Criterios de evaluación de los requisitos de protección de datos para proveedores

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Criterios de evaluación de los requisitos de protección de datos para proveedores"

Transcripción

1 Criterios de evaluación de los requisitos de protección de datos para proveedores Aplicabilidad Los requisitos de protección de datos (DPR) para proveedores de Microsoft se aplican a todos los proveedores de Microsoft que recopilen, usen, distribuyan o almacenen información personal o confidencial de Microsoft, o que de algún modo tengan acceso a ella, como parte de la prestación de servicios acordada en virtud de las cláusulas incluidas en el pedido de compra o del contrato suscrito con Microsoft. Si hubiera algún conflicto entre los requisitos que aquí se detallan y los requisitos especificados en los acuerdos contractuales entre el proveedor y Microsoft, los términos del contrato prevalecen. Si hubiera algún conflicto entre los requisitos que aquí se detallan y cualquier requisito legal o reglamentario, estos requisitos prevalecen. La información confidencial de Microsoft es toda aquella información que, de ponerse en riesgo la confidencialidad o integridad de algún modo, puede suponer una pérdida considerable para Microsoft en términos financieros y de reputación. Esta incluye, entre otros, los siguientes elementos: productos de hardware y software de Microsoft, aplicaciones de línea de negocio internas, material de marketing preliminar, claves de licencia de productos y documentación técnica relacionada con los productos y servicios de Microsoft. La información personal de Microsoft es toda aquella información facilitada por Microsoft o recopilada por un proveedor en relación con los servicios prestados a Microsoft: (i) Que puede usarse para identificar, buscar o ponerse en contacto con la persona a la que pertenece la información. (ii) De la que se puede derivar la identidad o la información de contacto de una persona. La información personal de Microsoft incluye, entre otros datos, los siguientes: nombre, dirección, número de teléfono y de fax, dirección de correo electrónico, número de la seguridad social, número de pasaporte, otros números de identificación expedidos por el gobierno, así como información de la tarjeta de crédito. Asimismo, siempre que existan otros datos (entre los que, de modo no exhaustivo, pueden mencionarse el perfil personal, un identificador único, información biométrica o la dirección IP) asociados o combinados con la información personal de Microsoft, se entenderá que tales datos también forman parte de esta última. Estructura de los DPR Los requisitos de protección de datos (DPR, siglas en inglés) se basan en un marco diseñado por el instituto americano de contables públicos certificados (AICPA, siglas en inglés) para regular las prácticas de privacidad. Los principios de privacidad generalmente aceptados (GAPP, siglas en inglés) se dividen en 10 secciones que incluyen criterios que se pueden medir relacionados con la protección y administración de la información personal. Este marco de trabajo se ha mejorado con requisitos de seguridad y privacidad de Microsoft adicionales. Versión 1.4 Página 1

2 Identificador Requisitos de protección de datos para proveedores de Microsoft Criterios de evaluación propuestos Sección de GAPP A Antes de que el proveedor recopile, use, distribuya o almacene información personal o confidencial de Microsoft, o que de algún modo tenga acceso a ella, debe cumplir con los siguientes requisitos: Administración 1. Haber firmado un contrato, una declaración del trabajo o un pedido de compra válido de Microsoft redactado de modo que se protejan la privacidad y la seguridad de los datos. El proveedor debe presentar un pedido de compra, una declaración del trabajo o un contrato válido de Microsoft. 2. Haber asignado a una persona o a un grupo específicos de la empresa la responsabilidad y la obligación de rendir cuentas con respecto al cumplimiento de los requisitos de protección de datos para proveedores de Microsoft. El proveedor debe identificar a la persona o al grupo que se encarga de velar por su cumplimiento de los requisitos de protección de datos. La autoridad y responsabilidad de dicha persona o dicho grupo deben estar claramente documentadas. Las obligaciones del proveedor son las siguientes: 1. Establecer, mantener y realizar cursos anuales sobre privacidad para los empleados. Microsoft ha elaborado materiales apropiados y están disponibles en: /toolkit/en/us/privacymaterials.aspx El proveedor proporciona a los empleados (ya desde el comienzo y, posteriormente, con regularidad) la instrucción necesaria relacionada con los principios básicos acerca de la privacidad y seguridad (Notificación, Elección y consentimiento, Recopilación, Empleo y conservación, Acceso, Divulgación a terceros, Seguridad, Calidad, Supervisión y cumplimiento). Las pruebas de tal instrucción pueden tener la forma de material de aprendizaje, registros de asistencia o comunicaciones con los empleados (mensajes de correo electrónico, boletines, sitios web, etc.), entre muchas otras. 2. Comunicar con regularidad la información relevante sobre los requisitos de protección de datos para El proveedor instruye a los empleados y subcontratistas que presten algún servicio a Microsoft con respecto a los requisitos de protección de datos para proveedores de Versión 1.4 Página 2

3 proveedores de Microsoft a su personal y subcontratistas que presten servicios para Microsoft. Microsoft. Las pruebas de que tal instrucción se lleva a cabo, no sólo desde el comienzo, sino también con posterioridad y regularmente, pueden tener la forma de material de aprendizaje, registros de asistencia o comunicaciones con los empleados y subcontratistas (mensajes de correo electrónico, boletines, sitios web, etc.), entre muchas otras. Versión 1.4 Página 3

4 Identificador Requisitos de protección de datos para proveedores de Microsoft Criterios de evaluación propuestos Sección de GAPP B El proveedor debe proporcionar avisos de privacidad llamativos a los particulares cuando se les pida información personal de Microsoft para que puedan decidir si envían o no su información personal al proveedor. Los avisos de privacidad describen el objetivo de la recopilación de información y las circunstancias que determinarían su divulgación (de forma ineludible o meramente posible). Los avisos de privacidad deben estar claramente fechados y disponibles en cualquier momento, y han de proporcionarse, a lo sumo, en la fecha en que tiene lugar la recopilación de los datos. Aviso El aviso de privacidad debe escribirse de forma tal que permita al lector comprender el uso que se dará a los datos. Los proveedores que alojan sitios para Microsoft deben redactar avisos de privacidad conformes a las instrucciones y plantillas proporcionadas en el kit de herramientas para la privacidad de los proveedores disponible en el sitio web ment/toolkit/en/us/default.aspx Microsoft puede requerir el uso de sus plantillas o puede proporcionar otras instrucciones en el kit de herramientas para la privacidad de los proveedores que el proveedor debe cumplir. Los proveedores que realicen campañas de ventas y marketing en nombre de Microsoft deben cumplir las instrucciones que figuran en el kit de herramientas para la privacidad de los proveedores disponible en el sitio web ment/toolkit/en/us/default.aspx Cuando se recopila información personal de Microsoft a través de una llamada de voz en directo, los proveedores deben estar preparados para tratar con el cliente sobre las prácticas de recopilación, procesamiento, uso y conservación de datos. El proveedor demuestra que la recopilación, el procesamiento, el uso y la conservación de los datos se tratan con la persona afectada cuando se recaba información personal a través del teléfono. Versión 1.4 Página 4

5 Identificador Requisitos de protección de datos para proveedores de Microsoft Criterios de evaluación propuestos Sección de GAPP C El proveedor debe obtener y documentar el consentimiento de la persona afectada antes de recopilar la información personal de esta. El proveedor explica el proceso para que la persona afectada pueda decidir si acepta o no facilitar la información personal, así como asumir las consecuencias que se deriven de una u otra opción. Elección y consentimiento El proveedor debe obtener y documentar las preferencias de contacto que manifieste la persona afectada según las directrices al respecto que figuran en el kit de herramientas de privacidad para proveedores, disponible en el sitio web rement/toolkit/en/us/default.aspx El proveedor documenta esta aceptación, a lo sumo, en el momento en que tiene lugar la recopilación de los datos. El proveedor confirma las preferencias de contacto en cuestión, bien por escrito, bien en formato electrónico. El proveedor documenta y administra las preferencias de contacto y, además, aplica y administra los cambios pertinentes de éstas. El proveedor informa a las personas afectadas de cualquier propuesta de nuevo uso de los datos personales. Las obligaciones del proveedor son las siguientes: 1. Documentar y administrar los cambios que se produzcan en las preferencias de contacto de una persona de un modo oportuno. El proveedor obtiene y documenta la aceptación de tales nuevos usos de la información personal. 2. El proveedor obtiene y documenta la aceptación de la persona afectada de tales nuevos usos de la información personal. El proveedor se asegura de que, en caso de que la persona afectada no diera su consentimiento, no se utilice esa información. Versión 1.4 Página 5

