PRIVACIDAD Y SEGURIDAD DE LOS DATOS

Transcripción

1 Español PRIVACIDAD Y SEGURIDAD DE LOS DATOS Este Documento Complementario será parte integral del Contrato. Los términos escritos con mayúscula inicial a los que se haga referencia en este documento tendrán el significado definido en el Contrato. Este Documento Complementario, junto con sus Apéndices, estipula: a) los derechos y las obligaciones del Cliente y SAP con relación a los datos personales que SAP y sus subprocesadores autorizados procesan en nombre del Cliente y sus Afiliadas, en virtud del Contrato; y b) las medidas organizativas y técnicas aplicables que SAP implementa y mantiene para proteger los Datos del Cliente 1. Definiciones "Exportador de datos", tal como se define en las Cláusulas Contractuales, hará referencia al Cliente, o a sus Afiliadas correspondientes, como se detalla en un Formulario de Pedido Estándar. "Importador de datos", como se define en las Cláusulas Contractuales Estándar, hará referencia a la Entidad fuera de la UE aplicable. "Entidad fuera de la UE" hace referencia a cualquier entidad SAP o Subprocesador incorporados en un país que no proporciona un nivel de protección de datos adecuado, según las leyes y normas de la Unión Europea (UE). "SAP" hará referencia a la entidad SAP que es la parte del Formulario de Pedido y a cualquier Afiliada entonces vigente que esté involucrada en el procesamiento de Datos del Cliente, según sea el caso. "Cláusulas Contractuales Estándar" hará referencia a (Cláusulas Contractuales Estándar [procesadores]) basadas en la Decisión de la Comisión del 5 de febrero de 2010, sobre cláusulas contractuales estándar para la transferencia de datos personales a procesadores establecidos en países de terceros, de conformidad con la Directiva 95/46/CE (notificada con el número de documento C[2010] 593) incluidos los Apéndices 1 y 2 adjuntados al presente. "Subprocesador", tal como se define en las Cláusulas Contractuales Estándar, hará referencia a los subprocesadores del tercero involucrados por SAP de acuerdo con la sección 5 debajo. 2. Fines de Procesamiento de Datos 2.1 El Cliente y sus Afiliadas, como controladores de datos correspondientes, determinarán los fines de la recolección, el procesamiento y el uso de otra forma de los datos personales almacenados en el Servicio. A menos que se estipule lo contrario en un término adicional o Formulario de Pedido de un producto, el Apéndice 1 de las Cláusulas Contractuales Estándar adjuntadas al presente se aplicará al procesamiento de dichos datos. 2.2 Los fines del procesamiento de datos personales almacenados en el Servicio o proporcionados de otro modo por SAP y sus Afiliadas en virtud del Contrato están limitados a: a) Configurar, hacer funcionar, controlar y proporcionar el Servicio, incluida la infraestructura subyacente (hardware, software, instalaciones de centros de datos seguros, conectividad), como procesador de datos o Subprocesador de acuerdo con la Disponibilidad del Sistema acordada, tal como se define en el Contrato; b) Proporcionar soporte técnico como una obligación principal de SAP en virtud del Contrato; c) Proporcionar servicios profesionales como una obligación principal de SAP, si y en la medida acordada entre las partes. 3. Cláusulas Contractuales Estándar, Limitaciones de Responsabilidad y Leyes Aplicables 3.1 La versión sin modificaciones de las Cláusulas Contractuales Estándar se considerará incorporada por referencia en el presente y se aplicará si y en la medida en que una Entidad fuera de la UE (a) pueda acceder en forma remota o procesar los datos del Cliente y sus Afiliadas que SAP aloje en un centro de datos basado en la UE; o (b) aloje datos personales del Cliente o de las Afiliadas del Cliente que estén incorporadas en un estado miembro de la UE/AEE o en Suiza en un centro de datos fuera de la UE. A menos que las partes acuerden lo contrario, se aplicarán los Apéndices 1 y 2 de las Cláusulas Contractuales Estándar tal como se adjuntan. Ninguna parte de este Contrato deberá considerarse como prevalente sobre cualquier cláusula conflictiva de las Cláusulas Contractuales Estándar. El Cliente reconoce que tuvo la oportunidad de revisar las Cláusulas Contractuales Estándar o de obtener una copia completa de SAP. 3.2 Se añadirá un nuevo párrafo 4 en la Cláusula 6 (Responsabilidad) de modo que en las Cláusulas Contractuales Estándar se incluya el siguiente texto: Las partes acuerdan que si una de ellas se considera responsable de un incumplimiento de las cláusulas comprometidas por la otra parte, esta última, en la medida en que sea responsable, indemnizará a la otra parte por cualquier coste, cargo, daño, gastos o pérdida en que haya incurrido. La indemnización está sujeta a: (a) que el exportador de datos notifique puntualmente al importador de datos una reclamación; y

