Software como servicio - Términos y condiciones

1. Ámbito de aplicación

Estos Términos de SaaS establecen los términos y condiciones bajo los cuales YAPU proporcionará al Cliente acceso a ciertas aplicaciones como se establece en la Orden de Compra ("Software Alojado") y la documentación de usuario que YAPU pone a disposición de su base general de clientes en forma impresa o electrónica junto con la licencia de dicho Software ("Documentación").

2. Concesión de licencia y derecho de uso

2.1. YAPU pone a disposición del Cliente el Software alojado bajo un modelo de Software como Servicio (SaaS) limitado al término de este Acuerdo según se define en la Orden de Compra (el "Plazo de Suscripción").

2.2. Sujeto a todas las limitaciones y restricciones contenidas en este Acuerdo, YAPU otorga al Cliente un derecho no exclusivo y no transferible y no sublicenciable para acceder al Software Alojado (y su Documentación) tal y como está alojado por YAPU durante el Plazo de Suscripción y para utilizarlo únicamente para realizar aquellas funciones descritas en la Documentación para sus propósitos comerciales internos (la "Licencia SaaS").

2.3. A menos que se prohíba expresamente en la Orden de Compra, el Cliente puede permitir a cualquier subsidiaria, compañía afiliada o tercero acceder al Software Alojado. La frase 1 se aplica sólo si el Cliente i) paga las tarifas de servicio indicadas en la Orden de Compra también por los servicios utilizados por dichas partes, y ii) asegura la estricta adhesión de dichas partes a los términos de este Acuerdo. El Cliente es totalmente responsable de los actos y omisiones de dichas terceras partes bajo este Acuerdo. Cualquier incumplimiento de los términos de este Acuerdo por cualquiera de dichas partes se considerará como un incumplimiento de este Acuerdo por parte del Cliente.

2.4. YAPU se esforzará por asegurar un alto grado de disponibilidad del software alojado. No obstante, puede ser necesario suspender temporalmente la disponibilidad para fines de mantenimiento. Siempre que sea posible, YAPU notificará al cliente por adelantado y de manera oportuna sobre cualquier programa de mantenimiento y diseñará este último de manera que cause el menor daño posible.

2.5. YAPU tiene derecho a actualizar el software alojado de forma regular como parte de su enfoque general sobre la gestión del ciclo de vida y la mejora del producto.

2.6. YAPU se reserva el derecho de subcontratar cualquier servicio bajo este acuerdo.

2.7. El Cliente se compromete a mantener informada a YAPU de cualquier cambio en su estado y a proporcionar a YAPU cualquier información que sea relevante para la prestación del servicio y/o este Acuerdo en general (dirección de facturación, estado financiero, etc.).

3. Usuarios autorizados

3.1. A menos que se acuerde lo contrario en la Orden de Compra, la Licencia SaaS se concede como una licencia por Cuenta de Usuario. Una "Cuenta de Usuario" significa una cuenta en línea que permite el acceso al Software Alojado que está configurado para Usuarios Autorizados específicamente nombrados (como se define más abajo). El número máximo de Cuentas de Usuario se especifica en la Orden de Compra.

3.2. Salvo que se indique expresamente lo contrario en la orden de compra, los "Usuarios autorizados" serán únicamente: i) empleados del Cliente, y ii) con sujeción a la Sección 7 (Confidencialidad), terceros autorizados en virtud de la Sección 2.3 anterior. El Cliente es plenamente responsable de los actos y omisiones de los Usuarios Autorizados en virtud del presente Acuerdo.

3.3. El Cliente es responsable de asegurarse de que el acceso a una Cuenta de Usuario no sea compartido. Sólo una persona puede autenticarse en una Cuenta de usuario.

3.4. El Cliente estará obligado a mantener confidenciales los nombres de usuario y las contraseñas necesarias para el uso del Software Alojado, a mantenerlos en un lugar seguro y a protegerlos contra el acceso no autorizado de terceros con las precauciones adecuadas, así como a instruir a sus Usuarios Autorizados para que observen las normas de derechos de autor. Los datos de acceso personal deben cambiar en intervalos regulares.

