Condiciones de Privacidad y Seguridad
Estas Condiciones de Privacidad y Seguridad establecen los derechos y las obligaciones de Kyndryl y del Proveedor en materia de privacidad, seguridad y asuntos relacionados (las "Condiciones"). Las Condiciones se incorporan y forman parte de la Especificación de Trabajo, la Autorización de Trabajo o un documento similar entre nuestras compañías que se refiera a ellas (el "Documento Transaccional"). Las Condiciones se aplican al compromiso específico reflejado en el Documento Transaccional.
Para mayor comodidad, esta página web le permite al Proveedor marcar las casillas a continuación que reflejan las características del acuerdo, y así, visualizar las Condiciones seleccionadas. Dependiendo de dichas circunstancias, podría corresponder marcar más de una casilla. Para mayor claridad, la información reflejada en el Documento Transaccional establece únicamente las Condiciones aplicables para el compromiso, no las que se muestran en las casillas marcadas por el Proveedor a continuación.
NOTA: Los proveedores que procesan datos de los empleados de Kyndryl deben hacer clic en la casilla 1 (acceso a la Información de contacto comercial de Kyndryl) y en la casilla 2 (acceso a los Datos personales).
En caso de conflicto entre las Condiciones y el Documento Transaccional o cualquier base u otro acuerdo asociado entre las partes, incluido cualquier acuerdo de tratamiento de datos, prevalecerán las Condiciones. Los avisos que requieran estas Condiciones se realizarán de acuerdo con las disposiciones de notificación del Documento Transaccional.
Las palabras en mayúscula utilizadas en estas Condiciones tienen los significados determinados de acuerdo con el apartado Definiciones, a continuación.
Marque las casillas que reflejan las condiciones de los Servicios para este acuerdo específico: |
-
Si es así, los Artículos I (Información Profesional de Contacto) y X (Cooperación, Verificación y Resolución) se aplican a ese acceso.
Ejemplos:
El Proveedor utiliza nombres, direcciones de correo electrónico y números de teléfono de empleados de Kyndryl o del Cliente para soporte o mantenimiento.
Kyndryl utiliza nombres y direcciones de correo electrónico de los empleados del Proveedor para la autenticación de acceso a un Sistema corporativo.
Nota:
Si el Proveedor proporciona mantenimiento o soporte, el Proveedor puede tener acceso a información adicional a la BCI (p. ej., archivos de registro con o sin Datos Personales), en cuyo caso el Proveedor también marcará la casilla debajo del punto 2 (si tendrá acceso a Datos Personales) y el punto 3 (en caso de que tenga acceso a Datos No Personales).
Si el Proveedor procesa datos de los empleados de Kyndryl, también marcará la casilla en el punto 2 (en caso de que tenga acceso a los Datos personales).
Artículo I, Información Profesional de Contacto
Este artículo se aplica si el Proveedor o Kyndryl tratan la BCI de la otra parte.
1.1 Kyndryl y el Proveedor pueden tratar la BCI de la otra parte donde hagan negocios en relación con la prestación de Servicios y Entregable por parte del Proveedor.
1.2 Cualquiera de las partes:
(a) deberá abstenerse de usar o revelar la BCI de la otra parte para cualquier otro propósito (para mayor claridad, ninguna de las partes venderá la BCI de la otra parte ni usará o revelará la BCI de la otra parte con ninguna finalidad empresarial sin el consentimiento previo por escrito de la otra parte y, cuando sea necesario, el consentimiento previo por escrito de los Titulares de datos afectados), y
(b) eliminará, modificará, corregirá, devolverá, proporcionará información sobre el Procesamiento de, restringirá el Procesamiento de, o tomará cualquier otra acción razonablemente solicitada con respecto a la BCI de la otra parte sin demora, previa solicitud por escrito de la otra parte, cuando se produzca el uso no autorizado de la información personal y la parte desee detener el procesamiento y corregir la situación.
1.3 Las partes no establecen una relación conjunta de Responsable del Tratamiento con respecto a la BCI de cada una de ellas y ninguna cláusula del Documento Transaccional se considerará o interpretará como una indicación de intención de establecer una relación conjunta de Responsable del Tratamiento.
1.4 La Declaración de privacidad de Kyndryl en https://www.kyndryl.com/us/en/privacy contiene detalles adicionales sobre el procesamiento de la BCI de Kyndryl.
1.5 El Proveedor ha implementado y mantendrá medidas de seguridad técnicas y organizativas para proteger la BCI de Kyndryl frente a pérdida, destrucción, alteración, revelación accidental o no autorizada, acceso accidental o no autorizado y procesamiento ilegal.
