Última actualización: [30 de enero de 2024]
Este Acuerdo de procesamiento de datos, incluidos sus Anexos (“DPA”), se incorpora y forma parte del Acuerdo entre el Cliente y, si corresponde, las Afiliadas del Cliente y CuriosityCloud, y contiene los términos y condiciones legales que se aplican al procesamiento de Datos personales. , por cualquiera de los Productos. Todos los términos en mayúscula que no estén definidos en este DPA tendrán los significados establecidos en el Acuerdo.
1. DEFINICIONES
1.1
«Acuerdo» significa el Acuerdo de licencia de usuario final de CuriosityCloud, a menos que exista un acuerdo separado que regule el uso del Producto entre las partes.
1.2
«Leyes de protección de datos» significa las leyes de protección de datos aplicables a CuriosityCloud en su procesamiento de Datos personales en virtud de este DPA.
1.3
“Datos del usuario final” significa datos a los que el Producto puede acceder o recopilar durante la relación regida por el Acuerdo, en forma de registros, datos de sesión, telemetría, datos de usuario, datos de uso, datos de inteligencia de amenazas y copias de datos potencialmente maliciosos. archivos detectados por el Producto. Los datos del usuario final pueden incluir datos confidenciales y datos personales, como direcciones IP de origen y destino, información del directorio activo, aplicaciones de archivos, URL, nombres de archivos y contenido de archivos.
1.4
“Datos personales” significa cualquier información procesada durante el suministro de un Producto que i) se relaciona con una persona física identificada o identificable; o ii) se define como “información de identificación personal”, “información personal”, “datos personales” o términos similares, según se definen dichos términos en las Leyes de Protección de Datos, incluso los que se pueden utilizar en este DPA.
1.5
«Incidente de seguridad» significa cualquier acceso no autorizado a cualquier dato del usuario final almacenado en el equipo de CuriosityCloud o en las instalaciones de CuriosityCloud, o acceso no autorizado a dicho equipo o instalaciones que resulte en pérdida, divulgación o alteración de los datos del usuario final que comprometa la privacidad, seguridad o confidencialidad. de dichos Datos del Usuario Final.
1.6
«Responsable» significa una entidad que determina los propósitos y medios del procesamiento de los datos del usuario final.
1.7
«Procesador» significa una entidad que procesa Datos del Usuario Final en nombre de un Controlador.
1.8
«Subprocesador» significa cualquier entidad contratada por CuriosityCloud para ayudar a cumplir con sus obligaciones con respecto al suministro del Producto de conformidad con el Acuerdo o este DPA, en la medida en que dicha entidad procese Datos personales en nombre de CuriosityCloud.
1.9
«Producto designado» significa el Producto CuriosityCloud especificado en la Sección 2 de los Anexos del DPA.
2. TRATAMIENTO DE DATOS DEL USUARIO FINAL
Para proporcionar y operar el Producto al Cliente y para el interés legítimo de CuriosityCloud de operar, proporcionar, mantener, desarrollar y mejorar tecnologías y servicios de seguridad, el Cliente reconoce, acepta y otorga a CuriosityCloud el derecho de procesar y retener Datos del usuario final, incluidos los datos personales. Datos que el Cliente comparte o transfiere. Según los escenarios de uso reales, dichos consentimientos y concesiones pueden obtenerse haciendo clic en «aceptado» o «aceptado» en línea por el Usuario final o terceros autorizados del Cliente o Usuario no autenticado.
3. TRATAMIENTO DE DATOS PERSONALES
3.1 Papel de las partes
Entre CuriosityCloud y el Cliente, CuriosityCloud procesará Datos personales en virtud del Acuerdo y este DPA solo como Procesador que actúa en nombre del Cliente. El Cliente puede actuar como Controlador o Procesador con respecto a los Datos personales.
3.2 Procesamiento de datos personales por parte del cliente
El Cliente deberá i) cumplir y seguirá cumpliendo todas las leyes aplicables, incluidas las Leyes de Protección de Datos, con respecto al uso del Producto; ii) garantizar que las instrucciones proporcionadas a CuriosityCloud estén en todo momento de acuerdo con las Leyes de Protección de Datos; iii) procesar todos los Datos Personales de acuerdo con las Leyes de Protección de Datos y obtener todos los consentimientos y derechos necesarios para el Procesamiento de Datos Personales; iv) mantener en todo momento la exactitud, calidad y licitud de los Datos Personales; v) proporcionar a CuriosityCloud la cantidad mínima de Datos Personales necesarios para la provisión del Producto; vi) en particular, en el caso de proporcionar SaaS, el Cliente es responsable de reenviar su tráfico web o tráfico interno a CuriosityCloud a través de mecanismos de reenvío válidos que permitan la conmutación por error automática.