2 (b) el importador de datos tenga la posibilidad de cooperar con el exportador de datos en la defensa y la conciliación de la reclamación. 3.3 SAP podrá, a su decisión exclusiva, actualizar o remplazar las Cláusulas Contractuales Estándar a través de un medio alternativo (por ej., una versión nueva de SCC promulgado por la Comisión Europea, normas corporativas vinculantes aprobadas), considerado adecuado conforme a la regulación de protección de datos de la UE entonces vigente, proporcionando al Cliente una notificación por escrito con treinta (30) días de antelación (se puede efectuar mediante correo electrónico). 3.4 Sin perjuicio de lo anterior, en la medida en que esté permitido por la ley, se aplicarán las limitaciones de responsabilidad estipuladas en el Contrato (p. ej., Cláusula 11 [Responsabilidad] de los TCG). 3.5 Es posible aplicar leyes más restrictivas directamente a las partes en virtud de las leyes y regulaciones locales de privacidad de datos aplicables. El objetivo de este Documento Complementario no es reducir el nivel de protecciones aplicable a cada sujeto de datos. En caso y en la medida de cualquier conflicto entre los términos y condiciones de este Documento Complementario y la legislación aplicable, las disposiciones de la legislación aplicable siempre regirán hasta el máximo permitido. 4. Obligaciones de SAP 4.1 SAP deberá procesar los datos personales y otros datos operativos del Cliente y sus Afiliadas que el Cliente ha proporcionado a SAP y que pueden incluir (sin limitación) la corrección, la eliminación o el bloqueo de dichos datos, si, y en la medida en que, la funcionalidad del Servicio no se lo permita al Cliente o al Usuario Nombrado. SAP notificará al Cliente si considera que una instrucción del Cliente en nombre del controlador de datos resulta en un incumplimiento de las leyes de protección de datos. SAP no estará obligado a realizar un examen legal completo. 4.2 Para procesar Datos del Cliente, SAP solo utilizará personal que demuestre estar comprometido a mantener la confidencialidad de los datos y de las telecomunicaciones, de conformidad con las leyes de protección de datos correspondientes. SAP utilizará los esfuerzos comercialmente razonables para garantizar que los empleados a los que les proporciona acceso a los Datos del Cliente sean capacitados periódicamente respecto a la seguridad informática y la protección de datos. 4.3 SAP implementará todas las medidas técnicas y organizativas para cumplir con los requisitos establecidos por las leyes de protección de datos correspondientes. SAP se hace responsable ante el Cliente de haber tomado y seguir tomando continuamente las medidas técnicas y organizativas adecuadas para mantener seguros los Datos del Cliente y protegerlos de procesos ilegales o no autorizados, y de pérdidas accidentales, destrucción o daño. En concreto, SAP deberá efectuar y verificar periódicamente las siguientes medidas de protección, tal como se describen con más detalle en el Apéndice 2: a) Control de acceso físico: SAP instalará un sistema de control de accesos. b) Control de acceso: SAP controlará y registrará los accesos a los sistemas de procesamiento de datos. c) Control de limitación de acceso: SAP definirá, implementará y supervisará un concepto para los derechos de los usuarios, las reglas relativas a las contraseñas y los procedimientos de inicio de sesión para que su personal pueda acceder en forma remota o física al Servicio para operar, mantener, brindar soporte o garantizar el Servicio. d) Control de transmisión: SAP garantizará que la transmisión de Datos del Cliente se realice de manera encriptada o mediante otro procedimiento seguro. Las transmisiones deben ser registradas y las directrices relativas a la transmisión de Datos del Cliente deben especificarse por escrito. e) Control de entrada: SAP implementará un sistema de registro detallado para la entrada, modificación