Effective March 23, 2026
ANEXO GLOBAL DE PROCESAMIENTO DE DATOS
Este Anexo Global de Procesamiento de Datos forma parte del Contrato Maestro de Hyland, del Formulario de Pedido u otro contrato entre el Cliente y Hyland, que incorpora este Anexo Global de Procesamiento de Datos por referencia (el “Documento de Incorporación”). Tal y como se utiliza en el presente documento, el “Contrato” se refiere al Documento de Incorporación, incluido este Anexo Global de Procesamiento de Datos, y cualquier otro contrato en el que se incorpore el Documento de Incorporación.
1. DEFINICIONES
Todos los términos en mayúscula utilizados en este Anexo Global de Procesamiento de Datos (este
“DPA” o este “Anexo”) tendrán el significado que se les atribuye en este Anexo o, si no se definen en este Anexo, en otra parte del Contrato. En caso de que un término se defina en dos (2) o más lugares del Contrato, se interpretará que el término incluye cada una o todas las definiciones, según lo requiera el contexto.
“Determinación de Adecuación” significa la determinación final de un Regulador de que las leyes de un tercer país proporcionan un nivel adecuado de protección de los Datos Personales cuando dichos Datos Personales sean transferidos de la jurisdicción del Regulador a un Tercer País.
“SCCs de Brasil” significa las Cláusulas Contractuales Estándar (Standard Contractual Clauses o “SCCs” por sus siglas en inglés) aprobadas por la Autoridade Nacional de Proteção de Dados, la Autoridad Brasileña de Protección de Datos dentro del Capítulo V de la Resolución CD/ANPD No. 19/2024.
“CPRA” significa, colectivamente, la Ley de Privacidad del Consumidor de California (California Consumer Privacy Act) según sea enmendada por la Ley de Derechos de Privacidad de California (California Privacy Rights Act o “CPRA” por sus siglas en inglés), codificada en el Código Civil de California (Cal. Civ. Code) §1798.100, y siguientes, y su normativa final de aplicación.
“Datos Personales del Cliente” significa cualquier Dato Personal enviado por o en nombre del Cliente a Hyland para el suministro de Productos o la prestación de Servicios.
“Ley(es) de Protección de Datos” significa cualquier ley, reglamento o directiva aplicable al Procesamiento de Datos Personales en función de la ubicación de los Titulares de Datos, las actividades de Procesamiento o el establecimiento de las Partes.
“Titular de Datos” significa una persona física que es el titular de los Datos Personales que son Procesados.
“SCCs de la UE” significa la Decisión de Ejecución de la Comisión (UE) 2021/914 por la que se establecen Cláusulas Contractuales Estándar para las transferencias de datos a Terceros Países.
“HIPAA” significa la Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 (Health Insurance Portability and Accountability Act of 1996), según sea enmendada.
“LGPD” significa la Ley General de Protección de Datos de Brasil (Lei Geral de Proteção de Dados – LGPD, Ley No.13.709/2018).
“Partes” significa Hyland y el Cliente, y cada uno se denomina en este DPA como una “Parte”.
“Datos Personales” significa cualquier información identificable individualmente relativa a un Titular de Datos identificado o identificable que esté protegida en virtud de la Ley de Protección de Datos aplicable.
“Violación de Datos Personales” significa una violación de la seguridad que conduzca a la pérdida o destrucción no autorizada, alteración, divulgación o acceso a los Datos Personales del Cliente.
“Procesamiento” significa cualquier operación o conjunto de operaciones que se realicen sobre Datos Personales o sobre conjuntos de Datos Personales, ya sea por medios automatizados o no, tales como recolección, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación mediante transmisión, difusión o cualquier otra forma de puesta a disposición, alineación o combinación, restricción, eliminación o destrucción.
“Regulador” significa la autoridad supervisora u organismo regulador competente en virtud de la Ley de Protección de Datos aplicable.
“Servicios” significan los servicios de soporte técnico, servicios profesionales, servicios relacionados con la oferta alojada de Hyland u otros servicios aplicables proporcionados por Hyland al Cliente según se define en el Contrato.
“Sub-Procesador” significa una entidad que Procesa Datos Personales a petición de Hyland en nombre del Cliente.
“Tercer País” significa cualquier país que no esté sujeto a una Determinación de Adecuación en virtud de las Leyes de Protección de Datos aplicables por parte del Regulador del país en el que se encuentre la entidad que transfiera los Datos Personales.