6 Identificador Requisitos de protección de datos para proveedores de Microsoft Criterios de evaluación propuestos Sección de GAPP D El proveedor debe supervisar la recopilación de información personal de Microsoft para garantizar que la única información que se recopile sea aquella necesaria para prestar los servicios encomendados por Microsoft. Existen sistemas y procedimientos que permiten especificar la información personal necesaria. El proveedor efectúa una supervisión de la recopilación para garantizar la eficacia de los sistemas y procesos. Recopilación Si el proveedor obtiene información personal de terceros en nombre de Microsoft, está obligado a validar que las directivas y prácticas sobre la protección de datos implantadas por el tercero son conformes a lo estipulado en el contrato del proveedor con Microsoft y a los requisitos de DPR. El proveedor practica la diligencia debida con respecto a las prácticas y políticas de protección de datos de terceros. Antes de recopilar información personal de Microsoft delicada a través de la instalación o del uso de software ejecutable en el equipo de una persona, es obligatorio documentar la necesidad de llevar a cabo tal recopilación de datos en un acuerdo de proveedor registrado con Microsoft. El proveedor obtiene y documenta el consentimiento prestado por Microsoft cuando utiliza software ejecutable en el equipo de una persona para recopilar información personal. Antes de recopilar información personal de Microsoft delicada como la raza de una persona, su origen étnico, su inclinación política, su afiliación sindical, su salud física o mental o su vida sexual, es obligatorio documentar la necesidad de llevar a cabo tal recopilación de datos en un acuerdo de proveedor registrado con Microsoft. El proveedor obtiene y documenta el consentimiento prestado por Microsoft antes de recopilar cualquier información personal delicada. Versión 1.4 Página 6

7 Identificador Requisitos de protección de datos para proveedores de Microsoft Criterios de evaluación propuestos Sección de GAPP E Las obligaciones del proveedor son las siguientes: Conservación 1. Garantizar que la información personal y confidencial de Microsoft se va a usar con el único propósito de prestar los servicios encomendados por Microsoft. 2. Garantizar que la información personal y confidencial de Microsoft no se va a conservar durante más tiempo del que sea necesario para prestar los servicios, a menos que la legislación vigente requiera una conservación prolongada de la información personal de Microsoft. 3. Documentar la conservación o la eliminación de la información personal y confidencial de Microsoft. Si así se solicitara, proporcionará a Microsoft un certificado de destrucción firmado por un responsable del proveedor. Existen sistemas y procedimientos que permiten supervisar el uso de la información personal y confidencial. El proveedor efectúa un seguimiento de tales sistemas y procesos para garantizar su eficacia. El proveedor cumple con los requisitos o las directivas de conservación documentada que Microsoft haya especificado en el contrato, la declaración del trabajo o el pedido de compra. El proveedor conserva registros de la eliminación de la información personal y confidencial de Microsoft (por ejemplo, devolución a Microsoft o destrucción). 4. Garantizar que, a la entera discreción de Microsoft, la información personal o confidencial de Microsoft en manos del proveedor, o bajo su control, se devuelve a Microsoft o se destruye tras la finalización de los servicios o a petición de Microsoft. Versión 1.4 Página 7

8 Identificador Requisitos de protección de datos para proveedores de Microsoft Criterios de evaluación propuestos Sección de GAPP F Cuando una persona solicita tener acceso a su información personal de Microsoft, el proveedor está obligado a lo siguiente: Acceso 1. Comunicar a la persona afectada los pasos necesarios para tener acceso a su información personal de Microsoft. El proveedor comunica los pasos necesarios para tener acceso a la información personal, así como los métodos disponibles para actualizarla. 2. Autenticar la identidad de la persona que solicita tener acceso a su información personal de Microsoft. El proveedor no usa identificadores de emisión gubernamental para la autenticación. 3. Abstenerse de usar en la autenticación números de identificación expedidos por el gobierno (por ejemplo, el número de afiliación a la Seguridad Social), a menos que no haya razonablemente ninguna otra opción disponible. Los empleados del proveedor reciben instrucción para autenticar la identidad de las personas que solicitan acceso a su información personal o a los cambios en ésta. Una vez que se ha autenticado a la persona, el proveedor está obligado a lo siguiente: 1. Determinar si él conserva o controla información personal de Microsoft sobre esa persona. El proveedor cuenta con procedimientos para determinar la conservación de la información personal. 2. Hacer lo posible por localizar la información personal de Microsoft solicitada y registrar las acciones llevadas a cabo que demuestren que se ha efectuado una búsqueda razonable. El proveedor responde a las solicitudes en el plazo oportuno. 3. Registrar la fecha y hora de las solicitudes de acceso, así como las acciones llevadas a cabo por el proveedor para responder a dichas solicitudes. El proveedor conserva registros de las solicitudes de acceso a la información personal y documenta los cambios efectuados en ésta. 4. Si así se le solicita, proporcionar los registros de las solicitudes de acceso a Microsoft. Las denegaciones de acceso deben documentarse por escrito; además, se debe explicar brevemente la causa de dicha denegación. Versión 1.4 Página 8

9 Una vez que se ha autenticado a la persona afectada y el proveedor ha validado que tiene la información personal de Microsoft, el proveedor está obligado a lo siguiente: 1. Proporcionar la información personal de Microsoft a la persona que la ha solicitado en un formato adecuado, sea impreso, electrónico o verbal. 2. Si se deniega la solicitud de acceso, deberá proporcionar a la persona afectada una explicación por escrito conforme a las instrucciones relevantes que pudiera haber indicado previamente Microsoft. El proveedor debe adoptar las medidas de precaución que sean razonables para garantizar que la información personal de Microsoft que se facilite a una persona no puede usarse para identificar a otra persona. Si una persona y un proveedor discrepan sobre la integridad y precisión de la información personal de Microsoft, el proveedor debe remitir el problema a Microsoft y prestarle la colaboración necesaria para solucionarlo. El proveedor suministra información personal a la persona que legítimamente la solicite en un formato comprensible y de un modo adecuado tanto desde el punto de vista del proveedor como de la persona en cuestión. El proveedor debe demostrar que se adoptan medidas de precaución razonables que impiden identificar a otra persona a partir de la información facilitada (por ejemplo, no se puede fotocopiar la página de datos en su totalidad cuando el dato personal solicitado figura en una sola línea). El proveedor documenta los casos de desacuerdo y los remite a Microsoft. Versión 1.4 Página 9

10 Identificador Requisitos de protección de datos para proveedores de Microsoft Criterios de evaluación propuestos Sección de GAPP G Si el proveedor tiene la intención de recurrir a un subcontratista para que le ayude a recopilar, usar, distribuir o almacenar información personal y confidencial de Microsoft, o a tener acceso a ello, el proveedor está obligado a lo siguiente: Divulgación a terceros 1. Usar subcontratistas que sean miembros del programa de proveedores de Microsoft y que además cumplan con sus normas. Si no fuera así, el proveedor deberá obtener el consentimiento urgente por escrito de Microsoft antes de subcontratar los servicios. El proveedor valida que los subcontratistas son miembros del programa de proveedores preferidos de Microsoft (MPSP). El proveedor obtiene el permiso por escrito para poder contratar a proveedores que no sean miembros del programa MPSP. 2. Documentar la naturaleza y el alcance de la información personal y confidencial de Microsoft divulgada o transferida a los subcontratistas. El proveedor conserva un registro documental relativo a la información personal y confidencial de Microsoft divulgada o transferida a los subcontratistas. 3. Garantizar que el subcontratista usa la información personal de Microsoft con arreglo a las preferencias de contacto indicadas por las personas afectadas. Existen sistemas y procesos que garantizan que los subcontratistas usan la información personal de Microsoft únicamente con el fin designado y con arreglo a las preferencias de contacto indicadas por la persona afectada. 4. Restringir el uso por parte del subcontratista de la información personal de Microsoft para aquellos fines que sean necesarios para cumplir con el contrato del proveedor con Microsoft. El proveedor puede demostrar la existencia de comunicaciones con Microsoft (en el caso de que éstas estén permitidas) previas a la concesión de permiso a un subcontratista para divulgar información personal de Microsoft en respuesta a una orden judicial. 5. Notificar a Microsoft, a la mayor brevedad, de órdenes judiciales en las que se obligue al subcontratista a divulgar información personal de Microsoft y, si la legislación lo permite, dar a Microsoft la oportunidad de intervenir antes de registrar una respuesta a la orden o notificación. Versión 1.4 Página 10