4. Usos no permitidos

4.1. Salvo en la medida expresamente permitida en este Acuerdo o requerida por la ley de manera no excluyente, la Licencia SaaS otorgada por YAPU al Cliente en virtud de este Acuerdo está sujeta a las siguientes prohibiciones:

a) El Cliente no debe permitir que ninguna persona no autorizada acceda o utilice el Software Alojado;

b) El Cliente no debe utilizar el Software Alojado para proporcionar servicios a terceros, a menos que se especifique lo contrario en el Acuerdo;

c) El Cliente no debe volver a publicar o redistribuir ningún contenido o material del Software Alojado

d) El Cliente no debe realizar ninguna modificación en el Software, excepto las permitidas por la Documentación; y

e) El cliente no, directa o indirectamente: (i) realizara ingeniería inversa, descompilar, desensamblar o intentar descubrir el código fuente, el código objeto o la estructura subyacente, las ideas, el know-how o los algoritmos pertinentes al Software Alojado; (ii) modificar, traducir o crear trabajos derivados basados en el Software Alojado (excepto en la medida en que YAPU lo permita expresamente).

4.2. El cliente no debe usar el software alojado de ninguna manera que

a) es ilegal, ilícito, fraudulento o perjudicial, o está relacionado con tal comportamiento;

b) cause, o pueda causar, daños al software alojado o el deterioro de la disponibilidad o accesibilidad del software alojado, incluyendo a través de, pero no limitado a, la promoción o distribución de, o la infección con, cualquier virus, gusanos, spyware, adware u otro software, programas, rutinas, aplicaciones o tecnologías dañinas o maliciosas o no aptas para su propósito.

5. Tarifas por servicios

5.1. El Cliente pagará a YAPU las tarifas indicadas en la Orden de Compra (las "Tarifas por Servicios").

5.2. A menos que se indique lo contrario en una orden de compra, todas las tarifas deben ser pagadas a YAPU en un plazo de quince (15) días a partir de la fecha de la factura.

5.3. Todo pago tardío estará sujeto a los gastos de cobro (incluidos los honorarios razonables de los abogados) y devengará intereses al tipo legal.

5.4. Si el Cliente se retrasa en el pago de las Tarifas por Servicios durante quince (15) días o más, YAPU puede suspender el acceso al Software Alojado.

5.5. Las reclamaciones sobre las facturas deben hacerse por escrito en un plazo de quince (15) días a partir de la fecha de la factura. Las facturas se enviarán por correo electrónico a menos que el cliente solicite lo contrario, en cuyo caso se aplicarán tasas adicionales.

5.6. Todas las cantidades establecidas en o en relación con este Acuerdo son, a menos que el contexto requiera lo contrario, establecidas excluyendo cualquier impuesto sobre el valor agregado aplicable u otros impuestos específicos como la retención de impuestos, que se añadirán a esas cantidades y son pagadas por el Cliente a YAPU o, según corresponda, directamente a las autoridades fiscales locales.

6. Derechos de propiedad intelectual

6.1. El Cliente reconoce que, sujeto a las Licencias SaaS otorgadas en este documento, el Cliente no tiene ningún interés de propiedad en el Software Alojado o en los materiales de YAPU proporcionados al Cliente.

6.2. YAPU será propietaria de todos los derechos, títulos e intereses de dicho Software y de los materiales de YAPU, sujeto a cualquier limitación asociada con los derechos de propiedad intelectual de terceros. YAPU se reserva todos los derechos no otorgados específicamente en este documento.

7. Confidencialidad

7.1. Cada una de las Partes se compromete a tratar la información confidencial de la otra Parte respectiva con estricta confidencialidad y a utilizarla sólo para el cumplimiento del presente Acuerdo.

7.2. Tras la terminación del presente Acuerdo, todos los derechos y obligaciones de cada una de las Partes con respecto a la información confidencial de la otra Parte respectiva seguirán aplicándose durante un período de diez (10) años.

8. Datos del cliente y protección de datos

8.1. Antes de introducir sus datos e información al Software Alojado (tales datos como los "Datos del Cliente") y/o usar hardware y software en conexión con el Software Alojado, el Cliente estará obligado a comprobar el mismo por virus u otros componentes dañinos y a usar programas anti-virus de última generación para este propósito.

8.2. Además, el propio cliente será responsable de la entrada y el mantenimiento de sus datos de cliente. YAPU creará una copia de seguridad de los datos del cliente al menos una vez por semana.

8.3. El Cliente otorga a YAPU una licencia no exclusiva y libre de regalías para acceder, usar, reproducir, modificar, ejecutar, mostrar y distribuir los Datos del Cliente según sea razonable o necesario para que YAPU ejecute o proporcione el Software Alojado.

8.4. El cliente es el único responsable de todos los datos del cliente, en particular de que su transferencia y uso de acuerdo con el presente Acuerdo no viole ninguna ley aplicable, incluidas las leyes de protección de datos, y/o los derechos de propiedad intelectual de terceros.

8.5. El cliente reconoce que YAPU no ejerce ningún control sobre los datos del cliente y que actúa solamente como un conducto en la transmisión y manejo de los datos del cliente.