2. PROCESAMIENTO DE DATOS PERSONALES POR PARTE DE HYLAND
2.1 Instrucciones para el Procesamiento de Datos Personales. Hyland Procesará los Datos Personales del Cliente únicamente de acuerdo con las instrucciones documentadas del Cliente, que incluyen lo siguiente: (a) Procesamiento de acuerdo con el Contrato o el Formulario de Pedido aplicable, (b) Procesamiento iniciado por el Cliente en su uso de cualquier Producto o Servicio, y (c) Procesamiento para cumplir con otras instrucciones documentadas proporcionadas razonablemente por el Cliente cuando dichas instrucciones sean coherentes con los términos del Contrato, a menos que la ley exija lo contrario. Cada una de las Partes cumplirá con las obligaciones que le sean de aplicación en virtud de las Leyes de Protección de Datos.
2.2 Descripción del Procesamiento. La descripción del Procesamiento de Datos Personales por parte de Hyland figura en el Apéndice A.
3. PROTECCIONES DE HYLAND PARA LOS DATOS PERSONALES
3.1 Protecciones Físicas, Técnicas y Organizativas. Hyland mantendrá medidas de seguridad técnicas y organizativas razonables y apropiadas diseñadas para proteger los Datos Personales del Cliente frente a pérdidas o destrucción no autorizada, alteración, divulgación o acceso, tal y como se describe más detalladamente en el Apéndice B (las “Medidas Técnicas y Organizativas”).
3.2 Procesamiento por parte de Sub-Procesadores. Hyland contratará únicamente a aquellos Sub-Procesadores, enumerados en https://community.hyland.com/en/connect/hyland-sub-processor-list (la “Lista de Sub-Procesadores”) (que Hyland podrá actualizar ocasionalmente sin necesidad de modificar el presente DPA). Hyland ha celebrado un contrato por escrito con cada Sub-Procesador que contiene obligaciones de protección de datos para proteger los Datos Personales del Cliente no menos protectoras de los Titulares de Datos que las protecciones requeridas por la Ley de Protección de Datos aplicable. Hyland seguirá siendo responsable ante el Cliente de los actos u omisiones de sus Sub-Procesadores. Hyland notificará al Cliente cualquier nuevo Sub-Procesador que Hyland pretenda contratar actualizando la Lista de Sub-Procesadores, a la que el Cliente puede suscribirse, con el nuevo Sub-Procesador. Cuando la Ley de Protección de Datos aplicable conceda tales derechos, el Cliente podrá oponerse a cualquiera de esos nuevos Sub-Procesadores únicamente por motivos razonables relacionados con la protección de datos, notificando a Hyland (de conformidad con el Contrato) y los motivos del Cliente para oponerse en el plazo de 10 días naturales desde que Hyland actualice la Lista de Sub-Procesadores para incluir al nuevo Sub-Procesador. En caso de que se produzca dicha objeción, Hyland podrá optar por no contratar a dicho nuevo Sub-Procesador para el Procesamiento de los Datos Personales del Cliente. Si Hyland continúa utilizando a dicho nuevo Sub-Procesador tras la objeción razonable del Cliente, entonces el Cliente podrá, mediante notificación a Hyland, optar por suspender o terminar las partes del Servicio afectadas por el uso de dicho nuevo Sub-Procesador (sin perjuicio de las tarifas acumuladas o de los derechos de Hyland en virtud del Contrato).
3.3 Confidencialidad de los Datos Personales. Hyland tratará los Datos Personales del Cliente como confidenciales y se asegurará de que el personal de Hyland (incluidos los contratistas independientes) que estén autorizados a acceder a los Datos Personales del Cliente: (a) hayan celebrado los correspondientes compromisos de confidencialidad contractualmente vinculantes o estén sujetos de otro modo a una obligación de confidencialidad; (b) estén informados de la naturaleza confidencial de los Datos Personales del Cliente; y (c) hayan recibido la capacitación adecuada relacionada con el Procesamiento de los Datos Personales del Cliente.
