3. RELACIÓN CONTROLADOR-PROCESADOR
4. TRANSFERENCIAS INTERNACIONALES DE DATOS
Anexo I
|
DETALLES DE LA RELACIÓN CONTROLADOR INDEPENDIENTE - CONTROLADOR
(Esta sección se refiere a los detalles de los datos personales que se comparten entre las Partes en su calidad de Responsables)
|
|
|
Partidos
|
Exportador de datos: Entidad cliente que suscribe el Acuerdo marco.
Importador de datos: Globalization Partners LLC.
|
|
Datos de contacto de las partes
|
Datos de contacto según se establezcan en el Acuerdo Maestro.
|
|
Actividades relevantes para los datos transferidos
|
Actividades relacionadas con los servicios de la Plataforma global de empleo (Empleador de Registro).
|
|
Roles
|
Exportador de datos: Controlador.
Importador de datos: Controlador.
|
|
Actividades de procesamiento
|
Los Datos Personales procesados/transferidos pueden estar sujetos a las siguientes actividades de Procesamiento: cualquier operación relativa a los Datos Personales independientemente de los medios y procedimientos aplicados, en individuo la recopilación, organización, almacenamiento, almacenamiento, uso, recuperación, consulta, archivo, transmisión, bloqueo, borrado o destrucción de datos, operación y mantenimiento de sistemas, cumplimiento normativo, funciones legales y de auditoría.
|
|
Duración del procesamiento
|
La vigencia del Acuerdo marco y de forma continua.
|
|
Naturaleza y propósito del procesamiento
|
El cliente puede transferir los datos del cliente a G-P, cuyo alcance es determinado y controlado por el cliente a su entera discreción. El Propósito del Procesamiento es proporcionar los Servicios de la Plataforma global de empleo (Empleador Registrado) conforme al Acuerdo Maestro.
|
|
Categorías de sujetos de datos
|
Profesionales.
|
|
Tipos de datos personales
|
Datos de contacto (que pueden incluir nombre, dirección, email, teléfono, fax, datos de emergencia y la información asociada a la zona horaria local).
Detalles de empleo (que pueden incluir educación, currículum, título del puesto, grado, demografía, datos de ubicación, nacionalidad y estado de cumplimiento de exportación, salario, bonificación).
Contenido del email de los sujetos de los datos.
Detalles de los servicios prestados a los interesados o en su beneficio.
|
|
Categorías especiales de datos (si corresponde)
|
N/A
|
|
Retención
|
Los datos personales se conservarán al menos durante el periodo mínimo legalmente exigido de conservación, que sea conforme a los plazos de prescripción aplicables y cumpla con las buenas prácticas comerciales.
|
|
Autoridad Supervisora Competente
|
La autoridad supervisora competente se determinará conforme a las leyes aplicables de protección de datos e incluirá: la Comisión Irlandesa de Protección de Datos (para el Reglamento General de Protección de Datos de la UE); el Comisionado Federal Suizo de Protección de Datos e Información / FDPIC (por FADP suizo); la Oficina del Comisionado de Información del Reino Unido / ICO (por UK Reglamento General de Protección de Datos); y la Autoridade Nacional de Protección de Dados / ANPD (por Brasil LGPD).
|
|
Transferencias a subprocesadores
|
En el caso de las transferencias a encargados del tratamiento, el objeto, la naturaleza y la duración del tratamiento son los mismos que los definidos anteriormente.
|
|
Datos de contacto de privacidad de G-P
|
Atención: Oficina Global de Privacidad.
|
|
DETALLES DE LA RELACIÓN CONTROLADOR-PROCESADOR
(Esta sección se refiere a los detalles de los Datos Personales que está siendo procesados por G-P en nombre del Cliente)
|
|
|
Partidos
|
Exportador de datos: Entidad cliente que suscribe el Acuerdo marco.