8.6. Cualquier procesamiento de datos personales del cliente por parte de YAPU en nombre del cliente se regirá por un acuerdo de procesamiento de datos separado que se ejecutará de acuerdo con el Art. 28 del Regulamento General de Protección de Datos europeo, si y en la medida en que sea necesario según el Regulamento General de Protección de Datos. Este acuerdo de procesamiento de datos se adjunta al presente.

9. Fase piloto y de prueba

9.1. Las Partes pueden acordar una Fase Piloto y/o una Fase de Prueba durante la cual se pueden aplicar disposiciones específicas y durante la cual, en el caso de una Fase de Prueba, YAPU proporcionará el Software Hospedado de forma gratuita.

9.2. Durante dicha fase de prueba, YAPU no asume ninguna responsabilidad en cuanto a la integridad y/o corrección del software libre, a menos que YAPU haya causado el defecto con intención, por negligencia grave o por ocultación fraudulenta.

10. Limitación de la responsabilidad

10.1. En caso de mala conducta intencional, YAPU será responsable según las disposiciones legales de la ley aplicable.

10.2. En caso de negligencia grave, YAPU será responsable según las disposiciones legales de la ley aplicable.

10.3. En caso de negligencia ordinaria, YAPU será responsable - siempre que el estándar de responsabilidad no se limite de acuerdo con las disposiciones legales de la ley aplicable (como cualquier limitación al deber de diligencia observado en los asuntos propios) - sólo por el incumplimiento de las obligaciones contractuales materiales (las obligaciones contractuales materiales son obligaciones cuyo incumplimiento pone en peligro el propósito del acuerdo y en cuyo cumplimiento el cliente generalmente confía y puede confiar razonablemente); en este caso la responsabilidad de YAPU se limitará a los daños típicos que eran razonablemente previsibles. Por lo tanto, los daños indirectos y consecuentes que resulten de defectos de los bienes y/o trabajos entregados sólo son elegibles para compensación si dichos daños son típicos y razonablemente previsibles y cuando los bienes y/o trabajos son utilizados de conformidad con su propósito previsto.

10.4. Las limitaciones mencionadas no se aplican a

a) los daños resultantes de lesiones a la vida, al cuerpo o a la salud;

b) la responsabilidad de conformidad con la Ley de responsabilidad por productos defectuosos de Alemania;

c) la asunción de una garantía por el estado de los bienes y/o el trabajo o la ocultación fraudulenta de defectos por parte de YAPU.

10.5. Las limitaciones de responsabilidad antes mencionadas se aplicarán, con sujeción a las disposiciones de la sección 9.5, a: i) toda reclamación de responsabilidad por cualquier motivo jurídico, pero en particular por imposibilidad, incumplimiento, entrega defectuosa o incorrecta, incumplimiento de contrato, incumplimiento de obligaciones en las negociaciones contractuales y responsabilidad extracontractual, en la medida en que dichas reclamaciones estén sujetas a culpa, y ii) todo incumplimiento del deber por parte de agentes indirectos o cualquier otra persona por cuya conducta se pueda considerar responsable a YAPU de conformidad con las disposiciones legales de la legislación aplicable.

11. Plazo y Terminación

11.1. El plazo de suscripción se definirá en la orden de compra.

11.2. El presente Acuerdo puede ser rescindido por YAPU: (i) si el Cliente no realiza ningún pago debido en virtud del presente dentro de los quince (15) días de la fecha de vencimiento; (ii) en treinta (30) días de aviso por escrito al Cliente si el Cliente no cumple con cualquier otra obligación material que se le exija en virtud del presente, y dicho incumplimiento no se subsana dentro de dicho período de treinta (30) días; o (iii) el cliente presenta una petición de quiebra o insolvencia, tiene una petición involuntaria presentada en su contra, inicia una acción que prevé el alivio en virtud de las leyes de bancarrota, presenta el nombramiento de un administrador, o se adjudica una empresa en quiebra.

11.3. A la terminación de este Acuerdo, el Cliente ya no podrá acceder al Software Alojado y el Cliente no podrá eludir ningún mecanismo de seguridad contenido en el mismo.

11.4. Dentro de los treinta (30) días siguientes a la terminación de este Acuerdo por cualquier razón y a la presentación de una solicitud de transferencia de datos ("Solicitud de Transferencia de Datos"), lo que sea posterior, YAPU proporcionará al Cliente un extracto de todos los Datos del Cliente almacenados en el Software al momento de la terminación, en formato legible por máquina. La Solicitud de Transferencia de Datos debe ser presentada dentro de los siete (7) días siguientes a la terminación. En ausencia de una Solicitud de Transferencia de Datos, YAPU borrará los Datos del Cliente de su Software.