3.4 Auditorías de Tecnología de la Información. Hyland permitirá las auditorías del Cliente de conformidad con el Contrato. Si el Contrato no aborda las auditorías del Cliente, entonces, cuando tales derechos estén concedidos por la Ley de Protección de Datos aplicable, a petición razonable del Cliente, pero no más de una vez al año, Hyland permitirá al Cliente llevar a cabo una auditoría de las políticas y registros de seguridad y privacidad de Hyland en relación con el Procesamiento de los Datos Personales del Cliente y cualquier otra documentación que el Cliente pueda solicitar razonablemente para demostrar el cumplimiento por parte de Hyland de los requisitos de este DPA. En la medida en que el Cliente opte por realizar una auditoría de conformidad con el Contrato o la frase inmediatamente anterior, según corresponda, en las instalaciones físicas de Hyland, dicha auditoría se limitará a las áreas físicas en las que se produzca el Procesamiento de los Datos Personales del Cliente. Se prohíbe al Cliente distribuir o publicar los resultados de dicha auditoría a terceros (excepto a una autoridad supervisora competente) sin la aprobación previa por escrito de Hyland. A elección de Hyland y previa notificación, el Cliente reembolsará los costos razonables de Hyland en relación con dicha solicitud según las tarifas de servicios profesionales de Hyland vigentes en ese momento (lista de tarifas disponible previa solicitud). Todas estas auditorías estarán sujetas a las obligaciones de confidencialidad de las Partes. En caso de que el Cliente contrate a un tercero para realizar una auditoría, las Partes acuerdan que: (a) antes de dicha auditoría, el auditor tercero y Hyland celebrarán directamente las disposiciones de confidencialidad apropiadas; (b) cualquier reporte o información de Hyland recopilada durante dicha auditoría solo podrá utilizarse para uso interno del Cliente y (c) las disposiciones de esta subsección aplicables al Cliente se aplicarán igualmente al auditor tercero.
3.5 Devolución o Destrucción de Datos Personales. Hyland eliminará o devolverá los Datos Personales del Cliente de conformidad con el Contrato. Si el Contrato no aborda la eliminación o devolución de los Datos Personales del Cliente, entonces, a petición por escrito del Cliente, Hyland se encargará de la devolución rápida y segura y/o de la destrucción permanente segura de todos los Datos Personales del Cliente en posesión y control de Hyland, junto con todas las copias (si las hubiera) en un plazo de 30 días a partir de dicha petición y, cuando el Cliente lo solicite por escrito, certificará que dicha destrucción ha tenido lugar. Hyland no está obligado a devolver o destruir los Datos Personales del Cliente almacenados en soportes de copia de seguridad o archivos, pero continuará extendiendo las protecciones establecidas en este DPA a dichos Datos Personales del Cliente durante el tiempo que dichos Datos Personales del Cliente permanezcan en posesión de Hyland.
3.6 Solicitudes Dirigidas a Hyland. En la medida en que la ley lo permita, Hyland notificará al Cliente sin demora indebida tras la recepción de: (a) cualquier solicitud real o supuesta de (o en nombre de) un Titular de Datos que ejerza sus derechos bajo las Leyes de Protección de Datos; o (b) cualquier correspondencia o comunicación de un Regulador u otra agencia gubernamental. El Cliente será responsable de responder directamente a dichas solicitudes. El Cliente reconoce y acepta que Hyland no divulgará ningún Dato Personal del Cliente en respuesta a ninguna de dichas solicitudes sin la previa indicación por escrito del Cliente, a menos que Hyland esté obligada a hacerlo en virtud de la legislación aplicable.
3.7 Solicitudes de Información. A petición razonable del Cliente y en la medida en que el Cliente no tenga acceso de otro modo a la información pertinente, Hyland proporcionará al Cliente la cooperación y asistencia razonables necesarias para ayudar al Cliente a cumplir con su obligación, en virtud de las Leyes de Protección de Datos, de realizar evaluaciones relativas al Procesamiento de los Datos Personales del Cliente. A elección de Hyland y previo aviso, el Cliente reembolsará los costos razonables de Hyland en relación con dicha solicitud según las tarifas de servicios profesionales de Hyland vigentes en ese momento (lista de tarifas disponible previa solicitud).
3.8 Notificación de una Violación de Datos Personales. Hyland notificará al Cliente sin demora indebida en cuanto tenga conocimiento de una Violación de Datos Personales. Hyland realizará esfuerzos razonables para identificar la causa de dicha Violación de Datos Personales y tomará las medidas que Hyland considere necesarias y razonables para remediar la causa de la Violación de Datos Personales. En relación con dicha Violación de Datos Personales, Hyland ayudará además al Cliente, teniendo en cuenta la información de que disponga Hyland y la naturaleza de su Procesamiento, con las obligaciones de notificación de Violación de Datos Personales del Cliente, si las hubiera, en virtud de las Leyes de Protección de Datos aplicables. Cualquier notificación por parte de Hyland en virtud de esta subsección no se interpretará como una admisión de culpa por parte de Hyland.