y eliminación de Datos del Cliente en la mayor medida admitida por el Servicio. f) Control de funciones: SAP definirá por escrito y establecerá mecanismos de control para garantizar que los Datos del Cliente se procesen estrictamente en conformidad con las instrucciones del controlador de datos que el Cliente ha proporcionado a SAP y según lo contempla este Contrato. g) Control de disponibilidad. SAP ejecutará un sistema de recuperación de última generación y definirá un procedimiento de operaciones de restauración para proteger los Datos del Cliente de destrucciones o pérdidas accidentales. h) Separación de datos: SAP garantizará a través de medios técnicos y procedimientos organizativos definidos que los Datos del Cliente recopilados para diferentes finalidades (por ejemplo, diferentes clientes) se procesarán de manera independiente. Los medios técnicos pueden ser sistemas informáticos independientes o una separación lógica demostrable en una arquitectura multiarrendatario. Se deberá impedir el acceso de un cliente SAP a los datos de cualquier otro cliente SAP. Dado que SAP proporciona el Servicio a todos los clientes de manera uniforme a través de una aplicación web alojada, todas las medidas técnicas y organizativas adecuadas y entonces vigentes se aplican a toda la base de clientes de SAP alojada fuera del mismo centro de datos y suscrita al mismo Servicio. El Cliente entiende y acuerda que las medidas organizativas y técnicas están sujetas al progreso y desarrollo técnicos. En este aspecto, SAP está específicamente autorizado a implementar medidas alternativas adecuadas, siempre que se mantenga el nivel de seguridad de las medidas. En caso de que se produzcan cambios notables, SAP deberá

3 proporcionar una notificación, junto con cualquier documentación necesaria relacionada con el presente, al Cliente por correo electrónico o mediante la publicación en una página web a la que el Cliente pueda acceder con facilidad. 4.4 Si SAP determina que las medidas de seguridad que ha implementado no satisfacen los requisitos legales, deberá notificarlo de inmediato al Cliente. 4.5 SAP informará al Cliente de inmediato en caso de que existan interrupciones graves del proceso operativo, supuestas infracciones relacionadas con la protección de los datos u otras irregularidades relacionadas con el procesamiento de los Datos del Cliente. 4.6 A pedido por escrito del Cliente y a cargo del Cliente, SAP podrá ofrecer un soporte razonable al Cliente para ocuparse de solicitudes específicas de temas de datos y/o una autoridad supervisora en lo que respecta al procesamiento de los datos personales en virtud del presente. SAP notificará al Cliente las inspecciones y medidas de un supervisor o de cualquier otra autoridad competente. 5. Subprocesadores El Cliente por el presente autoriza a SAP (también de acuerdo con el párrafo 1 de la Cláusula 11 de las Cláusulas Contractuales Estándar) para que los subcontratistas se comprometan al procesamiento de los datos personales (cada uno el "Subprocesador") en la medida necesaria para cumplir con sus obligaciones contractuales en virtud del Contrato siempre y cuando SAP siga siendo responsable de cualquier acto u omisión de sus Subprocesadores en la misma forma que sus propios actos y omisiones conforme al presente. SAP transmitirá a los Subprocesadores su obligación como procesador de datos del Cliente, según lo dispuesto en este Documento Complementario, y obligará a los Subprocesadores a acatar todas las reglas de protección de datos relevantes. SAP informará al Cliente, cuando este lo solicite por correo electrónico o a través de una página web a la que el Cliente pueda acceder, el nombre, la dirección y la función de cada Subprocesador. SAP, a su decisión exclusiva, podrá quitar o nombrar Subprocesadores adecuados y de su confianza. SAP informará al Cliente por correo electrónico o de otra forma por anticipado de cualquier cambio que se efectúe en la lista de Subprocesadores. Si el Cliente tiene un motivo legítimo para oponerse al uso por parte de SAP de un Subprocesador, el Cliente deberá notificarlo a SAP por escrito treinta (30) días después de la recepción de la notificación de SAP. Si el Cliente no se opone durante ese período de tiempo, se considerará que ha aceptado al nuevo Subprocesador. Si el Cliente se opone al uso del Subprocesador en cuestión, SAP