11.5. Se podrán conservar los datos anónimos previamente elaborados a partir de los Datos del Cliente, particularmente para fines academicos y de desarrollo de productos. Las copias técnicas producidas dentro de un sistema de archivo informático pueden ser conservadas por YAPU.

12. Actualizaciones de estos términos de SaaS

12.1. YAPU se reserva el derecho de cambiar estos Términos de SaaS, proporcionando al Cliente una notificación correspondiente por escrito (basta con un correo electrónico).

12.2. Cualquier cambio de este tipo se hará efectivo una vez transcurridos treinta (30) días calendario desde la recepción de la notificación enviada por YAPU al cliente.

12.3. Durante ese período, el Cliente tendrá el derecho de rescindir este Acuerdo mediante la correspondiente notificación por escrito a YAPU, en caso de que el Cliente no esté dispuesto a aceptar los Términos de SaaS revisados.

12.4. En caso de que el cliente no ejerza su derecho de rescisión anticipada dentro de dicho período, el Acuerdo continuará en base a los Términos de SaaS revisados.

13. Disposiciones finales

13.1. Las enmiendas o adiciones al presente Acuerdo requerirán la forma escrita para ser efectivas, a menos que se requiera una forma más estricta en virtud del derecho imperativo. Lo mismo se aplica a la renuncia a este requisito de forma escrita. Salvo que se acuerde expresamente lo contrario en el presente Acuerdo, los correos electrónicos no cumplen con este requisito de forma escrita. Se considerará que se ha cumplido el requisito de la forma escrita en virtud del presente Acuerdo cuando la copia de una declaración se transmita por telecomunicaciones (por ejemplo, como anexo de un correo electrónico) y esa copia contenga la firma de la persona que hace esa declaración, a menos que se requiera una forma más estricta en virtud del derecho imperativo. En caso de traducciones de conveniencia del presente Acuerdo, sólo será vinculante la versión en idioma inglés del presente Acuerdo.

13.2. El presente Acuerdo se regirá por las leyes de la República Federal de Alemania, con exclusión de las normas de conflicto de leyes de derecho internacional privado. Queda excluida la aplicabilidad de la Convención de las Naciones Unidas sobre los Contratos de Compraventa Internacional de Mercancías (CISG).

13.3. El lugar de jurisdicción exclusivo para todas las disputas que surjan del presente Acuerdo o en relación con éste será Berlín, Alemania, a menos que el derecho imperativo disponga otra cosa.

13.4. El idioma del Acuerdo es inglés, las traducciones son sólo indicativas.

13.5. Si alguna de las disposiciones del presente Acuerdo fuera o llegara a ser inválida o inaplicable en su totalidad o en parte, la validez de las restantes disposiciones del presente Acuerdo no se verá afectada. Lo mismo se aplicará en caso y en la medida en que se produzca una diferencia en el presente Acuerdo. En lugar de la disposición inválida o inaplicable o para llenar el vacío, se aplicará una disposición apropiada que, en la medida de lo legalmente posible, se acerque o corresponda a lo que las Partes pretendían o habrían pretendido económicamente de acuerdo con el espíritu y el propósito de este Acuerdo, si hubieran considerado este punto.

Tratamiento de datos

Este Acuerdo de Tratamiento de Datos ("DPA"), que no requiere de una firma separada, es parte integral del Acuerdo ("Acuerdo") entre YAPU Solutions GmbH ("YAPU") y "Cliente" como se ejecutó mediante la ejecución de una Orden de Compra de fecha [___].

Todos los términos en mayúsculas que no estén definidos en los párrafos siguientes tendrán el significado establecido en el Acuerdo.

En el transcurso de la prestación de los Servicios Alojados al Cliente de conformidad con el Acuerdo de Tratamiento de Datos, YAPU podrá tratar Datos Personales en nombre del Cliente, y las Partes acuerdan cumplir con las siguientes disposiciones con respecto a los Datos Personales, cada uno de los cuales actuará de forma razonable y de buena fe.

Las disposiciones de este DPA son aplicables durante todo el período de suscripción del Acuerdo. La sección 6 de este DPA sobrevivirá a la terminación del Acuerdo. Cualquier disposición del Acuerdo que contradiga directamente este DPA será reemplazada por este DPA. Todas las demás disposiciones del Acuerdo, incluidas las relativas a servicios, garantías, limitaciones de garantía, limitación de responsabilidades, fuerza mayor, eventos de incumplimiento, avisos y disposiciones varias, se leerán como complementarias de este DPA.