4. OBLIGACIONES DEL CLIENTE PARA LOS DATOS PERSONALES
4.1 El Cliente deberá, cuando así lo requiera la Ley de Protección de Datos aplicable, realizar la(s) notificación(es) a terceros de una forma objetiva que no desprestigie a Hyland de forma intencionada o irrazonable ni empañe de otro modo la reputación de Hyland. Hyland tendrá una oportunidad razonable de revisar cualquier notificación que mencione a Hyland por su nombre y tendrá derecho a revisar cualquier declaración relacionada con Hyland y los Productos o Servicios.
4.2 El Cliente se asegurará de que no esté sujeto a ninguna prohibición ni restricción que pudiera: (a) impedir o restringir que divulgue o transfiera los Datos Personales del Cliente a Hyland; (b) impedir o restringir que conceda a Hyland acceso a los Datos Personales del Cliente; y/o (c) impedir o restringir que Hyland Procese los Datos Personales del Cliente, en cada caso según sea necesario para que Hyland proporcione cualquier Producto o realice los Servicios.
4.3 El Cliente se asegurará de que todas las notificaciones requeridas por las Leyes de Protección de Datos aplicables hayan sido entregadas a los Titulares de Datos (y, cuando lo requieran las Leyes de Protección de Datos aplicables, los consentimientos obtenidos) y tengan un alcance suficiente para permitir a Hyland Procesar los Datos Personales del Cliente de conformidad con este Contrato y las Leyes de Protección de Datos aplicables.
4.4 El Cliente se asegurará de que todos los Datos Personales del Cliente divulgados o transferidos a Hyland sean únicamente la cantidad mínima necesaria para utilizar cualquier Producto o realizar los Servicios.
4.5 El Cliente implementará y mantendrá medidas de seguridad técnicas y organizativas razonables y adecuadas, suficientes para evitar el acceso no autorizado a los Productos o Servicios a través de los sistemas de información del Cliente.
4.6 El Cliente será el único responsable de la exactitud, calidad y legalidad de los Datos Personales del Cliente proporcionados a Hyland y de los medios por los que el Cliente adquirió los Datos Personales del Cliente.
5. TÉRMINOS ESPECÍFICOS PARA LA JURISDICCIÓN
5.1 Las Partes reconocen que ciertas jurisdicciones requieren que las Partes proporcionen protecciones adicionales para los Datos Personales a través de términos contractuales escritos cuando los Datos Personales sean transferidos a un Tercer País. Dichos términos específicos para la jurisdicción se establecen a continuación y, en la medida en que sean aplicables, se incorporan por referencia al presente DPA. En caso de conflicto entre los términos específicos para la jurisdicción y el presente Contrato, prevalecerán los términos específicos para la jurisdicción.
5.1.1 Términos Específicos para la Jurisdicción del EEA: Estos términos (disponibles en https://legal.hyland.com/jurisdiction-specific-terms-eea) se aplican cuando (a) el Cliente (i) se encuentre en el Espacio Económico Europeo o en Suiza (colectivamente, European Economic Area o “EEA” por sus siglas en inglés) o (ii) contrate en nombre de cualquier miembro de su grupo corporativo ubicado en el EEA; y (b) Hyland Procese los Datos Personales del Cliente desde un país fuera del EEA y no esté sujeto a una Determinación de Adecuación.
5.1.2 Términos Específicos para la Jurisdicción del Reino Unido: Estos términos (disponibles en https://legal.hyland.com/jurisdiction-specific-terms-uk) se aplican cuando (a) el Cliente (i) esté ubicado en el Reino Unido, o (ii) contrate en nombre de un miembro de su grupo corporativo ubicado en el Reino Unido; y (b) Hyland Procese Datos Personales del Cliente desde un país fuera del Reino Unido y no esté sujeto a una Determinación de Adecuación.
