Anexo sobre procesamiento de datos

Última actualización el 10 de octubre de 2023

‍

Para obtener una versión firmada de este apéndice, visite security.meetgeek.ai

Anexo de procesamiento de datos de MeetGeek

Este anexo sobre procesamiento de datos (»DPA») rige el procesamiento por parte de MeetGeek de los datos del cliente proporcionados por el Cliente a MeetGeek a través de la API de MeetGeek o cualquier servicio de MeetGeek para empresas (»Servicios») según los términos del MeetGeek Condiciones de uso, Acuerdo empresarial u otro acuerdo entre el Cliente y MeetGeek que rija el uso de los Servicios por parte del Cliente (el»Acuerdo») y por la presente se incorpora al Acuerdo. Si, y en la medida en que, el lenguaje de esta DPA entre en conflicto con el Acuerdo, prevalecerán los términos contradictorios de esta DPA. Los términos en mayúscula que no estén definidos en esta DPA tienen el significado establecido en el Acuerdo. A los efectos de esta DPA únicamente, el término «Cliente» incluye a cualquier entidad afiliada del Cliente que (a) haya firmado un formulario de pedido con MeetGeek y que (b) directa o indirectamente, a través de los controles de uno o más intermediarios, esté controlada por el Cliente o esté bajo el control común de este.  

Tanto MeetGeek como el Cliente acuerdan cumplir con sus respectivas obligaciones en virtud de las leyes de privacidad y protección de datos aplicables (colectivamente,»Leyes de protección de datos») en relación con los Servicios. Las leyes de protección de datos pueden incluir, según las circunstancias, Cal. Civ. Artículos 1798.100 y siguientes del Código, modificado por la Ley de Derechos de Privacidad de California de 2020 (la Ley de Privacidad del Consumidor de California) (»CCPA»), Colorado. Rev. Stat. §§ 6-1-1301 y siguientes. (la Ley de Privacidad de Colorado) (»CPA»), la Ley de privacidad de datos de Connecticut (»CTDPA»), Código Ann. § 13-61-101 y siguientes del Código de Utah (la Ley de Privacidad del Consumidor de Utah) (»UCPA»), VA Code Ann. §§ 59.1-575 y siguientes. (la Ley de Protección de Datos del Consumidor de Virginia) (»VCDPA») (colectivamente»Leyes de privacidad de EE. UU.») y el Reglamento General de Protección de Datos de la Unión Europea (Reglamento (UE) 2016/679) (»GDPR»), y la legislación y los reglamentos subordinados aplicables que implementan esas leyes.

En relación con el Acuerdo, el Cliente es la persona que determina los fines y los medios para los que se procesan los Datos del Cliente (tal como se definen a continuación) (a»Controlador de datos»), mientras que MeetGeek procesa los datos del cliente de acuerdo con las instrucciones del controlador de datos y en nombre del controlador de datos (como»Procesador de datos»). «Controlador de datos» y «procesador de datos» también se refieren a los conceptos equivalentes en virtud de las leyes de protección de datos. A los efectos del Acuerdo y de la presente DPA, (i) «Datos personales» tiene el significado asignado al término «datos personales» o «información personal» en virtud de las leyes de protección de datos aplicables; y (ii)»Datos del cliente» se refiere a los datos personales que el Cliente proporciona a MeetGeek y que MeetGeek procesa en nombre del Cliente para proporcionar los Servicios. MeetGeek procesará los datos del cliente como procesador de datos del cliente para proporcionar o mantener los Servicios y para los fines establecidos en este DPA, el Acuerdo y/o en cualquier otro acuerdo aplicable entre el Cliente y MeetGeek.

‍

1. Requisitos de procesamiento. Como procesador de datos, MeetGeek se compromete a:

a. procesar los datos del cliente únicamente (i) en nombre del Cliente con el fin de proporcionar y respaldar los Servicios de MeetGeek (incluso para proporcionar información, informes, análisis y abuso de la plataforma, monitoreo de la confianza y la seguridad); (ii) de conformidad con las instrucciones escritas recibidas del Cliente; y (iii) de una manera que brinde no menos del nivel de protección de la privacidad requerido por las leyes de protección de datos;

b. informar inmediatamente al Cliente por escrito si MeetGeek no puede cumplir con los requisitos de esta DPA;

c. no proporcionar al Cliente una remuneración a cambio de los Datos del Cliente del Cliente. Las partes reconocen y acuerdan que el Cliente no ha «vendido» (tal como define este término la CCPA) al Cliente