1.6 Cuando el Proveedor tome conocimiento de cualquier Incumplimiento de Seguridad que involucre la BCI de Kyndryl, notificará de inmediato a Kyndryl (en ningún caso deberá hacerlo después de las 48 horas). El Proveedor enviará dicha notificación a cyber.incidents@kyndryl.com. El Proveedor proporcionará a Kyndryl la información solicitada de manera razonable sobre dicha infracción y el estado de las actividades de corrección y restauración que haya emprendido. A modo de ejemplo, la información solicitada razonablemente puede incluir registros que demuestren acceso privilegiado, administrativo y de otro tipo a Dispositivos, sistemas o aplicaciones, imágenes forenses de Dispositivos, sistemas o aplicaciones y otros elementos similares, en la medida que sean relevantes con la infracción o las actividades de reparación y restauración del Proveedor.
1.7 Cuando el Proveedor solo trate la BCI de Kyndryl y no tenga acceso a ningún otro dato o material de ningún tipo ni a ningún Sistema corporativo de Kyndryl, este Artículo y el Artículo X (Cooperación, Verificación y Resolución) son los únicos artículos que se aplican al Procesamiento.
Artículo X, Cooperación, Verificación y Resolución
Este artículo se aplica si el Proveedor proporciona algún Servicio o Entregable a Kyndryl.
1. Cooperación del Proveedor
1.1 Si Kyndryl tiene motivos para sospechar que algún Servicio o Entregable puede haber contribuido, está contribuyendo o contribuirá a algún problema de ciberseguridad, el Proveedor cooperará con cualquier consulta de Kyndryl con respecto a dicha sospecha, incluida una respuesta oportuna y de manera completa a las solicitudes de información, ya sea a través de documentos, otros registros, entrevistas al Personal del Proveedor relevante o similares.
1.2 Las partes acuerdan: (a) proporcionarse, a petición, entre sí dicha información adicional, (b) ejecutar y entregarse mutuamente cualquier otro tipo de documentación, y (c) llevar a cabo otras acciones, todo aquello que la otra parte pueda razonablemente solicitar con el fin de ejecutar la intencionalidad de estas Condiciones y los documentos mencionados en estas Condiciones. Por ejemplo, si Kyndryl lo solicita, el Proveedor proporcionará oportunamente las condiciones centradas en la privacidad y la seguridad de sus contratos escritos con Subencargados del Tratamiento y subcontratistas, incluida, cuando el Proveedor tenga derecho a hacerlo, la concesión de acceso a los contratos en sí.
1.3 Si Kyndryl lo solicita, el Proveedor proporcionará oportunamente información sobre los países donde se fabricaron, desarrollaron u obtuvieron de otro modo sus Entregables y los componentes de los Entregables.
2. Verificación (como se usa a continuación, "Instalación" significa una ubicación física donde el Proveedor hospeda, procesa o accede a los Materiales de Kyndryl)
2.1 El Proveedor mantendrá un registro auditable que demuestre la conformidad con estas Condiciones.
2.2 Kyndryl, propiamente o mediante un auditor externo, puede, con 30 días de notificación previa por escrito al Proveedor, verificar la conformidad del Proveedor con estas Condiciones, incluido el acceso a cualquier Instalación o Instalaciones para tales fines, aunque Kyndryl no accederá a ningún centro de datos donde el Proveedor trate los Datos de Kyndryl a menos que tenga una buena razón para creer que con ello proporcionará alguna información relevante. El Proveedor cooperará con la verificación de Kyndryl, incluida la respuesta oportuna y de manera completa a las solicitudes de información, ya sea a través de documentos, otros registros, entrevistas con el Personal del Proveedor relevante o similares. El Proveedor puede ofrecer una prueba de cumplimiento de un código de conducta aprobado o una certificación del sector, o proporcionar información para demostrar el cumplimiento de estas Condiciones, para su consideración por parte de Kyndryl.
2.3 No se realizará una verificación más de una vez en un período de 12 meses, a menos que: (a) Kyndryl esté validando la resolución de sospechas del Proveedor derivada de una verificación previa durante el 12.º mes o (b) haya surgido un Incumplimiento de Seguridad y Kyndryl quiera verificar el cumplimiento de las obligaciones relevantes para la infracción. En cualquier caso, Kyndryl proporcionará la misma notificación previa por escrito de 30 días como se especifica en el Apartado 2.2 anterior, pero la urgencia de abordar un Incumplimiento de Seguridad puede requerir que Kyndryl realice una verificación con menos de 30 días de notificación previa por escrito.