5.1.3 Términos Específicos para la Jurisdicción de Brasil: Estos términos (disponibles en https://legal.hyland.com/jurisdiction-specific-terms-brazil) se aplican cuando (a) el Cliente esté ubicado en Brasil, y (b) Hyland Procese Datos Personales del Cliente desde un país fuera de Brasil y no esté sujeto a una Determinación de Adecuación.
5.1.4 Términos Específicos para la Jurisdicción de California: Estos términos (disponibles en https://legal.hyland.com/jurisdiction-specific-terms-california) se aplican cuando (a) el Cliente esté sujeto a la CPRA, y (b) Hyland Procese Datos Personales del Cliente de Titulares de Datos que residan en California.
5.1.5 Términos Específicos para la Jurisdicción de los Estados Unidos de América: Estos términos (disponibles en https://legal.hyland.com/business-associate-agreement) se aplican cuando Hyland Procese Datos Personales del Cliente que constituyan Información Médica Protegida tal y como se define en y esté sujeta a la HIPAA.
Las Partes pueden modificar o añadir términos específicos para la jurisdicción según lo requieran las Leyes de Protección de Datos aplicables mediante una enmienda por escrito a este DPA.
6. TÉRMINO Y TERMINACIÓN
6.1 Vigencia. El presente DPA tendrá una vigencia que comenzará en la Fecha de Entrada en Vigor y terminará automáticamente a la terminación o expiración del Contrato.
6.2 Efecto. A la terminación de este DPA, Hyland devolverá o destruirá cualquier Dato Personal del Cliente según lo establecido en la Sección 3.5 anterior.
7. DISPOSICIONES GENERALES
7.1 Modificación. Las Partes acuerdan modificar este DPA de vez en cuando según sea necesario para permitir que las Partes sigan cumpliendo con las Leyes de Protección de Datos aplicables.
7.2 Conflicto. El presente DPA sustituye cualquier disposición inconsistente del Contrato, y/o de otros contratos existentes entre Hyland y el Cliente con respecto a las obligaciones de las Partes de cumplir las Leyes de Protección de Datos con respecto a los Datos Personales del Cliente. Si existe algún conflicto entre el presente DPA, el Contrato, y los términos de cualquier Término Específico para la Jurisdicción aplicable, prevalecerán los términos de los Términos Específicos para la Jurisdicción aplicables en relación con los Datos Personales sujetos a dichos Términos Específicos para la Jurisdicción.
7.3 Idioma Aplicable. Hyland podrá poner a disposición otras versiones de este documento en otros idiomas en este mismo sitio en línea. La versión en idioma inglés de este documento prevalece sobre cualquier versión disponible en otro idioma en este mismo sitio en línea, en caso de que el Documento de Incorporación esté redactado en inglés. Si el Documento de Incorporación está redactado en un idioma distinto del inglés (dicho idioma, "Otro Idioma"), pero este documento no está disponible en este sitio en línea en el Otro Idioma, esta versión en inglés prevalecerá sobre cualquier otra versión de este documento que pudiera estar disponible en este sitio en línea en otro idioma.
APÉNDICE A
Descripción del Procesamiento y Detalles de la Transferencia
| Objeto y Duración del Procesamiento | El objeto del Procesamiento es la prestación por parte de Hyland de los Productos y Servicios en virtud del Contrato. La duración del Procesamiento es la vigencia del Contrato, y cualquier período de salida, si corresponde. |
| Categorías de Titulares de Datos cuyos Datos Personales sean Procesados | Cualquier Titular de Datos cuyos Datos Personales sean procesados por Hyland en virtud del Contrato, que podría incluir las siguientes categorías de Titulares de Datos:
|
| Naturaleza y Propósito del Procesamiento | El propósito del Procesamiento es que Hyland proporcione los Productos y Servicios. La naturaleza del Procesamiento puede incluir, entre otros, recopilación, registro, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación mediante transmisión, difusión o puesta a disposición de otro modo, alineación o combinación, restricción, eliminación o destrucción. |
