de restaurar la funcionalidad normal del sistema o estabilizar los Servicios afectados.
    2. Fase de reconstitución. El liderazgo de Keeper revisa las medidas tomadas y confirma que finaliza el proceso de recuperación y que se restauran las partes afectadas de los Servicios y los sistemas de Keeper. Luego de dicha confirmación, Keeper realiza un análisis posterior al Evento BCP.
  3. Gestión de incidentes. Keeper mantendrá planes de medidas correctivas y planes de respuesta ante incidentes para responder a posibles amenazas de seguridad para los sistemas de Keeper. Los planes de respuesta ante incidentes de Keeper contarán con procesos definidos para detectar, mitigar, investigar y reportar incidentes de seguridad. Los planes de respuesta a incidentes de Keeper incluyen la verificación de incidentes, el análisis de ataques, la contención, la recopilación de datos y la remediación de problemas.
  4. Retiro de medios de almacenamiento. Keeper mantendrá un proceso de retiro de medios que se llevará a cabo antes de la eliminación final de los medios de almacenamiento utilizados para almacenar los Datos del cliente. Antes de su eliminación definitiva, los medios de almacenamiento utilizados para almacenar los Datos del cliente serán desmagnetizados, borrarán, purgarán, destruirán físicamente o, de otro modo, se sanitizarán de conformidad con las prácticas estándar del sector diseñadas para garantizar que los Datos del cliente no puedan recuperarse del medio de almacenamiento correspondiente.
  5. Seguridad física.
    1. Controles de acceso. Keeper (i) implementará y mantendrá protecciones físicas diseñadas para prevenir accesos físicos no autorizados, daños o interferencias en los sistemas de Keeper, (ii) empleará dispositivos de control apropiados para restringir el acceso físico a los sistemas de Keeper solo al personal autorizado que tenga una necesidad empresarial legítima para dicho acceso, (iii) monitorear el acceso físico a los sistemas de Keeper empleando sistemas de detección de intrusiones diseñados para monitorizar, detectar y alertar al personal adecuado sobre incidentes de seguridad, (iv) registrar y auditar de manera regular el acceso físico a los sistemas de Keeper, y (v) realizar revisiones periódicas para validar la adhesión a estas normas.
    2. Disponibilidad. Keeper (i) implementará sistemas redundantes para los sistemas de Keeper diseñados para minimizar el efecto de un fallo en los sistemas de Keeper, (ii) diseñará los sistemas de Keeper para anticipar y tolerar fallos de hardware, e (iii) implementará procesos automatizados diseñados para mover el tráfico de datos del cliente fuera del área afectada en caso de fallo de hardware.
  6. Empleados de Keeper
    1. Formación en seguridad para empleados. Keeper implementará y mantendrá programas de formación en seguridad para empleados relacionados con los requisitos de seguridad de la información de Keeper. Los programas de formación en materia de seguridad se revisarán y actualizarán al menos una vez al año.
    2. Verificaciones de antecedentes. Cuando la ley lo permita y en la medida en que lo dispongan las autoridades gubernamentales correspondientes, Keeper exigirá que cada empleado se someta a una investigación de antecedentes razonable y adecuada para su puesto y nivel de acceso a los sistemas de Keeper.
  7. Evaluación continua. Keeper llevará a cabo revisiones periódicas del programa de seguridad de la información para los sistemas de Keeper. Keeper actualizará o modificará su programa de seguridad de la información según sea necesario para responder a riesgos nuevos de seguridad y aprovechar las nuevas tecnologías.
  8. Cumplimiento de la Ley de Resiliencia Operativa Digital (DORA)
    A fin de garantizar el cumplimiento de la Ley de Resiliencia Operativa Digital (DORA), Keeper mantiene rigurosas medidas operativas y de seguridad para proteger el software y los sistemas de Keeper. Se incluyen, entre otras medidas, la implementación de procesos efectivos de gestión de riesgos, el seguimiento y la gestión de la disponibilidad del tiempo de actividad, el mantenimiento de estrictas políticas internas de seguridad, la formación interna obligatoria en materia de seguridad y la implantación de protocolos de respuesta a incidentes. Keeper supervisa, actualiza y perfecciona continuamente los procedimientos, para mitigar los riesgos y garantizar la funcionalidad y la seguridad operativas del software y de los servicios de Keeper.
close
Ventas empresariales
Asistencia
close
Comprar Ahora