2.4. Un regulador u otro Responsable del Tratamiento puede ejercer los mismos derechos que Kyndryl en los Apartados 2.2 y 2.3, bajo el supuesto de que un regulador puede ejercer cualquier derecho adicional que tenga según la legislación vigente.
2.5 Si Kyndryl tiene una base razonable para concluir que el Proveedor no cumple con ninguna de estas Condiciones (ya sea que dicha base surja de una verificación bajo estas Condiciones o no), el Proveedor corregirá de inmediato dicho incumplimiento.
3. Programa contra la Falsificación
3.1 Si los Entregables del Proveedor incluyen componentes electrónicos (por ejemplo, unidades de disco duro, unidades de estado sólido, memoria, unidades centrales de procesamiento, dispositivos lógicos o cables), el Proveedor mantendrá y seguirá un programa documentado de prevención de posibles falsificaciones para, en primer lugar, evitar que el Proveedor proporcione componentes falsificados a Kyndryl y, en segundo lugar, detectar y corregir de inmediato cualquier caso en que el Proveedor proporcione componentes falsificados por error a Kyndryl. El Proveedor impondrá esta misma obligación de mantener y seguir un programa documentado de prevención de posibles falsificaciones en todos sus proveedores que proporcionen componentes electrónicos incluidos en los Entregables del Proveedor a Kyndryl.
4. Resolución
4.1 Si el Proveedor no cumple con cualquiera de sus obligaciones en virtud de estas Condiciones, y ese incumplimiento causa un Incumplimiento de seguridad, el Proveedor corregirá la anomalía en su ejecución y corregirá el efecto nocivo del Incumplimiento de seguridad, con las instrucciones y el cronograma que Kyndryl estime razonables. Sin embargo, si el incumplimiento de seguridad surge del suministro por parte del Proveedor de un Servicio alojado de múltiples inquilinos y, en consecuencia, afecta a muchos clientes del Proveedor, incluida Kyndryl, entonces el Proveedor, dada la naturaleza del incumplimiento de seguridad, corregirá oportuna y adecuadamente la falla en su desempeño, y subsanar los efectos dañinos del incumplimiento de seguridad, al mismo tiempo que se presta la debida consideración a cualquier aportación de Kyndryl sobre dichas correcciones y subsanación. Sin perjuicio de lo anterior, el Proveedor deberá notificar a Kyndryl sin demoras injustificadas si ya no puede cumplir con las obligaciones establecidas por la ley de protección de datos aplicable.
4.2 Kyndryl tendrá derecho a participar en la reparación de cualquier incumplimiento de seguridad a la que se hace referencia en la Sección 4.1, según lo considere apropiado o necesario, y el Proveedor será responsable de sus costos y gastos para corregir su desempeño y de los costos y gastos de reparación que las partes deben incurrir con respecto a dicho incumplimiento de seguridad.
4.3 A modo de ejemplo, los costos y gastos de corrección asociados con un Incumplimiento de Seguridad podrían incluir los derivados de detectar e investigar un Incumplimiento de Seguridad, determinar las responsabilidades bajo la legislación y las normativas aplicables, proporcionar notificaciones de incumplimiento, establecer y mantener centros de atención telefónica, prestar Servicios de supervisión y restauración de crédito, recargar datos, corregir defectos del producto (incluido a través del Código fuente u otros desarrollos), retener a terceros para ayudar con las actividades anteriores u otras actividades relevantes, y otros costos y gastos que sean necesarios para corregir los efectos nocivos del Incumplimiento de Seguridad. Para mayor claridad, los costos y gastos de corrección no incluirían la pérdida de ganancias, negocios, valor, ingresos, previsiones o ahorros anticipados de Kyndryl.
-
Si es así, los Artículos II (Medidas Técnicas y Organizativas, Seguridad de los Datos), III (Privacidad), VIII (Medidas Técnicas y Organizativas, Seguridad General) y X (Cooperación, Verificación y Resolución) se aplican al acceso.
Ejemplos:
El Proveedor accede a los Datos Personales en su entrega de cualquier Servicio Alojado para uso interno de Kyndryl o uso por parte de los Clientes, o ambos.
El Proveedor proporciona Servicios médicos o relacionados con la atención médica, Servicios de marketing o Servicios relacionados con beneficios profesionales o recursos humanos, y al hacerlo accede a Datos Personales.
El Proveedor accede a los archivos de registro que contienen Datos Personales para prestar Servicios de Soporte.