3.3 Procesamiento de datos personales por parte de CuriosityCloud
Salvo que se indique lo contrario en este DPA o el Acuerdo, CuriosityCloud solo procesará Datos personales de acuerdo con las instrucciones documentadas del Cliente, la documentación de privacidad del Producto aplicable, las Leyes de protección de datos y este DPA. El Cliente acepta que este DPA y el Acuerdo son sus instrucciones completas y finales para CuriosityCloud en relación con el procesamiento de Datos Personales. El procesamiento de cualquier Dato personal fuera del alcance de estas instrucciones (si corresponde) requerirá un acuerdo previo por escrito entre las partes mediante una enmienda escrita a este DPA. CuriosityCloud informará inmediatamente al Cliente si, en su opinión, alguna de las instrucciones viola las leyes de protección de datos aplicables.
3.4 Detalles del procesamiento de datos de CuriosityCloud
3.4.1 Tema en cuestion
El objeto del Tratamiento en virtud de este DPA son los Datos Personales.
3.4.2 Duración
CuriosityCloud puede procesar Datos personales en virtud de este DPA hasta la terminación o vencimiento del Acuerdo o dejar de procesar Datos personales según las instrucciones del Cliente.
3.4.3 Objetivo
El propósito del Procesamiento de Datos Personales bajo este DPA es permitir a CuriosityCloud entregar el Producto y cumplir con sus obligaciones según lo establecido en el Acuerdo (incluido este DPA) o según lo acordado por las partes en forma escrita ejecutada mutuamente.
3.4.4 Naturaleza del procesamiento
Para proporcionar el Producto como se describe en el Acuerdo, CuriosityCloud procesará Datos personales siguiendo las instrucciones del Cliente y de acuerdo con los términos de este DPA y el Acuerdo.
3.4.5 Categorías de interesados
El Cliente determina las categorías y el alcance de los Datos personales que el Cliente o el Usuario final revelan a CuriosityCloud, que pueden incluir, entre otros, Datos personales relacionados con las siguientes categorías de interesados: i) empleados, contratistas, consultores e individuos pertenecientes al Cliente, o La fuerza laboral de los clientes y socios del cliente; o ii) otras personas cuyos Datos personales se procesan como parte del suministro del Producto.
3.4.6 Categorías de datos personales
El Cliente determina las categorías de cualquier Dato personal que divulgue a CuriosityCloud, que puede incluir, entre otros, Datos personales relacionados con las siguientes categorías:
i) Datos de identificación y contacto (p. ej., nombre, dirección, número de teléfono, cargo, correo electrónico, otros datos de contacto);
ii) Detalles del empleo (por ejemplo, puesto de trabajo, función, gerente);
iii) información de TI (por ejemplo, derechos, direcciones y puertos IP, nombre de usuario, datos de uso, datos de cookies, identificadores en línea);
iv) Información de dominio y dispositivo (por ejemplo, dirección MAC, nombres de host, identidad de suscriptor móvil internacional (IMSI) y nombres de host calificados);
v) Información contenida en registros relacionados con eventos de seguridad identificados y capturados por los Productos; y/o
vi) Datos no estructurados proporcionados a CuriosityCloud con el fin de proporcionar servicios de soporte (por ejemplo, captura de paquetes para pruebas de archivos).
3.4.7 Datos sensibles transferidos (si corresponde)
Al procesar datos personales, CuriosityCloud puede procesar datos personales confidenciales. Es posible que la naturaleza y el alcance de los datos sensibles que se transfieren no se conozcan hasta después de que se haya realizado el Procesamiento y pueden incluir: Información personal que revele origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas o afiliación sindical, datos genéticos, datos biométricos, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.
3.4.8 Frecuencia
La transferencia de información entre las partes para facilitar el procesamiento de CuriosityCloud en nombre del Cliente se producirá según sea necesario hasta la terminación del Acuerdo.
3.4.9 Retención y eliminación
CuriosityCloud procesará y conservará los Datos personales no más tiempo del necesario para los fines para los que se procesan. Tras la terminación de este DPA o del Acuerdo, CuriosityCloud deberá: i) eliminar los Datos personales que ya no sean necesarios para ninguno de los fines previstos en este DPA o el Acuerdo; o ii) a petición del Cliente, proporcionar opciones para devolver o borrar, destruir y hacer irrecuperables los Datos personales, cuando sea razonablemente posible.