Datos para MeetGeek;

d. no «vender» (tal como lo definen las leyes de privacidad de los EE. UU.) ni «compartir» (tal como lo define la CCPA)

Datos personales;

e. informar al Cliente con prontitud si, en opinión de MeetGeek, una instrucción del Cliente infringe las aplicables

Leyes de protección de datos;

f. exigir que (i) las personas empleadas por ella y (ii) otras personas contratadas para actuar en nombre de MeetGeek estén sujetas a un deber de confidencialidad con respecto a los datos del cliente y que cumplan con las obligaciones de protección de datos aplicables a MeetGeek en virtud del Acuerdo y esta DPA;

g. involucrar a las organizaciones o personas enumeradas en https://meetgeek.ai/subprocessors procesar los datos del cliente (cada uno de ellos es un»Subprocesador», y la lista de la URL anterior, la»Lista de subprocesadores») para ayudar a MeetGeek a cumplir con sus obligaciones de acuerdo con esta DPA o para delegar la totalidad o parte de las actividades de procesamiento a dichos subprocesadores. Por la presente, el cliente acepta el uso de dichos subprocesadores. Si el Cliente se suscribe a las notificaciones por correo electrónico según lo dispuesto en el sitio web de la Lista de subprocesadores, MeetGeek le notificará cualquier cambio que MeetGeek pretenda realizar en la Lista de subprocesadores al menos 15 días antes de que los cambios entren en vigor (lo que puede ser por correo electrónico, publicando o notificando en un portal en línea para nuestros servicios u otros medios razonables). En caso de que el Cliente no desee dar su consentimiento para el uso de dicho subprocesador adicional, puede notificar a MeetGeek que no da su consentimiento en un plazo de quince (15) días por motivos razonables relacionados con la protección de los datos del cliente siguiendo las instrucciones establecidas en la Lista de subprocesadores o comunicándose con [email protected]. En tal caso, MeetGeek tendrá derecho a subsanar la objeción mediante una de las siguientes opciones: (i) MeetGeek cancelará sus planes de utilizar el subprocesador con respecto al procesamiento de los datos del cliente u ofrecerá una alternativa para proporcionar sus servicios o servicios sin dicho subprocesador; (ii) MeetGeek tomará las medidas correctivas solicitadas por el cliente en la notificación de objeción del cliente y procederá a utilizar el subprocesador; (iii) MeetGeek puede dejar de proporcionar, o el Cliente puede aceptar no utilizar, de forma temporal o permanente, el aspecto o característica particular de los Servicios de MeetGeek o los servicios que implicarían el uso de dicho subprocesador; o (iv) el Cliente puede dejar de proporcionar los datos del cliente a MeetGeek para su procesamiento en el que participe dicho subprocesador. Si ninguna de las opciones anteriores es comercialmente factible, a juicio razonable de MeetGeek, y las objeciones no se han resuelto a satisfacción de las partes en un plazo de treinta (30) días a partir de la recepción por parte de MeetGeek de la notificación de objeción del Cliente, cualquiera de las partes podrá cancelar cualquier suscripción, formulario de pedido o uso relacionado con los Servicios que no pueda proporcionarse sin el uso del nuevo subprocesador por causa justificada y, en tal caso, se le reembolsará al Cliente cualquier tarifa prepagada. para las suscripciones, los formularios de pedido o el uso aplicables en la medida en que cubran períodos o términos posteriores a la fecha de dicha terminación. Dicho derecho de rescisión es el único y exclusivo recurso del Cliente si el Cliente se opone a cualquier subprocesador nuevo. MeetGeek celebrará acuerdos contractuales con cada subprocesador que lo obliguen a proporcionar un nivel de protección de datos y seguridad de la información comparable al estipulado en este documento.