tendrá el derecho a proporcionar el Servicio sin ese Subprocesador o rescindir el Contrato mediante una notificación por escrito con treinta (30) días de antelación. En cualquier caso, SAP garantizará que cada Subprocesador cumpla con un nivel adecuado de protección de datos, por ley o contrato, cuya protección no sea considerablemente inferior a la de las obligaciones aplicables a SAP según el Contrato. Si tal Subprocesador se encuentra fuera de la UE, SAP proporcionará un nivel de protección de datos que se considere adecuado de acuerdo con las normas de protección de datos de la UE. 6. Derechos de Supervisión del Cliente 6.1 Salvo que se disponga de otra forma en un término adicional o Formulario de Pedido, durante la vigencia del Contrato, el Cliente podrá solicitar anualmente una autocertificación escrita de SAP basada en la auditoría de un tercero independiente que evalúe y confirme que el procesamiento de los Datos del Cliente es conforme a las medidas acordadas en el presente. Si SAP no logra cumplir con su obligación de auditoría, el Cliente (o un auditor tercero independiente en su nombre que esté sujeto a estrictas obligaciones de confidencialidad coherentes con las del Contrato) podrá auditar el entorno de control de SAP y sus prácticas de seguridad correspondientes con los datos personales procesados una vez cada período de doce (12) meses, con la notificación escrita previa razonable (al menos 60 días) y en unas condiciones de tiempo, lugar y forma que sean razonables. 6.2 SAP facilitará al Cliente la realización de estos procesos de verificación y proporcionará al Cliente la información requerida. El Cliente se hará cargo de cualquier costo (incluidos los recursos internos de SAP basados en las tarifas del servicio profesional diario en vigor en ese momento según la lista de precios de SAP) que supere las 4 horas al año.

4 APÉNDICE 1 DE LAS CLÁUSULAS CONTRACTUALES ESTÁNDAR Y DOCUMENTO COMPLEMENTARIO 1 Las partes podrán proporcionar detalles adicionales en un Formulario de Pedido, si es necesario. Exportador de datos El exportador de datos es (especifique brevemente sus actividades relevantes para la transferencia): El exportador de datos suscrito a determinados SAP Cloud Services que permiten que sus Usuarios Nombrados introduzcan, modifiquen, usen, eliminen o de otra forma procesen los Datos del Cliente tal como se especifica en el Contrato. Importador de datos El importador de datos es (especifique brevemente sus actividades relevantes para la transferencia): SAP y su Subprocesador proporcionan determinados Servicios Cloud que incluyen el alojamiento del Servicio y el soporte técnico para el Cliente, sus Afiliadas y sus Usuarios Nombrados respectivos tal como se contempla en el Contrato. Sujeto de datos Los datos personales transferidos afectan a las siguientes categorías de sujetos de datos (especifíquelos): Salvo que el exportador de datos lo disponga de otra forma, los sujetos de datos podrán incluir empleados, contratistas, socios comerciales u otros individuos cuyos datos personales estén almacenados en el Servicio. Categorías de datos Los datos personales transferidos afectan a las siguientes categorías de datos (especifíquelos): El Cliente determina las categorías de datos por Servicio suscrito. Los campos de los datos del Cliente se pueden configurar como parte de la implementación del Servicio o como lo permita de otra forma el Servicio. Los datos personales transferidos normalmente afectan a (un subconjunto de) las categorías de datos siguientes: nombre, números de teléfono, direcciones de correo electrónico, zona horaria, nombre de la empresa, datos de dirección de la empresa, más cualquier dato específico de la aplicación que los Usuarios Nombrados de los Clientes introduzcan en el Servicio. Categorías especiales de datos (si corresponde) Los datos personales transferidos afectan a las siguientes categorías de datos especiales (especifíquelos): No permitido (salvo que el Cliente lo haya notificado de otra forma a SAP) Operaciones de procesamiento Los datos personales transferidos estarán sujetos a las siguientes actividades de procesamiento básicas (especifíquelas): uso de los Datos del Cliente para proporcionar el Servicio y proporcionar ayuda al soporte técnico almacenamiento de los Datos del Cliente en centros de datos del Servicio dedicados (arquitectura para varios clientes) carga de cualquier parche, upgrade/nuevas versiones del Servicio copia de seguridad de los Datos del Cliente procesamiento informático de Datos del Cliente, incluida la transmisión, la recuperación y el acceso de datos acceso en red para permitir la transferencia de Datos del Cliente, si es necesario