4. Subprocesadores
Como parte del suministro de un Producto, CuriosityCloud puede contratar a Subprocesadores identificados en el Anexo aplicable de este DPA u otra documentación del Producto aplicable al Producto correspondiente para procesar los Datos personales en su nombre. El Cliente da su consentimiento para que CuriosityCloud contrate a Subprocesadores para procesar Datos Personales en virtud de este DPA y el Acuerdo. En caso de que CuriosityCloud contrate cualquier nuevo subprocesador, CuriosityCloud hará lo siguiente:
4.1
Actualizaremos nuestra lista de Subprocesadores periódicamente y se la proporcionaremos al Cliente previa solicitud por escrito del Cliente. Si el Cliente se opone a un nuevo subprocesador, CuriosityCloud se esforzará por ofrecer opciones alternativas para la entrega del Producto relevante que no involucren al nuevo Subprocesador, sin perjuicio de cualquiera de los derechos de rescisión del Cliente;
4.2
Celebrar un acuerdo con cada Subprocesador que imponga términos de protección de datos tan estrictos como los establecidos en este DPA; y
4.3
Seguir siendo responsable del cumplimiento del Subprocesador con este DPA y de cualquier acto u omisión del Subprocesador que haga que CuriosityCloud incumpla cualquiera de sus obligaciones en virtud de este DPA.
5. SECURIDAD
5.1 Salvaguardia de la confidencialidad y seguridad de los datos personales
CuriosityCloud implementará prácticas y mantendrá medidas de seguridad técnicas y organizativas apropiadas para proteger contra Incidentes de Datos Personales y para preservar la seguridad y confidencialidad de los Datos Personales procesados por CuriosityCloud en nombre del Cliente en el suministro del Producto. Las medidas de seguridad están sujetas al progreso y desarrollo técnico. CuriosityCloud puede actualizar o modificar las medidas de seguridad de vez en cuando, siempre que las actualizaciones y modificaciones no resulten en una degradación material de la seguridad general del Producto adquirido por el Cliente.
5.2 Responsabilidades del cliente
El Cliente es responsable de i) el uso y la configuración seguros y adecuados del Producto, incluido el uso adecuado del Producto para garantizar un nivel de seguridad adecuado al riesgo con respecto a los Datos personales; ii) revisar el DPA y evaluar por sí mismo si el Producto y los compromisos de CuriosityCloud en virtud de este DPA satisfarán las necesidades del Cliente, incluso con respecto a cualquier obligación del Cliente según las Leyes de Protección de Datos, según corresponda.
5.3 Confidencialidad del procesamiento
CuriosityCloud se asegurará de que cualquier persona autorizada por CuriosityCloud para procesar datos personales tenga la obligación adecuada de confidencialidad (ya sea un deber contractual o legal).
5.4 Incidente de seguridad
CuriosityCloud implementará y mantendrá un plan de respuesta a incidentes que especifique las acciones, incluidas la contención, la investigación, la presentación de informes y la remediación, que se deben tomar en caso de un Incidente de Seguridad. Al confirmar que ha ocurrido un Incidente de Seguridad, CuriosityCloud dentro de las 72 horas siguientes: i) teniendo en cuenta la naturaleza del procesamiento de Datos Personales por parte de CuriosityCloud y la información disponible para CuriosityCloud, notificará al Cliente; ii) proporcionar información oportuna relacionada con el Incidente de Seguridad a medida que se conozca o cuando el Cliente lo solicite razonablemente; y iii) tomar rápidamente medidas razonables para contener, investigar y mitigar el Incidente de Seguridad. CuriosityCloud cooperará razonablemente con el Cliente en cualquier esfuerzo de comunicación posterior al Incidente de Seguridad.
6. COOPERACIÓN
6.1 Solicitudes de interesados
CuriosityCloud brindará asistencia razonable al Cliente para cumplir con sus obligaciones con respecto a los derechos de los interesados según las Leyes de Protección de Datos aplicables, teniendo en cuenta la naturaleza del procesamiento de datos y la información disponible para CuriosityCloud. Si CuriosityCloud o cualquier Subprocesador (si corresponde) recibe una solicitud o queja de un interesado o su representante, incluidas solicitudes relacionadas con los derechos del interesado según las leyes de protección de datos aplicables, CuriosityCloud enviará la solicitud sin demoras indebidas al Cliente para su manejo. a menos que CuriosityCloud esté obligado por ley a atender esa solicitud.
6.2 Solicitud gubernamental de datos personales
Si una agencia de aplicación de la ley envía a CuriosityCloud una solicitud de datos personales relacionados con el interesado, CuriosityCloud intentará redirigir a la agencia de aplicación de la ley para solicitar esos datos directamente al Cliente. Como parte de este esfuerzo, CuriosityCloud puede proporcionar la información de contacto del Cliente a la agencia policial. Si se ve obligado a revelar datos personales del interesado a una agencia encargada de hacer cumplir la ley, CuriosityCloud le dará al Cliente un aviso razonable de la demanda para permitirle buscar una orden de protección u otros recursos apropiados en la medida en que CuriosityCloud esté legalmente permitido para hacerlo. CuriosityCloud solo hará una excepción a sus compromisos de notificación al Cliente en circunstancias de emergencia en las que la notificación podría, a exclusivo criterio de CuriosityCloud, resultar en peligro o daño a un individuo o grupo.
