logo
CIC Security Terms

 Effective April 15, 2026

 

Seguridad

 

 DEFINICIONES  

  

“NIST” significa National Institute for Standards and Technology. 

 

“Incidente de Seguridad” significa la determinación por parte de Hyland de una divulgación real de Datos del Cliente no cifrados a una persona o entidad no autorizada que compromete la seguridad, confidencialidad o integridad de los Datos del Cliente.

 

1. Hyland mantiene y gestiona un programa integral de seguridad por escrito, diseñado para proteger: (a) la seguridad e integridad de los Datos del Cliente; (b) contra amenazas y riesgos que puedan afectar negativamente los Datos del Cliente; y (c) contra el acceso no autorizado a los Datos del Cliente. Este programa incluye lo siguiente:

 

1.1 Gestión del Riesgo.

 

1.1.1 Realizar una evaluación anual de riesgos diseñada para identificar amenazas y vulnerabilidades en las salvaguardas administrativas, físicas, legales, regulatorias y técnicas utilizadas para proteger el Producto.

 

1.1.2 Mantener un proceso documentado de remediación de riesgos para asignar la propiedad de los riesgos identificados, establecer planes y plazos de remediación, y proporcionar un seguimiento periódico del progreso.

 

1.2 Programa de Seguridad de la Información.

 

1.2.1 Mantener un programa documentado e integral de seguridad de la información que incluya políticas y procedimientos basados en prácticas estándar del sector, que pueden incluir ISO 27001/27002 u otros estándares equivalentes. Dicho programa de seguridad de la información incluirá, según corresponda: (a) seguridad física y cibernética adecuada donde se procesen y/o almacenen los Datos del Cliente; y (b) precauciones razonables tomadas respecto del empleo del personal de Hyland.

 

1.2.2 Revisión y Actualización Anual de dichas Políticas.

 

1.3 Organización de la Seguridad de la Información. Asignar responsabilidades de seguridad a individuos o grupos apropiados para facilitar la protección del Producto y los activos asociados.

 

1.4 Seguridad de Recursos Humanos.

 

1.4.1 Exigir que todos los empleados de Hyland se sometan a una verificación exhaustiva durante el proceso de contratación.

 

1.4.2 Realizar verificaciones de antecedentes y validación de referencias para determinar si las cualificaciones de los candidatos son adecuadas para el puesto propuesto.

 

1.4.3 Sujeto a cualquier restricción impuesta por la ley aplicable y de acuerdo con la jurisdicción, realizar verificaciones de antecedentes penales, validación laboral y verificación educativa, según corresponda.

 

1.4.4 Garantizar que todos los empleados de Hyland estén sujetos a compromisos de confidencialidad y no divulgación antes de que se proporcione acceso al Producto o a los Datos del Cliente.

 

1.4.5 Garantizar que los empleados de Hyland correspondientes reciban formación en sensibilización sobre seguridad  de la información, destinada a proporcionarles los conocimientos necesarios para proteger la seguridad, disponibilidad y confidencialidad de los Datos del Cliente.

 

1.4.6 Tras la separación o cambio de rol de los empleados de Hyland, se garantiza que el acceso de cualquier empleado de Hyland al Producto sea revocado de manera oportuna y que todos los activos de Hyland aplicables, tanto informativos como físicos, sean devueltos.

 

1.5 Gestión de Activos.

 

1.5.1 Garantizar que los Datos del Cliente estén cifrados y almacenados en un lugar seguro sujeto a estrictos controles físicos de acceso.

 

1.5.2 Mantener políticas y procedimientos de gestión de activos e información, incluyendo la propiedad de los activos, un inventario de activos, directrices de clasificación y normas de manejo relacionadas con los activos de Hyland.

 

1.5.3 Nota: El Producto está alojado en la nube de Amazon Web Services (AWS), donde la seguridad y el cumplimiento son responsabilidades compartidas entre AWS y Hyland. AWS es responsable de proteger la infraestructura que ejecuta todos los servicios ofrecidos en la nube de AWS. Esta infraestructura está compuesta por el hardware, software, redes e instalaciones que ejecutan los Servicios en la Nube de AWS. AWS opera, gestiona y controla los componentes desde el sistema operativo anfitrión y la capa de virtualización hasta la seguridad física de las instalaciones en las que opera el servicio, incluyendo el manejo de medios y el desmantelamiento. Los Controles de Gestión de Dispositivos de AWS (“Device Management Controls” en inglés) se pueden encontrar aquí: https://aws.amazon.com/compliance/data-center/controls/#Device_Management .