1. Ámbito de aplicación y finalidad

El presente DPA se refiere a los derechos y obligaciones entre las partes en relación con las operaciones que se realicen o puedan realizarse con Datos Personales como parte del Acuerdo, ya sea por medios automatizados o no automatizados, como la recogida, registro, organización, estructuración, almacenamiento, adaptación o alteración, consulta de recuperación, uso, divulgación por transmisión, difusión u otro uso, restricción, borrado o destrucción ("Tratamiento"). Su objetivo consiste en garantizar el pleno cumplimiento del Reglamento General de Protección de Datos y de la Ley alemana sobre protección de datos (BDSG, por sus siglas en alemán) en su versión modificada.

2. Datos cubiertos y ámbito territorial

El DPA trata sobre todos los Datos del Cliente, incluyendo todos los Datos Personales. La transferencia de datos a un país distinto de (i) el país o países desde los que se generan los Datos del Cliente, (ii) Alemania e (iii) Irlanda, donde el Proveedor mantiene sus servidores, no tendrá lugar sin el consentimiento previo por escrito del Responsable y solo en la medida en que lo permita la ley.

3. Roles y responsabilidades

3.1 Roles y funciones

(a) Las partes reconocen y acuerdan que, en lo que respecta al procesamiento de datos personales, el cliente es la entidad que determina los propósitos y medios del procesamiento de datos personales ("Controlador"), mientras que YAPU es la entidad que procesa los datos personales en nombre del Controlador ("Procesador").

(b) La finalidad del tratamiento de Datos Personales es la prestación de los Servicios Alojados y el cumplimiento del Acuerdo ("Finalidad del tratamiento").

(c) YAPU puede contratar a terceros para procesar los datos del cliente ("Subencargados del Tratamiento de Datos Personales") de conformidad con los requisitos establecidos en este DPA.

(d) En el momento de la ejecución del presente Acuerdo, YAPU utiliza los siguientes subencargados:  MongoDB Limited, Amazon Web Services, Heroku.

(e) YAPU no contratará subencargados adicionales sin la autorización previa, específica o general, por escrito del cliente. Por la presente, el Cliente otorga dicha autorización general por escrito.

(f) En el caso de una autorización general por escrito, YAPU informará al Cliente de cualquier cambio que se pretenda hacer en relación con la adición o el reemplazo de otros Subencargados, dándole así al Cliente la oportunidad de objetar a dichos cambios.

3.2 Responsabilidades

(a) El Cliente deberá ser el único responsable de la exactitud, calidad y legalidad de los Datos Personales y de los medios por los cuales el Cliente ha adquirido y utiliza los Datos Personales.

(b) Las instrucciones del Cliente relativas al tratamiento de los Datos del Cliente deberán cumplir en todo momento con las Leyes aplicables en materia de Protección de Datos.

(c) El Encargado deberá actuar exclusivamente siguiendo instrucciones documentadas del Responsable. El Encargado deberá garantizar que los Datos del Cliente confiados no se utilicen para otros fines o se traten de cualquier otra manera que no sea la indicada en las instrucciones del Responsable.

4. Personas interesadas

4.1 Solicitudes de personas interesadas

(a) Como Responsable, el Cliente es responsable de responder a cualquier solicitud de una persona identificada o identificable en cualquier Dato Personal tratado en el ámbito de aplicación del Acuerdo ("Persona Interesada") en relación con el acceso, la rectificación o la supresión ("Solicitud de una Persona Interesada").

(b) Cuando YAPU reciba una solicitud de una Persona Interesada, YAPU notificará de inmediato al Cliente de dicha solicitud.

4.2 Asistencia

(a) Siempre que sea posible, YAPU deberá prestar la asistencia adecuada al Cliente para que este último cumpla con la obligación de responder a una Solicitud de una Persona Interesada.

(b) El Cliente deberá ser responsable de cualquier costos que se derive de la asistencia del Proveedor.

5. Tratamiento confidencial

5.1 Protección frente a interferencias

(a) YAPU deberá organizar las actividades de tratamiento de forma que los Datos Personales estén razonablemente protegidos frente a pérdidas, daños, alteraciones, tratamientos no deseados o interferencias no autorizadas de cualquier naturaleza ("Infraestructura de Seguridad de Datos"). YAPU supervisa regularmente la Infraestructura de Seguridad de Datos.