6.3
Si CuriosityCloud está obligado legalmente a responder a una solicitud enumerada en las Secciones 6.1 y 6.2, CuriosityCloud notificará al Cliente y le proporcionará la información de contacto de la parte solicitante, a menos que la ley aplicable lo prohíba legalmente.
6.4 EIPD y Consultas Previas
Teniendo en cuenta la naturaleza del procesamiento y la información disponible para CuriosityCloud, CuriosityCloud proporcionará la información solicitada razonablemente sobre el Producto para permitir al Cliente llevar a cabo evaluaciones de impacto de la protección de datos («DPIA»). CuriosityCloud brindará asistencia razonable al Cliente en la cooperación o consultas previas con las autoridades supervisoras u otras autoridades reguladoras competentes, que el Cliente considere razonablemente requeridas por las Leyes de Protección de Datos.
6.5
Para todos los casos en esta Sección 6, si CuriosityCloud determina de buena fe que la solicitud de asistencia no es razonable, es demasiado onerosa y está fuera de las expectativas de la industria en cuanto a asistencia con cada asunto respectivo, CuriosityCloud y el Cliente acuerdan discutir de buena fe una tarifa que se cobrará al Cliente por el soporte brindado fuera del nivel razonable de soporte.
7. LIMITACIÓN DE RESPONSABILIDAD
La responsabilidad de cada parte y de los Afiliados de cada parte según este DPA estará sujeta a las exclusiones y limitaciones de responsabilidad establecidas en el Acuerdo y no será modificada por este DPA. Cualquier reclamo presentado por una parte o sus Afiliados bajo este DPA, ya sea por contrato, agravio o bajo cualquier otra teoría de responsabilidad, estará sujeto a las exclusiones y limitaciones establecidas en el Acuerdo.
8. JURISDICCIÓN ADN ANEXOS ESPECÍFICOS DEL PRODUCTO
8.1
Se adjuntan a este DPA hay Anexos específicos aplicables al Cliente ubicado en diferentes jurisdicciones con respecto a diferentes Productos designados y las Partes acuerdan incorporar el Anexo aplicable mediante referencia a este Acuerdo.
8.2
Si el Cliente se encuentra en el EEE, consulte el ANEXO 1 para obtener detalles sobre la actividad de procesamiento de datos para el Producto designado;
8.3
Si el Cliente se encuentra fuera del EEE, consulte el ANEXO 2 para obtener detalles sobre la actividad de procesamiento de datos para el Producto designado.
8.4
POR FAVOR LEA DETENIDAMENTE Y COMPRENDA COMPLETAMENTE TODOS LOS TÉRMINOS Y CLÁUSULAS DEL ANEXO APLICABLE ANTES DE UTILIZAR EL PRODUCTO DESIGNADO Y SU ACEPTACIÓN APLICADA AL ACUERDO SE TOMARÁ COMO LA FIRMA Y EFECTUACIÓN IGUAL DEL ANEXO APLICABLE. En caso de conflicto o inconsistencia entre este DPA y el Anexo, el Anexo aplicable prevalecerá con respecto a los Datos de esa jurisdicción relevante y el Producto designado, pero únicamente con respecto a la parte de la disposición en conflicto o inconsistencia.
9. GENERAL
9.1 Conflicto de términos
En caso de cualquier conflicto entre los términos de este DPA y cualquier disposición relacionada con la privacidad del Acuerdo, prevalecerán los términos de este DPA.
9.2 Actualización de esta DPA
CuriosityCloud puede modificar los términos de este DPA según lo dispuesto en el Acuerdo, en circunstancias tales como i) si así lo requiere una autoridad supervisora u otra entidad gubernamental o reguladora, ii) si es necesario para cumplir con la Ley de Protección de Datos, o iii) para implementar o adherirse a cláusulas contractuales estándar, códigos de conducta o certificaciones aprobados, u otros mecanismos de cumplimiento, que puedan estar permitidos según la Ley de Protección de Datos. CuriosityCloud notificará dichos cambios al Cliente y el DPA modificado entrará en vigor, de acuerdo con los términos del Acuerdo o según lo dispuesto en la interfaz del Producto si no se especifica en el Acuerdo.