 

1.6 Controles de Acceso.

 

1.6.1 Mantener una política de acceso y procedimientos correspondientes. Los procedimientos de acceso definirán el proceso de solicitud, aprobación y provisionamiento de acceso para el personal de Hyland. El proceso de acceso restringirá el acceso de usuarios de Hyland (local y remoto) de acuerdo con la función de trabajo del usuario de Hyland (basado en rol/perfil, acceso adecuado) para aplicaciones y bases de datos.

 

1.6.2 Documentar los procedimientos para: (a) incorporación y salida de usuarios del personal de Hyland de manera oportuna; y (b) umbral de inactividad del usuario del personal de Hyland que lleva a la suspensión y eliminación de cuentas.

 

1.6.3 Limitar el acceso de Hyland a los Datos del Cliente a su personal que necesite acceder a los Datos del Cliente como condición para el desempeño de los servicios de Hyland en virtud del Contrato. Para estos empleados de Hyland, Hyland deberá utilizar el principio de "privilegio mínimo" y el concepto de "mínimo necesario". Hyland requerirá contraseñas fuertes sujetas a requisitos de complejidad, rotaciones periódicas y el uso de autenticación multifactorial.

 

1.6.4 Garantizar que existan controles de acceso para el acceso a los Datos del Cliente por parte de Hyland. Nota: El Cliente controla: su acceso del usuario, permisos del usuario y retención de los Datos del Cliente en la medida en que dichos controles estén disponibles para el Cliente.

 

1.7 Límites del Sistema.

 

1.7.1 Nota: Hyland no se hace responsable de ningún componente del sistema que no esté dentro del Producto, incluidos dispositivos de red, conectividad de red, estaciones de trabajo, servidores y software propiedad y operado por el Cliente u otros terceros.

 

1.7.2 Nota: Los procesos ejecutados dentro del Producto se limitan a aquellos ejecutados por un empleado de Hyland (o un tercero autorizado por Hyland) o a procesos que se ejecutan dentro de los límites establecidos del sistema Hyland, en su totalidad.

 

1.7.3 Nota: Ciertos procesos de negocio pueden cruzar estos límites, lo que significa que una o más tareas se ejecutan fuera de los límites establecidos por el sistema de Hyland para el Producto, una o más tareas son ejecutadas por personas que no son personal de Hyland (o terceros autorizados), o una o más tareas se ejecutan en función de solicitudes escritas realizadas por el Cliente. En tal caso, Hyland proporcionará soporte a dichos procesos en la medida en que ocurran dentro de los límites establecidos del sistema Hyland, pero Hyland no es responsable de proporcionar soporte para dichos procesos en la medida en que ocurran por fuera de dichos límites establecidos. Ejemplos de procesos empresariales que cruzan estos límites incluyen, pero no se limitan a, los cambios en la configuración del Producto, el procesamiento que ocurre dentro del Producto, la autorización del usuario y las transferencias de archivos.

 

1.8 Encriptación.

 

1.8.1 Garantizar que los Datos del Cliente solo se suban al Producto en un formato cifrado soportado, como TLS u otro método equivalente.

 

1.8.2 Cifrado de Datos del cliente en reposo y en tránsito sobre redes públicas.

 

1.8.3 Nota: Cuando el uso de funcionalidades de cifrado puede ser controlado o modificado por el Cliente y este decide modificar su uso o desactivar cualquier funcionalidad de cifrado, el Cliente lo hace bajo su propio riesgo.

 

1.9 Seguridad de Operaciones.

 

1.9.1 Mantener los controles de gestión del cambio para asegurar que los cambios realizados por Hyland en los sistemas de producción estén debidamente autorizados y revisados antes de su implementación. Nota: El Cliente es responsable de probar todos los cambios de configuración, cambios de autenticación y actualizaciones implementadas por el Cliente o Hyland. Si el Cliente solicita a Hyland que implemente cambios en su nombre, dicha solicitud debe ser por escrito y presentada por los Administradores Autorizados del Cliente designados por el Cliente mediante un caso de soporte o establecida en un acuerdo separado.

 

1.9.2 Realizar cambios de configuración programados que se espera afecten al acceso del Cliente al Producto durante una ventana de mantenimiento planificada. Nota: Hyland puede realizar cambios de configuración que no se espera que afecten al Cliente durante el horario laboral normal.

 

1.9.3 Utilizar tecnologías configuradas para cumplir con los estándares comunes de la industria diseñados para proteger los Datos del Cliente dentro del Producto contra infecciones de virus o cargas maliciosas similares.

 

1.9.4 Implementar procedimientos de recuperación ante desastres y continuidad del negocio de acuerdo con el Nivel de Servicio aplicable adquirido por el Cliente.