11 6. Revisar las quejas formuladas por usos o divulgación de información personal de Microsoft sin autorización. 7. Notificar a Microsoft, a la mayor brevedad, cuando tenga conocimiento de que un subcontratista ha usado o divulgado información personal y confidencial de Microsoft para fines distintos del de prestar servicios, a Microsoft o a sus proveedores, relacionados con Microsoft. 8. Adoptar de inmediato medidas para mitigar cualquier daño, real o posible, que cause el uso o la divulgación sin autorización por parte de un subcontratista de información personal y confidencial de Microsoft. Existen sistemas y procesos que permiten administrar las quejas relativas a la divulgación o uso no autorizados de la información personal de Microsoft por parte de un subcontratista. El proveedor puede demostrar que se ha informado a Microsoft de aquellos casos en que algún subcontratista ha usado información personal o confidencial de Microsoft con fines no autorizados. El proveedor puede demostrar que se han adoptado las medidas adecuadas en aquellos casos en que algún subcontratista usa o divulga información personal y confidencial de Microsoft con fines no autorizados. Antes de aceptar información personal de un tercero, el proveedor está obligado a lo siguiente: 1. Comprobar que las prácticas de recopilación de datos llevadas a cabo por un tercero cumplen con los requisitos de DPR. 2. Confirmar que los terceros solo recopilan aquella información personal que sea necesaria para prestar los servicios encomendados por Microsoft. El proveedor debe disponer del permiso previo por escrito de Microsoft antes de proporcionar información personal de Microsoft a un tercero. Existen procesos que permiten comprobar las prácticas de recopilación de datos de terceros. Existen procesos para limitar la transferencia de información personal de Microsoft de terceros a aquellos datos estrictamente necesarios para prestar los servicios contratados. El proveedor puede proporcionar copias del permiso escrito. Versión 1.4 Página 11

12 Identificador de requisito Requisitos de protección de datos para proveedores de Microsoft Criterios de evaluación propuestos Sección de GAPP H El proveedor debe garantizar que toda la información personal de Microsoft Personal es precisa, completa y relevante para los fines indicados para los que se ha recopilado o usado. La información se valida cuando se recopila, crea o actualiza. Existen sistemas y procesos que permiten comprobar sobre la marcha el nivel de precisión y efectuar las correcciones que resulten necesarias. Calidad Deberá recopilarse la cantidad mínima de información personal necesaria para lograr el fin propuesto. Versión 1.4 Página 12

13 Identificador de requisito Requisitos de protección de datos para proveedores de Microsoft Criterios de evaluación propuestos Sección de GAPP I Las obligaciones del proveedor son las siguientes: Supervisión y cumplimiento 1. Realizar una revisión anual de cumplimiento para confirmar que cumple con los requisitos de protección El proveedor debe demostrar la realización de las revisiones anuales de cumplimiento. de datos. 2. Informar a Microsoft en un plazo máximo de 24 horas de incumplimientos de la privacidad o vulnerabilidades de la seguridad, ya sean confirmados o presuntos. El proveedor debe demostrar que se ha informado a Microsoft de todo incumplimiento relacionado con la privacidad o de toda vulnerabilidad de la seguridad, ya sean confirmados o presuntos. 3. Abstenerse de emitir notas de prensa o avisos públicos relacionados con incidentes, sean presuntos o reales, que afecten a información personal o confidencial de Microsoft sin contar con la aprobación previa de Microsoft, a menos que lo exijan las leyes y normas regulatorias. 4. Mitigar de inmediato cualquier vulnerabilidad o incumplimiento, sea real o presunto. 5. Aplicar un plan encaminado a solventar el problema y supervisar la resolución de incumplimientos o vulnerabilidades relacionadas con la información personal de Microsoft con el fin de garantizar que se adoptan las medidas correctivas en un plazo oportuno. Las vulnerabilidades y los incumplimientos se solventan en el plazo adecuado. Existen planes de solventar estos problemas disponibles cuando sea necesario. Versión 1.4 Página 13

14 Las obligaciones del proveedor son las siguientes: 1. Establecer un proceso formal de administración de quejas para dar una respuesta adecuada a todas las quejas sobre protección de datos relacionadas con la información personal de Microsoft. 2. Notificar a Microsoft de todas las quejas recibidas en relación con la información personal de Microsoft. 3. Registrar todas las quejas sobre protección de datos relacionadas con la información personal de Microsoft y responder a todas ellas en un plazo adecuado, a menos que Microsoft indique otras instrucciones al respecto. 4. Si así se solicitara, proporcionará a Microsoft la documentación de las quejas resueltas y pendientes de resolución. El proveedor debe contar con un proceso documentado de administración de quejas y notificación a Microsoft. Registros de las quejas que demuestren su respuesta en el plazo adecuado. Documentación de quejas abiertas y cerradas. Versión 1.4 Página 14

15 Identificador Requisitos de protección de datos para proveedores de Microsoft Criterios de evaluación propuestos Sección de GAPP J PROGRAMA DE SEGURIDAD DE LA INFORMACIÓN El proveedor debe establecer, aplicar y mantener un programa de seguridad de la información que incluya directivas y procedimientos para proteger la información personal y confidencial de Microsoft. Este programa debe abarcar los siguientes aspectos relacionados con la protección de la información personal y confidencial de Microsoft: El programa de seguridad que implemente el proveedor debe abarcar los puntos (a) (s) enumerados a la izquierda. Las medidas de seguridad pueden ser más amplias que las enumeradas si el cumplimiento de las normativas (como HIPPA o GLBA) o las cláusulas contractuales aplicables así lo requiriese. Seguridad a) Evaluaciones de riesgos anuales o más frecuentes. Las evaluaciones de riesgos de los proveedores deben incorporar las amenazas que surjan, los posibles impactos en el negocio y las probabilidades de que el riesgo se convierta en incidente. El proveedor debe modificar los procesos, procedimientos y directrices relacionados con la seguridad con arreglo a tales evaluaciones. b) Realización de análisis de vulnerabilidades en las redes internas y externas al menos una vez al trimestre y después de haber llevado a cabo cambios significativos en ellas (por ejemplo, instalaciones de nuevos componentes en el sistema, cambios en la topología de la red, modificaciones de las reglas de los firewall y actualizaciones de productos). c) Adopción de medidas para impedir el acceso no autorizado como el uso de controles de acceso lógicos y físicos eficaces, y para limitar el acceso físico a sistemas de información electrónicos. En todo caso, es necesario garantizar que el acceso autorizado se puede llevar a cabo sin problemas. d) Procedimientos para agregar usuarios nuevos, modificar los niveles de acceso de los usuarios actuales y quitar los usuarios que ya no necesitan tener acceso a la Versión 1.4 Página 15

16 información (aplicación de principios del mínimo privilegio). e) Asignación de responsabilidad y obligación de rendir cuentas con respecto a la seguridad. f) Asignación de responsabilidad y obligación de rendir cuentas con respecto a los cambios en el sistema y el mantenimiento de este. g) Implementación de actualizaciones y revisiones del software del sistema en un plazo razonable ajustado a los riesgos. h) Instalación de software antivirus y antimalware en todos los equipos conectados a la red incluidos, entre otros, los servidores, los equipos de sobremesa de producción y aprendizaje. La finalidad es proteger a los equipos frente a virus y aplicaciones de software potencialmente malintencionados. Las definiciones del software antivirus y antimalware deben actualizarse a diario o con más frecuencia si así lo indica Microsoft o el proveedor del software. i) Realización de pruebas, evaluación y autorización de los componentes del sistema antes de su implementación. j) Los proveedores que se dedican a desarrollar software deben cumplir las recomendaciones del Security Development Lifecycle (SDL) de Microsoft. Para obtener más información, visite k) Resolución de quejas y solicitudes relacionadas con problemas de seguridad. l) Administración de errores y omisiones, incumplimientos de normas de seguridad, entre otros incidentes. Versión 1.4 Página 16

17 m) Procedimientos para detectar ataques o intrusiones en el sistema, sean reales o solo intentos, y procedimientos para probar de forma proactiva los procedimientos de seguridad (por ejemplo, pruebas de fisuras abiertas). n) Asignación de recursos de aprendizaje o de otro tipo para mejorar la aplicación de sus directivas de seguridad. o) Instrucciones para saber actuar ante excepciones y situaciones que no se han abordado de forma específica en el sistema. p) Procesamiento de la integridad y de directivas de seguridad del sistema relacionadas. q) Planes de recuperación ante desastres y realización de pruebas relacionadas. r) Aprovisionamiento para la identificación de compromisos definidos, acuerdos de nivel de servicio y otros contratos, así como para mantener la coherencia con ellos. s) Requisito de que los usuarios, la dirección y los terceros confirmen (al inicio de la actividad y anualmente) que comprenden, y aceptan cumplir, las directivas de privacidad aplicables y los procedimientos relacionados con la seguridad de la información personal. AUTENTICACIÓN El proveedor debe autenticar la identidad de una persona antes de concederle acceso a información personal y confidencial de Microsoft. El proveedor deberá usar procesos de autenticación que exijan el uso de un Id. y una contraseña exclusivos para obtener acceso en línea a la información personal. Para realizar la autenticación en línea, los proveedores están obligados a lo siguiente: 1. Usar la cuenta de Microsoft, siempre que sea posible. Versión 1.4 Página 17