9.3 Lenguaje
Este Acuerdo está preparado y ejecutado en inglés. Cualquier versión en otro idioma (si corresponde) de este Acuerdo se proporciona únicamente como referencia. En caso de cualquier inconsistencia entre la versión en inglés y la otra versión, prevalecerá la versión en inglés.
9.4 Contactando a CuriosityCloud
Si el Cliente tiene más preguntas sobre este DPA, o tiene alguna solicitud o consulta sobre los Datos del usuario final, el Cliente siempre puede comunicaerse con CuriosityCloud por correo electrónico: privacidad@curiositycloud
ANEXO 1
ANEXO DE LA PLATAFORMA EN LA NUBE CURIOSITYCLOUD (EEE)
1. OBJETIVO
El propósito de este documento es proporcionar al Cliente información sobre cómo CuriosityCloud puede transferir o procesar los datos personales.
2. RESUMEN DEL PRODUCTO
CuriosityCloud Cloud Platform (SCP) es una plataforma de administración de la nube integral, segura y confiable que puede ayudar al Cliente a administrar múltiples centros de datos en diferentes áreas y administrar los recursos conectando los recursos de la infraestructura con los centros de datos administrados. El SCP admite la creación de cuentas en función de diferentes roles, lo que puede ayudar al Cliente a llevar a cabo una gestión jerárquica de acuerdo con la estructura de la organización, y también puede proporcionar funciones múltiples para ayudar al Cliente a llevar a cabo una gestión flexible y eficiente de los centros de datos. y recursos de infraestructura, para que el Cliente pueda implementar y configurar la plataforma SCP de acuerdo con sus necesidades reales.
3. INFORMACIÓN PROCESADA POR CURIOSITYCLOUD
Según las necesidades de actualización de SCP, el Cliente debe transferir datos de registro como el nombre del producto, ID del dispositivo, ID del número de serie, información de autorización, información detallada de la versión, información de actualización de parches, información de firma y autenticación a CuriosityCloud para su procesamiento.
4. INFORMACIÓN PROCESADA POR EL CLIENTE
Los datos procesados por el Cliente utilizando el Producto se almacenarán sincrónicamente en los servidores o bases de datos locales donde el Cliente implementa el Producto, que pueden contener registros operativos relevantes, así como algunos datos comerciales a los que el Cliente puede acceder y procesar según sea necesario. La Información procesada en el entorno local del Cliente es la siguiente:
4.1
Para registrar el uso del SCP por parte del Cliente, la información sobre las operaciones realizadas por el administrador del Cliente en la plataforma de gestión se recopilará y transferirá a CuriosityCloud, que puede incluir el ID del usuario, comportamientos operativos específicos, información de la página de la plataforma e información sobre las funciones y rendimiento del navegador utilizado por el administrador, etc.
4.2
Si el Cliente implementa la nube de construcción propia de CuriosityCloud, los recursos del centro de datos proporcionados por CuriosityCloud se pueden utilizar para proporcionar el servicio de recuperación ante desastres para el centro de datos local o los recursos de infraestructura del Cliente, y los datos involucrados para habilitar la función de recuperación ante desastres pueden incluir: recuperación ante desastres información de recursos, información de configuración de políticas y tareas, información de enlaces, información de registro de operaciones, configuración del plan de recuperación e información sobre el estado de recuperación real, etc. Según los requisitos de autenticación del usuario, también puede incluir el nombre del cliente, la contraseña de inicio de sesión y la información de autenticación. .
4.3
Si el Cliente implementa y habilita un componente de protección de seguridad del host en la nube (el Componente) con el fin de mejorar la capacidad de protección de seguridad de SCP, los siguientes datos se transferirán a CuriosityCloud para su procesamiento:
4.3.1
Información relacionada con el componente: versión de software y hardware e información de autorización (como número de versión, número de serie, ID de puerta de enlace, modelo de hardware), ID de cliente de componente y terminal, número de activo, dirección MAC y otra información básica, información de apertura de puerto (incluyendo número de puerto y protocolo), información detallada sobre el número de terminal accedido y la autorización, habilitación de funciones y configuraciones específicas, información de dirección IP, información de perfil de alto riesgo y otra información de configuración de uso, lista de procesos (ID de proceso, nombre de proceso), información de estado de ejecución ( Utilización de CPU, utilización de memoria y utilización de disco), lista de cuentas SSH (anómalas), información sobre procesos con riesgos de seguridad u otras anomalías (información sobre los comandos de ejecución de los procesos identificados como sospechosos o maliciosos, archivos bt/core, volcado de memoria del kernel archivos, etc.), información detallada sobre vulnerabilidades, lista de parches instalados/por instalar, registros de reinicio del servicio de componentes (nombre del servicio, punto de tiempo de inicio, punto de tiempo de finalización), operación de la función del terminal (datos de operación de cada módulo de función/base de reglas y registros de errores, información de volcado, hora de reinicio de cada módulo de servicio), etc., la información del registro de operación del administrador, los registros de auditoría de seguridad del sistema (registros de operación de Shell, registros SSH, registros dmesg, registros seguros), registros WAF, registros de servicio y otros datos de registro, así como otra información relacionada con el uso de la configuración del componente o el estado de seguridad.