Artículo II, Medidas Técnicas y Organizativas, Seguridad de los Datos
Este Artículo se aplica si el Proveedor trata datos de Kyndryl, que no sean BCI de Kyndryl. El Proveedor cumplirá los requisitos de este Artículo proporcionando todos los Servicios y Entregables, y al hacerlo protegerá los Datos de Kyndryl contra pérdida, destrucción, alteración, revelación accidental o no autorizada, acceso accidental o no autorizado, y formas ilegales de Tratamiento. Los requisitos de este Artículo se extienden a todas las aplicaciones, plataformas e infraestructura de TI que el Proveedor opera o administra para proporcionar Entregables y Servicios, incluidos todos los entornos de desarrollo, pruebas, alojamiento, soporte, operaciones y centros de datos.
1. Uso de Datos
1.1 El Proveedor no puede agregar a los Datos de Kyndryl ni incluir con los Datos de Kyndryl ninguna otra información o dato, incluidos los Datos personales, sin el consentimiento previo por escrito de Kyndryl, y el Proveedor no puede usar los Datos de Kyndryl de ninguna forma, agregada o de otro modo, para ningún otro fin que no sea prestar Servicios y Entregables (a modo de ejemplo, al Proveedor no se le permite usar o reutilizar los Datos de Kyndryl para evaluar la eficacia o los medios para mejorar las soluciones del Proveedor, para la investigación y el desarrollo para crear nuevas soluciones, o para generar informes sobre las soluciones del Proveedor). A menos que se permita expresamente en el Documento Transaccional, el Proveedor tiene prohibido Vender Datos de Kyndryl.
1.2 El Proveedor no incorporará ninguna tecnología de seguimiento web en los Entregables o como parte de los Servicios (estas tecnologías incluyen HTML5, almacenamiento local, etiquetas o tokens de terceros y web beacons) a menos que esté expresamente permitido en el Documento transaccional.
2. Confidencialidad y Solicitudes de Terceros
2.1 El Proveedor no revelará los Datos de Kyndryl a ningún tercero, a menos que Kyndryl lo autorice previamente por escrito. Si una autoridad pública, incluido cualquier regulador, exige acceso a los Datos de Kyndryl (por ejemplo, si el Gobierno de los EE. UU. dicta una orden de seguridad nacional que afecta al Proveedor para obtener los Datos de Kyndryl), o si la ley requiere una revelación de los Datos de Kyndryl, el Proveedor notificará a Kyndryl por escrito dicha demanda o requisito y brindará a Kyndryl una oportunidad razonable para impugnar cualquier revelación (si la ley prohíbe la notificación, el Proveedor tomará las medidas que razonablemente considere apropiadas para impugnar la prohibición y revelación de los Datos de Kyndryl a través de acciones judiciales u otros medios).
2.2 El Proveedor garantiza a Kyndryl que: (a) solo los empleados que necesiten acceso a los Datos de Kyndryl para prestar Servicios o Entregables tendrán ese acceso, y posteriormente solo en la medida necesaria para proporcionar dichos Servicios y Entregables; y (b) sus empleados tienen obligaciones vinculantes de confidencialidad en virtud de las cuales solo pueden usar y revelar los Datos de Kyndryl según lo permitido en estas Condiciones.
3. Devolución o eliminación de datos de Kyndryl
3.1 El Proveedor, a elección de Kyndryl, eliminará o devolverá los Datos de Kyndryl a Kyndryl al terminar o vencer el Documento transaccional, o con anterioridad a petición de Kyndryl. Si Kyndryl requiere la eliminación, el Proveedor, de acuerdo con las Prácticas Recomendadas del Sector, hará que los datos sean ilegibles y no puedan reensamblarse o reconstruirse, y certificará la eliminación a Kyndryl. Si Kyndryl requiere la devolución de los Datos de Kyndryl, el Proveedor lo hará bajo un programa razonable de Kyndryl y según las instrucciones escritas razonables de Kyndryl.
Artículo III, Privacidad
Este Artículo se aplica si el Proveedor trata Datos Personales de Kyndryl.
1. Tratamiento
1.1 Kyndryl designa al Proveedor como Procesador para tratar los Datos personales de Kyndryl con el único objetivo de proporcionar los Entregables y los Servicios de acuerdo con las instrucciones de Kyndryl, incluidas las contenidas en estas Condiciones, el Documento transaccional y el acuerdo base asociado entre las partes. Si el Proveedor no acepta una instrucción, Kyndryl puede rescindir la parte afectada de los Servicios mediante notificación por escrito. Si el Proveedor considera que una instrucción infringe una ley de protección de datos, el Proveedor lo notificará a Kyndryl de inmediato y dentro de cualquier plazo temporal que requiera la legislación pertinente. Si el Proveedor no cumple con cualquiera de sus obligaciones en virtud de estas Condiciones y ese incumplimiento provoca un uso no autorizado de Información personal o, en general, en cualquier caso de uso no autorizado de Información personal, Kyndryl tendrá derecho a detener el procesamiento, corregir la falla y subsanar los efectos dañinos del uso no autorizado, con las instrucciones y el cronograma que Kyndryl estime razonables.