5 APÉNDICE 2 DE LAS CLÁUSULAS CONTRACTUALES ESTÁNDAR Y DOCUMENTO COMPLEMENTARIO 1 Algunos Servicios Cloud están sujetos a diferentes términos de soporte técnico, tal como está estipulado en los Términos Adicionales o en el Formulario de Pedido correspondientes. En todos los demás casos, tendrá que aplicarse la descripción de las medidas de seguridad técnicas y organizativas (TOM) implementadas por el importador de datos para los Datos del Cliente de acuerdo con las Cláusulas 4(d) y 5(c): A. TOM: Servicio Cloud 1. Control de acceso Objetivo: Evitar cualquier acceso no autorizado; el término se interpreta literalmente para evitar que personas no autorizadas obtengan acceso a los sistemas de procesamiento de datos para procesar o usar los datos personales. Medidas: Medidas técnicas y organizativas para el control de acceso, especialmente para controlar la legitimidad de personas autorizadas que acceden a las instalaciones y los sistemas donde están almacenados los datos. SAP adopta medidas para asegurar las instalaciones de alojamiento (por ejemplo, asegurar las entradas y salidas) así como medidas dentro del edificio (por ejemplo, sistemas de alarma y acceso restringido a las salas del servidor) en las instalaciones alquiladas a través del uso de los procedimientos siguientes: áreas de seguridad delimitadas; protección y restricción de las rutas de acceso; asegurar el equipo y las computadoras personales de procesamiento de datos descentralizados; autorizaciones de acceso determinadas para empleados, incluida la documentación correspondiente; identificación de las personas que tienen permiso de acceso; regulaciones de los códigos clave; restricciones de las claves; pases de tarjetas con código; libro de visitas (incluido el registro de horas); sistema de alarma de seguridad u otras medidas de seguridad adecuadas. 2. Control de Acceso al Sistema Objetivo: Evitar la intrusión no autorizada en los sistemas informáticos. Medidas: Medidas técnicas (contraseña/protección de contraseña) y organizativas (registro maestro de usuario) para la identificación y autenticación de usuarios: SAP utiliza la encriptación estándar del sector. El control del usuario debe incluir las medidas siguientes: o perfil VPN restringido; o desactivación automática del ID de usuario cuando se han introducida de forma consecutiva varias contraseñas erróneas, archivo de registro de eventos (por ej., control de los intentos de intrusión); o emisión de controles de las contraseñas de un solo uso; o implementación de autenticación de 2 factores El control de acceso a los Datos del Cliente deberá incluir las medidas siguientes: o monitorización de las personas que eliminan, añaden o modifican los datos exportados; o recordatorios automáticos sobre la confidencialidad orientados al sistema que aparecen cada vez que se intenta acceder a los sistemas que se usan en el procesamiento de datos; o acción efectiva y disciplinaria contra las personas que acceden a los datos sin autorización. 3. Control de Acceso a los Datos Objetivo: Evitar actividades no autorizadas en sistemas informáticos que resulten de superar o eludir los permisos otorgados. En concreto, garantizar que las personas autorizadas para usar un sistema tengan acceso solamente a aquellos datos para los que disponen de autorización y que los datos personales no se puedan leer, copiar, alterar o quitar sin autorización durante el procesamiento, uso o tras haberlos registrado. Medidas: Enfoque de diseño orientado a la demanda y la autorización de derechos de acceso, su monitorización y registro a través de lo siguiente: SAP utiliza una combinación de segregación de obligaciones, listas de control de acceso locales, y registro central para garantizar que se accede a los datos si se dispone de autorización y que estos se utilizan de una forma adecuada: o Hay sistemas de detección de intrusiones instalados en los sistemas de red y de alojamiento para garantizar un acceso adecuado; o Los controles de acceso se revisan periódicamente tanto mediante auditorías internas como externas.