4.3.2
Datos personales relacionados con la función del Componente:
Ÿ Datos personales básicos: nombre, teléfono de contacto, dirección de correo electrónico, número de trabajo del administrador y del personal responsable del terminal.
Ÿ Información de identificación de la red: nombre de la computadora terminal, nombre de host, cuenta del sistema operativo, dirección IP;
Ÿ Información del dispositivo terminal: número de serie, dirección MAC (o información de identificación única, como el ID del terminal generado por MAC) del dispositivo terminal, nombre del activo e ID del dispositivo terminal, grupo empresarial al que pertenece, código del activo, información sobre el ubicación del activo, nombre, versión e información de parche del software instalado, información sobre el sistema operativo (nombre, versión, información de parche, información de volcado de núcleo y archivo fuente) e información sobre los recursos del dispositivo terminal, como la CPU , memoria y disco.
Ÿ Información de registro de uso del dispositivo terminal: identificación de la información de acceso al nombre de dominio que representa un riesgo de seguridad, información sobre los procesos que se ejecutan en el dispositivo terminal (incluido el nombre del proceso, la identificación del proceso, la ruta al archivo ejecutable, la línea de comando del proceso, el nombre de usuario del proceso, el nombre del software). correspondiente al proceso, tiempo de ejecución del proceso, recursos ocupados, número total de procesos, etc.).
Ÿ Otros datos que pueden contener datos personales: como detalles relacionados con archivos, incluida información básica como nombre de archivo, formato, tamaño, ruta, hora de creación y modificación, así como información de contenido específico de algunos archivos que se detectan como amenazas a la seguridad. /riesgos de acuerdo con las políticas del producto, como el contenido de archivos ejecutables binarios en formato PE/ELF, el contenido de archivos de script en varios formatos (incluidos archivos fuente JSP, ASP/ASPX, PHP, VBS JS, XML, Python, VB, Lua, Perl, Ruby, Lisp, Bat, powershell, Linux Shell/Bash, ejecución automática, accesos directos, archivos de registro, archivos ejecutables Mach-O); para documentos de Office, sólo se extraen macros y se carga el código VBA, no el contenido original del documento; para documentos PDF, solo se carga el código JavaScript, no el contenido original del documento.
Con respecto a los datos procesados localmente por el Cliente utilizando los Productos, CuriosityCloud, sin la autorización o consentimiento del Cliente, no accederá a los datos de ninguna manera ni interferirá con la autogestión del Cliente.
5. RETENCIÓN
5.1
Los datos transferidos a CuriosityCloud se conservan en el centro de datos del tercero y se conservarán durante el período acordado por la Parte o de conformidad con las leyes o regulaciones pertinentes.
5.2
Durante el proceso de retención de datos mencionado anteriormente, CuriosityCloud contratará a ForeNova Technologies GmbH como subprocesador con el fin de proporcionar la infraestructura del centro de datos y el mantenimiento diario. CuriosityCloud se asegurará de que la contratación del Subprocesador se realice de acuerdo con la Sección 4 del DPA y CuriosityCloud será responsable del cumplimiento del Subprocesador con este DPA y de cualquier acto u omisión del Subprocesador que cause que CuriosityCloud incumplir cualquiera de sus obligaciones bajo este DPA.
5.3
Si necesitamos transferir cualquier información personal fuera del EEE con el fin de realizar negocios transfronterizos, obtendremos el consentimiento del Cliente por adelantado y transferiremos la información personal de acuerdo con el Reglamento General Europeo de Protección de Datos.
6. ACCESO Y DIVULGACIÓN
6.1 Acceso por Cliente:
Solo el administrador del Cliente y los usuarios autorizados por el administrador pueden acceder a los datos y registros almacenados en las instalaciones del Cliente.
6.2 Acceso por CuriosityCloud:
El procesamiento de datos por parte de CuriosityCloud está mayoritariamente automatizado y el acceso de CuriosityCloud está restringido cuando es necesario para solucionar una consulta de atención al cliente o abordar problemas relacionados con el servicio.
7. CUMPLIMIENTO DE LAS LEYES DE PROTECCIÓN DE DATOS
CuriosityCloud se compromete a proteger los datos personales procesados por CuriosityCloud. CuriosityCloud no accederá al contenido de los archivos de manera que CuriosityCloud pudiera adquirir información significativa sobre personas físicas, excepto en casos excepcionales en los que sea necesario para identificar amenazas a la seguridad.