1.2 El Proveedor cumplirá toda la legislación de protección de datos aplicable a los Servicios y Entregables.
1.3 Un Suplemento del Documento transaccional, o el Documento transaccional en sí, establece lo siguiente con respecto a los Datos de Kyndryl:
(a) categorías de los titulares de datos
(b) tipos de datos personales de Kyndryl;
(c) acciones de datos y actividades de procesamiento;
(d) duración y frecuencia del procesamiento; y
(e) una lista de Subprocesadores.
2. Medidas Técnicas y Organizativas
2.1 El Proveedor implementará y mantendrá las medidas técnicas y organizativas establecidas en el Artículo II (Medidas Técnicas y Organizativas, Seguridad de los Datos) y el Artículo VIII (Medidas Técnicas y Organizativas, Seguridad General), y con ello garantizará un nivel de seguridad adecuado al riesgo que sus Servicios y Entregables presentan. El Proveedor certifica y comprende las restricciones del Artículo II, este Artículo III y el Artículo VIII, y las cumplirá.
3. Solicitudes y Derechos de los Interesados
3.1 El Proveedor notificará a Kyndryl de inmediato (según un calendario que permita a Kyndryl y a cualquier otro Controlador cumplir sus obligaciones legales) sobre cualquier solicitud de un Titular de datos para ejercer cualquier derecho del Titular de datos (por ejemplo, rectificación, eliminación o bloqueo de datos) con respecto a los Datos personales de Kyndryl. El Proveedor también puede dirigir de inmediato a un Interesado que realice dicha solicitud a Kyndryl. El Proveedor no responderá a las solicitudes de los titulares de datos a menos que lo exija la legislación o que Kyndryl lo requiera por escrito.
3.2 Si Kyndryl está obligado a proporcionar información sobre los Datos personales de Kyndryl a Otros controladores u otros terceros (por ejemplo, Titulares de datos o reguladores), el Proveedor ayudará a Kyndryl proporcionando información y llevando a cabo otras acciones razonables que Kyndryl solicite, según un cronograma que permita a Kyndryl responder oportunamente a dichos Otros controladores o terceros.
4. Subprocesadores
4.1 El Proveedor enviará a Kyndryl un aviso por escrito antes de incluir a un nuevo Subprocesador o de ampliar el alcance del Procesamiento por parte de un Subprocesador existente, y dicho aviso escrito deberá identificar el nombre del Subprocesador y describir el alcance nuevo o ampliado del Procesamiento. Kyndryl puede oponerse a cualquier nuevo Subprocesador o la ampliación en el alcance del mismo por motivos razonables en cualquier momento, y si lo hace, las partes trabajarán juntas de buena fe para abordar la objeción de Kyndryl. Sujeto al derecho de Kyndryl de oponerse en cualquier momento, el Proveedor puede nombrar el nuevo Subprocesador o ampliar el alcance del Procesamiento del Subprocesador existente si Kyndryl no ha presentado ninguna objeción dentro del plazo de 30 días posterior a la fecha del aviso por escrito del Proveedor.
4.2 El Proveedor impondrá las obligaciones de protección de datos, seguridad y certificación establecidas en estas Condiciones a cada Subprocesador aprobado antes de que un Subprocesador trate los Datos de Kyndryl. El Proveedor es plenamente responsable ante Kyndryl por el cumplimiento de las obligaciones de cada Subprocesador.
5. Procesamiento de Datos Transfronterizo
Según su uso a continuación:
País adecuado refiere a un país que proporciona un nivel adecuado de protección de datos con respecto a la transferencia relevante de conformidad con las leyes de protección de datos aplicables o las decisiones de los reguladores.
Importador de datos refiere a un Procesador o a un Subprocesador que no está establecido en un País adecuado.
Cláusulas contractuales tipo de la UE ("SCC de la UE") refiere a las Cláusulas contractuales tipo de la UE (Decisión de la Comisión 2021/914) con cláusulas opcionales aplicadas, excepto la opción 1 de la Cláusula 9(a) y la opción 2 de la Cláusula 17, como se publicó oficialmente en https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_en
Cláusulas contractuales tipo de Serbia ("SCC de Serbia") refiere a las Cláusulas contractuales tipo de Serbia tal como fueron adoptadas por el "Comisionado de Serbia para la información de importancia pública y la protección de datos personales", publicadas en https://www.poverenik.rs/images/stories/dokumentacija-nova/podzakonski-akti/Klauzulelat.docx.