 

1.9.5 Mantener los registros de seguridad durante un año.

 

1.9.6 Mantener los requisitos de endurecimiento del sistema y los estándares de configuración para los componentes desplegados dentro del Producto.

 

1.9.7 Realizar análisis de vulnerabilidades de forma regular y remediarlas de manera oportuna. En caso de que algún parche de seguridad afecte material y negativamente el Producto, Hyland hará esfuerzos razonables para implementar controles compensatorios hasta que haya disponible un parche de seguridad que no afecte material y negativamente el Producto. A solicitud por escrito, Hyland proporcionará un informe resumen ejecutivo de su análisis externo de vulnerabilidades más reciente.

 

1.9.8 Realizar pruebas de penetración externas al menos una vez al año contra una instancia del Producto que represente la configuración utilizada por el Cliente en general y hacer un resumen ejecutivo, a petición del Cliente, de la prueba de penetración más reciente.

 

1.9.9 Permitir que el Cliente, de forma anual (pero no más de una vez durante un periodo de 12 meses), realice una prueba de penetración contra un sitio web del Producto, configurado por Hyland, autorizado para pruebas de penetración, siempre que: (1) El Cliente presente un formulario de Autorización para Pruebas de Penetración con antelación; (2) antes de realizar dichas pruebas, Hyland y el Cliente acuerden mutuamente el tiempo, el alcance y el precio, (3) dichas pruebas son únicamente a cargo del Cliente; y (4) si el Cliente contrata a un tercero para ayudar con dichas pruebas, el tercero debe primero ser autorizado por Hyland y firmar un acuerdo de confidencialidad directamente con Hyland conforme a la disposición de Restricciones de Uso por el Contratista del Contrato. Nota: Cualquier prueba realizada sin acuerdo mutuo con respecto al momento, alcance y criterios puede considerarse un ataque hostil, que puede desencadenar respuestas automáticas y manuales, incluyendo la notificación de la actividad a agencias policiales locales y federales, así como la suspensión inmediata del acceso o uso del Producto por parte del Cliente. El Cliente tiene prohibido distribuir o publicar los resultados de dichas pruebas de penetración sin la aprobación previa y por escrito de Hyland.

 

1.9.10 Mantener un centro de operaciones de seguridad 24/7.

 

1.10. Relaciones con Proveedores. Mantener un programa de gestión de proveedores para sus proveedores críticos y evaluar a estos proveedores anualmente.

 

1.11 Respuesta a Incidentes de Seguridad.

 

1.11.1 Aplicar estándares de respuesta a Incidentes de Seguridad basados en los estándares de la industria aplicables, tales como ISO 27001 y el NIST, para mantener los componentes de seguridad de la información del entorno del Producto.

 

1.11.2 Las respuestas a estos Incidentes de Seguridad siguen la secuencia documentada de respuesta a Incidentes de Seguridad de Hyland. Esta secuencia incluye la fase de activación del Incidente de Seguridad, la fase de evaluación, la fase de escalamiento, la fase de respuesta, la fase de recuperación, la fase de desescalamiento y la fase de revisión posterior al Incidente de Seguridad.

 

1.11.3 Si Hyland ha determinado que la instancia del Producto del Cliente ha sido afectada negativamente por un Incidente de Seguridad, se ofrece un resumen de análisis de causa raíz. Dicho aviso no se retrasará de forma excesiva, pero se producirá después de que se hayan tomado las primeras acciones correctivas para contener la amenaza a la seguridad o estabilizar el Producto.

 

1.11.4 El análisis de causa raíz incluirá la duración del evento, la resolución, el resumen técnico, los problemas pendientes y el seguimiento, incluyendo las medidas que el Cliente debe seguir para evitar más incidencias. La información del Producto, incluidos los elementos de datos que requieren medidas adicionales de confidencialidad y seguridad (incluida la de otros clientes afectados en el evento), no será divulgada públicamente. Si el Cliente necesita detalles adicionales sobre un Incidente de Seguridad, se debe presentar una solicitud al equipo de soporte de Hyland Cloud correspondiente y gestionarlo caso por caso para proteger la confidencialidad y seguridad de la información solicitada.

 

1.11.5 Notificación al Cliente de un Incidente de Seguridad en un plazo de cuarenta y ocho (48) horas.

 

1.12 Aspectos de la Seguridad de la Información en la Gestión de la Continuidad del Negocio.

 

1.12.1 Mantener un plan de continuidad del negocio y recuperación ante desastres.

 

1.12.2 Revisión y prueba anuales de los procesos de continuidad del negocio y recuperación ante desastres.

 

1.13 Auditorías y Evaluaciones.

 

1.13.1 Monitorear su cumplimiento con su programa de seguridad de la información. Esto incluye revisiones internas periódicas. Los resultados se comparten con el liderazgo de Hyland y las desviaciones se siguen hasta la remediación.