18 2. Requerir que una persona use un Id. y contraseña exclusivos (o su equivalente). Para realizar la autenticación por teléfono, los proveedores están obligados a lo siguiente: 1. Requerir que el usuario valide su información de contacto y, cuando sea posible, proporcione al menos un dato exclusivo (por ejemplo, código UPC o nombre de concurso). ACCESO A INFORMACIÓN PERSONAL DE MICROSOFT POR PERSONAL DEL PROVEEDOR El proveedor debe limitar el acceso a la información personal de Microsoft al personal que necesite este acceso para cumplir con sus funciones profesionales. Los proveedores deben desactivar las cuentas de la red o de otros sistemas de aquellos empleados que dejen de trabajar en programas de Microsoft en un plazo de 24 horas desde que se produzca el cese de las funciones o en un plazo de 2 horas cuando la renuncia no sea voluntaria. Entre los procesos de autenticación telefónica, debe encontrarse la validación de la información de contacto de la persona interesada, además de la solicitud de algún dato que tan sólo ella debería conocer. Debe haber sistemas y procedimientos que permitan el acceso de los empleados del proveedor a la información personal sólo si existe alguna necesidad empresarial legítima para ello. Tales sistemas y procedimientos deben abarcar el acceso interno y externo, soportes físicos, documentos impresos, plataformas tecnológicas y soportes físicos de copia de seguridad. DESTRUCCIÓN DE INFORMACIÓN PERSONAL DE MICROSOFT Cuando sea necesario destruir información personal de Microsoft, el proveedor está obligado a lo siguiente: 1. Quemar, pulverizar o triturar los activos físicos que contengan información personal de Microsoft de modo que sea imposible leer ni reconstruir dicha información. El proveedor debe demostrar que la destrucción de los activos físicos en que figuran los datos imposibilita la reconstrucción o lectura de éstos. 2. Destruir o borrar los activos digitales que contengan información personal de Microsoft de modo que sea imposible leer ni reconstruir dicha información. Versión 1.4 Página 18

19 PROTECCIÓN DE ACTIVOS DIGITALES Las obligaciones del proveedor son las siguientes: 1. Emplear sistemas de cifrado estándares como SSL, TLS o IPsec para cifrar la información de Microsoft que se transmita y para autenticar a los emisores y receptores de ella. Debe haber sistemas y procedimientos que permitan proteger la información personal transmitida por Internet o por otras redes públicas. Algunas normativas (como HIPPA, GLBA o PCI) establecen requisitos específicos para la transmisión de datos. Debe efectuarse un mantenimiento adecuado de los certificados SSL para que se instalen los nuevos certificados SSL válidos antes de que caduquen los anteriores. 2. Use BitLocker u otro sistema alternativo equivalente, que cuente con reconocimiento dentro del sector, en los equipos portátiles donde se almacene información de Microsoft. 3. Cuando almacene los tipos de información personal de Microsoft que se indican a continuación, emplee algoritmos simétricos y asimétricos con un nivel elevado de cifrado que cumplan con los estándares del sector actuales. Este requisito debe aplicarse también a los dispositivos portátiles como unidades USB, teléfonos móviles, dispositivos o medios de copias de seguridad, entre otros. a. Números de identificación expedidos por el gobierno (por ejemplo, el número de afiliación a la Seguridad Social o el número de carné de conducir) b. Números de cuenta (por ejemplo, números de cuenta bancaria o de tarjeta de crédito) c. Historiales médicos (por ejemplo, números de historiales médicos o identificadores biométricos) 4. Solo se debe aceptar la información de Microsoft que se envíe por transferencia cifrada. Debe haber sistemas y procedimientos que permitan cifrar los números de identificación expedidos por el gobierno, los números de cuenta y la información médica que se albergue en las ubicaciones de almacenamiento. El proveedor no puede facilitar ninguna información personal transmitida sin el uso del cifrado. Versión 1.4 Página 19

20 5. Investigar de inmediato los incumplimientos, e intentos, de acceso no autorizado a sistemas que contengan información personal de Microsoft. 6. Comunicar de inmediato los resultados de las investigaciones a la dirección superior del proveedor y a Microsoft. Existen sistemas y procesos que permiten investigar los incumplimientos y los intentos de acceso no autorizado. Existen sistemas y procesos para comunicar a Microsoft los resultados de las investigaciones. 7. Cumplir con los estándares de procesamiento de tarjetas de crédito aplicables a las tarjetas que admita. PROTECCIÓN DE ACTIVOS FÍSICOS Las obligaciones del proveedor son las siguientes: 1. Almacenar la información personal de Microsoft en un entorno en el que el acceso esté controlado. 2. Transportar con seguridad la información personal de Microsoft. RECUPERACIÓN ANTE DESASTRES El proveedor debe garantizar que existen procesos de planificación ante desastres y de copia de seguridad para proteger la información personal y confidencial de Microsoft frente al uso, acceso, divulgación, alteración y destrucción no autorizados. PRUEBAS Y AUDITORÍAS Las obligaciones del proveedor son las siguientes: 1. Realizar pruebas con regularidad para comprobar la eficacia de las medidas principales adoptadas para proteger la información personal de Microsoft. Existen sistemas y procesos que permiten administrar el acceso físico a las copias digitales, impresas, de archivo y de copia de seguridad que contienen la información personal. Debe haber sistemas y procesos para proteger adecuadamente durante el transporte los activos físicos que contienen la información personal. Debe haber sistemas y procesos para proteger la información personal y confidencial de Microsoft frente a la posible destrucción, alteración, divulgación, y uso o acceso no autorizados en caso de desastre. La frecuencia de las pruebas exigidas variará en función de la envergadura y la complejidad de las operaciones del proveedor. Es preciso documentar las pruebas y los resultados obtenidos a raíz de éstas, así como las modificaciones efectuadas en los sistemas, directivas y procedimientos cuando logra identificarse algún defecto. Versión 1.4 Página 20

Amway - Política de privacidad

Amway - Política de privacidad Amway - Política de privacidad Esta política de privacidad describe cómo Amway Venezuela y algunos afiliados de Amway, incluyendo Amway Latinoamérica (juntos "Amway") utilizan datos personales recogidos

Más detalles

Normas corporativas vinculantes (NCV) de Motorola Mobility

Normas corporativas vinculantes (NCV) de Motorola Mobility Normas corporativas vinculantes (NCV) de Motorola Mobility Introducción Estas normas corporativas vinculantes (en adelante denominadas normas ) explican de qué modo el grupo Motorola Mobility (en adelante

Más detalles

Declaración en materia de Privacidad

Declaración en materia de Privacidad Declaración en materia de Privacidad Kelly Services, Inc. y sus subsidiarias ("Kelly Services" o Kelly ) respetan su privacidad y reconocemos que usted tiene determinados derechos relacionados con cualquier

Más detalles

POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES DE SOCIOS COMERCIALES

POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES DE SOCIOS COMERCIALES 1. Generalidades Anixter es un grupo de empresas que respeta las prácticas de privacidad de cada uno de los países en los que conduce sus negocios. Tanto Anixter como cada entidad que forma parte del grupo

Más detalles

PRIVACIDAD Y SEGURIDAD DE LOS DATOS

PRIVACIDAD Y SEGURIDAD DE LOS DATOS Español PRIVACIDAD Y SEGURIDAD DE LOS DATOS Este Documento Complementario será parte integral del Contrato. Los términos escritos con mayúscula inicial a los que se haga referencia en este documento tendrán

Más detalles

GUÍA de Seguridad de Datos 1

GUÍA de Seguridad de Datos 1 GUÍA de Seguridad de Datos 1 Indice GUÍA MODELO DEL DOCUMENTO DE SEGURIDAD INTRODUCCIÓN MODELO DE DOCUMENTO DE SEGURIDAD 1. ÁMBITO DE APLICACIÓN DEL DOCUMENTO 2. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS

Más detalles

GUÍA de Seguridad de Datos 1

GUÍA de Seguridad de Datos 1 GUÍA de Seguridad de Datos 1 Indice GUÍA MODELO DEL DOCUMENTO DE SEGURIDAD INTRODUCCIÓN MODELO DE DOCUMENTO DE SEGURIDAD 1. ÁMBITO DE APLICACIÓN DEL DOCUMENTO 2. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS

Más detalles

Política de privacidad

Política de privacidad Política de privacidad Esta política de privacidad (la Política de privacidad ) podría cambiar periódicamente. Los cambios no tienen por qué anunciarse necesariamente, por lo que conviene que vuelva a

Más detalles

Declaración de privacidad y cookies Última actualización: Enero 2015. Introducción