Cláusulas contractuales tipo (“SCC”) refiere a las cláusulas contractuales requeridas por la legislación de protección de datos aplicable para la transferencia de Datos personales a los Procesadores que no están establecidos en Países adecuados.
El apéndice sobre transferencia internacional de datos del Reino Unido a las cláusulas contractuales tipo de la Comisión de la UE ("Apéndice del Reino Unido") significa el apéndice sobre transferencia internacional de datos del Reino Unido a las cláusulas contractuales tipo de la comisión de la UE, publicado oficialmente en https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.
Anexo suizo a las cláusulas contractuales tipo de la Comisión de la UE ("Anexo suizo") refiere a las cláusulas contractuales de las cláusulas contractuales tipo de la Comisión de la UE que se aplican de conformidad con la decisión de la Autoridad Suiza de Protección de Datos ("FDPIC") y en cumplimiento de la Ley Federal Suiza sobre Protección de Datos ("FADP").
5.1 El Proveedor no transferirá ni revelará (ni siquiera por acceso remoto) ningún Dato personal de Kyndryl a nivel transfronterizo sin el consentimiento previo por escrito de Kyndryl. Si Kyndryl proporciona dicho consentimiento, las partes cooperarán para garantizar el cumplimiento de la legislación de protección de datos aplicable. Si esta legislación requiere las SCC, el Proveedor incorporará de inmediato las SCC a solicitud de Kyndryl.
5.2 En relación con las SCC de la UE:
(a) Si el Proveedor no está establecido en un País adecuado: Por la presente, el Proveedor formaliza las SCC de la UE como Importador de datos con Kyndryl, y el Proveedor celebrará acuerdos por escrito con cada Subprocesador aprobado, de acuerdo con la Cláusula 9 de las SCC de la UE, y proporcionará a Kyndryl copias de esos acuerdos a solicitud de parte.
(i) El Módulo 1 de las CEC de la UE no se aplica a menos que las partes acuerden lo contrario por escrito.
(ii) El Módulo 2 de los EU SCC se aplica cuando Kyndryl es un controlador y el Módulo 3 se aplica cuando Kyndryl es un procesador. De acuerdo con la Cláusula 13 de las SCC de la UE, cuando se apliquen los Módulos 2 o 3, las partes acuerdan que (1) los SCC de la UE se regirán por la ley del estado miembro de la UE donde se encuentre la autoridad de supervisión competente y (2) cualquier disputa que surja de las SCC de la UE se ventilará en los tribunales del estado miembro de la UE donde se encuentre la autoridad de supervisión competente. Si dicha ley en (1) no permite los derechos de terceros beneficiarios, las SCC de la UE se regirán por la ley de los Países Bajos y cualquier disputa que surja de las SCC de la UE según (2) será resuelta por el tribunal de Ámsterdam en los Países Bajos.
(b) Si ambas partes, el Proveedor y Kyndryl, están establecidas en un País adecuado, el Proveedor actuará como Exportador de datos y participará en las SCC de la UE con cada Subprocesador aprobado en un País no adecuado. El Proveedor realizará la Evaluación de impacto de la transferencia (TIA) requerida y notificará a Kyndryl sin demora indebida sobre (1) cualquier necesidad de aplicar medidas complementarias y (2) las medidas aplicadas. Previa solicitud, el Proveedor proporcionará a Kyndryl los resultados de la TIA y cualquier información necesaria para comprender y evaluar los resultados. En caso de que Kyndryl no esté de acuerdo con los resultados de la TIA de los Proveedores o con las medidas complementarias aplicadas, Kyndryl y el Proveedor trabajarán juntos para encontrar una solución factible. Kyndryl conserva el derecho de suspender o rescindir los servicios de los Proveedores en cuestión sin compensación. Para evitar dudas, esto no exime a los Subprocesadores del Proveedor de la obligación de convertirse en parte de las SCC de la UE con Kyndryl o sus Clientes, como se describe en la sección 5.2 (d) a continuación.
(c) Si el Proveedor está establecido en el Espacio Económico Europeo y Kyndryl es un Controlador que no está sujeto al Reglamento General de Protección de Datos 2016/679, se aplica el Módulo 4 de las SCC de la UE y, por la presente, el Proveedor formaliza las SCC de la UE como exportador de datos con Kyndryl. Si se aplica el Módulo 4 de las SCC de la UE, las partes acuerdan que los SCC de la UE se regirán por la ley de los Países Bajos y cualquier disputa que surja de las SCC de la UE será resuelta por el tribunal de Ámsterdam en los Países Bajos.