Importador de datos: Globalization Partners LLC.
|
|
Datos de contacto de las partes
|
Datos de contacto según se establezcan en el Acuerdo Maestro.
|
|
Actividades relevantes para los datos transferidos
|
Actividades relacionadas con los servicios de la Plataforma global de empleo (Empleador de Registro) y el uso de GPP proporcionado al cliente como servicio.
|
|
Roles
|
Exportador de datos: Controlador
Importador de datos: Procesador
|
|
Actividades de procesamiento
|
Los Datos Personales procesados/transferidos pueden estar sujetos a las siguientes actividades de tratamiento: cualquier operación relativa a los Datos Personales independientemente de los medios y procedimientos aplicados, en individuo la recopilación, organización, almacenamiento, conservación, uso, recuperación, consulta, archivo, transmisión, bloqueo, borrado o destrucción de datos, operación y mantenimiento de sistemas, cumplimiento normativo, funciones legales y de auditoría.
|
|
Duración del procesamiento
|
La vigencia del Acuerdo marco y de forma continua.
|
|
Naturaleza y propósito del procesamiento
|
El cliente puede transferir los datos del cliente a G-P, cuyo alcance es determinado y controlado por el cliente a su entera discreción. El propósito del procesamiento es proporcionar GPP como Servicio al Cliente de acuerdo con el Acuerdo Maestro.
|
|
Categorías de sujetos de datos
|
Usuarios autorizados del GPP que pueden incluir empleados y/o contratistas del cliente.
|
|
Tipos de datos personales
|
Datos de contacto (como número de teléfono y email).
Datos de empleados / contratistas (como el título del puesto y el nombre de la compañía).
Datos de uso (como datos sobre el dispositivo del Usuario Autorizado y cómo interactúan con el GPP).
Datos de ubicación (como la ubicación derivada de la dirección IP).
datos de contenido (como el contenido de los archivos del cliente sobre los profesionales y comunicaciones relacionadas).
Credenciales (como contraseñas, contraseñas, pistas e información de seguridad similar empleada para la autenticación y el acceso a la cuenta GPP).
Cualquier dato personal proporcionado por usuarios autorizados.
|
|
Categorías especiales de datos (si corresponde)
|
N/A
|
|
Retención
|
Los datos personales se conservarán al menos durante el periodo mínimo legalmente exigido de conservación, que sea conforme a los plazos de prescripción aplicables y cumpla con las buenas prácticas comerciales.
|
|
Autoridad Supervisora Competente
|
La autoridad supervisora competente se determinará conforme a las leyes aplicables de protección de datos e incluirá: la Comisión Irlandesa de Protección de Datos (para el Reglamento General de Protección de Datos de la UE); el Comisionado Federal Suizo de Protección de Datos e Información / FDPIC (por FADP suizo); la Oficina del Comisionado de Información del Reino Unido / ICO (por UK Reglamento General de Protección de Datos); y la Autoridade Nacional de Protección de Dados / ANPD (por Brasil LGPD).
|
|
Transferencias a subprocesadores
|
En el caso de las transferencias a encargados del tratamiento, el objeto, la naturaleza y la duración del tratamiento son los mismos que los definidos anteriormente.
|
|
Datos de contacto de privacidad de G-P
|
Atención: Oficina Global de Privacidad.
|
Anexo II
Medidas Técnicas y Organizacionales
G-P fue certificado y acreditado para confirmar el cumplimiento de las normas SOC 2 y ISO 27001 , por contralor independientes. Estas certificaciones demuestran nuestro compromiso con la protección de los datos de los clientes. El programa de seguridad de G-P está diseñado para:
Proteger la confidencialidad, integridad y disponibilidad de los Datos de Clientes en posesión de G-P o a los que G-P tiene acceso;
Proteger contra cualquier amenaza o peligro anticipado a la confidencialidad, integridad y disponibilidad de los Datos de los Clientes;
Proteger contra accesos, uso, divulgación, alteración o destrucción no autorizados o ilegales de los Datos de los Clientes;
Proteger contra la pérdida accidental, destrucción o daño a los datos del cliente; y
Salvaguardar la información según lo establecido en cualquier regulación por la que el G-P pueda regular.
