Anexo sobre procesamiento de datos

Última actualización el 6 de febrero de 2025

‍

Para obtener una versión firmada de este apéndice, visite security.meetgeek.ai

Anexo de procesamiento de datos de MeetGeek

Este Anexo de Procesamiento de Datos (“DPA”) regula el procesamiento de los Datos del Cliente por parte de MeetGeek, proporcionados por el Cliente a MeetGeek a través de la API de MeetGeek o cualquier servicio de MeetGeek para empresas (“Servicios”) bajo los términos del Acuerdo de Cliente de MeetGeek (el “Acuerdo”) y se incorpora por la presente al Acuerdo. Si y en la medida en que el lenguaje de este DPA entre en conflicto con el Acuerdo, los términos en conflicto de este DPA prevalecerán. Los términos en mayúscula que no se definan en este DPA tendrán el significado establecido en el Acuerdo. Para los fines de este DPA, “Cliente” incluye cualquier Afiliado del Cliente.

MeetGeek y el Cliente acuerdan cumplir con sus respectivas obligaciones bajo las leyes aplicables de privacidad y protección de datos (colectivamente, “Leyes de Protección de Datos”) en relación con los Servicios. Las Leyes de Protección de Datos incluyen el Reglamento General de Protección de Datos de la Unión Europea (Reglamento (UE) 2016/679) (“GDPR”) y la legislación y regulaciones subordinadas aplicables.

En relación con el Acuerdo, el Cliente es la persona que determina los propósitos y medios para los cuales se procesan los Datos del Cliente (según se define a continuación) (un “Controlador de Datos”), mientras que MeetGeek procesa los Datos del Cliente de acuerdo con las instrucciones del Controlador de Datos y en su nombre (como un “Procesador de Datos”). “Controlador de Datos” y “Procesador de Datos” también significan los conceptos equivalentes bajo las Leyes de Protección de Datos. Para los fines del Acuerdo y este DPA: (i) “Datos Personales” tiene el significado asignado al término “datos personales” o “información personal” según las Leyes de Protección de Datos aplicables; y (ii) “Datos del Cliente” significa Datos Personales que el Cliente proporciona a MeetGeek y que MeetGeek procesa en nombre del Cliente para prestar los Servicios. MeetGeek procesará los Datos del Cliente como Procesador de Datos del Cliente para proporcionar o mantener los Servicios y para los propósitos establecidos en este DPA, en el Acuerdo y en cualquier otro acuerdo aplicable entre el Cliente y MeetGeek.

‍

1.   Requisitos de procesamiento.  Como procesador de datos, MeetGeek se compromete a:

a. procesar los Datos del Cliente únicamente (i) en nombre del Cliente con el propósito de proporcionar y respaldar los Servicios de MeetGeek (incluyendo la generación de información, informes, análisis y monitoreo de seguridad y confianza en la plataforma); (ii) en cumplimiento con las instrucciones escritas recibidas del Cliente; y (iii) de manera que proporcione al menos el nivel de protección de privacidad requerido por las Leyes de Protección de Datos;

b. informar rápidamente al Cliente por escrito y cesar el procesamiento de los Datos del Cliente si MeetGeek no puede cumplir con los requisitos de este DPA;

c. no proporcionar al Cliente ninguna remuneración a cambio de los Datos del Cliente. Las partes reconocen y acuerdan que el Cliente no ha “vendido” (según la definición de la CCPA) Datos del Cliente;

d. no “vender” (según la definición de las Leyes de Privacidad de EE.UU.) ni “compartir” (según la definición de la CCPA) Datos Personales;

e. informar rápidamente al Cliente si, en opinión de MeetGeek, una instrucción del Cliente viola las Leyes de Protección de Datos aplicables;

f. exigir que (i) las personas empleadas por MeetGeek y (ii) otras personas contratadas para trabajar en nombre de MeetGeek estén sujetas a una obligación de confidencialidad con respecto a los Datos del Cliente y cumplan con las obligaciones de protección de datos aplicables a MeetGeek bajo el Acuerdo y este DPA;