Declaración de privacidad y cookies Última actualización: Enero 2015. Introducción Declaración de privacidad y cookies Última actualización: Enero 2015 Introducción Comerseg Industrial SAS, incluidas sus marcas, subsidiarias y filiales (denominadas conjuntamente "Comerseg") se compromete

Más detalles

DOCUMENTO DE SEGURIDAD EMPRESA DE EJEMPLO SL

DOCUMENTO DE SEGURIDAD EMPRESA DE EJEMPLO SL El siguiente modelo lo ofrece pymesseguras.es de manera gratuita, basado en la guía que nos ofrece la Agencia Española de Protección de Datos. Pymesseguras.es no se hace responsable del uso que pueda hacerse

Más detalles

AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS MODELO DE DOCUMENTO DE SEGURIDAD

AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS MODELO DE DOCUMENTO DE SEGURIDAD AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS MODELO DE DOCUMENTO DE SEGURIDAD Versión 1.0 Abril 2005 INTRODUCCIÓN El artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter

Más detalles

AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS MODELO DE DOCUMENTO DE SEGURIDAD

AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS MODELO DE DOCUMENTO DE SEGURIDAD AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS MODELO DE DOCUMENTO DE SEGURIDAD Versión 1.0 Abril 2005 INTRODUCCIÓN El artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter

Más detalles

MANUAL DE BUEN USO DE LOS SISTEMAS DE INFORMACIÓN PARA EMPRESAS PROVEEDORAS -MSGUSIEX- Versión 1.1

MANUAL DE BUEN USO DE LOS SISTEMAS DE INFORMACIÓN PARA EMPRESAS PROVEEDORAS -MSGUSIEX- Versión 1.1 MANUAL DE BUEN USO DE LOS SISTEMAS DE INFORMACIÓN PARA EMPRESAS PROVEEDORAS -MSGUSIEX- Versión 1.1 MANUAL DE BUEN USO DE LOS SISTEMAS DE INFORMACIÓN PARA EMPRESAS PROVEEDORAS ÍNDICE 1. ENTORNO 3 2. OBJETIVO

Más detalles

4.21 SOx, Sarbanes-Oxley Act of 2002.

4.21 SOx, Sarbanes-Oxley Act of 2002. 4.21 SOx, Sarbanes-Oxley Act of 2002. Introducción. La Ley SOx nace en Estados Unidos con para supervisar a las empresas que cotizan en bolsa de valores, evitando que las acciones de las mismas sean alteradas

Más detalles

Condiciones Especificas del Servicio de Mediación prestado por IntegralHost para la obtención de un Certificado de Seguridad SSL

Condiciones Especificas del Servicio de Mediación prestado por IntegralHost para la obtención de un Certificado de Seguridad SSL Condiciones Especificas del Servicio de Mediación prestado por IntegralHost para la obtención de un Certificado de Seguridad SSL De una parte, la entidad SINUX SC. (en adelante identificada por la marca

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

Protección de Datos Personales

Protección de Datos Personales Protección de Datos Personales La presente Política de Privacidad regula tanto el tratamiento de datos de carácter personal que Planetahosting.cl Ltda. (en adelante, Planetahosting.cl) realiza en calidad

Más detalles

COURSE.FRAMEWORKHOMEOWNERSHIP.ORG POLÍTICA DE PRIVACIDAD DEL SITIO WEB. A. El respeto por la privacidad de Framework

COURSE.FRAMEWORKHOMEOWNERSHIP.ORG POLÍTICA DE PRIVACIDAD DEL SITIO WEB. A. El respeto por la privacidad de Framework COURSE.FRAMEWORKHOMEOWNERSHIP.ORG POLÍTICA DE PRIVACIDAD DEL SITIO WEB A. El respeto por la privacidad de Framework Framework Homeownership LLC ( Framework ), respeta la importancia de la privacidad de

Más detalles

4.8 ISO 22301:2012 Societal security - Business continuity management systems Requirements.

4.8 ISO 22301:2012 Societal security - Business continuity management systems Requirements. 4.8 ISO 22301:2012 Societal security - Business continuity management systems Requirements. Introducción. Este estándar especifica los requerimientos para planear, establecer, implementar, operar, supervisar,

Más detalles

DOCUMENTO DE SEGURIDAD

DOCUMENTO DE SEGURIDAD CÁMARA DE COMERCIO DE OCAÑA DOCUMENTO DE SEGURIDAD Ocaña Norte de Santander 2014 INTRODUCCIÓN El presente Documento, ha sido redactado en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y el Decreto

Más detalles

II) DE LOS USUARIOS 4. DERECHOS El usuario o cliente tendrá derecho a usar el servicio de personalización del Portal Corporativo de Antel, antel en

II) DE LOS USUARIOS 4. DERECHOS El usuario o cliente tendrá derecho a usar el servicio de personalización del Portal Corporativo de Antel, antel en Condiciones del Servicio INTRODUCCIÓN El registro como usuario de antel en línea y los servicios asociados al mismo implica dos pasos: primero, la atenta lectura de la presente Introducción y del Reglamento

Más detalles

GUÍA PRÁCTICA. para la utilización de muestras biológicas en Investigación Biomédica

GUÍA PRÁCTICA. para la utilización de muestras biológicas en Investigación Biomédica GUÍA PRÁCTICA para la utilización de muestras biológicas en Investigación Biomédica IV. GESTIÓN DE BASES DE DATOS 1. La creación de ficheros y su notificación 2. El responsable y el encargado del tratamiento

Más detalles

INTRODUCCIÓN CONTENIDO

INTRODUCCIÓN CONTENIDO Página 1 de 9 INTRODUCCIÓN El presente Documento, ha sido redactado en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y el Decreto Reglamentario 1377 de 2013 el cual recoge las medidas de índole técnica

Más detalles

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones:

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones: Lima, 02 de abril de 2009 CIRCULAR Nº G- 140-2009 --------------------------------------------------------- Ref.: Gestión de la seguridad de la información ---------------------------------------------------------

Más detalles

ACUERDO DE ACCESO A DATOS DE CARÁCTER PERSONAL POR CUENTA DE TERCEROS ENTRE XXXXX Y XXXXXXX. En Barcelona a X de XXXX de 2008 REUNIDOS

ACUERDO DE ACCESO A DATOS DE CARÁCTER PERSONAL POR CUENTA DE TERCEROS ENTRE XXXXX Y XXXXXXX. En Barcelona a X de XXXX de 2008 REUNIDOS ACUERDO DE ACCESO A DATOS DE CARÁCTER PERSONAL POR CUENTA DE TERCEROS ENTRE XXXXX Y XXXXXXX En Barcelona a X de XXXX de 2008 REUNIDOS DE UNA PARTE BARCELONA DE SERVEIS MUNICIPALS, S.A. (en adelante BSM)

Más detalles

4.7 ISO/IEC 20000-1:2011 Information technology - Service management -Part 1: Service management system requirements.

4.7 ISO/IEC 20000-1:2011 Information technology - Service management -Part 1: Service management system requirements. 4.7 ISO/IEC 20000-1:2011 Information technology - Service management -Part 1: Service management system requirements. Introducción. ISO 20000 es un estándar orientado al establecimiento de procesos y procedimientos

Más detalles

Norma de Seguridad: Cláusulas LOPD con acceso a datos, de los que la Diputación Foral de Bizkaia es encargada de tratamiento

Norma de Seguridad: Cláusulas LOPD con acceso a datos, de los que la Diputación Foral de Bizkaia es encargada de tratamiento 1. OBJETO 2. ALCANCE Cumplimiento del artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, y el artículo 21 del Real Decreto 1720/2007 (LOPD). Todos

Más detalles

4.22 ITIL, Information Technology Infrastructure Library v3.

4.22 ITIL, Information Technology Infrastructure Library v3. 4.22 ITIL, Information Technology Infrastructure Library v3. Introducción. Es un conjunto de conceptos y prácticas en la gestión de servicios de tecnologías de la información, para lograr calidad y eficiencia

Más detalles

4.12 ISO 9000:2005, Quality management systems -- Fundamentals and vocabulary.

4.12 ISO 9000:2005, Quality management systems -- Fundamentals and vocabulary. 4.12 ISO 9000:2005, Quality management systems -- Fundamentals and vocabulary. Introducción. Es un documento de referencia para entender los términos y vocabulario relacionado con gestión de El ISO 9000:2005

Más detalles

Cloud Security Alliance, Inc. (CSA) se atiene a los siguientes principios en relación al manejo de información personal en formato electrónico:

Cloud Security Alliance, Inc. (CSA) se atiene a los siguientes principios en relación al manejo de información personal en formato electrónico: Cloud Security Alliance Política de Privacidad Cloud Security Alliance, Inc. (CSA) se atiene a los siguientes principios en relación al manejo de información personal en formato electrónico: La información

Más detalles

Windows Azure Información general sobre privacidad

Windows Azure Información general sobre privacidad Windows Azure Información general sobre privacidad Febrero de 2014 P Á G I N A 01 Tabla de contenido INTRODUCCIÓN... 3 ENFOQUE DE MICROSOFT SOBRE LA PRIVACIDAD EN LA NUBE... 3 SUS DATOS EN WINDOWS AZURE...