h. previa solicitud razonable, no más de una vez al año, proporcionar al Cliente las políticas de privacidad y seguridad de MeetGeek y otra información similar necesaria para demostrar el cumplimiento de las obligaciones establecidas en esta DPA y las leyes de protección de datos aplicables;

i. cuando lo exija la ley y con un aviso razonable y con los acuerdos de confidencialidad apropiados, coopere con las evaluaciones, auditorías u otras medidas realizadas por el Cliente o en su nombre, a cargo exclusivo del Cliente y de una manera que perturbe mínimamente el negocio de MeetGeek y que sean necesarias para confirmar que MeetGeek procesa los Datos del cliente de manera coherente con esta DPA. Cuando lo permita la ley, MeetGeek puede, en cambio, poner a disposición del cliente un resumen de los resultados de los informes de auditoría o certificación de un tercero relevantes para el cumplimiento por parte de MeetGeek de esta DPA. Dichos resultados, y/o los resultados de cualquiera de estas evaluaciones, auditorías u otras medidas, constituirán la información confidencial de MeetGeek;

j. en la medida en que el Cliente permita o dé instrucciones a MeetGeek para que procese los datos del cliente sujetos a las leyes de privacidad de los EE. UU. de forma anónima, anónima o agregada como parte de los Servicios, MeetGeek, MeetGeek (i) adoptará medidas razonables para evitar que dichos datos anónimos se utilicen para inferir información sobre una persona física u hogar en particular o estén vinculados a ellos; (ii) no intentará volver a identificar la información, excepto que MeetGeek puede intentar volver a identificar la información únicamente con el fin de determinar si su los procesos de desidentificación cumplen con los datos

Las leyes de protección o funcionan según lo previsto; y (iii) antes de compartir datos anónimos con cualquier otra parte, incluidos los subprocesadores, obligan contractualmente a dichos destinatarios a cumplir con los requisitos de esta disposición;

k. cuando los datos del cliente estén sujetos a la CCPA, no (i) conserven, usen, divulguen o procesen de otro modo

Datos del cliente, excepto cuando sea necesario para los fines comerciales especificados en el Acuerdo o en este DPA; (ii) retener, usar, divulgar o procesar los datos del cliente de cualquier manera fuera de la relación comercial directa entre MeetGeek y el Cliente; o (iii) combinar cualquier dato del cliente con los datos personales que MeetGeek reciba de cualquier otro tercero o que recopile de las propias interacciones de MeetGeek con las personas, siempre que MeetGeek pueda combinar los datos del cliente para un propósito permitido por la CCPA si así lo indica el Cliente o como permitido de otro modo por la CCPA;

l. cuando lo exija la ley, otorgar al Cliente los derechos de (i) tomar medidas razonables y apropiadas para garantizar que MeetGeek utilice los datos del cliente de manera coherente con las leyes de protección de datos mediante el ejercicio de las disposiciones de auditoría establecidas en esta DPA anterior; y (ii) detener y remediar el uso no autorizado de los datos del cliente, por ejemplo, solicitando que MeetGeek proporcione una confirmación por escrito de que se han eliminado los datos del cliente aplicables.

2. Aviso al cliente. MeetGeek informará al Cliente si MeetGeek tiene conocimiento de:

a. cualquier solicitud legalmente vinculante de divulgación de los Datos del Cliente por parte de una autoridad policial, a menos que la ley prohíba a MeetGeek informar al Cliente, por ejemplo, para preservar la confidencialidad de una investigación por parte de las autoridades policiales;

b. cualquier notificación, consulta o investigación por parte de una autoridad pública independiente establecida por un estado miembro de conformidad con el artículo 51 del RGPD (a»Autoridad supervisora») con respecto a los datos del cliente; o

c. cualquier queja o solicitud (en particular, solicitudes de acceso, rectificación o bloqueo de los datos del cliente) recibida directamente de los interesados del cliente. MeetGeek no responderá a ninguna solicitud de este tipo sin la autorización previa por escrito del Cliente.

3. Asistencia al cliente. MeetGeek proporcionará asistencia razonable al Cliente con respecto a:

a. la información necesaria, teniendo en cuenta la naturaleza del procesamiento, para responder a las solicitudes recibidas de conformidad con las leyes de protección de datos por parte de los interesados del cliente en relación con el acceso o la rectificación, el borrado, la restricción, la portabilidad, la objeción, el bloqueo o la eliminación de los datos del cliente que

Procesos de MeetGeek para el cliente. En el caso de que un sujeto de datos envíe dicha solicitud directamente a

MeetGeek, MeetGeek enviará de inmediato dicha solicitud al Cliente;

b. la investigación de cualquier violación de la seguridad de MeetGeek que conduzca a la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado accidental o ilegal a los datos del cliente procesados por

MeetGeek para clientes (a)Violación de datos personales»); y

c. cuando proceda, la preparación de evaluaciones de impacto de la protección de datos con respecto al procesamiento de los datos del cliente por parte de MeetGeek y, cuando sea necesario, la realización de consultas con cualquier autoridad supervisora con jurisdicción sobre dicho procesamiento.