g. involucrar a las organizaciones o personas enumeradas en https://meetgeek.ai/subprocessors to process Customer Data (each a “Subprocessor,” and the list at the foregoing URL, the “Subprocessor List”) to help MeetGeek satisfy its obligations in accordance with this DPA or to delegate all or part of the processing activities to such Subprocessors.  Customer hereby consents to the use of such Subprocessors.  If Customer subscribes to email notifications as provided for on the Subprocessor List on the website, then MeetGeek will notify Customer of any changes MeetGeek intends to make to the Subprocessor List at least 30 days before the changes take effect (which may be via email, a posting, or notification on an online portal for our services or other reasonable means).  In the event that Customer does not wish to consent to the use of such additional Subprocessor, Customer may notify MeetGeek that Customer does not consent within fifteen (15) days on reasonable grounds relating to the protection of Customer Data by following the instructions set forth in the Subprocessor List or contacting [email protected].  In such case, MeetGeek shallwill have the right to cure the objection through one of the following options: (i) MeetGeek will cancel its plans to use the Subprocessor with regards to processing Customer Data or will offer an alternative to provide its Services or services without such Subprocessor; (ii) MeetGeek will take the corrective steps requested by Customer in Customer objection notice and proceed to use the Subprocessor; (iii) MeetGeek may cease to provide, or Customer may agree not to use whether temporarily or permanently, the particular aspect or feature of the MeetGeek Services or services that would involve the use of such Subprocessor; or (iv) Customer may cease providing Customer Data to MeetGeek for processing involving such Subprocessor.  If none of the above options are commercially feasible, in MeetGeek’s reasonable judgment, and the objection(s) have not been resolved to the satisfaction of the parties within thirty (30) days of MeetGeek’s receipt of Customer’s objection notice, then either party may terminate any subscriptions, order forms or usage regarding the Services that cannot be provided without the use of the new Subprocessor for cause and in such case, Customer will be refunded any pre-paid fees for the applicable subscriptions, order forms or usage to the extent they cover periods or terms following the date of such termination.  Such termination right is Customer’s sole and exclusive remedy if Customer reasonably objects to any new Subprocessor. MeetGeek shallwill enter into contractual arrangements with each Subprocessor binding them to provide a level of data protection and information security that is no less onerous than under the terms of this DPA.  procesar los datos del cliente (cada uno de ellos es un»», y la lista de la URL anterior, la»») para ayudar a MeetGeek a cumplir con sus obligaciones de acuerdo con esta DPA o para delegar la totalidad o parte de las actividades de procesamiento a dichos subprocesadores. Por la presente, el cliente acepta el uso de dichos subprocesadores. Si el Cliente se suscribe a las notificaciones por correo electrónico según lo dispuesto en el sitio web de la Lista de subprocesadores, MeetGeek le notificará cualquier cambio que MeetGeek pretenda realizar en la Lista de subprocesadores al menos 15 días antes de que los cambios entren en vigor (lo que puede ser por correo electrónico, publicando o notificando en un portal en línea para nuestros servicios u otros medios razonables). En caso de que el Cliente no desee dar su consentimiento para el uso de dicho subprocesador adicional, puede notificar a MeetGeek que no da su consentimiento en un plazo de quince (15) días por motivos razonables relacionados con la protección de los datos del cliente siguiendo las instrucciones establecidas en la Lista de subprocesadores o comunicándose con [email protected]. En tal caso, MeetGeek tendrá derecho a subsanar la objeción mediante una de las siguientes opciones: (i) MeetGeek cancelará sus planes de utilizar el subprocesador con respecto al procesamiento de los datos del cliente u ofrecerá una alternativa para proporcionar sus servicios o servicios sin dicho subprocesador; (ii) MeetGeek tomará las medidas correctivas solicitadas por el cliente en la notificación de objeción del cliente y procederá a utilizar el subprocesador; (iii) MeetGeek puede dejar de proporcionar, o el Cliente puede aceptar no utilizar, de forma temporal o permanente, el aspecto o característica particular de los Servicios de MeetGeek o los servicios que implicarían el uso de dicho subprocesador; o (iv) el Cliente puede dejar de proporcionar los datos del cliente a MeetGeek para su procesamiento en el que participe dicho subprocesador. Si ninguna de las opciones anteriores es comercialmente factible, a juicio razonable de MeetGeek, y las objeciones no se han resuelto a satisfacción de las partes en un plazo de treinta (30) días a partir de la recepción por parte de MeetGeek de la notificación de objeción del Cliente, cualquiera de las partes podrá cancelar cualquier suscripción, formulario de pedido o uso relacionado con los Servicios que no pueda proporcionarse sin el uso del nuevo subprocesador por causa justificada y, en tal caso, se le reembolsará al Cliente cualquier tarifa prepagada. para las suscripciones, los formularios de pedido o el uso aplicables en la medida en que cubran períodos o términos posteriores a la fecha de dicha terminación. Dicho derecho de rescisión es el único y exclusivo recurso del Cliente si el Cliente se opone a cualquier subprocesador nuevo. MeetGeek celebrará acuerdos contractuales con cada subprocesador que lo obliguen a proporcionar un nivel de protección de datos y seguridad de la información comparable al estipulado en este documento.