Más detalles

Código de Conducta para Proveedores de Dinero Móvil

Código de Conducta para Proveedores de Dinero Móvil Código de Conducta para Proveedores de Dinero Móvil INTEGRIDAD DE LOS SERVICIOS UN TRATO JUSTO DE LOS CLIENTES SEGURIDAD DE LA RED Y EL CANAL MÓVILES VERSIÓN 1 - NOVIEMBRE 2014 Introducción El Código de

Más detalles

CONDICIONES GENERALES

CONDICIONES GENERALES CONDICIONES GENERALES Las presentes Condiciones Generales contienen la expresión completa de los acuerdos vigentes entre Zenit Software Solutions S.C.P y el Cliente y sustituye y anula cualquier otro contrato

Más detalles

Requisitos de control de proveedores externos

Requisitos de control de proveedores externos Requisitos de control de proveedores externos Ciberseguridad Para proveedores clasificados como de bajo riesgo de ciberdelito 1. Protección de activos y configuración de sistemas Los Datos de Barclays,

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

4.1 ISO/IEC 27001:2013, Information Technology - Security techniques Information security management systems Requirements.

4.1 ISO/IEC 27001:2013, Information Technology - Security techniques Information security management systems Requirements. 4.1 ISO/IEC 27001:2013, Information Technology - Security techniques Information security management systems Requirements. Introducción. El estándar proporciona los requerimientos para establecer, controlar,

Más detalles

TECNOLOGÍAS DE INFORMACIÓN GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

TECNOLOGÍAS DE INFORMACIÓN GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO Tema: Uso de Sistemas de Información, de la Internet y del Correo Electrónico TECNOLOGÍAS DE INFORMACIÓN GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLÍTICA NÚM.: TIG-008 FECHA DE EFECTIVIDAD: 15

Más detalles

4.11 ISO GUIDE 73, Risk management Vocabulary.

4.11 ISO GUIDE 73, Risk management Vocabulary. 4.11 ISO GUIDE 73, Risk management Vocabulary. Introducción. El estándar proporciona las definiciones de los términos genéricos relacionados con la gestión del El ISO Guide 73 promueve una base común de

Más detalles

FRANKLIN ELECTRIC CO., INC. POLÍTICA DE RETENCIÓN DE REGISTROS. Revisión: octubre de 2009

FRANKLIN ELECTRIC CO., INC. POLÍTICA DE RETENCIÓN DE REGISTROS. Revisión: octubre de 2009 FRANKLIN ELECTRIC CO., INC. POLÍTICA DE RETENCIÓN DE REGISTROS Revisión: octubre de 2009 A. Objeto Franklin Electric, Co., Inc., y sus empresas subsidiarias y filiales (en conjunto, la Empresa ) reconocen

Más detalles

Servicio de Mediación prestado por HispaServers para la obtención de un Certificado de Seguridad SSL

Servicio de Mediación prestado por HispaServers para la obtención de un Certificado de Seguridad SSL 1 Servicio de Mediación prestado por HispaServers para la obtención de un Certificado de Seguridad SSL El presente documento recoge las Condiciones Generales de Contratación de Servicio de Mediación prestado

Más detalles

Certificado de dispositivo seguro de controlador de dominio (CDSCD)

Certificado de dispositivo seguro de controlador de dominio (CDSCD) Certificado de dispositivo seguro de controlador de dominio (CDSCD) Referencia: D1111_E0650_N-TD CDSCD Versión: 1.0 Fecha: 27/07/2006 Índice 1. INTRODUCCIÓN E INFORMACIÓN DE CONTACTO... 4 1.1. Introducción...

Más detalles

SHAREFILE. Contrato de socio comercial

SHAREFILE. Contrato de socio comercial SHAREFILE Contrato de socio comercial Este Contrato de socio comercial ("Contrato de SC") se hace vigente de acuerdo con los términos de la sección 5 del Contrato de servicio del usuario final ("EUSA")

Más detalles

Vicerrectorado de Servicios Informáticos y de Comunicación Política de uso de los Recursos Informáticos y de la Red de Datos de la UPM

Vicerrectorado de Servicios Informáticos y de Comunicación Política de uso de los Recursos Informáticos y de la Red de Datos de la UPM Política de uso de los Recursos Informáticos y de la Red de Datos de la UPM 1. Objetivo del documento Establecer las normas de uso correcto de los Recursos Informáticos y de la Red de Datos en la UPM.

Más detalles

Objetivo Primordial. Seguridad. Privacidad

Objetivo Primordial. Seguridad. Privacidad Objetivo Primordial Privacidad Seguridad El implementar las medidas y controles que regulen la distribución y acceso a la Información médica de pacientes. (Hablada, escrita o electrónicamente, entre otros

Más detalles

ACUERDO DE LICENCIA DE USUARIO FINAL - GAMA RETAIL 2013

ACUERDO DE LICENCIA DE USUARIO FINAL - GAMA RETAIL 2013 ACUERDO DE LICENCIA DE USUARIO FINAL - GAMA RETAIL 2013 Por favor, lea con atención el presente Acuerdo de Licencia antes de utilizar este programa. La aceptación del mismo atribuye la condición de usuario

Más detalles

MODELO DOCUMENTO DE SEGURIDAD

MODELO DOCUMENTO DE SEGURIDAD MODELO DOCUMENTO DE SEGURIDAD Responsable del Fichero...... Nombre del Fichero...... Nº de Inscripción... Nº de la Versión... Fecha... ÍNDICE 1. Objeto del documento 2. Ámbito de aplicación 3. Recursos

Más detalles

POLITICA DE PRIVACIDAD. www.tuboleta.com

POLITICA DE PRIVACIDAD. www.tuboleta.com http://vive.tuboleta.com/content/privatepolicy.aspx POLITICA DE PRIVACIDAD Tu Boleta respeta la privacidad de todos sus clientes y contactos comerciales, y está comprometido a salvaguardar la información

Más detalles

Política de Privacidad

Política de Privacidad Política de Privacidad KLENDAR LIFE S.A. (en adelante KLENDAR) es una sociedad con domicilio social en C/Batalla del Salado, 24 1ºA (Madrid), con número de C.I.F. A98384803, inscrita en el Registro Mercantil

Más detalles

LSSICE y LOPD. Networking SatiPyme. Cámara de Comercio e Industria de Zaragoza Centro de Formación 24 de noviembre de 2008

LSSICE y LOPD. Networking SatiPyme. Cámara de Comercio e Industria de Zaragoza Centro de Formación 24 de noviembre de 2008 LSSICE y LOPD Networking SatiPyme Cámara de Comercio e Industria de Zaragoza Centro de Formación 24 de noviembre de 2008 Javier Prenafeta Rodríguez Abogado LSSICE Servicios de la Sociedad de la Información

Más detalles

AF-I-M-001-V00-26/07/2013 POLÍTICAS PARA EL TRATAMIENTO DE DATOS PERSONALES

AF-I-M-001-V00-26/07/2013 POLÍTICAS PARA EL TRATAMIENTO DE DATOS PERSONALES AF-I-M-001-V00-26/07/2013 POLÍTICAS PARA EL TRATAMIENTO DE DATOS PERSONALES 1 Contenido 1 Introducción.... 4 2 Definiciones.... 4 3 Principios establecidos por la ley para el Tratamiento de los Datos Personales....