4. Procesamiento requerido. Si las leyes de protección de datos exigen a MeetGeek procesar cualquier dato del cliente por un motivo que no esté relacionado con el Acuerdo, MeetGeek informará al Cliente de este requisito antes de cualquier procesamiento de este tipo, a menos que esté prohibido legalmente.

5. Seguridad. MeetGeek hará lo siguiente:

a. mantener medidas de seguridad organizativas y técnicas razonables y apropiadas (incluso con respecto al personal, las instalaciones, el hardware y el software, el almacenamiento y las redes, los controles de acceso, la supervisión y el registro, la detección de vulnerabilidades y violaciones, la respuesta a incidentes y el cifrado) para protegerse contra el acceso, la pérdida, la alteración, la divulgación o la destrucción no autorizados o accidentales de

Datos del cliente y para proteger los derechos de los sujetos de esos datos del cliente;

b. tomar las medidas adecuadas para confirmar que el personal de MeetGeek protege la seguridad, la privacidad y la confidencialidad de los datos del cliente de acuerdo con los requisitos de esta DPA; y

c. notificar al Cliente cualquier violación de datos personales por parte de MeetGeek, sus subprocesadores o cualquier otro tercero que actúe en nombre de MeetGeek sin demora indebida después de que MeetGeek tenga conocimiento de dicha violación de datos personales.

6. Obligaciones del cliente.

a. El cliente declara, garantiza y garantiza que tiene y mantendrá durante todo el período de vigencia todos los derechos, consentimientos y autorizaciones necesarios para proporcionar los datos del cliente a MeetGeek y para autorizar a MeetGeek a usar, divulgar, retener y procesar de otro modo los datos del cliente según lo contemplado en esta DPA, el Acuerdo y/u otras instrucciones de procesamiento proporcionadas a MeetGeek.

b. El cliente deberá cumplir con todas las leyes de protección de datos aplicables.

c. El Cliente cooperará razonablemente con MeetGeek para ayudar a MeetGeek a cumplir con cualquiera de sus obligaciones con respecto a cualquier solicitud de los interesados del Cliente.

d. Sin perjuicio de las obligaciones de seguridad de MeetGeek en la sección 5 de esta DPA, el Cliente reconoce y acepta que es él, y no MeetGeek, el responsable de ciertas configuraciones y decisiones de diseño de los servicios y que el Cliente, y no MeetGeek, es responsable de implementar esas configuraciones y decisiones de diseño de una manera segura que cumpla con las leyes de protección de datos aplicables.

e. El cliente no proporcionará datos del cliente a MeetGeek excepto a través de los mecanismos acordados. Por ejemplo, el cliente no incluirá datos del cliente que no sean información de contacto técnica, ni transmitirá los datos del cliente del usuario a MeetGeek por correo electrónico en los tickets de soporte técnico. Sin perjuicio de lo anterior, el Cliente declara, garantiza y se compromete a transferir los datos del cliente a MeetGeek únicamente mediante mecanismos seguros, razonables y apropiados, en la medida en que dichos mecanismos estén bajo el control del Cliente.

f. El cliente no tomará ninguna medida que (i) convierta el suministro de datos del cliente a MeetGeek en un

«venta» en virtud de las leyes de privacidad de los Estados Unidos o una «acción» en virtud de la CCPA (o conceptos equivalentes en virtud de las leyes de privacidad de los EE. UU.) o (ii) hacer que MeetGeek no sea un «proveedor de servicios» según la CCPA ni un «procesador» según las leyes de privacidad de los EE. UU.