h. mediante una solicitud razonable, no más de una vez por año, proporcionar al Cliente las políticas de privacidad y seguridad de MeetGeek y otra información necesaria para demostrar el cumplimiento de las obligaciones establecidas en este DPA y en las Leyes de Protección de Datos aplicables;

i. cuando lo exija la ley y mediante una notificación razonable y acuerdos de confidencialidad apropiados, cooperar con evaluaciones, auditorías u otras medidas realizadas por el Cliente o en su nombre, a su propio costo, de manera que minimice la interrupción de los negocios de MeetGeek, para confirmar que MeetGeek está procesando los Datos del Cliente de conformidad con este DPA. El Cliente coordinará el tiempo y el alcance de la auditoría con MeetGeek para minimizar el impacto en los servicios de MeetGeek; excluirá los datos de otros clientes de MeetGeek (incluidos datos personales) de la auditoría; obtendrá la aprobación de MeetGeek antes de usar cualquier herramienta o software en la infraestructura de MeetGeek; no incluirá en la auditoría ningún dato sensible (incluidos datos personales o datos que puedan comprometer la seguridad de los servicios descritos en el Contrato); y otorgará a MeetGeek una oportunidad razonable para revisar el informe de auditoría y resolver cualquier cuestión o discrepancia. El Cliente mantendrá los resultados de cualquier auditoría como confidenciales y no los divulgará, salvo que lo exija la ley.

Si lo permite la ley, MeetGeek podrá poner a disposición del Cliente un resumen de los resultados de una auditoría de terceros o informes de certificación relevantes para el cumplimiento de MeetGeek con este DPA. Dichos resultados y/o los resultados de cualquier auditoría, evaluación u otra medida se considerarán Información Confidencial de MeetGeek.

j. en la medida en que el Cliente permita o instruya a MeetGeek a procesar Datos del Cliente sujetos a las Leyes de Privacidad de EE.UU. de forma anonimizada, desidentificada y/o agregada como parte de los Servicios, MeetGeek adoptará medidas razonables para evitar que dichos datos desidentificados se utilicen para inferir información sobre, o de otro modo se vinculen a, una persona o familia específica; no intentará reidentificar los datos, excepto con el propósito de garantizar que sus procesos de desidentificación cumplan con las Leyes de Protección de Datos o funcionen según lo previsto; y, antes de compartir datos desidentificados con cualquier otra parte, incluidos Subprocesadores, obligará contractualmente a estos destinatarios a cumplir con los requisitos de esta disposición.

k. cuando los Datos del Cliente estén sujetos a la CCPA, no (i) retendrá, usará, divulgará ni procesará los Datos del Cliente, excepto cuando sea necesario para los fines comerciales especificados en el Contrato o en este DPA; (ii) retendrá, usará, divulgará ni procesará los Datos del Cliente de ninguna manera fuera de la relación comercial directa entre MeetGeek y el Cliente; o (iii) combinará ningún Dato del Cliente con Datos Personales que MeetGeek reciba de o en nombre de terceros o recopile de sus propias interacciones con individuos, excepto cuando lo permita la CCPA y lo solicite el Cliente.

l. cuando lo exija la ley, otorgará al Cliente los derechos de (i) tomar medidas razonables y apropiadas para garantizar que MeetGeek utilice los Datos del Cliente en conformidad con las Leyes de Protección de Datos, ejerciendo las disposiciones de auditoría establecidas en este DPA; y (ii) interrumpir y remediar el uso no autorizado de los Datos del Cliente, por ejemplo, solicitando que MeetGeek proporcione una confirmación por escrito de que los Datos del Cliente aplicables han sido eliminados.

2.   Aviso al cliente.  MeetGeek informará al Cliente si MeetGeek tiene conocimiento de:

a. cualquier solicitud legalmente vinculante de divulgación de Datos del Cliente por parte de una autoridad policial, salvo que MeetGeek tenga prohibido legalmente informar al Cliente, por ejemplo, para preservar la confidencialidad de una investigación llevada a cabo por autoridades policiales;

b. cualquier notificación, investigación o indagación de una autoridad pública independiente establecida por un Estado Miembro de acuerdo con el Artículo 51 del GDPR (una “Autoridad de Supervisión”) en relación con los Datos del Cliente; o

c. cualquier queja o solicitud (en particular, solicitudes de acceso, rectificación o bloqueo de Datos del Cliente) recibida directamente de los titulares de los datos del Cliente. MeetGeek no responderá a ninguna de estas solicitudes sin la autorización previa por escrito del Cliente.