(b) YAPU hace uso de las siguientes herramientas e instalaciones para su Infraestructura de Seguridad de Datos:

a. Software

i. Seguridad de la red

1. Cortafuegos: YAPU, a través de sus Subencargados del Tratamiento de Datos Personales, utiliza cortafuegos para restringir el acceso a los sistemas desde redes externas y entre sistemas internamente. De forma predeterminada, se deniega todo tipo de acceso y solo se permiten los puertos y protocolos explícitamente permitidos en función de las necesidades empresariales.  Cada sistema se asigna a un grupo de seguridad de cortafuegos basado en la función del sistema. Los grupos de seguridad restringen el acceso solo a los puertos y protocolos necesarios para la función específica de un sistema con el de mitigar riesgos.

Los cortafuegos basados en host impiden que las aplicaciones de los clientes establezcan conexiones de host local a través de la interfaz de red de bucle invertido para proporcionar un mayor aislamiento a las aplicaciones de los clientes. Los cortafuegos basados en host también ofrecen la posibilidad de limitar adicionalmente las conexiones entrantes y salientes según sea necesario.

2. Mitigación de DDoS: YAPU, a través de la infraestructura de sus Subencargados del Tratamiento de Datos Personales, proporciona técnicas de mitigación de DDoS, incluyendo cookies TCP Syn y limitación de la velocidad de conexión, además de mantener varias conexiones troncales y capacidad de ancho de banda interna que exceda el ancho de banda suministrado por el proveedor de Internet. YAPU trabaja en estrecha colaboración con sus Subencargados del Tratamiento de Datos Personales para responder rápidamente a los acontecimientos y permitir controles avanzados de mitigación de DDoS cuando sea necesario.

3. Protección contra suplantación y husmeo: YAPU, a través de los cortafuegos gestionados por sus Subencargados del Tratamiento de Datos Personales, impide la suplantación de IP, MAC y ARP en la red y entre hosts virtuales para garantizar que no puedan producirse suplantaciones. El husmeo de paquetes se evita gracias a la infraestructura, incluyendo el hipervisor, que no suministrará tráfico a una interfaz a la que no está dirigido. YAPU, a través de sus Subencargados del Tratamiento de Datos Personales, utiliza el aislamiento de aplicaciones, las restricciones de sistemas operativos y las conexiones cifradas para garantizar que el riesgo se reduzca aún más en todos los niveles.

4. Escaneo de puertos: el escaneo de puertos está prohibido; asimismo, toda instancia que se denuncie será investigada por el Proveedor a través del proveedor de infraestructura de sus Subencargados del Tratamiento de Datos Personales.  Cuando se detectan los escaneos de puertos, estos se detienen y se bloquea el acceso a los mismos.

ii. Seguridad de datos

1. Aplicaciones de YAPU: la aplicación de YAPU se ejecuta en las plataformas de los Subencargados del Tratamiento de Datos Personales dentro de su propio entorno aislado y no puede interactuar con otras aplicaciones o áreas de los sistemas de dichos Subencargados del Tratamiento de Datos Personales. Dicho entorno operativo restrictivo está diseñado para evitar problemas de seguridad y estabilidad.  Asimismo, dichos entornos autónomos aíslan los procesos, la memoria y el sistema de archivos utilizando LXC, mientras que los cortafuegos basados en host restringen las conexiones de red locales de las aplicaciones del Proveedor y de otras aplicaciones alojadas en los mismos Subencargados del Tratamiento de Datos Personales.

2. Bases de datos postgres del Subencargado del Tratamiento de Datos Personales: los datos de YAPU se almacenan en bases de datos de acceso controlado separadas. Las bases de datos de YAPU requieren un nombre de usuario y una contraseña únicos que solo sean válidos para dicha base de datos específica y que sean únicos para una sola aplicación.

Las conexiones de YAPU a las bases de datos postgres requieren un cifrado SSL para garantizar un alto nivel de seguridad y privacidad.

Los datos almacenados pueden ser cifrados por las aplicaciones de YAPU para cumplir con los requisitos de seguridad de los datos. YAPU puede implementar requisitos de almacenamiento de datos, gestión de claves y retención de datos al desarrollar su aplicación.

iii. Seguridad de sistemas

1. Configuración de los sistemas: la configuración y consistencia del sistema se mantiene a través de imágenes estándar y actualizadas, software de gestión de configuración y reemplazando los sistemas por implementaciones actualizadas. Los sistemas se implementan utilizando imágenes actualizadas que se actualizan con cambios de configuración y actualizaciones de seguridad antes de la implementación. Una vez implementados, los sistemas existentes se retiran y se sustituyen por sistemas actualizados.