7. Cláusulas contractuales estándar.  

a. MeetGeek procesará los datos del cliente que se originen en el Espacio Económico Europeo de acuerdo con las cláusulas contractuales estándar adoptadas por la Comisión de la UE el 4 de junio de 2021 (»SCC de la UE») que se consideran celebrados (e incorporados a esta DPA mediante esta referencia) y se completan de la siguiente manera:

i. El módulo dos (del controlador al procesador) de las SCC de la UE se aplica cuando el cliente es un controlador y MeetGeek procesa los datos del cliente como procesador.

ii. El módulo tres (del procesador al subprocesador) de las SCC de la UE se aplica cuando el cliente es un procesador y MeetGeek procesa los datos del cliente como subprocesador.

b. Para cada módulo de los SCC de la UE, cuando proceda, se aplica lo siguiente:

i. La cláusula de anclaje opcional de la cláusula 7 no se aplica;

ii. En la cláusula 9, se aplica la opción 2 (autorización general por escrito), y el período mínimo para la notificación previa de los cambios en los subprocesadores será el establecido en la sección 1 (g) de la presente DPA.

iii. En la cláusula 11, el lenguaje opcional no se aplica; iv. Se eliminan todos los corchetes de la cláusula 13;

v. En la cláusula 17 (opción 1), las SCC de la UE se regirán por el estado miembro de la UE en el que se encuentre el exportador de datos;

vi. En la cláusula 18 (b), las disputas se resolverán ante los tribunales del estado miembro de la UE en el que se encuentre el exportador de datos;

vii. El anexo A de esta DPA contiene la información requerida en los anexos I y III de la UE

SCC; viii. El anexo B de la presente DPA contiene la información requerida en el anexo II de los SCC de la UE; y

c. Los datos de los clientes originarios de Suiza se procesarán de acuerdo con las SCC de la UE con las siguientes modificaciones:

i. «FDPIC» significa el Comisionado Federal de Protección de Datos e Información de Suiza.

ii. Por «FADP revisado» se entiende la versión revisada del FADP del 25 de septiembre de 2020, cuya entrada en vigor está prevista para el 1 de enero de 2023.

iii. El término «Estado miembro de la UE» no debe interpretarse de manera que excluya a los interesados en Suiza de la posibilidad de hacer valer sus derechos en su lugar de residencia habitual (Suiza) de conformidad con la cláusula 18 (c).

iv. Las SCC de la UE también protegen los datos de las personas jurídicas hasta la entrada en vigor del FADP revisado.

v. La FDPIC actuará como la «autoridad supervisora competente» en la medida en que la transferencia de datos pertinente se rija por la FADP

d. Con respecto a los datos de los clientes originarios del Reino Unido, las partes cumplirán con los términos de la Parte 2: Cláusulas obligatorias del Anexo aprobado, que es el modelo del Anexo B.1.0 emitido por la Oficina del Comisionado de Información y presentado al Parlamento de conformidad con la S119a de la Ley de Protección de Datos de 2018 el 2 de febrero de 2022, tal como se revisa en la sección 18 de esas cláusulas obligatorias (la»Adenda del Reino Unido»). Las partes también acuerdan (i) que la información incluida en la parte 1 de la adenda del Reino Unido es la que figura en el anexo I del apéndice A de la presente

DPA y (ii) que cualquiera de las partes puede poner fin a la adenda del Reino Unido tal como se establece en la sección 19 de la adenda del Reino Unido.

8. Plazo; devolución y eliminación de datos. Esta DPA permanecerá en vigor mientras MeetGeek lleve a cabo operaciones de procesamiento de datos del cliente en nombre del cliente o hasta la rescisión del Acuerdo (y todo

Los datos del cliente se han devuelto o eliminado de acuerdo con esta DPA). MeetGeek conservará los datos del cliente enviados a través de la API durante un máximo de treinta (30) días, después de los cuales se eliminarán, excepto cuando MeetGeek deba conservar copias en virtud de la legislación aplicable, en cuyo caso MeetGeek aislará y protegerá esos datos del cliente de cualquier procesamiento posterior, excepto en la medida en que lo exijan las leyes aplicables. Al finalizar la DPA, MeetGeek ordenará a cada subprocesador que elimine los datos del cliente dentro de los treinta (30) días posteriores a la finalización de la DPA, a menos que lo prohíba la ley. Para mayor claridad, MeetGeek puede continuar procesando la información derivada de los Datos del Cliente que se haya anonimizado, anonimizado y/o agregado, de modo que los datos ya no se consideren Datos personales según las leyes de protección de datos aplicables y de una manera que no identifique a las personas o al Cliente para mejorar los sistemas y servicios de MeetGeek.