A continuación se describen las funciones, procesos, controles, sistemas, procedimientos y medidas que G-P adoptó para garantizar la seguridad del procesamiento de datos de clientes:
1) MEDIDAS TÉCNICAS PARA GARANTIZAR LA PRIVACIDAD Y LA PROTECCIÓN DE LOS DATOS
Privacidad por diseño y por defecto:
G-P tiene en cuenta los requisitos del artículo 25 Reglamento General de Protección de Datos en la fase de concepción y desarrollo del desarrollo del producto. Los procesos y funcionalidades se organizan de tal manera que los principios de protección de datos como la legalidad, transparencia, limitación de propósitos, minimización de datos, etc., así como la seguridad del procesamiento, se consideren en una fase temprana.
b) Cifrado de datos personales:
Cerciorando que los datos personales solo se almacenen en el sistema de manera que no permita a terceros identificar al sujeto de los datos.
Cifrado de bases de datos y almacenamiento:
En todas las bases de datos empleadas por G-P se emplea un cifrado "en reposo" según el estado del arte, de modo que los datos de la base de datos solo pueden leer tras una autenticación adecuada en el sistema de base de datos correspondiente.
Cifrado de medios de datos móviles:
No se permite el uso de operadores de datos móviles para almacenar datos de clientes.
Cifrado de los portadores de datos en portátiles:
En las computadoras portátiles de todos los empleados se instaló un sistema de cifrado de disco duro de última generación.
Intercambio cifrado de información y archivos:
En principio, el intercambio de información y archivos se cifra directamente mediante una solicitud especial. Si los datos personales o la información confidencial deben transferir a servidores que no pueden enviar mediante cargas HTTPS cifradas con TLS, estos se transferirán empleando el Protocolo de Transferencia Segura de Archivos (SFTP), un servicio de sobres cifrado u otro mecanismo cifrado según el estado del arte.
Cifrado de email:
En principio, todos los emails enviados por empleados de G-P están cifrados con TLS. Las excepciones pueden ser si el servidor de correo receptor no soporta TLS. El cliente debe cerciorar de que los servidores de correo correspondientes empleados dentro del alcance del pedido soporten cifrado TLS
c) Control de admisión
Los controles de acceso están diseñados y se implementan con el fin de impedir el uso y procesamiento de datos protegidos por las leyes de protección de datos por parte de personas no autorizadas.
Uso de métodos de autenticación
El acceso a los datos personales siempre se realiza mediante protocolos cifrados: SSH, SSL/TLS, HTTPS o protocolos similares. Procedimiento de autenticación para sistemas informáticos: Autenticación multifactor de inicio de sesión en el sistema informático.
Bloqueo automático en caso de inactividad.
Los portátiles empleados por empleados de G-P están bloqueados con protección con contraseña o PIN cuando no están en uso por el usuario. Además, se activa un bloqueo automático de pantalla con protección por contraseña tras 15 minutos de inactividad.
Uso de software antivirus
Los portátiles empleados por los empleados de G-P están equipados con un software antivirus de última generación que se mantiene actualizado en todos los sistemas informáticos operativos o empresariales. Por principio, ninguna computadora puede operar sin protección antivirus residente a menos que se adoptaron otras medidas de seguridad equivalentes de última generación o no exista riesgo. Los ajustes de seguridad por defecto no deben desactivar ni eludir.
"Política de escritorio limpio"
Se instruye a los empleados de G-P de no imprimir ni almacenar localmente datos personales de los sujetos de datos, no dejar materiales de trabajo en lugares donde puedan ser vistos por terceros y almacenar todos los materiales de trabajo correctamente. Los documentos que G-P está obligado por ley a conservar en papel se almacenan en clósets cerrados con llave.
d) Controles de acceso dentro de la plataforma
Los controles de acceso garantizan que las personas autorizadas a emplear un sistema de procesamiento tengan acceso únicamente a los datos personales cubiertos por su autorización de acceso.
Roles y autorización
Plataforma de Roles y Autorización – Acceso al Cliente Los usuarios pueden ver y editar la información de la cuenta del cliente.