 

1.13.2 Mantener un programa periódico de auditoría externa. Las certificaciones completadas se proporcionan al Cliente previa solicitud por escrito.

 

1.13.3 Permitir al Cliente, de forma anual (pero no más de una vez durante cualquier periodo de 12 meses), realizar auditorías (que incluyen evaluaciones, cuestionarios, revisiones guiadas u otras solicitudes para validar los controles de seguridad de Hyland) de las operaciones de Hyland que participen en la prestación continua y soporte del Producto (cada una, una "Consulta de Seguridad"), siempre que:

 

(a) la Consulta de Seguridad propuesta no se superponga ni cubra la misma información, información similar o el mismo alcance que: (1) cualquier control ya previsto por una auditoría o evaluación externa ya realizada por Hyland, como un informe SOC 2, ISO 27001 u otra auditoría o evaluación similar que se ponga a disposición del Cliente previa solicitud del Cliente; o (2) cualquier contenido ya proporcionado por Hyland a través de su SIG completado, CAIQ o cuestionario similar que esté disponible para el Cliente previa solicitud;

 

(b) Hyland y el Cliente acuerden mutuamente el momento, alcance, tarifas (si las hay) y criterios de dicha Consulta de Seguridad;

 

(c) la documentación confidencial y restringida, como las políticas, prácticas y procedimientos internos de Hyland, incluida cualquier documentación solicitada por el Cliente que no pueda ser retirada de las instalaciones de Hyland debido a limitaciones físicas o restricciones de política, no será proporcionada externamente ni retirada de las instalaciones de Hyland. Dichas revisiones deberán realizarse (a elección de Hyland) presencialmente en la sede corporativa de Hyland en Ohio o mediante una sesión seguro de uso compartido de pantalla, la cual podrá ser organizada por Hyland para prohibir cualquier tipo de copia o captura de pantalla;

 

(d) Hyland no permitirá el acceso a sistemas internos o dispositivos utilizados para alojar o dar soporte a las ofertas de Hyland; y

 

(e) en la medida en que el Cliente desee contratar a un tercero para realizar dicha Consulta de Seguridad: (1) Hyland debe aprobar por escrito a dicho tercero con antelación; (2) el Cliente deberá hacer que dicho tercero: (A) firme un acuerdo de confidencialidad con Hyland conforme a la disposición de Restricciones de Uso por el Contratista del Contrato, y (B) acepte cumplir con los estándares de seguridad de Hyland;  y (3) El Cliente deberá gestionar la interacción con el tercero y asegurarse de que este comprenda el alcance de la Consulta de Seguridad acordado mutuamente entre Hyland y el Cliente, además de cómo el Cliente utiliza el Producto.

 

Cuando resulte necesario, Hyland proporcionará alojamiento privado y razonable en la sede corporativa de Hyland en Ohio para análisis de datos y reuniones. Ante una solicitud por escrito razonablemente anticipada, Hyland y el Cliente pueden acordar mutuamente poner a disposición a los empleados o contratistas necesarios para entrevistas en persona o por teléfono durante dicha Consulta de Seguridad, a costa y gasto del Cliente. El Cliente tiene prohibido, y el Cliente deberá prohibir que cada tercero contratado para realizar una Consulta de Seguridad distribuya o publique los resultados de dicha Consulta de Seguridad sin la aprobación previa por escrito de Hyland. No obstante cualquier disposición en contrario dentro del Contrato, nada en el Contrato (incluida esta sección) obligará a Hyland ni a cualquiera de sus afiliadas a divulgar información sujeta al privilegio abogado-cliente.

 

2. Idioma que Controla.  Hyland podrá poner a disposición otras versiones de este documento en otros idiomas en este mismo sitio en línea. La versión en idioma inglés de este documento prevalece sobre cualquier versión disponible en otro idioma en este mismo sitio en línea, en caso de que el Documento de Incorporación esté redactado en inglés. Si el Documento de Incorporación está redactado en un idioma distinto del inglés (dicho idioma, "Otro Idioma"), pero este documento no está disponible en este sitio en, esta versión en inglés prevalecerá sobre cualquier otra versión de este documento que pudiera estar disponible en este sitio en línea en otro idioma.

 

 

 

La versión más actual de este documento tendrá vigencia a partir de las 12:00 am EST (Hora Estándar del Este) de la fecha estampada en dicha versión en línea.