3.   Asistencia al cliente.  MeetGeek proporcionará asistencia razonable al Cliente con respecto a:

a. la información necesaria, teniendo en cuenta la naturaleza del procesamiento, para responder a solicitudes recibidas de los titulares de datos del Cliente en virtud de las Leyes de Protección de Datos, incluidas solicitudes de acceso, rectificación, eliminación, restricción, portabilidad, objeción, bloqueo o eliminación de Datos del Cliente que MeetGeek procesa para el Cliente. En caso de que un titular de datos envíe una solicitud directamente a MeetGeek, MeetGeek la remitirá de inmediato al Cliente;

b. la investigación de cualquier violación de seguridad de MeetGeek que resulte en la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado a Datos del Cliente procesados por MeetGeek para el Cliente (una “Violación de Datos Personales”); y

c. cuando sea apropiado, la preparación de evaluaciones de impacto sobre la protección de datos en relación con el procesamiento de Datos del Cliente por parte de MeetGeek y, cuando sea necesario, la realización de consultas con cualquier autoridad de supervisión con jurisdicción sobre dicho procesamiento.

4.   Procesamiento requerido.  Si MeetGeek está obligado por las Leyes de Protección de Datos a procesar cualquier Dato del Cliente por una razón distinta a la prevista en el Contrato, MeetGeek informará al Cliente de esta exigencia antes de cualquier procesamiento, salvo que esté legalmente prohibido.

5.   Seguridad.  MeetGeek hará lo siguiente:

a. mantendrá medidas organizativas y técnicas razonables y apropiadas (incluidos controles de personal, instalaciones, hardware y software, almacenamiento y redes, controles de acceso, monitoreo y registro de eventos, detección de vulnerabilidades y violaciones, respuesta a incidentes y cifrado) para proteger contra el acceso no autorizado o accidental, pérdida, alteración, divulgación o destrucción de Datos del Cliente y para proteger los derechos de los titulares de datos;

b. tomará medidas adecuadas para garantizar que su personal proteja la seguridad, privacidad y confidencialidad de los Datos del Cliente de conformidad con los requisitos de este DPA;

c. notificará al Cliente sobre cualquier Violación de Datos Personales cometida por MeetGeek, sus Subprocesadores o terceros que actúen en nombre de MeetGeek, sin demora indebida tras tener conocimiento de dicha Violación de Datos Personales.

6.   Obligaciones del cliente.

El Cliente:

a. declara, garantiza y se compromete a poseer y mantener durante toda la vigencia del Contrato todos los derechos, consentimientos y autorizaciones necesarios para proporcionar los Datos del Cliente a MeetGeek y autorizar a MeetGeek a utilizarlos, divulgarlos, retenerlos y procesarlos según lo previsto en este DPA, el Contrato y/o en otras instrucciones de procesamiento proporcionadas a MeetGeek;

b. cumplirá con todas las Leyes de Protección de Datos aplicables;

c. cooperará razonablemente con MeetGeek para ayudarla en el cumplimiento de cualquier obligación relacionada con las solicitudes de los titulares de los datos del Cliente;

d. reconoce y acepta que él, y no MeetGeek, es responsable de ciertas configuraciones y decisiones de diseño para los servicios y de la implementación segura de dichas configuraciones y decisiones de una manera compatible con las Leyes de Protección de Datos aplicables;

e. se compromete a proporcionar Datos del Cliente a MeetGeek únicamente a través de mecanismos acordados, como, por ejemplo, evitar el envío de Datos del Cliente por correo electrónico o mediante tickets de soporte técnico, salvo que esté expresamente permitido. El Cliente garantiza que solo transferirá Datos del Cliente a MeetGeek utilizando mecanismos seguros, razonables y apropiados, en la medida en que estén bajo su control;

f. no tomará ninguna medida que (i) convierta la provisión de Datos del Cliente a MeetGeek en una “venta” según lo definido por las Leyes de Privacidad de EE.UU. o en un “compartir” según la CCPA; o (ii) caracterice a MeetGeek como una entidad que no sea un “proveedor de servicios” según la CCPA o un “procesador” según las Leyes de Privacidad de EE.UU.