6 SAP utiliza cookies de sesión no persistentes para finalidades de autenticación y navegación solamente para la sesión de un usuario. SAP utiliza la encriptación estándar del sector. 4. Control de la Transmisión de Datos Objetivo: Definir aspectos de la transferencia de datos, su transporte y el control de la transmisión. Asegurar que los datos no se puedan leer, copiar, alterar o eliminar sin autorización durante la transferencia o el transporte electrónico o mientras se están registrando en un medio de almacenamiento de datos. Medidas: Utilizadas en el transporte, transferencia y transmisión o almacenamiento a disco (manual o electrónico) así como también durante los controles subsiguientes: Esto debería incluir medidas implementadas de forma conjunta por el Cliente y SAP comparables con lo siguiente: o documentación de los programas de recuperación y transmisión; o uso de encriptación; o control de si la transferencia de datos es completa y correcta (se enviarán informes de éxito/fallos al administrador). 5. Control de la entrada de datos Objetivo: Garantizar la trazabilidad y documentación de la gestión y el mantenimiento de los datos. Tendría que ser posible después verificar y corroborar si los datos personales se han introducido, modificado o eliminado de los sistemas de procesamiento de datos y, en caso afirmativo, quién lo ha hecho. Medidas: Métodos utilizados para una revisión posterior para reflejar si se han introducido los datos, modificado o quitado (eliminado) y por parte de quién: Esto deberá incluir medidas comparables con lo siguiente: o prueba elaborada dentro de la organización de SAP sobre la autorización de la entrada; o registro electrónico de las entradas (tal como SAP lo especifica con más detalle). 6. Control de funciones Objetivo: Asegurar que se cumplen por completo las instrucciones del Cliente. Medidas (técnicas/organizativas) sobre la división de responsabilidades entre SAP y el Cliente: responsabilidades claramente definidas; criterios para la selección de SAP, tal como lo determine y comunique el Cliente; control de la ejecución y del rendimiento de las revisiones de las autocertificaciones y auditorías proporcionadas, según corresponda; contactos nominales para la presentación de solicitudes de cambio. 7. Control de Disponibilidad Objetivo: Proteger los datos frente a destrucción accidental o pérdida. Medidas: Para el almacenamiento/copia de seguridad de los datos (físico/lógico): procedimientos documentados de copias de seguridad completas semanales/incrementales diarias; infraestructura de sistema redundante, agrupamiento Oracle de alta disponibilidad; sistema de alimentación ininterrumpida (SAI); almacenamiento independiente; antivirus/firewall; plan de emergencia. 8. Control de separación Objetivo: Los datos recopilados para los diferentes objetivos se pueden procesar de forma separada. Medidas para el procesamiento separado (almacenamiento, modificación, eliminación, transferencia) de información con diferentes objetivos: separación funcional/producción/no producción: SAP conserva la separación física completa entre producción, desarrollo y pruebas. Se proporcionan al Cliente 2 instancias distintas: una para producción y al menos una para no producción. El Cliente (incluidas sus Afiliadas) tiene acceso solamente a las instancias del Cliente. B. TOM: Soporte Cloud (sistema de seguimiento de soporte global de SAP independiente) Las secciones siguientes describen las medidas de seguridad actuales. SAP podrá mejorarlas o aumentarlas en cualquier momento. Esto puede significar que las medidas individuales se sustituyan por medidas nuevas con la misma finalidad.