Roles y Plataforma de Autorización – Acceso Profesional Los usuarios profesionales pueden ver y editar su propia información profesional.
Los profesionales también pueden obtener el rol de acceso de cliente según los requisitos y la aprobación.
Plataforma de Roles y Autorización – Acceso Interno
Los usuarios con acceso interno desempeñan diversas funciones. Tienen acceso variable para crear, ver, editar y aprobar lo siguiente:
Información del cliente
Información de facturación
Información sobre socios
Información sobre registros profesionales de personal
El acceso al sistema de administración generalmente se limita a empleados formados en las áreas de atención al cliente y desarrollo de productos.
e) Firewall como servicio
G-P emplea un firewall externo como servicio que le permite conceder o bloquear el acceso a sitios web para cerciorar de que los sistemas no puedan acceder a contenido malicioso y para restringir el acceso a contenido inapropiado.
f) Registro de inicio de sesión en la plataforma
G-P mantiene un registro de toda la actividad de inicio de sesión.
g) Separabilidad
Garantizar que los datos personales recogidos para diferentes fines puedan procesar por separado y se separen de otros datos y sistemas de tal manera que se excluya el uso no planeado de estos datos para otros fines.
Separación de los entornos de desarrollo, prueba y operación.
Los datos del entorno operativo solo podrán transferir a entornos de prueba o desarrollo si se han anonimizado por completo antes de la transferencia. La transferencia de los datos anonimizados debe realizar de forma cifrada o a través de una red segura.
El software que se vaya a transferir al entorno operativo debe probar primero en un entorno de prueba idéntico ("staging"). Los programas para el análisis de errores o la creación/compilación de software solo podrán emplear en el entorno operativo si esto no puede evitar. Esto ocurre especialmente si las situaciones de error dependen de datos que se falsificarían debido a los requisitos de anonimización al transferirlos a entornos de prueba.
Separación en redes
G-P separa sus redes según las tareas. Las siguientes redes se emplean de forma permanente: entorno operativo ("Producción"), entorno de pruebas ("Staging", "Sandbox"), entorno de desarrollo ("Dev") personal de TI de oficina. Además de estas redes, se crean redes separadas adicionales según sea necesario, por ejemplo, para pruebas de restauración y pruebas de penetración. Dependiendo de las posibilidades técnicas, las redes se separan físicamente o mediante redes virtuales.
h) Control de disponibilidad
G-P toma las siguientes medidas para garantizar que los datos personales estén protegidos contra la destrucción o pérdida accidental.
Procedimientos/copias de seguridad de datos
Para garantizar una disponibilidad adecuada, G-P implementa instantáneas diarias de su base de datos con replicación a una región diferente. También se toman medidas para cerciorar que los empleados con necesidad laboral de revisar datos tengan acceso únicamente a conjuntos de datos réplica.
Redundancia geográfica respecto a la infraestructura de servidores de datos productivos y copias de seguridad
Gestión de incidentes de TI ("Gestión de respuesta a incidentes")
Existe un concepto y procedimientos documentados para el manejo de incidentes y eventos relacionados con la seguridad. Esto incluye la planeación y preparación de la respuesta ante incidentes, los procedimientos para el seguimiento, la detección y el análisis de eventos relevantes para la seguridad, así como la definición de las responsabilidades correspondientes y los canales de denuncia en caso de una violación de la protección de datos personales en el marco de los requisitos legales.
2) MEDIDAS ORGANIZACIONALES PARA GARANTIZAR LA PRIVACIDAD Y LA PROTECCIÓN DE LOS DATOS
G-P implementó las siguientes medidas organizacionales para garantizar que la organización opere de manera que cumpla con los requisitos de privacidad y protección de datos.
a) Instrucciones organizacionales
G-P desarrolló y está desarrollando un programa de gobernanza de datos que incluye políticas, procedimientos y directrices para que los empleados las sigan. La documentación incluye información sobre cómo identificar y gestionar los problemas de privacidad de datos, las mejores prácticas para garantizar el cumplimiento de la normativa de privacidad y las políticas para abordar los incidentes relacionados con la privacidad.
b) Compromiso con la confidencialidad y la protección de datos.