7.   Cláusulas contractuales estándar.   

a. MeetGeek procesará los Datos del Cliente originados en el Espacio Económico Europeo de acuerdo con las Cláusulas Contractuales Tipo adoptadas por la Comisión de la UE el 4 de junio de 2021 (“Cláusulas de la UE”), que se considerarán automáticamente incorporadas a este DPA, según los siguientes módulos:

i. El Módulo Dos (Controlador a Procesador) de las Cláusulas de la UE se aplica cuando el Cliente es un controlador y MeetGeek procesa los Datos del Cliente como procesador.

ii. El Módulo Tres (Procesador a Subprocesador) de las Cláusulas de la UE se aplica cuando el Cliente es un procesador y MeetGeek procesa los Datos del Cliente como subprocesador.

b. Para cada módulo de las Cláusulas de la UE, cuando corresponda:

i. La cláusula opcional de adhesión en la Cláusula 7 no se aplica;

ii. En la Cláusula 9, se aplica la Opción 2 (autorización general por escrito), y el período mínimo de notificación previa para cambios en los Subprocesadores será el establecido en la Sección 1(g) de este DPA;

iii. En la Cláusula 11, el lenguaje opcional no se aplica;

iv. Todos los corchetes en la Cláusula 13 se eliminan;

v. En la Cláusula 17 (Opción 1), las Cláusulas de la UE estarán regidas por el Estado miembro de la UE donde se encuentre el exportador de datos;

vi. En la Cláusula 18(b), las disputas se resolverán ante los tribunales del Estado miembro de la UE donde se encuentre el exportador de datos;

vii. El Anexo A de este DPA contiene la información requerida en el Anexo I y Anexo III de las Cláusulas de la UE;

viii. El Anexo B de este DPA contiene la información requerida en el Anexo II de las Cláusulas de la UE.

c. Los Datos del Cliente originados en Suiza serán procesados conforme a las Cláusulas de la UE, con las siguientes modificaciones:

i. “FDPIC” se refiere al Comisionado Federal Suizo de Protección de Datos e Información;

ii. “Revised FADP” se refiere a la versión revisada de la Ley Federal Suiza de Protección de Datos del 25 de septiembre de 2020, que entró en vigor el 1 de enero de 2023;

iii. El término “Estado miembro de la UE” no será interpretado de manera que excluya a los titulares de datos en Suiza de hacer valer sus derechos en su lugar de residencia habitual (Suiza) según la Cláusula 18(c);

iv. Las Cláusulas de la UE también protegen los datos de entidades jurídicas hasta la entrada en vigor de la Revised FADP;

v. El FDPIC actuará como la “autoridad supervisora competente” en la medida en que la transferencia de datos esté regulada por la FADP.

d. Con respecto a los Datos del Cliente originados en el Reino Unido, las partes cumplirán con las disposiciones de la Parte 2: Cláusulas Obligatorias del Adendo Aprobado, que es el Modelo de Adendo B.1.0 emitido por la Oficina del Comisionado de Información (ICO) y presentado al Parlamento conforme al artículo 119A de la Ley de Protección de Datos de 2018, según sea revisado por la Sección 18 de dichas Cláusulas Obligatorias.Las partes también acuerdan que (i) la información incluida en la Parte 1 del Adendo del Reino Unido es la establecida en el Anexo I del Apéndice A de este DPA; y (ii) cualquiera de las partes podrá dar por terminado el Adendo del Reino Unido conforme a la Sección 19 del mismo.

8.   Plazo; devolución y eliminación de datos.  Este DPA permanecerá en vigor mientras MeetGeek lleve a cabo operaciones de procesamiento de Datos del Cliente en nombre del Cliente o hasta la terminación del Contrato (y todos los Datos del Cliente hayan sido devueltos o eliminados de conformidad con este DPA). MeetGeek retendrá los Datos del Cliente enviados a través de la API durante un período máximo de treinta (30) días, después del cual serán eliminados, excepto cuando MeetGeek esté obligada legalmente a retener copias, en cuyo caso los Datos del Cliente serán aislados y protegidos contra cualquier procesamiento adicional, salvo en la medida en que lo requieran las leyes aplicables. Tras la terminación de este DPA, MeetGeek ordenará a cada Subprocesador que elimine los Datos del Cliente dentro de los treinta (30) días posteriores a la terminación del DPA, salvo que esté prohibido por ley. Para mayor claridad, MeetGeek podrá continuar procesando información derivada de los Datos del Cliente que haya sido anonimizada, desidentificada y/o agregada de manera que ya no sea considerada Datos Personales conforme a las Leyes de Protección de Datos aplicables, con el fin de mejorar los sistemas y servicios de MeetGeek.