7 1. Control de Acceso Objetivo: Evitar cualquier acceso no autorizado; el término se interpreta literalmente para evitar que personas no autorizadas obtengan acceso a los sistemas de procesamiento de datos para procesar o usar los datos personales. Medidas: SAP protege sus activos e instalaciones utilizando los medios adecuados en función de la clasificación de seguridad llevada a cabo por un departamento de seguridad interno. En general, los edificios están asegurados mediante unos sistemas de control de acceso (sistema de acceso con tarjetas inteligentes). Como requisito mínimo, la parte más exterior del edificio tiene que estar equipada con un sistema de llaves maestro certificado que incluya una gestión de llaves activa y moderna. En función de la clasificación de seguridad, los edificios, las zonas individuales y las instalaciones de los alrededores tendrán que protegerse más con medidas adicionales: perfiles de acceso específicos, circuito cerrado de TV, sistemas de alarma contra intrusos, e incluso sistemas de control de acceso biométrico. En los centros de datos se utiliza un concepto de control de acceso independiente que incluye la documentación de los nombres. Los derechos de acceso se garantizarán a las personas autorizadas de forma individual en función de los criterios definidos. Esto también se aplica al acceso de los visitantes. Los invitados y visitantes de los edificios de SAP tienen que registrar sus nombres en recepción, y deben ir acompañados por personal de la empresa. Los empleados de SAP y el personal externo deben llevar sus tarjetas de identificación en todas las ubicaciones de SAP. 2. Control de Acceso al Sistema Objetivo: Evitar la intrusión no autorizada en los sistemas informáticos. Medidas: Se usan varios niveles de autorización para garantizar el acceso a los sistemas sensibles. Los procesos se implementan para garantizar que los usuarios autorizados tengan el permiso adecuado para añadir, eliminar o modificar usuarios. Todos los usuarios acceden al sistema de SAP con un identificador único (ID de usuario). SAP dispone de procedimientos para garantizar que se implementen los cambios de autorización solicitados solamente de acuerdo con las directrices (por ejemplo, no se otorgan derechos sin autorización). Si un usuario deja la empresa, sus derechos de acceso quedan rescindidos. SAP tiene una política de contraseñas que prohíbe compartirlas, establece qué debe hacerse en caso de que se divulgue una contraseña y exige que las contraseñas se cambien periódicamente. Los ID de usuario personalizados se asignan para la autenticación. Todas las contraseñas se almacenan de forma encriptada. En el caso de las contraseñas de dominio, el sistema obliga a cambiarlas cada seis meses. De esta forma se cumple con el requisito de las contraseñas complejas. SAP garantiza que las contraseñas predeterminadas se cambien en los dispositivos de red. Cada ordenador tiene un protector de pantalla protegido mediante contraseña. La red de la empresa está protegida de la red pública mediante un firewall de hardware. SAP utiliza un software de antivirus en los puntos de acceso con la red de la empresa (para cuentas de correo electrónico) y en todos los servidores de archivo y centros de trabajo. Las actualizaciones relativas a la seguridad para el software existente se descargan e instalan periódicamente y automáticamente. 3. Control de Acceso a los Datos Objetivo: Evitar actividades no autorizadas en sistemas informáticos que resulten de superar o eludir los permisos otorgados. En concreto, garantizar que las personas autorizadas para usar un sistema tengan acceso solamente a aquellos datos para los que disponen de autorización y que los datos personales no se puedan leer, copiar, alterar o quitar sin autorización durante el procesamiento, uso o tras haberlos registrado. Medidas: El acceso a la información personal, confidencial o sensible se garantiza en función de la necesidad de conocerla. En otras palabras, los empleados o terceros externos tienen acceso a la información que solicitan para poder terminar su trabajo. SAP utiliza conceptos de autorización que documentan cómo se asignan las autorizaciones y qué autorizaciones se asignan. Todos los datos personales, confidenciales o sensibles están protegidos de acuerdo con los estándares de seguridad pertinentes. La información confidencial tiene que procesarse de forma confidencial. Todos los servidores de producción están en funcionamiento en los centros de datos/salas de servidores correspondientes. Los sistemas de seguridad que protegen las aplicaciones para procesar datos personales, confidenciales o sensibles se verifican periódicamente. Con este objetivo, SAP lleva a cabo verificaciones de seguridad internas y externas y pruebas de entrada en los sistemas de TI. SAP no permite la instalación de software personal ni de cualquier otro software que no haya autorizado.