2. Autenticación de los sistemas: el acceso al sistema operativo está limitado al personal de los Subencargados del Tratamiento de Datos Personales y requiere una autenticación de nombre de usuario y clave. Los sistemas operativos no permiten la autenticación de contraseñas para evitar ataques por fuerza bruta, robo y uso compartido de contraseñas.

b. Hardware:

i. Centros de datos: la infraestructura física de YAPU se aloja y gestiona en los centros de datos seguros de Amazon y utiliza la tecnología Amazon Web Service (AWS).

ii. Seguridad física: YAPU, a través de su Subencargado del Tratamiento de Datos Personales utiliza centros de datos con certificados ISO 27001 y FISMA, administrados por Amazon. Amazon tiene muchos años de experiencia en el diseño, construcción y gestión de centros de datos a gran escala. Esta experiencia se ha aplicado a la plataforma e infraestructura de AWS. Los centros de datos con tecnología AWS están alojados en instalaciones indefinidas; asimismo, las instalaciones críticas cuentan con amplias bermas de control de perímetro de grado militar y de retroceso, así como con otras protecciones de límites naturales. El acceso físico está estrictamente controlado tanto en el perímetro como en los puntos de entrada de los edificios por personal profesional de seguridad, que utiliza videovigilancia, sistemas de detección de intrusos de última generación y otros medios electrónicos.

El personal autorizado debe pasar la autenticación de dos factores no menos de tres veces para acceder a las plantas del centro de datos. Todos los visitantes y contratistas deben presentar una identificación; asimismo, se procede a su registro de acceso y son escoltados continuamente por personal autorizado. Amazon solo proporciona acceso al centro de datos e información a los empleados que tengan una necesidad empresarial legítima de tales privilegios. Cuando un empleado ya no necesita estos privilegios, se revoca su acceso inmediatamente, incluso si sigue siendo un empleado de Amazon o de Amazon Web Services. Todo acceso físico y electrónico a los centros de datos por parte de los empleados de Amazon se registra y audita de forma rutinaria.

c. Certificación de terceros:

a. Hardware

i. Centros de datos: YAPU, a través de sus Subencargados del Tratamiento de Datos Personales, confía en centros de datos seguros gestionados por Amazon. Amazon gestiona continuamente los riesgos y se somete a evaluaciones periódicas para garantizar el cumplimiento de las normas y estándares del sector en virtud de los cuales se han acreditado las operaciones del centro de datos de Amazon; dichas normas y estándares son los siguientes: ISO 27001, SOC 1 y SOC 2 / SSAE 16 / ISAE 3402, PCI Level 1, FISMA Moderate y Sarbanes-Oxley (SOX).

d. A petición escrita del Cliente a intervalos razonables y en virtud a las obligaciones de confidencialidad estipuladas en el Acuerdo, YAPU facilitará un acceso razonable al Cliente a los certificados pertinentes, que están en posesión de YAPU o sus Subencargados del Tratamiento de Datos Personales.

5.2 Información sobre copias de seguridad y recuperación en caso de desastre

YAPU realiza copias de seguridad diarias de los datos en nombre del Cliente; esto incluye datos sobre ajustes generales del cliente, plantillas de cuestionarios, datos del cuestionario del cliente final (datos en bruto e informes), estados del cliente final, tarjetas de visita y usuarios. Los datos se almacenan durante treinta (30) días consecutivos.

Además, YAPU aplica las siguientes medidas:

(a) Copias de seguridad:

i. la aplicación de YAPU se somete automáticamente a copias de seguridad como parte del proceso de implementación de un almacenamiento seguro, controlado por acceso y redundante.  YAPU, a través de sus Subencargados del Tratamiento de Datos Personales, utiliza dichas copias de seguridad para implementar la aplicación de YAPU a través de la plataforma del Subencargado del Tratamiento de Datos Personales y para volver a poner la aplicación del Cliente en línea de manera automática en caso de que se produzca una interrupción.

ii. Base de datos postgres de YAPU: la protección continua mantiene los datos seguros en la base de datos postgres del Subencargado del Tratamiento de Datos Personales. Todo cambio en los datos de YAPU se escribe en registros de escritura previa, que se envían a un centro de datos múltiple y a un sistema de almacenamiento de alta durabilidad. En el improbable caso de que se produzca un fallo de hardware irrecuperable, dichos registros pueden "reproducirse" automáticamente para recuperar la base de datos a los pocos segundos de su último estado conocido.

iii. Configuración y metainformación: la configuración y la metainformación de YAPU se someten a copias de seguridad cada minuto en la misma infraestructura redundante y de alta durabilidad que se utiliza para almacenar la información de la base de datos de YAPU. Estas copias de seguridad frecuentes permiten capturar los cambios que se hayan aplicado en la configuración de la aplicación en ejecución y que se hayan añadido después de la implementación inicial.

iv. Plataforma del Subencargado del Tratamiento de Datos Personales: desde las imágenes de instancia del Subencargado del Tratamiento de Datos Personales hasta sus bases de datos, cada componente se somete a una copia de seguridad y se almacena de una manera segura, redundante y mediante un control de accesos.  Su plataforma permite recuperar bases de datos segundos después del último estado conocido, así como restaurar instancias del sistema a partir de plantillas estándar e implementar aplicaciones y datos de clientes.