Anexo A

‍

A. LISTA DE PARTES

Exportador (es) de datos: el cliente de los Servicios identificado en los documentos de registro de los Servicios aplicables

‍Importador (es) de datos:

Nombre: MeetGeek,

Dirección: Calea Vacaresti 203A, Bucarest, UE

Nombre, cargo y datos de contacto de la persona de contacto:

Dan Huru

Director de Asuntos Jurídicos Comerciales

[email protected]

Actividades relevantes para los datos transferidos en virtud de estas cláusulas: la prestación de los servicios descritos en el acuerdo al que se adjunta.

Firma y fecha:

Función (controlador/procesador): Procesador

‍

B. DESCRIPCIÓN DE LA TRANSFERENCIA

Categorías de sujetos de datos cuyos datos personales se transfieren Usuarios de aplicaciones de exportación de datos.

Categorías de datos personales transferidos

Nombre, información de contacto, información demográfica u otra información proporcionada por el usuario en datos no estructurados.

Se transfirieron datos confidenciales (si corresponde) y se aplicaron restricciones o salvaguardas que tuvieron plenamente en cuenta la naturaleza de los datos y los riesgos involucrados, como, por ejemplo, la limitación estricta de la finalidad, las restricciones de acceso (incluido el acceso solo para el personal que haya seguido una formación especializada), el mantenimiento de un registro del acceso a los datos, las restricciones para las transferencias posteriores o las medidas de seguridad adicionales.

No se pretende transferir ningún dato confidencial a menos que el usuario lo incluya inesperadamente en datos no estructurados.

La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma puntual o continua).

Continuo.

Naturaleza del procesamiento

La prestación de los servicios descritos en el acuerdo al que se adjunta este apéndice.

Propósito (s) de la transferencia de datos y su posterior procesamiento

La prestación de los servicios descritos en el acuerdo al que se adjunta este apéndice.

El período durante el cual se conservarán los datos personales o, si eso no es posible, los criterios utilizados para determinar ese período

Durante la vigencia del acuerdo

Para las transferencias a (sub) procesadores, especifique también el objeto, la naturaleza y la duración del procesamiento

La prestación de los servicios descritos en el acuerdo al que se adjunta este apéndice.

‍

C. AUTORIDAD SUPERVISORA COMPETENTE

Identifique la autoridad o autoridades supervisoras competentes de conformidad con la cláusula 13

La autoridad de protección de datos del Estado miembro de la UE en el que está establecido el exportador.

Anexo B

‍

MEDIDAS TÉCNICAS Y ORGANIZATIVAS, INCLUIDAS LAS MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS

‍

INTRODUCCIÓN

MeetGeek mantiene un programa de seguridad de la información diseñado para proteger sus sistemas, datos y datos de clientes. Este anexo describe el programa de seguridad de la información y los estándares de seguridad que MeetGeek mantiene con respecto a los Servicios y al manejo de los datos enviados por el Cliente o en su nombre (los «Datos del cliente»). Los términos en mayúscula que no se definen en este anexo II tienen los significados que se les dan en la DPA o el Acuerdo.

Para obtener más información sobre las medidas de seguridad técnicas y organizativas de MeetGeek para proteger los datos del cliente, consulte el portal de seguridad de MeetGeek en https://security.meetgeek.ai (el «Portal de seguridad»). Las medidas de seguridad que figuran a continuación incluyen el subconjunto de la información disponible en el Portal de seguridad que se aplica a esta DPA.

‍

MEDIDAS DE SEGURIDAD

Controles de identidad corporativa, autenticación y autorización. MeetGeek mantiene las mejores prácticas de la industria para autenticar y autorizar el acceso interno de los empleados y los servicios, incluidas las siguientes medidas:

○ MeetGeek utiliza el inicio de sesión único (SSO) para autenticarse en los servicios de terceros utilizados en la prestación de los Servicios. Los controles de acceso basados en roles (RBAC) se utilizan para proporcionar el acceso interno a los Servicios;

○ La autenticación multifactor obligatoria se utiliza para autenticarse en el proveedor de identidad de MeetGeek.