8 Un estándar de seguridad de SAP rige cómo se eliminan o destruyen los datos y los transportadores de datos que ya no son necesarios. 4. Control de la Transmisión de Datos Objetivo: Definir aspectos de la transferencia de datos, su transporte y el control de la transmisión. Asegurar que los datos no se puedan leer, copiar, alterar o eliminar sin autorización durante la transferencia o el transporte electrónico o mientras se están registrando en un medio de almacenamiento de datos. Medidas: Los datos que se transfieren de la red de SAP a otras redes externas están encriptados. Cuando los transportadores de datos se transportan físicamente, deben tomarse medidas adecuadas para garantizar los niveles de servicio acordados (por ejemplo, encriptación, contenedores con blindaje de plomo, etc.) 5. Control de la entrada de datos Objetivo: Garantizar la trazabilidad y documentación de la gestión y el mantenimiento de los datos. Tendría que ser posible después verificar y corroborar si los datos personales se han introducido, modificado o eliminado de los sistemas de procesamiento de datos y, en caso afirmativo, quién lo ha hecho. Medidas: SAP solamente permite que las personas autorizadas accedan a los datos personales que necesitan durante el transcurso de su trabajo. Como parte del proceso de entrega de soporte, el acceso a los sistemas del cliente por parte de los usuarios y administradores queda anotado en un archivo de registro. 6. Control de funciones Objetivo: Asegurar que se cumplen por completo las instrucciones del Cliente. Medidas: SAP utiliza controles y procesos para garantizar el cumplimiento de los contratos entre SAP y sus proveedores de servicios. Como parte de la política de seguridad de SAP, no hay ninguna información del cliente con una clasificación inferior a "confidencial". El acceso a los sistemas de datos del cliente normalmente se garantiza a través del soporte remoto. Se rige por los requisitos de seguridad siguientes: En general, la conexión remota a Internet se establece a través de una conexión Secure Network Communications (SNC) o Virtual Private Networks (VPN). Ambas opciones utilizan diferentes medidas de seguridad para evitar un uso no autorizado a los sistemas y los datos del cliente: cifrado de seguridad, autenticación del usuario y tecnología de control del acceso, entre otros. El Área Segura está diseñada específicamente para admitir la instalación mediante tickets en la que SAP proporciona un área de seguridad con acceso protegido y controlado para transferir los datos de acceso y las contraseñas. En todo momento, los clientes de SAP tienen control sobre las conexiones de soporte remoto. Los empleados de SAP no pueden acceder al sistema del cliente sin el conocimiento o el soporte activo completo del cliente. Todos los empleados de SAP y los socios contractuales están vinculados mediante contrato al respeto de la confidencialidad de toda la información sensible, incluida la relativa a los secretos comerciales de los clientes y socios de SAP. Durante los procesos de soporte, los datos del personal de diferentes clientes están separados de forma física o lógica. 7. Control de Disponibilidad Objetivo: Proteger los datos frente a destrucción accidental o pérdida. Medidas: SAP utiliza procesos de copia de seguridad y otras medidas que garantizan la restauración rápida de los sistemas empresariales críticos cuando sea necesario. SAP también utiliza sistemas de alimentación ininterrumpida (SAI, baterías, generadores, etc.) para garantizar el suministro a los centros de datos. Los procesos y sistemas de emergencia se prueban periódicamente. También se utilizan firewalls y otras tecnologías de seguridad de la red. De acuerdo con la política de seguridad, todos los sistemas también disponen de productos antivirus que se actualizan periódicamente. 8. Control de separación Objetivo: Los datos recopilados para los diferentes objetivos se pueden procesar de forma separada. Medidas para el procesamiento separado (almacenamiento, modificación, eliminación, transferencia) de información con diferentes finalidades: Sistema de seguimiento del soporte separado del Servicio.