Más detalles

cctld Doc 36-S Original: español OFICINA DE NORMALIZACIÓN DE LAS TELECOMUNICACIONES

cctld Doc 36-S Original: español OFICINA DE NORMALIZACIÓN DE LAS TELECOMUNICACIONES UNIÓN INTERNACIONAL DE TELECOMUNICACIONES OFICINA DE NORMALIZACIÓN DE LAS TELECOMUNICACIONES PERIODO DE ESTUDIO 2001-2004 Origen: Título: Original: español Taller sobre las experiencias de los Estados

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

Aviso de Privacidad, Términos y Condiciones Hotel Howard Johnson Avenida

Aviso de Privacidad, Términos y Condiciones Hotel Howard Johnson Avenida Aviso de Privacidad, Términos y Condiciones Hotel Howard Johnson Avenida Introducción. Negocios Real S.A. de C.V. con nombre comercial Howard Johnson Avenida León es franquiciatario de la sociedad denominada

Más detalles

Políticas de Allus para la Protección de Datos Personales

Políticas de Allus para la Protección de Datos Personales Políticas de Allus para la Protección de Datos Personales Allus ha diseñado una Política para la Protección de Datos Personales (en adelante La Política ) para asegurar un tratamiento ético y adecuado

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

CONDICIONES PARTICULARES SOLUCIONES DE MENSAJERÍA DECOLABORACIÓN OFERTA CORPORATIVA

CONDICIONES PARTICULARES SOLUCIONES DE MENSAJERÍA DECOLABORACIÓN OFERTA CORPORATIVA CONDICIONES PARTICULARES SOLUCIONES DE MENSAJERÍA DECOLABORACIÓN OFERTA CORPORATIVA Definiciones: Ultima versión de fecha de 13/06/2011 Activación del Servicio: La activación del Servicio se produce a

Más detalles

AVISO DE PRIVACIDAD relacionado con los datos personales, recabados por la ASOCIACION DE MAQUILADORAS Y EXPORTADORAS DE CHIHUAHUA, A.C.

AVISO DE PRIVACIDAD relacionado con los datos personales, recabados por la ASOCIACION DE MAQUILADORAS Y EXPORTADORAS DE CHIHUAHUA, A.C. AVISO DE PRIVACIDAD relacionado con los datos personales, recabados por la ASOCIACION DE MAQUILADORAS Y EXPORTADORAS DE CHIHUAHUA, A.C. (En adelante denominada como Index Chihuahua ) Generales 1.1. Index

Más detalles

TÉRMINOS Y CONDICIONES DE USO

TÉRMINOS Y CONDICIONES DE USO TÉRMINOS Y CONDICIONES DE USO Bienvenido a Ciklo, Sociedad Anonima (en adelante indistintamente Ciklo ). Si continúa navegando y utilizando este sitio web y/o se descarga o se utiliza la aplicación (de

Más detalles

LEY DE PROTECCIÓN DE DATOS: EMPRESA PRIVADA

LEY DE PROTECCIÓN DE DATOS: EMPRESA PRIVADA LEY DE PROTECCIÓN DE DATOS: EMPRESA PRIVADA DOCUMENTO DE SEGURIDAD Módulo 2/ Unidad 3 ÍNDICE DE CONTENIDOS 1.- INTRODUCCIÓN... 3 2.- OBJETIVOS... 3 3.- JUSTIFICACIÓN... 5 4.- CONTENIDO... 6 5.- FORMA DEL

Más detalles

POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA

POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA Código: 2-00-002-001POL-09 Versión:3 Página 1 de 36 POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA Código de documento: 2-00-002-001POL-09 Aprobado por Licda. Gabriela Espinoza Meza Fecha aprobación:

Más detalles

AMERICAN EXPRESS. Condiciones generales del Sitio web para establecimientos

AMERICAN EXPRESS. Condiciones generales del Sitio web para establecimientos AMERICAN EXPRESS Condiciones generales del Sitio web para establecimientos American Express Company (México), S.A. de C.V. (en adelante American Express, nuestro, nuestra o nosotros ) es la responsable

Más detalles

4.19 PCI DSS, Payment Card Industry Data Security Standard v2.0.

4.19 PCI DSS, Payment Card Industry Data Security Standard v2.0. 4.19 PCI DSS, Payment Card Industry Data Security Standard v2.0. Introducción. Este estándar fue sarrollado por un comité conformado por las compañías tarjetas bancarias más importantes, como una guía

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

Health Republic Insurance Política de privacidad del sitio web

Health Republic Insurance Política de privacidad del sitio web Health Republic Insurance Política de privacidad del sitio web Introducción Nos encargamos seriamente de salvaguardar su privacidad. Hemos creado esta Política de privacidad del sitio web para familiarizarnos

Más detalles

POLÍTICA DE PRIVACIDAD DE ROCHE

POLÍTICA DE PRIVACIDAD DE ROCHE POLÍTICA DE PRIVACIDAD DE ROCHE Declaración de Privacidad en línea de F. Hoffmann La-Roche AG Gracias por visitar una página de Roche en Internet o interactuar con nosotros a través del correo electrónico.

Más detalles

Normas Corporativas Vinculantes ( BCR ) Resumen de derechos

Normas Corporativas Vinculantes ( BCR ) Resumen de derechos Normas Corporativas Vinculantes ( BCR ) Resumen de derechos de terceros Este documento contiene en sus Secciones 3 a 9 las regulaciones de las Normas Corporativas Vinculantes (BCR) para las empresas del

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Resumen de los cambios de la a la 3.0 de las PCI DSS (Normas de seguridad de datos de la Industria de tarjetas de pago) Noviembre de

Más detalles

Aviso de Privacidad Johnson Controls

Aviso de Privacidad Johnson Controls Aviso de Privacidad Johnson Controls Johnson Controls, Inc. y sus empresas afiliadas (en conjunto, Johnson Controls, nosotros o nuestro/a) se preocupan por su privacidad y están comprometidos a proteger

Más detalles

POLITICA DE PRIVACIDAD

POLITICA DE PRIVACIDAD POLITICA DE PRIVACIDAD Monsanto Argentina S.A.I.C. (en adelante Monsanto ) respeta la privacidad de las personas que visitan este Sitio y otros sitios operados por Monsanto. Esta declaración contiene las

Más detalles

AVISO DE PRIVACIDAD NOMBRE Y DOMICILIO DEL RESPONSABLE DE LOS DATOS PERSONALES FINALIDADES Y USO DE SUS DATOS PERSONALES.

AVISO DE PRIVACIDAD NOMBRE Y DOMICILIO DEL RESPONSABLE DE LOS DATOS PERSONALES FINALIDADES Y USO DE SUS DATOS PERSONALES. AVISO DE PRIVACIDAD De conformidad con lo previsto en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, nos permitimos solicitarle leer cuidadosamente los Términos y Condiciones

Más detalles

PROCEDIMIENTO GENERAL RAZÓN SOCIAL DE LA EMPRESA GESTIÓN Y CONTROL DE DATOS DE CARÁCTER PERSONAL. Código PG-13 Edición 0. Índice:

PROCEDIMIENTO GENERAL RAZÓN SOCIAL DE LA EMPRESA GESTIÓN Y CONTROL DE DATOS DE CARÁCTER PERSONAL. Código PG-13 Edición 0. Índice: Índice: 1. TABLA RESUMEN... 2 2. OBJETO... 2 3. ALCANCE... 2 4. RESPONSABILIDADES... 3 5. ENTRADAS... 4 6. SALIDAS... 4 7. PROCESOS RELACIONADOS... 4 8. DIAGRAMA DE FLUJO... 5 9. DESARROLLO... 6 9.1. GESTIÓN

Más detalles

3 POLÍTICAS DE SEGURIDAD

3 POLÍTICAS DE SEGURIDAD 3 POLÍTICAS DE SEGURIDAD 3.1 PROPÓSITO Las Políticas de Seguridad son documentos de alto nivel. Representan la filosofía y el talante del ASJ, en materia de seguridad. Es necesario, además, que las Políticas

Más detalles

POLÍTICA DE PRIVACIDAD KÖNIG

POLÍTICA DE PRIVACIDAD KÖNIG En NEDIS creemos que, como usuario de nuestra página Web, usted tiene el derecho de conocer nuestras prácticas relacionadas con la información que se recopila cuando usted visita nuestra página Web, y

Más detalles

VERSIÓN DE EMEA - Descripción del servicio: almacenamiento en nube de recuperación y copia de seguridad Dell

VERSIÓN DE EMEA - Descripción del servicio: almacenamiento en nube de recuperación y copia de seguridad Dell VERSIÓN DE EMEA - Descripción del servicio: almacenamiento en nube de recuperación y copia de seguridad Dell Términos y condiciones. A Dell le complace ofrecer Almacenamiento en nube de recuperación y

Más detalles

Política de privacidad de Norton Mobile

Política de privacidad de Norton Mobile Durante más de dos décadas, los consumidores han confiado en Symantec y la marca Norton en todo el mundo para proteger sus dispositivos informáticos y los recursos digitales más importantes. Protegemos

Más detalles

Contrato de servicio de soporte de HP Technical Phone Support ( Contrato ) Términos y Condiciones

Contrato de servicio de soporte de HP Technical Phone Support ( Contrato ) Términos y Condiciones Contrato de servicio de soporte de HP Technical Phone Support ( Contrato ) Términos y Condiciones Gracias por adquirir este Contrato de servicio de HP Technical Phone Support. Podrá obtener descripciones

Más detalles

Norma de uso Identificación y autentificación Ministerio del Interior N02

Norma de uso Identificación y autentificación Ministerio del Interior N02 Norma de uso Identificación y autentificación Ministerio del Interior N02 Introducción Propósito. El acceso a la información de los sistemas del Ministerio del Interior será solo otorgado a usuarios identificados

Más detalles

POLÍTICA DE PRIVACIDAD

POLÍTICA DE PRIVACIDAD POLÍTICA DE PRIVACIDAD INTRODUCCIÓN Bienvenido a Mitsubishi. En nuestra compañía creemos que es importante proteger la privacidad de nuestros clientes, para poder ser transparentes y responsables con nuestras

Más detalles

Descripción de servicio Servicios modulares de Dell

Descripción de servicio Servicios modulares de Dell Descripción de servicio Servicios modulares de Dell Información general sobre términos y condiciones El presente acuerdo se celebra entre el cliente ("usted" o "cliente") y Dell para la prestación y uso

Más detalles

Aviso de Privacidad de Extend Solutions, S. A. De C. V.