8. ACERCA DE ESTE DOCUMENTO
La información proporcionada con esta política de privacidad que se refiere a temas técnicos o profesionales es solo para conocimiento general, puede estar sujeta a cambios y no constituye asesoramiento legal o profesional, ni garantía de idoneidad para un propósito particular o cumplimiento de las leyes aplicables.
ANEXO 2
ANEXO DE LA PLATAFORMA EN LA NUBE CURIOSITYCLOUD (FUERA DEL EEE)
1. OBJETIVO
El propósito de este documento es proporcionar al Cliente información sobre cómo CuriosityCloud puede transferir o procesar los datos personales.
2. RESUMEN DEL PRODUCTO
CuriosityCloud Cloud Platform (SCP) es una plataforma de administración de la nube integral, segura y confiable que puede ayudar al Cliente a administrar múltiples centros de datos en diferentes áreas y administrar los recursos conectando los recursos de la infraestructura con los centros de datos administrados. El SCP admite la creación de cuentas en función de diferentes roles, lo que puede ayudar al Cliente a llevar a cabo una gestión jerárquica de acuerdo con la estructura de la organización, y también puede proporcionar funciones múltiples para ayudar al Cliente a llevar a cabo una gestión flexible y eficiente de los centros de datos. y recursos de infraestructura, para que el Cliente pueda implementar y configurar la plataforma SCP de acuerdo con sus necesidades reales.
3. INFORMACIÓN PROCESADA POR CURIOSITYCLOUD
3.1
Según las necesidades de actualización y mantenimiento y operación de SCP, el Cliente debe transferir datos de registro como el nombre del producto, ID del dispositivo, ID del número de serie, información de autorización, información detallada de la versión, información de actualización de parches, registros de protección del dispositivo, registros de inicio de sesión ssh del sistema operativo de la máquina virtual de SCP, registros de auditoría de operaciones, así como información que el Cliente envía a CuriosityCloud, como nombre y número de teléfono móvil, firma e información de autenticación a CuriosityCloud para su procesamiento.
3.2
Para comprender el uso del SCP por parte del Cliente a fin de optimizar continuamente el rendimiento de la plataforma y el diseño de la interfaz, la información sobre las operaciones realizadas por el administrador del Cliente en la plataforma de gestión se recopilará y transferirá a CuriosityCloud, que puede incluir la identificación del usuario. comportamientos operativos específicos, información de la página de la plataforma e información sobre las funciones y el rendimiento del navegador utilizado por el administrador, etc.
3.3
Si el Cliente implementa la solución de nube administrada de CuriosityCloud, los recursos del centro de datos proporcionados por CuriosityCloud se pueden usar para proporcionar el servicio de recuperación ante desastres para el centro de datos local o los recursos de infraestructura del Cliente, y los datos involucrados para habilitar la función de recuperación ante desastres pueden incluir: recurso de recuperación ante desastres información, información de configuración de políticas y tareas, información de enlace, información de registro de operaciones, configuración del plan de recuperación e información sobre el estado de recuperación real, etc. Según los requisitos de autenticación del usuario, también puede incluir el nombre del cliente, la contraseña de inicio de sesión y la información de autenticación.
3.4
Si el Cliente implementa y habilita un componente de protección de seguridad del host en la nube (el Componente) con el fin de mejorar la capacidad de protección de seguridad de SCP, los siguientes datos se transferirán a CuriosityCloud para su procesamiento:
3.4.1
Información relacionada con el componente: versión de software y hardware e información de autorización (como número de versión, número de serie, ID de puerta de enlace, modelo de hardware), ID de cliente de componente y terminal, número de activo, dirección MAC y otra información básica, información de apertura de puerto (incluyendo número de puerto y protocolo), información detallada sobre el número de terminal accedido y la autorización, habilitación de funciones y configuraciones específicas, información de dirección IP, información de perfil de alto riesgo y otra información de configuración de uso, lista de procesos (ID de proceso, nombre de proceso), información de estado de ejecución ( Utilización de CPU, utilización de memoria y utilización de disco), lista de cuentas SSH (anómalas), información sobre procesos con riesgos de seguridad u otras anomalías (información sobre los comandos de ejecución de los procesos identificados como sospechosos o maliciosos, archivos bt/core, volcado de memoria del kernel archivos, etc.), información detallada sobre vulnerabilidades, lista de parches instalados/por instalar, registros de reinicio del servicio de componentes (nombre del servicio, punto de tiempo de inicio, punto de tiempo de finalización), operación de la función del terminal (datos de operación de cada módulo de función/base de reglas y registros de errores, información de volcado, hora de reinicio de cada módulo de servicio), etc., la información del registro de operación del administrador, los registros de auditoría de seguridad del sistema (registros de operación de Shell, registros SSH, registros dmesg, registros seguros), registros WAF, registros de servicio y otros datos de registro, así como otra información relacionada con el uso de la configuración del componente o el estado de seguridad.