○ Se asignan identificadores de inicio de sesión únicos a cada usuario;

○ Procesos de revisión y aprobación establecidos para cualquier solicitud de acceso a los servicios que almacenan datos del cliente;

○ Auditorías de acceso periódicas diseñadas para garantizar que los niveles de acceso sean adecuados para las funciones que desempeña cada usuario;

○ Procedimientos establecidos para revocar rápidamente los derechos de acceso en caso de separación de los empleados;

○ Procedimientos establecidos para informar y revocar las credenciales comprometidas (como contraseñas y claves de API); y

○ Procedimientos de restablecimiento de contraseñas establecidos, incluidos los procedimientos diseñados para verificar la identidad de un usuario antes de crear una contraseña nueva, de reemplazo o temporal.

Controles de identidad, autenticación y autorización del cliente. MeetGeek mantiene las mejores prácticas de la industria para autenticar y autorizar a los clientes a los Servicios, incluidas las siguientes medidas:

○ El uso de un servicio de administración de acceso a la identidad de un tercero para administrar la identidad del cliente, lo que significa que MeetGeek no almacena las contraseñas proporcionadas por los usuarios en nombre de los usuarios; y

○ Separar de forma lógica los datos del cliente por cuenta de la organización mediante identificadores únicos. Dentro de una cuenta de organización, se admiten cuentas de usuario únicas.

Infraestructura de nube y seguridad de red. MeetGeek mantiene las mejores prácticas de la industria para proteger y operar su infraestructura en la nube, incluidas las siguientes medidas:

○ Entornos de producción y de no producción separados; ○ Los recursos de backend principales se implementan detrás de una VPN.

○ Los Servicios se auditan de forma rutinaria para detectar vulnerabilidades de seguridad.

○ Los secretos de las aplicaciones y las cuentas de servicio son administrados por un servicio de administración de secretos;

○ Las políticas de seguridad de red y los firewalls están configurados para un acceso con privilegios mínimos contra un conjunto preestablecido de flujos de tráfico permitidos. Los flujos de tráfico no permitidos están bloqueados; y ○ Los registros de los servicios se supervisan para garantizar la seguridad y la disponibilidad.

Control de sistemas y estaciones de trabajo. MeetGeek mantiene las mejores prácticas de la industria para proteger los sistemas corporativos de MeetGeek, incluidas las computadoras portátiles y la infraestructura local, que incluye:

○ Gestión de terminales de estaciones de trabajo corporativas;

○ Gestión de terminales de dispositivos móviles;

○ Aplicación automática de configuraciones de seguridad a las estaciones de trabajo;

○ Administración obligatoria de parches; y

○ Mantener los registros de seguridad adecuados.

Control de acceso a datos. MeetGeek mantiene las mejores prácticas de la industria para evitar que los usuarios autorizados accedan a los datos más allá de sus derechos de acceso autorizados y para evitar la entrada, lectura, copia, eliminación, modificación o divulgación no autorizada de datos. Entre estas medidas se incluyen las siguientes:

○ El acceso de los empleados a los Servicios sigue el principio de mínimo privilegio. Solo los empleados cuya función laboral implique apoyar la prestación de los Servicios están acreditados para el entorno de los Servicios; y

○ Los datos del cliente enviados a los Servicios solo se utilizan de acuerdo con los términos de la DPA, el Acuerdo y cualquier otro acuerdo contractual aplicable vigente con el Cliente.

Control de divulgación. MeetGeek mantiene las mejores prácticas de la industria para evitar el acceso no autorizado, la alteración o la eliminación de datos durante la transferencia, y para proteger y registrar todas las transferencias. Estas medidas incluyen:

○ Cifrado de datos en reposo en almacenes de datos de producción mediante algoritmos de cifrado sólidos;

○ Cifrado de datos en tránsito;

○ Registro de auditoría de todas las solicitudes de acceso a datos para almacenes de datos de producción;

○ Se requiere el cifrado de disco completo en todas las estaciones de trabajo corporativas;

○ Se requieren controles de administración de dispositivos en todas las estaciones de trabajo corporativas; ○ Restricciones en el uso de medios portátiles o extraíbles; y ○ Los datos del cliente se pueden eliminar a pedido.

Control de disponibilidad. MeetGeek mantiene las mejores prácticas de la industria para mantener la funcionalidad de los Servicios de forma accidental o malintencionada, que incluyen:

○ Garantizar que los sistemas puedan restaurarse en caso de interrupción;

○ Garantizar que los sistemas funcionen y que se notifiquen las fallas; y

○ Soluciones antimalware y de detección/prevención de intrusiones implementadas de manera integral en todo nuestro entorno

Control de la segregación. MeetGeek mantiene las mejores prácticas de la industria para el procesamiento por separado de los datos recopilados para diferentes propósitos, que incluyen:

○ Segregación lógica de los datos de los clientes;

○ Restricción del acceso a los datos almacenados para diferentes propósitos según las funciones y responsabilidades del personal;

○ Segregación de las funciones del sistema de información empresarial; y

○ Segregación de los entornos de sistemas de información de producción y pruebas.