(d) Si Otros controladores, como Clientes o filiales, solicitan ser parte de las SCC de la UE de conformidad con la "cláusula de acoplamiento" en la Cláusula 7, por la presente el Proveedor acepta dicha solicitud.
(e) Las Medidas técnicas y organizativas necesarias para completar el Anexo II de las SCC de la UE se pueden encontrar en las presentes Condiciones, el Documento transaccional en sí y el acuerdo base asociado entre las partes.
(f) En caso de conflicto entre las SCC de la UE y estas Condiciones, prevalecerán las SCC de la UE.
5.3 En cuanto a el/los apéndice(s) del Reino Unido:
a. Si el Proveedor no está establecido en un País Adecuado: (i) el Proveedor celebra por la presente un apéndice en el Reino Unido con Kyndryl como importador para adjuntar a los CCE de la UE establecidos anteriormente (según corresponda, en función de las circunstancias de las actividades de procesamiento); y (ii) el Proveedor celebrará acuerdos por escrito con cada Subprocesador aprobado, y proporcionará a Kyndryl copias de dichos acuerdos si se le solicita.
(b) Si el Proveedor está establecido en un País Adecuado, y Kyndryl es un Controlador no sujeto al Reglamento General de Protección de Datos del Reino Unido (incorporado a la legislación del Reino Unido en virtud de la Ley de la Unión Europea (Retirada) de 2018), entonces el Proveedor celebra por la presente el/los apéndice(s) del Reino Unido como exportador con Kyndryl para adjuntar a los CCE de la UE establecidos en la Sección 5.2(b) anterior.
c. Si otros Controladores, como los clientes o las filiales, solicitan ser parte de el/los apéndice(s) del Reino Unido, el Proveedor acepta por la presente dicha solicitud.
d. La información del apéndice (tal y como se establece en la Tabla 3) en el/los apéndice(s) del Reino Unido se puede encontrar en los CCE de la UE aplicables, en estas Condiciones, en el propio Documento de la Transacción y en el acuerdo base asociado entre las partes. Ni Kyndryl ni el Proveedor pueden poner fin a el/los apéndice(s) del Reino Unido cuando ésta(s) cambia(n).
e. En caso de conflicto entre el/los apéndice(s) del Reino Unido y estas Condiciones, prevalecerá(n) el/los apéndice(s) del Reino Unido.
5.4 Con respecto a los SCC serbios:
a. Si el Proveedor no está establecido en un País adecuado: (i) por el presente documento, el Proveedor formaliza las SCC de Serbia con Kyndryl actuando en nombre del Proveedor como Procesador; y (ii) el Proveedor firmará acuerdos por escrito con cada Suprocesador aprobado, de conformidad con el Artículo 8 de las SCC de Serbia, y proporcionará a Kyndryl copias de dichos acuerdos, a petición.
b. Si el Proveedor está establecido en un País adecuado, mediante el presente, el Proveedor formaliza las SCC de Serbia con Kyndryl actuando en nombre de cada Suprocesador ubicado en un País no adecuado. Si el Proveedor no puede proceder de ese modo para ningún Suprocesador, proporcionará a Kyndryl las SCC de Serbia firmadas por el Subprocesador para la posterior rúbrica de Kyndryl antes de permitir que el Subprocesador procese los Datos personales de Kyndryl.
c. Las SCC de Serbia entre Kyndryl y el Proveedor funcionará como SCC de Serbia entre el Controlador y el Procesador o como un acuerdo escrito back-to-back entre el "procesador" y el "subprocesador", según lo requieran los hechos. En caso de conflicto entre las SCC de Serbia y estos Términos, prevalecerán las SCC de Serbia.
d. La información necesaria para completar los Apéndices 1 a 8 de las CEC de Serbia con el fin de regir la transferencia de Datos Personales a un País no Adecuado se puede encontrar en estos Términos y en el Anexo del Documento de Transacción, o en el Documento de Transacción en sí.
5.5. En cuanto al(los) Anexo(s) de Suiza:
En el caso y en la medida en que una transferencia de Datos personales de Kyndryl en virtud de la sección 5.1. esté sujeta a la Ley Federal Suiza sobre Protección de Datos ("FADP"), las SCC de la UE acordadas en la Sección 5.2. de estos Términos regirán la transferencia, con las siguientes enmiendas para adoptar el estándar RGPD para datos personales suizos:
Las referencias al Reglamento General de Protección de Datos ("RGPD") se entenderán también como referencias a las disposiciones equivalentes de la FADP,
el Comisionado Federal de Protección de Datos e Información de Suiza es la autoridad de control competente según la Cláusula 13 y el Anexo I.C de las SCC de la UE
La ley suiza como ley aplicable en caso de que la transferencia esté sujeta exclusivamente a la FADP y
El término "estado miembro" en la Cláusula 18 de las SCC de la UE se ampliará para incluir a Suiza con el fin de permitir que los titulares de datos suizos ejerzan sus derechos en su lugar de residencia habitual.