Anexo A

‍

A. LISTA DE PARTES

Exportador (es) de datos: el cliente de los Servicios identificado en los documentos de registro de los Servicios aplicables

‍Importador (es) de datos:

Nombre: MeetGeek,

Dirección: Calea Vacaresti 203A, Bucarest, UE

Nombre, cargo y datos de contacto de la persona de contacto:

Dan Huru

Director de Asuntos Jurídicos Comerciales

[email protected]

Actividades relevantes para los datos transferidos en virtud de estas cláusulas: la prestación de los servicios descritos en el acuerdo al que se adjunta.

Firma y fecha:  

Función (controlador/procesador): Procesador

‍

B. DESCRIPCIÓN DE LA TRANSFERENCIA

Categorías de sujetos de datos cuyos datos personales se transfieren Usuarios de aplicaciones de exportación de datos.

Categorías de datos personales transferidos

Nombre, información de contacto, información demográfica u otra información proporcionada por el usuario en datos no estructurados.

Se transfirieron datos confidenciales (si corresponde) y se aplicaron restricciones o salvaguardas que tuvieron plenamente en cuenta la naturaleza de los datos y los riesgos involucrados, como, por ejemplo, la limitación estricta de la finalidad, las restricciones de acceso (incluido el acceso solo para el personal que haya seguido una formación especializada), el mantenimiento de un registro del acceso a los datos, las restricciones para las transferencias posteriores o las medidas de seguridad adicionales.

No se pretende transferir ningún dato confidencial a menos que el usuario lo incluya inesperadamente en datos no estructurados.

La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma puntual o continua).

Continuo.

Naturaleza del procesamiento

La prestación de los servicios descritos en el acuerdo al que se adjunta este apéndice.

Propósito (s) de la transferencia de datos y su posterior procesamiento

La prestación de los servicios descritos en el acuerdo al que se adjunta este apéndice.

El período durante el cual se conservarán los datos personales o, si eso no es posible, los criterios utilizados para determinar ese período

Durante la vigencia del acuerdo

Para las transferencias a (sub) procesadores, especifique también el objeto, la naturaleza y la duración del procesamiento

La prestación de los servicios descritos en el acuerdo al que se adjunta este apéndice.

‍

C. AUTORIDAD SUPERVISORA COMPETENTE

Identifique la autoridad o autoridades supervisoras competentes de conformidad con la cláusula 13

La autoridad de protección de datos del Estado miembro de la UE en el que está establecido el exportador.

Anexo B

‍

MEDIDAS TÉCNICAS Y ORGANIZATIVAS, INCLUIDAS LAS MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS

‍

INTRODUCCIÓN

MeetGeek mantiene un programa de seguridad de la información diseñado para proteger sus sistemas, datos y datos de clientes. Este anexo describe el programa de seguridad de la información y los estándares de seguridad que MeetGeek mantiene con respecto a los Servicios y al manejo de los datos enviados por el Cliente o en su nombre (los «Datos del cliente»). Los términos en mayúscula que no se definen en este anexo II tienen los significados que se les dan en la DPA o el Acuerdo.

Para obtener más información sobre las medidas de seguridad técnicas y organizativas de MeetGeek para proteger los datos del cliente, consulte el portal de seguridad de MeetGeek en https://security.meetgeek.ai (el «Portal de seguridad»). Las medidas de seguridad que figuran a continuación incluyen el subconjunto de la información disponible en el Portal de seguridad que se aplica a esta DPA.

‍

MEDIDAS DE SEGURIDAD

Controles de identidad corporativa, autenticación y autorización. MeetGeek mantiene las mejores prácticas de la industria para autenticar y autorizar el acceso interno de los empleados y los servicios, incluidas las siguientes medidas:

○ MeetGeek utiliza el inicio de sesión único (SSO) para autenticarse en los servicios de terceros utilizados en la prestación de los Servicios. Los controles de acceso basados en roles (RBAC) se utilizan para proporcionar el acceso interno a los Servicios;

○ La autenticación multifactor obligatoria se utiliza para autenticarse en el proveedor de identidad de MeetGeek.