| Categorías de Datos Personales Procesados | Cualquier Dato Personal enviado por el Cliente a Hyland en virtud del Contrato. |
| Categorías de Datos Personales Sensibles Procesados | ☒ No se prevé la recopilación de ningún Dato Personal Sensible por parte de Hyland. ☐ El Cliente proporcionará las siguientes categorías de Datos Personales Sensibles a Hyland en virtud del Contrato: |
PARA USO EXCLUSIVO CON LAS SCCS DE LA UE Y LAS SCCS DE BRASIL | |
| Exportador de Datos | Cliente, tal y como se define en el presente DPA. |
| Importador de Datos | Hyland, tal y como se define en el presente DPA. |
| Frecuencia de la Transferencia | De forma continua (servicios relacionados con las ofertas alojadas o los servicios en la nube de Hyland); Base puntual (soporte técnico, servicios profesionales u otros servicios aplicables) |
| Período de Retención | En el caso de los clientes de alojamiento o servicios en la nube, los datos se conservan durante el período de vigencia del Contrato o de la Suscripción de Producto aplicable, incluido cualquier período de transición aplicable sujeto a cualquier período más corto que el Cliente pueda elegir eliminando permanentemente los Datos Personales del Servicio en la Nube. Los Datos Personales proporcionados a Hyland durante la prestación de servicios de asistencia técnica o profesionales se conservan durante un período no superior al necesario para los fines para los que se transfirieron los Datos Personales y, en ningún caso, superior al permitido por las leyes del país del Cliente. |
| Sub-Procesadores | Hyland podrá utilizar los Sub-Procesadores que figuran en https://community.hyland.com/en/connect/hyland-sub-processor-list. |
| Autoridad de Supervisión Competente | Para cualquier Cliente ubicado en UE/EEA, la autoridad de supervisión competente es la autoridad de supervisión del Estado Miembro de UE/EEA donde esté establecido el Cliente. |
PARA USO EXCLUSIVO CON LAS SCCS DE BRASIL | |
| Calificación del Exportador de Datos | Número de CNPJ del Cliente, tal y como se especifica en el Contrato o como se proporcione de otro modo a Hyland previa solicitud. |
| Calificación del Importador de Datos | N/A |
PARA USO EXCLUSIVO CON EL ANEXO DEL REINO UNIDO | |
| Número de Registro Oficial del Exportador de Datos | Número de registro oficial del Cliente según se especifica en el Contrato o según se proporcione de otro modo a Hyland previa solicitud. |
| Número de Registro Oficial del Importador de Datos | Número de registro oficial de Hyland según se especifica en el Contrato o según se proporcione de otro modo al Cliente previa solicitud. |
APÉNDICE B
Medidas Técnicas y Organizativas
Teniendo en cuenta:
• el estado de la técnica,
• los costos de aplicación y
• la naturaleza, el alcance, el contexto y
• la finalidad del procesamiento, así como
• el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas
Hyland aplicará las medidas técnicas y organizativas establecidas en el Contrato Maestro de Hyland. En la medida en que el Contrato Maestro de Hyland no especifique las medidas de seguridad técnicas y organizativas aplicables, entonces Hyland implementará las medidas de seguridad técnicas y organizativas establecidas en estas Medidas Técnicas y Organizativas como se indica a continuación:
1. Medidas de encriptación
• encriptación de dispositivos móviles como computadoras portátiles, tabletas, teléfonos inteligentes
• encriptación de medios de almacenamiento móviles (CD/DVD- ROM, memorias USB, discos duros externos)
• almacenamiento encriptado de contraseñas
• opción de encriptación para correos electrónicos sensibles y archivos adjuntos de correo electrónico
• intercambio de datos seguro (por ejemplo, SSL, FTPS, TLS)
• WLAN segura
2. Medidas para garantizar la confidencialidad
a. Medidas que garanticen que las personas no autorizadas no tengan acceso a los Datos Personales de los Clientes:
• sistema de control de acceso, lector de documentos (tarjeta magnética/chip)
• protecciones de las puertas (abrepuertas eléctrico, cerradura numérica, etc.)