Aviso de Privacidad de Extend Solutions, S. A. De C. V. Aviso de Privacidad de Extend Solutions, S. A. De C. V. Extend Solutions, S. A. de C. V., con domicilio en Paseo de la Reforma 107, Interior 102 en México, Distrito Federal, C. P. 06030 es el responsable

Más detalles

Estándares para Sistemas de Tickets Entrantes/Salientes (TITO)

Estándares para Sistemas de Tickets Entrantes/Salientes (TITO) Estándares para Sistemas de Tickets Entrantes/Salientes (TITO) Superintendencia de Casinos de Juego (SCJ) CHILE Santiago de Chile, marzo de 2015 Modificaciones a los Estándares para Sistemas de Tickets

Más detalles

El derecho a la protección de datos personales en la Administración Pública Federal

El derecho a la protección de datos personales en la Administración Pública Federal El derecho a la protección de datos personales en la Administración Pública Federal Edgardo Martínez Rojas Director General de Normatividad y Estudios Noviembre 2011 I Origen del derecho a la protección

Más detalles

CONDICIONES DE USO Y POLÍTICA DE PRIVACIDAD Y COOKIES

CONDICIONES DE USO Y POLÍTICA DE PRIVACIDAD Y COOKIES CONDICIONES DE USO Y POLÍTICA DE PRIVACIDAD Y COOKIES 1. Titularidad del dominio Este sitio web (el «Sitio web») se encuentra registrado en virtud del Reglamento portugués relativo al registro de dominios

Más detalles

12. Tratado de Cooperación en materia de Patentes (PCT)

12. Tratado de Cooperación en materia de Patentes (PCT) 12. Tratado de Cooperación en materia de Patentes (PCT) Clase de Instrumento: Tratado internacional Adopción: 19 de junio de 1970 Fecha de entrada en vigor internacional: 24 de enero de 1978 Vinculación

Más detalles

ADAMA Términos y Condiciones de Uso

ADAMA Términos y Condiciones de Uso Version1 / última actualización 04/01/2014 ADAMA Términos y Condiciones de Uso Quienes Somos Este sitio web (incluyendo sub-sitios e incluyendo texto, imágenes, videos, software, productos, servicios,

Más detalles

DECLARACIÓN DE PRIVACIDAD DE FONOWEB

DECLARACIÓN DE PRIVACIDAD DE FONOWEB DECLARACIÓN DE PRIVACIDAD DE FONOWEB Fonoweb se compromete a respetar su privacidad y la confidencialidad de su información personal, los datos de las comunicaciones y el contenido de las comunicaciones

Más detalles

MODELO DE CLÁUSULA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y MEDIDAS DE SEGURIDAD

MODELO DE CLÁUSULA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y MEDIDAS DE SEGURIDAD MODELO DE CLÁUSULA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y MEDIDAS DE SEGURIDAD 1. Prestaciones y propiedad de los datos En el contexto de la prestación de servicios encargada por..y con la finalidad

Más detalles

1. Medidas de Seguridad para Datos Personales en Soportes Físicos. Número Apartado Disposición. 1.1.3. 1.1. Área de recepción de datos personales

1. Medidas de Seguridad para Datos Personales en Soportes Físicos. Número Apartado Disposición. 1.1.3. 1.1. Área de recepción de datos personales 1. Medidas de Seguridad para Datos Personales en Soportes Físicos. Número Apartado Disposición. 1.1.3. 1.1. Área de recepción de datos Cualquier persona puede identificar con facilidad al personal autorizado

Más detalles

Política de Privacidad de Datos

Política de Privacidad de Datos Política de Privacidad de Datos La presente Política de Privacidad de Datos, tiene por objeto poner en conocimiento de los Usuarios los alcances de la protección integral de sus datos personales asentados

Más detalles

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países. Este documento es solo para fines informativos. MICROSOFT NO OTORGA NINGUNA GARANTÍA, YA SEA EXPLÍCITA, IMPLÍCITA O LEGAL, RESPECTO DE LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO. Este documento se entrega

Más detalles

Contrato de licencia de usuario final de software de IATA Reglamentación para el Transporte de Animales Vivos

Contrato de licencia de usuario final de software de IATA Reglamentación para el Transporte de Animales Vivos Contrato de licencia de usuario final de software de IATA Reglamentación para el Transporte de Animales Vivos ATENCIÓN: PUEDE QUE DEBA DESPLAZARSE HASTA EL FINAL DE ESTE CONTRATO DE LICENCIA DE USUARIO

Más detalles

Aviso de procedimientos de manejo de información para fines laborales de Merck & Co., Inc.

Aviso de procedimientos de manejo de información para fines laborales de Merck & Co., Inc. DECLA- RACIO- NES La privacidad en Merck Por qué? Este Aviso contiene información general sobre los procedimientos de Merck & Co., Inc. y sus filiales, respecto de la recopilación, uso y divulgación de

Más detalles

GUíAde Seguridad de Datos

GUíAde Seguridad de Datos GUíAde Seguridad de Datos AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Diseño Gráfico: É N Imprime: NILO Industria Gráfica, S.A. GUíAde Seguridad de Datos GUíAde Seguridad de Datos indice 4 7 10 14 16 16 17

Más detalles

Política de Privacidad ColArt Ibérica SA se compromete a velar por la protección y defensa de su privacidad cuando visite usted nuestras páginas Web

Política de Privacidad ColArt Ibérica SA se compromete a velar por la protección y defensa de su privacidad cuando visite usted nuestras páginas Web Política de Privacidad ColArt Ibérica SA se compromete a velar por la protección y defensa de su privacidad cuando visite usted nuestras páginas Web o se comunique con nosotros por medios electrónicos.

Más detalles

ACUERDO DE LICENCIA DE USUARIO FINAL - GAMA RETAIL 2015

ACUERDO DE LICENCIA DE USUARIO FINAL - GAMA RETAIL 2015 ACUERDO DE LICENCIA DE USUARIO FINAL - GAMA RETAIL 2015 Por favor, lea con atención el presente Acuerdo de Licencia antes de utilizar este programa. La aceptación del mismo atribuye la condición de usuario

Más detalles

Riesgos del Trabajo. Política de Confidencialidad y Protección de Datos Personales. Ámbito de Aplicación. Tipo de Información Recolectada

Riesgos del Trabajo. Política de Confidencialidad y Protección de Datos Personales. Ámbito de Aplicación. Tipo de Información Recolectada Política de Confidencialidad y Protección de Datos Personales Riesgos del Trabajo SANCOR COOPERATIVA DE SEGUROS LIMITADA y/o cualquiera de las sociedades del GRUPO SANCOR SEGUROS (en adelante SANCOR SEGUROS),

Más detalles

Top Secret Recomendaciones de seguridad

Top Secret Recomendaciones de seguridad Top Secret Recomendaciones de seguridad La importancia de la seguridad La sensibilidad de la información La información es uno de los principales activos de la empresa. Por ello es vital la colaboración

Más detalles

Normativa de seguridad y uso de los recursos informáticos en la UPCT

Normativa de seguridad y uso de los recursos informáticos en la UPCT Normativa de seguridad y uso de los recursos informáticos en la UPCT Aprobada por: Consejo de Gobierno de la UPCT. Fecha: 7 de Noviembre de 2011. Resumen: La Política de Seguridad de la UPCT se aprobó

Más detalles

Términos de licencia del software de Microsoft para:

Términos de licencia del software de Microsoft para: Términos de licencia del software de Microsoft para: Windows Embedded For Point of Service 1.0 Estos términos de licencia constituyen un contrato entre usted y [OEM]. Proceda a leerlos. Se aplican al software

Más detalles

... Aviso de Privacidad Integral

... Aviso de Privacidad Integral Aviso de Privacidad Integral Fecha de primera publicación del Aviso de Privacidad 5 de julio de 2011. USO DE SUS DATOS PERSONALES. La privacidad de sus datos personales es de gran importancia para IMCO,

Más detalles