○ Se asignan identificadores de inicio de sesión únicos a cada usuario;

○ Procesos de revisión y aprobación establecidos para cualquier solicitud de acceso a los servicios que almacenan datos del cliente;

○ Auditorías de acceso periódicas diseñadas para garantizar que los niveles de acceso sean adecuados para las funciones que desempeña cada usuario;

○ Procedimientos establecidos para revocar rápidamente los derechos de acceso en caso de separación de los empleados;

○ Procedimientos establecidos para informar y revocar las credenciales comprometidas (como contraseñas y claves de API); y

○ Procedimientos de restablecimiento de contraseñas establecidos, incluidos los procedimientos diseñados para verificar la identidad de un usuario antes de crear una contraseña nueva, de reemplazo o temporal.

Controles de identidad, autenticación y autorización del cliente. MeetGeek mantiene las mejores prácticas de la industria para autenticar y autorizar a los clientes a los Servicios, incluidas las siguientes medidas:

○ El uso de un servicio de administración de acceso a la identidad de un tercero para administrar la identidad del cliente, lo que significa que MeetGeek no almacena las contraseñas proporcionadas por los usuarios en nombre de los usuarios; y

○ Separar de forma lógica los datos del cliente por cuenta de la organización mediante identificadores únicos. Dentro de una cuenta de organización, se admiten cuentas de usuario únicas.

Infraestructura de nube y seguridad de red. MeetGeek mantiene las mejores prácticas de la industria para proteger y operar su infraestructura en la nube, incluidas las siguientes medidas:

○ Entornos de producción y de no producción separados; ○ Los recursos de backend principales se implementan detrás de una VPN.

○ Los Servicios se auditan de forma rutinaria para detectar vulnerabilidades de seguridad.

○ Los secretos de las aplicaciones y las cuentas de servicio son administrados por un servicio de administración de secretos;

○ Las políticas de seguridad de red y los firewalls están configurados para un acceso con privilegios mínimos contra un conjunto preestablecido de flujos de tráfico permitidos. Los flujos de tráfico no permitidos están bloqueados; y ○ Los registros de los servicios se supervisan para garantizar la seguridad y la disponibilidad.

Control de sistemas y estaciones de trabajo. MeetGeek mantiene las mejores prácticas de la industria para proteger los sistemas corporativos de MeetGeek, incluidas las computadoras portátiles y la infraestructura local, que incluye:

○ Gestión de terminales de estaciones de trabajo corporativas;

○ Gestión de terminales de dispositivos móviles;

○ Aplicación automática de configuraciones de seguridad a las estaciones de trabajo;

○ Administración obligatoria de parches; y

○ Mantener los registros de seguridad adecuados.

Control de acceso a datos. MeetGeek mantiene las mejores prácticas de la industria para evitar que los usuarios autorizados accedan a los datos más allá de sus derechos de acceso autorizados y para evitar la entrada, lectura, copia, eliminación, modificación o divulgación no autorizada de datos. Entre estas medidas se incluyen las siguientes:

○ El acceso de los empleados a los Servicios sigue el principio de mínimo privilegio. Solo los empleados cuya función laboral implique apoyar la prestación de los Servicios están acreditados para el entorno de los Servicios; y

○ Los datos del cliente enviados a los Servicios solo se utilizan de acuerdo con los términos de la DPA, el Acuerdo y cualquier otro acuerdo contractual aplicable vigente con el Cliente.

Control de divulgación. MeetGeek mantiene las mejores prácticas de la industria para evitar el acceso no autorizado, la alteración o la eliminación de datos durante la transferencia, y para proteger y registrar todas las transferencias. Estas medidas incluyen:

○ Cifrado de datos en reposo en almacenes de datos de producción mediante algoritmos de cifrado sólidos;

○ Cifrado de datos en tránsito;

○ Registro de auditoría de todas las solicitudes de acceso a datos para almacenes de datos de producción;

○ Se requiere el cifrado de disco completo en todas las estaciones de trabajo corporativas;

○ Se requieren controles de administración de dispositivos en todas las estaciones de trabajo corporativas; ○ Restricciones en el uso de medios portátiles o extraíbles; y ○ Los datos del cliente se pueden eliminar a pedido.