• protección de las instalaciones, incluidos guardias de seguridad en las oficinas centrales de Hyland
• sistema de alarma
• videovigilancia
• medidas especiales de protección para la sala de servidores
• áreas prohibidas
• normas para los visitantes (por ejemplo, recolección en la recepción, documentación de las horas de visita, pase de visitante, acompañamiento de los visitantes a la salida después de la visita)
b. Medidas que impidan que personas no autorizadas puedan utilizar los sistemas que Procesan los Datos Personales de los Clientes:
• inicio de sesión personal e individual del usuario para su registro en los sistemas o en la red de la compañía
• proceso de autorización de acceso
• limitación de usuarios autorizados
• inicio de sesión único
• autenticación de dos factores
• contraseñas BIOS para computadoras portátiles corporativas
• procedimientos de contraseña (indicación de los parámetros de la contraseña en cuanto a complejidad e intervalo de actualización)
• registro del acceso
• inicio de sesión adicional en el sistema para determinadas aplicaciones
• bloqueo automático de los clientes tras la expiración de un determinado período sin actividad del usuario (también salvapantallas protegido por contraseña o modo de espera automático)
• cortafuegos (firewall)
c. Medidas que garanticen que solo las personas autorizadas tengan acceso a los sistemas que Procesan los Datos Personales de los Clientes y que los Datos Personales de los Clientes no puedan ser leídos, copiados, modificados o eliminados sin autorización:
• evaluaciones/registro del procesamiento de datos
• proceso de autorización para autorizaciones
• rutinas de autorización
• perfiles/roles
• encriptación en reposo y en tránsito para los Datos Personales del Cliente transferidos a Hyland a través de su herramienta de transferencia segura de archivos
• sistema de Gestión de Dispositivos Móviles para dispositivos móviles de propiedad corporativa y dispositivos móviles personales autorizados (los dispositivos móviles no forman parte de la solución alojada)
• segregación de funciones “segregation of duties”
• destrucción de registros y dispositivos de almacenamiento de acuerdo con NIST 800-88, según corresponda
• registros relacionados con la cibernética conservados durante no menos de seis meses
3. Medidas para garantizar la integridad
• derechos de acceso
• registro del lado del sistema
• sistema de gestión de documentos (Document Management System o “DMS” por sus siglas en inglés) con historial de cambios
• software de seguridad/registro
• responsabilidades funcionales, responsabilidades especificadas por la organización
• conexiones de datos remotas en túnel (Virtual Private Network o “VPN” por sus siglas en inglés = red privada virtual)
• firma electrónica
• registro de la transferencia o el transporte de datos
• registro de los accesos de lectura
4. Medidas para garantizar y restablecer la disponibilidad
• concepto de seguridad para el software y las aplicaciones informáticas
• procedimientos de copia de seguridad, según corresponda
• garantía de almacenamiento de datos en una red segura
• instalación de actualizaciones de seguridad en función de las necesidades
• instalación de una fuente de alimentación ininterrumpida
• instalaciones de archivo adecuadas para los documentos en papel
• protección contra incendios y/o agua de extinción para la sala de servidores
• sala de servidores climatizada
• protección antivirus
• cortafuegos (firewall)
• plan de continuidad de la actividad
• ejercicios exitosos de recuperación de desastres
• almacenamiento de datos redundante y separado localmente (almacenamiento externo), según corresponda
5. Medidas para garantizar la capacidad de recuperación
• plan de emergencia en caso de avería de la máquina/plan de recuperación del negocio
• suministro eléctrico redundante
• capacidad suficiente de los sistemas informáticos y las plantas
• proceso controlado logísticamente para evitar picos de potencia
• sistemas/plantas redundantes
• capacidad de recuperación y gestión de errores
6. Procedimiento de revisión, valoración y evaluación periódicas de la eficacia de las medidas técnicas y organizativas
• procedimiento para controles/auditorías regulares
• concepto para la revisión, valoración y evaluación periódicas
• sistema de reportes
• pruebas de penetración
• pruebas de emergencia
• certificaciones aplicables
7. “Control de instrucciones/control de asignación”
• proceso de emisión y/o seguimiento de instrucciones
• especificación de las personas de contacto y/o empleados responsables
• control/examen de que la asignación se ejecuta de acuerdo con las instrucciones
• capacitación/instrucción de todos los empleados con acceso autorizado
• auditoría independiente del cumplimiento de las instrucciones
• compromiso de los empleados de mantener la confidencialidad
• acuerdo sobre las sanciones por incumplimiento de las instrucciones
• gerente/coordinador de protección de datos
• mantener registros de las actividades de procesamiento de conformidad con el art. 30, párrafo 2 GDPR, según corresponda
• Política documentada de Respuesta a Incidentes de Seguridad, que incluya procesos de escalamiento para las Violaciones de Datos Personales
• pautas/instrucciones destinadas a garantizar las medidas técnico-organizativas para la seguridad del procesamiento
• proceso de transmisión de las solicitudes de los titulares de datos
La versión más actual de este documento tendrá vigencia a partir de las 12:00 am EST (Hora Estándar del Este) de la fecha estampada en dicha versión en línea.