Gestión de riesgos. MeetGeek mantiene las mejores prácticas de la industria para detectar y gestionar los riesgos de ciberseguridad, que incluyen:

○ Modelado de amenazas para documentar y clasificar las fuentes de riesgo de seguridad para priorizar y remediar;  

○ Las pruebas de penetración se realizan en los Servicios al menos una vez al año, y cualquier elemento de remediación identificado se resuelve lo antes posible según un cronograma acorde con el riesgo asociado. Previa solicitud, MeetGeek proporcionará detalles resumidos de las pruebas realizadas y si los problemas identificados se han resuelto;  

○ Contrataciones anuales de un auditor externo independiente y calificado para realizar revisiones periódicas de las prácticas de seguridad de MeetGeek en comparación con los estándares de auditoría reconocidos, incluidas las auditorías de certificación SOC 2 de tipo II. Previa solicitud razonable, MeetGeek proporcionará detalles resumidos; y

○ Un programa de gestión de vulnerabilidades diseñado para garantizar la pronta reparación de las vulnerabilidades que afectan a los Servicios.

Personal. MeetGeek mantiene las mejores prácticas de la industria para la investigación, la capacitación y la administración del personal con respecto a los asuntos de seguridad, que incluyen:

○ Verificaciones de antecedentes, cuando la ley lo permita, de los empleados con acceso a los Datos del cliente o que respalden otros aspectos de los Servicios;

○ Capacitación de seguridad anual para los empleados y capacitación de seguridad complementaria, según corresponda.

Control de acceso físico. MeetGeek mantiene las mejores prácticas de la industria para evitar el acceso físico no autorizado a las instalaciones de MeetGeek, que incluyen:

○ Controles de barrera física, incluidas puertas y portones cerrados con llave;

○ Personal de guardia de seguridad in situ las 24 horas;

○ Sistemas de videovigilancia y alarma las 24 horas, incluida la videovigilancia de las áreas comunes y los puntos de entrada y salida de las instalaciones;

○ Sistemas de control de acceso que requieren identificación biométrica o con fotografía y PIN para que el personal de MeetGeek ingrese a todas las instalaciones de MeetGeek;

○ Protocolos de identificación, registro y escolta de visitantes; y ○ Registro de las entradas y salidas de las instalaciones.

Gestión de riesgos de terceros. MeetGeek mantiene las mejores prácticas de la industria para gestionar los riesgos de seguridad de terceros, incluso con respecto a cualquier subprocesador o subcontratista al que MeetGeek proporcione datos del cliente, incluidas las siguientes medidas:

○ Contratos escritos diseñados para garantizar que cualquier agente se comprometa a mantener medidas de seguridad razonables y adecuadas para proteger los datos del cliente; y

○ Evaluaciones de seguridad de proveedores: todos los terceros se someten a un proceso formal de evaluación de proveedores mantenido por el equipo de seguridad de MeetGeek.

Respuesta a incidentes de seguridad. MeetGeek mantiene un plan de respuesta a incidentes de seguridad para responder y resolver eventos que comprometan la confidencialidad, la disponibilidad o la integridad de los Servicios o los Datos del Cliente, incluidos los siguientes:

○ MeetGeek agrega los registros del sistema para garantizar la seguridad y la observabilidad general de una variedad de sistemas para facilitar la detección y la respuesta; y

○ Si MeetGeek se entera de que se ha producido una violación de datos personales, MeetGeek lo notificará al Cliente de acuerdo con la DPA.

Evaluaciones de seguridad. MeetGeek realiza pruebas periódicas de seguridad y vulnerabilidad para evaluar si los controles clave se implementan correctamente y son efectivos en comparación con los estándares de seguridad de la industria y sus políticas y procedimientos, y para garantizar el cumplimiento continuo de las obligaciones impuestas por la ley, el reglamento o el contrato con respecto a la seguridad de los datos del cliente, así como al mantenimiento y la estructura de los sistemas de información de MeetGeek.