G-P desarrolló y está desarrollando un programa de gobernanza de datos que incluye políticas, procedimientos y directrices para que los empleados las sigan. Todos los empleados y contratistas están obligados por escrito a la confidencialidad y la protección de datos, así como a otras leyes pertinentes. Todos los empleados reciben formación en privacidad y seguridad. Se realizan auditorías internas sobre protección de datos y seguridad de la información de forma regular. Las auditorías se realizan en base a criterios o esquemas comunes de prueba. Los empleados y contratistas de G-P están instruidos a procesar datos personales únicamente por motivos legales, conforme a los contratos aplicables con el cliente y el profesional, teniendo en cuenta cualquier consentimiento expreso dado o negado por el sujeto de los datos, y en cumplimiento de cualquier deber legal de la organización.
c) Formación en protección de datos
Todos los empleados reciben formación en privacidad y seguridad que permanece disponible para revisión en cualquier momento en la plataforma de formación G-P.
d) Controles de acceso físico
G-P cuenta con los siguientes controles físicos para negar el acceso a personas no autorizadas al equipo de sistemas informáticos empleado para su procesamiento.
Protección electrónica de puertas
Las puertas de entrada a las oficinas de G-P siempre están cerradas y aseguradas electrónicamente. Las puertas se abren mediante un transpondedor electrónico personal.
Distribución controlada de claves
Se realiza una asignación central y documentada de claves a los empleados de G-P. Estos transpondedores/llaves electrónicas podían ser desactivados centralmente por cada responsable de oficina o por el departamento de Recursos Humanos.
Supervisión y acompañamiento de personas externas
Los proveedores externos de servicios y otros terceros solo podrán acceder a las instalaciones mediante autorización previa o cuando estén acompañados por un empleado de G-P. G-P aplica su Política de Visitantes escrita cuando se invita a los visitantes a las instalaciones.
Cerciorar las instalaciones con mayor necesidad de protección
Los locales o clósets que requieren mayor protección, como las oficinas legales y ciertas ubicaciones de operaciones, están equipados con clósets y cajones con cerradura. Los clósets y cajones donde se almacenan documentos legales, contratos y documentación confidencial deben permanecer cerrados con llave en todo momento, excepto cuando se estén empleando.
Puertas y ventanas cerradas
Se instruye organizativamente a los empleados para que mantengan ventanas y puertas cerradas o cerradas fuera del horario de oficina.
e) Recuperabilidad
G-P garantiza que los sistemas en uso puedan restaurar en caso de fallo físico o técnico.
Pruebas periódicas de recuperación de datos ("Pruebas de restauración")
Se realizan pruebas de restauración completas periódicas para garantizar la capacidad de recuperación en caso de emergencia o desastre.
Plan de emergencia ("Concepto de Recuperación ante Desastres")
Existe un concepto para el tratamiento de emergencias/desastres y un plan de emergencia correspondiente. G-P garantiza la recuperación de todos los sistemas a partir de las copias de seguridad o copias de seguridad de datos, normalmente en un plazo de 48 horas.
Medidas de revisión y evaluación
Presentación de los procedimientos para la revisión periódica, evaluación y valoración de la efectividad de las medidas técnicas y organizacionales.
f) Equipo de Privacidad
La organización cuenta con una Oficina de Privacidad global de los datos encargada de planear, implementar, evaluar y adaptar medidas en el ámbito de la protección de datos.
g) Gestión de riesgos
Existe un proceso para analizar, evaluar y asignar riesgos, así como para derivar medidas en función de estos riesgos.
3) REVISIÓN INDEPENDIENTE DE LA SEGURIDAD DE LA INFORMACIÓN
Realización de auditorías
Se realizan auditorías internas sobre protección de datos y seguridad de la información de forma regular. Las auditorías se realizan en base a criterios o esquemas comunes de prueba.
b) Revisión del cumplimiento de las políticas y normas de seguridad.