3.4.2
Datos personales relacionados con la función del Componente:
Ÿ Datos personales básicos: nombre, teléfono de contacto, dirección de correo electrónico, número de trabajo del administrador y del personal responsable del terminal.
Ÿ Información de identificación de la red: nombre de la computadora terminal, nombre de host, cuenta del sistema operativo, dirección IP;
Ÿ Información del dispositivo terminal: número de serie, dirección MAC (o información de identificación única, como el ID del terminal generado por MAC) del dispositivo terminal, nombre del activo e ID del dispositivo terminal, grupo empresarial al que pertenece, código del activo, información sobre el ubicación del activo, nombre, versión e información de parche del software instalado, información sobre el sistema operativo (nombre, versión, información de parche, información de volcado de núcleo y archivo fuente) e información sobre los recursos del dispositivo terminal, como la CPU , memoria y disco.
Ÿ Información de registro de uso del dispositivo terminal: identificación de la información de acceso al nombre de dominio que representa un riesgo de seguridad, información sobre los procesos que se ejecutan en el dispositivo terminal (incluido el nombre del proceso, la identificación del proceso, la ruta al archivo ejecutable, la línea de comando del proceso, el nombre de usuario del proceso, el nombre del software). correspondiente al proceso, tiempo de ejecución del proceso, recursos ocupados, número total de procesos, etc.).
Ÿ Otros datos que pueden contener datos personales: como detalles relacionados con archivos, incluida información básica como nombre de archivo, formato, tamaño, ruta, hora de creación y modificación, así como información de contenido específico de algunos archivos que se detectan como amenazas a la seguridad. /riesgos de acuerdo con las políticas del producto, como el contenido de archivos ejecutables binarios en formato PE/ELF, el contenido de archivos de script en varios formatos (incluidos archivos fuente JSP, ASP/ASPX, PHP, VBS JS, XML, Python, VB, Lua, Perl, Ruby, Lisp, Bat, powershell, Linux Shell/Bash, ejecución automática, accesos directos, archivos de registro, archivos ejecutables Mach-O); para documentos de Office, sólo se extraen macros y se carga el código VBA, no el contenido original del documento; para documentos PDF, solo se carga el código JavaScript, no el contenido original del documento.
4. INFORMACIÓN PROCESADA POR EL CLIENTE
Los datos procesados por el Cliente utilizando el Producto se almacenarán sincrónicamente en los servidores o bases de datos locales donde el Cliente implementa el Producto, que pueden contener datos comerciales relevantes a los que el Cliente puede acceder y procesar según sea necesario. Con respecto a los datos procesados localmente por el Cliente utilizando los Productos, CuriosityCloud, sin la autorización o consentimiento del Cliente, no accederá a los datos de ninguna manera ni interferirá con la autogestión del Cliente.
5. RETENCIÓN
Los datos transferidos a CuriosityCloud se conservan en el centro de datos de CuriosityCloud ubicado en la jurisdicción del Cliente y se conservarán durante el período acordado por la Parte o de acuerdo con las leyes o regulaciones pertinentes.
6. ACCESO Y DIVULGACIÓN
6.1 Acceso por Cliente:
Solo el administrador del Cliente y los usuarios autorizados por el administrador pueden acceder a los datos y registros almacenados en las instalaciones del Cliente.
6.2 Acceso por CuriosityCloud:
El procesamiento de datos por parte de CuriosityCloud está mayoritariamente automatizado y el acceso de CuriosityCloud está restringido cuando es necesario para solucionar una consulta de atención al cliente o abordar problemas relacionados con el servicio.
7. CUMPLIMIENTO DE LAS LEYES DE PROTECCIÓN DE DATOS
CuriosityCloud se compromete a proteger los datos personales procesados por CuriosityCloud. CuriosityCloud no accederá al contenido de los archivos de manera que CuriosityCloud pudiera adquirir información significativa sobre personas físicas, excepto en casos excepcionales en los que sea necesario para identificar amenazas a la seguridad.
8. ACERCA DE ESTE DOCUMENTO
La información proporcionada con esta política de privacidad que se refiere a temas técnicos o profesionales es solo para conocimiento general, puede estar sujeta a cambios y no constituye asesoramiento legal o profesional, ni garantía de idoneidad para un propósito particular o cumplimiento de las leyes aplicables.