Además de las prácticas estándar de copias de seguridad, la infraestructura del Subencargado del Tratamiento de Datos Personales está diseñada para escalar y ser tolerante con los fallos, reemplazando automáticamente las instancias fallidas y reduciendo la probabilidad de tener que restaurar partiendo de la copia de seguridad.

(b) Recuperación en caso de desastre:

i. Aplicación y bases de datos de YAPU: la plataforma del Subencargado del Tratamiento de Datos Personales restaura automáticamente la aplicación de YAPU y las bases de datos postgres del Subencargado del Tratamiento de Datos Personales en caso de producirse una interrupción. La plataforma del Subencargado del Tratamiento de Datos Personales está diseñada para implementar dinámicamente aplicaciones dentro de la nube del Subencargado del Tratamiento de Datos Personales, monitorizar fallos y recuperar componentes fallidos de la plataforma, incluyendo aplicaciones y bases de datos de clientes.

ii. Plataforma del Subencargado del Tratamiento de Datos Personales: la plataforma del Subencargado del Tratamiento de Datos Personales está diseñada para ofrecer estabilidad y escalabilidad; asimismo, mitiga de manera inherente problemas comunes que producen interrupciones mientras mantiene las capacidades de recuperación. Su plataforma mantiene la redundancia para prevenir puntos únicos de falla; asimismo, es capaz de reemplazar componentes fallidos y utiliza varios centros de datos diseñados para resistir. En caso de producirse una interrupción, la plataforma se implementa en varios centros de datos utilizando las imágenes actuales del sistema; asimismo, los datos se restauran a partir de las copias de seguridad. El Subencargado del Tratamiento de Datos Personales revisa los problemas de la plataforma para entender la causa que provocó dicha interrupción y el impacto que ha tenido en los clientes y para mejorar la plataforma y los procesos.

5.3 Personal de YAPU

El personal de YAPU podrá acceder a los Datos Personales únicamente en caso de que sea necesario conocerlos. Todos los miembros del personal han firmado un acuerdo de confidencialidad que les obliga a mantener una estricta confidencialidad con respecto a los Datos Personales. Asimismo, YAPU ha tomado medidas razonables para garantizar la fiabilidad de su personal.

5.4 Incidentes

Siempre que YAPU tenga conocimiento de una vulneración, daño o riesgo de daño a la Infraestructura de Seguridad de Datos o del tratamiento de Datos Personales por parte del personal de YAPU o de los Subencargados del Tratamiento de Datos Personales contratados ("Incidente"), YAPU deberá informar inmediatamente al Cliente, deberá preparar un registro de datos por escrito para el Incidente y deberá tomar todas las medidas razonables para identificar y remediar la causa del Incidente.

5.5 Responsable de la Protección de Datos

YAPU ha designado un responsable de la protección de datos, con el cual puede contactarse enviando un correo electrónico a data.privacy@yapu.solutions

6. Transferencia y supresión de datos

6.1 Transferencia

Dentro de los treinta (30) days siguientes a la rescisión del Acuerdo, los Clientes podrán solicitar la devolución de sus respectivos Datos de Cliente que se hayan tratado en el ámbito de los Servicios Alojados (en la medida en que dichos datos no hayan sido suprimidos por el Cliente). YAPU deberá proporcionar dichos Datos de Cliente a través de un archivo en formato de valor separado por comas (.csv) y archivos adjuntos en su formato original para su descarga.

6.2 Supresión de datos

Después de la rescisión del Acuerdo, los Datos del Cliente que se hayan tratado en el ámbito de los Servicios Alojados se mantienen inactivos durante ciento veinte (120) días, tras lo cual se sobrescriben o suprimen de forma segura en un plazo de sesenta (60) días o en un plazo de noventa (90) días en el caso de copias de seguridad. Los datos anonimizados que se hayan generado previamente a partir de los Datos del Cliente podrán conservarse, particularmente para fines academicos y de desarrollo de productos, mientras no se puedan extrapolar los Datos Personales de los mismos.

Especificaciones adicionales:

1. Software alojado:

Tal y como se especifica en la [oferta] presentada el [fecha].

2. Servicios adicionales de consultoría:

Tal y como se especifica en la [oferta] presentada el [fecha].