El cumplimiento de las directrices de seguridad, normas y otros requisitos de seguridad aplicables para el tratamiento de datos personales se revisa de manera regular. Cuando es posible, estas comprobaciones se realizan de forma aleatoria e inesperada.
c) Verificación del cumplimiento de las especificaciones técnicas
El departamento de TI u otro personal cualificado realiza periódicamente análisis de vulnerabilidades, tanto automatizados como manuales, para verificar la seguridad de las aplicaciones y la infraestructura, así como el desarrollo habitual del producto. Un proveedor de servicios externo lleva a cabo pruebas de penetración detalladas para examinar específicamente las aplicaciones y la infraestructura en busca de vulnerabilidades.
d) Procesamiento según instrucciones
Los empleados de G-P están instruidos a procesar datos personales únicamente por motivos legales, conforme a los contratos aplicables con el cliente y el profesional, teniendo en cuenta cualquier consentimiento expreso dado o retenido por el usuario de los datos, y cumpliendo con cualquier deber legal de la organización.
e) Selección cuidadosa de proveedores
G-P sigue su Proceso de Precalificación de Proveedores al seleccionar proveedores y proveedores que puedan encontrar con datos protegidos. Este proceso incluye comentarios de los departamentos de Finanzas y Legal/Privacidad e incorpora pasos de evaluación de riesgos, precualificación de seguridad y certificación documental. Los proveedores que procesen datos protegidos deberán demostrar su cumplimiento de las leyes de privacidad de datos aplicables, incluido el Artículo 28 Reglamento General de Protección de Datos para los datos cubiertos
Anexo III
|
Subprocesador
|
Ubicación e información de contacto
|
Descripción del procesamiento
|
|
3933 Lake Washington Blvd NE #350, Kirkland, WA 98033, EE. UU.
|
Servicios financieros
|
|
|
P.O. Caja 81226
Seattle, WA 98108-1226, EE. UU.
|
Hosting – Proveedor de servicios en la nube
|
|
|
Microsoft Corporation One Microsoft Way
Redmond, Washington 98052 EE. UU. Teléfono: (+1) 425-882-8080.
|
Soporte de procesos de negocio para la gestión de comunicaciones (email) y servicios.
|
|
|
350 Planta de Bush Street 13
Santo Francisco, CA 94104, EE. UU.
+1 415 701 1110
|
Soporte de procesos de negocio para la gestión de servicios
|
|
|
DocuSign International (Europa, Oriente Medio y África (EMEA)) Ltd, Atención: Equipo de Privacidad, 5 Hanover Quay, Planta baja, Dublín 2, República de Irlanda
|
Gestión documental
|
|
|
Salesforce Tower, 415 Mission Street, 3piso de carrera, Santo Francisco, CA 94105, EE. UU.
1-800-387-3285
|
Soporte de Procesos de Negocio para la Gestión de Relaciones con Clientes (CRM)
|
|
|
989 Market St
Santo Francisco, CA 94103, EE. UU. zendesk.com
888-670-4887
|
Consultas de soporte técnico para atención al cliente
|
|
|
2225 Lawson Lane, Santa Clara, CA, 95054
EE. UU.
|
Soporte de Procesos de Negocio para la gestión de servicios y operaciones de TI, el empleado y el cliente experimentan a través de ( flujo de trabajo automatizado basado en la nube)
|
|
|
160 Spear Street, 15piso Santo Francisco, CA 94105 1-866-330-0121
EE. UU.
|
Infraestructura de almacén de datos en la nube.
|
|
|
620 8el Ave 45 el Suelo
Nueva York, NY 10018
EE. UU.
|
Herramienta de monitorización y depuración de servicios
|
|
|
Avenue Louise 54, Habitación s52,
1050 Bruselas
Bélgica
|
Procesador de pagos online
|
|
|
1600 Anfiteatro Pkwy, Mountain View, CA 94043
|
Soporte de procesos de negocio para comunicaciones (email) y almacenamiento interno de documentos
|