Control de disponibilidad. MeetGeek mantiene las mejores prácticas de la industria para mantener la funcionalidad de los Servicios de forma accidental o malintencionada, que incluyen:

○ Garantizar que los sistemas puedan restaurarse en caso de interrupción;

○ Garantizar que los sistemas funcionen y que se notifiquen las fallas; y

○ Soluciones antimalware y de detección/prevención de intrusiones implementadas de manera integral en todo nuestro entorno

Control de la segregación. MeetGeek mantiene las mejores prácticas de la industria para el procesamiento por separado de los datos recopilados para diferentes propósitos, que incluyen:

○ Segregación lógica de los datos de los clientes;

○ Restricción del acceso a los datos almacenados para diferentes propósitos según las funciones y responsabilidades del personal;

○ Segregación de las funciones del sistema de información empresarial; y

○ Segregación de los entornos de sistemas de información de producción y pruebas.

Gestión de riesgos. MeetGeek mantiene las mejores prácticas de la industria para detectar y gestionar los riesgos de ciberseguridad, que incluyen:

○ Modelado de amenazas para documentar y clasificar las fuentes de riesgo de seguridad para priorizar y remediar;  

○ Las pruebas de penetración se realizan en los Servicios al menos una vez al año, y cualquier elemento de remediación identificado se resuelve lo antes posible según un cronograma acorde con el riesgo asociado. Previa solicitud, MeetGeek proporcionará detalles resumidos de las pruebas realizadas y si los problemas identificados se han resuelto;  

○ Contrataciones anuales de un auditor externo independiente y calificado para realizar revisiones periódicas de las prácticas de seguridad de MeetGeek en comparación con los estándares de auditoría reconocidos, incluidas las auditorías de certificación SOC 2 de tipo II. Previa solicitud razonable, MeetGeek proporcionará detalles resumidos; y

○ Un programa de gestión de vulnerabilidades diseñado para garantizar la pronta reparación de las vulnerabilidades que afectan a los Servicios.

Personal. MeetGeek mantiene las mejores prácticas de la industria para la investigación, la capacitación y la administración del personal con respecto a los asuntos de seguridad, que incluyen:

○ Verificaciones de antecedentes, cuando la ley lo permita, de los empleados con acceso a los Datos del cliente o que respalden otros aspectos de los Servicios;

○ Capacitación de seguridad anual para los empleados y capacitación de seguridad complementaria, según corresponda.

Control de acceso físico. MeetGeek mantiene las mejores prácticas de la industria para evitar el acceso físico no autorizado a las instalaciones de MeetGeek, que incluyen:

○ Controles de barrera física, incluidas puertas y portones cerrados con llave;

○ Personal de guardia de seguridad in situ las 24 horas;

○ Sistemas de videovigilancia y alarma las 24 horas, incluida la videovigilancia de las áreas comunes y los puntos de entrada y salida de las instalaciones;

○ Sistemas de control de acceso que requieren identificación biométrica o con fotografía y PIN para que el personal de MeetGeek ingrese a todas las instalaciones de MeetGeek;

○ Protocolos de identificación, registro y escolta de visitantes; y ○ Registro de las entradas y salidas de las instalaciones.

Gestión de riesgos de terceros. MeetGeek mantiene las mejores prácticas de la industria para gestionar los riesgos de seguridad de terceros, incluso con respecto a cualquier subprocesador o subcontratista al que MeetGeek proporcione datos del cliente, incluidas las siguientes medidas:

○ Contratos escritos diseñados para garantizar que cualquier agente se comprometa a mantener medidas de seguridad razonables y adecuadas para proteger los datos del cliente; y

○ Evaluaciones de seguridad de proveedores: todos los terceros se someten a un proceso formal de evaluación de proveedores mantenido por el equipo de seguridad de MeetGeek.

Respuesta a incidentes de seguridad. MeetGeek mantiene un plan de respuesta a incidentes de seguridad para responder y resolver eventos que comprometan la confidencialidad, la disponibilidad o la integridad de los Servicios o los Datos del Cliente, incluidos los siguientes:

○ MeetGeek agrega los registros del sistema para garantizar la seguridad y la observabilidad general de una variedad de sistemas para facilitar la detección y la respuesta; y

○ Si MeetGeek se entera de que se ha producido una violación de datos personales, MeetGeek lo notificará al Cliente de acuerdo con la DPA.

Evaluaciones de seguridad. MeetGeek realiza pruebas periódicas de seguridad y vulnerabilidad para evaluar si los controles clave se implementan correctamente y son efectivos en comparación con los estándares de seguridad de la industria y sus políticas y procedimientos, y para garantizar el cumplimiento continuo de las obligaciones impuestas por la ley, el reglamento o el contrato con respecto a la seguridad de los datos del cliente, así como al mantenimiento y la estructura de los sistemas de información de MeetGeek.