Para evitar dudas, nada de lo anterior pretende disminuir de modo alguno el nivel de protección de datos proporcionado por las SCC de la UE, sino solo extender este nivel de protección a los titulares de datos suizos. Si y en la medida en que este no sea el caso, prevalecerán las SCC de la UE.
6. Asistencia y Registros
6.1 Teniendo en cuenta la naturaleza del Procesamiento, el Proveedor ayudará a Kyndryl mediante la adopción de medidas técnicas y organizativas adecuadas a cumplir las obligaciones asociadas con las solicitudes y los derechos del Titular de datos. El Proveedor también ayudará a Kyndryl a garantizar el cumplimiento de las obligaciones relacionadas con la seguridad del Procesamiento, la notificación y comunicación de un Incumplimiento de seguridad y la creación de evaluaciones de impacto en la protección de datos, incluida la consulta previa con el regulador responsable, si es necesario, teniendo en cuenta la información disponible para el Proveedor.
6.2 El Proveedor mantendrá un registro actualizado del nombre y los datos de contacto de cada Subprocesador, incluido cada delegado de protección de datos y representante del Subprocesador. Previa solicitud, el Proveedor proporcionará este registro a Kyndryl bajo una programación que permita a Kyndryl responder oportunamente a cualquier demanda de un Cliente u otro tercero.
Artículo VIII, Medidas Técnicas y Organizativas, Seguridad General
Este artículo se aplica si el Proveedor proporciona algún Servicio o Entregables a Kyndryl, a menos que el Proveedor solo tenga acceso a la BCI de Kyndryl para proporcionar esos Servicios y Entregables (por ejemplo, el Proveedor no tratará otros Datos de Kyndryl ni tendrá acceso a cualquier otro tipo de Materiales de Kyndryl o a cualquier sistema corporativo), los únicos Servicios y Entregables del Proveedor consisten en entregar Software Local a Kyndryl, o el Proveedor proporciona todos sus Servicios y Entregables bajo un modelo de aumento de personal de conformidad con el Artículo VII, incluida su Sección 1.7.
El Proveedor cumplirá los requisitos de este Artículo y al hacerlo protegerá: (a) los Materiales de Kyndryl contra pérdida, destrucción, alteración, revelación accidental o no autorizada, y accidental o acceso no autorizado, (b) los Datos de Kyndryl frente a formas ilegales de procesamiento y (c) la Tecnología de Kyndryl frente a formas ilegales de Manejo. Los requisitos de este Artículo se extienden a todas las aplicaciones, plataformas e infraestructura de TI que el Proveedor opere o gestione para proporcionar Entregables y Servicios y en el Manejo de Tecnologías de Kyndryl, incluidos todos los entornos de desarrollo, prueba, alojamiento, soporte, operaciones y centros de datos.
1. Políticas de Seguridad
1.1 El Proveedor mantendrá y seguirá las políticas y prácticas relativas a la seguridad de TI que formen parte del negocio del Proveedor, sean obligatorias para todos los empleados del Proveedor y sean coherentes con las Prácticas Recomendadas del Sector.
1.2 El Proveedor revisará sus políticas y prácticas de seguridad de TI como mínimo una vez al año y realizará modificaciones de las mismas según sea necesario para proteger los Materiales de Kyndryl.
1.3 El Proveedor actualizará y seguirá sus requisitos obligatorios de verificación de empleabilidad en las nuevas contrataciones y ampliará tales requisitos a todo el Personal del Proveedor y a las filiales bajo propiedad integral del Proveedor. Dichos requisitos incluirán comprobaciones de antecedentes penales, según lo permitido por la legislación vigente, la validación de la prueba de identidad y las comprobaciones adicionales que el Proveedor estime oportunas. El Proveedor repetirá y revalidará estos requisitos periódicamente, según considere necesario.
1.4 El Proveedor proporcionará una formación sobre seguridad y privacidad a sus empleados anualmente, y requerirá que todos los empleados certifiquen cada año que van a cumplir con las políticas éticas del Proveedor respecto a la conducta empresarial, la confidencialidad y la seguridad, como se establece en el código de conducta del Proveedor o en documentos similares. El Proveedor proporcionará una formación complementaria sobre procesos y políticas al personal con acceso administrativo a los componentes de los Servicios, Entregables o Materiales de Kyndryl, que será específica para su función y el soporte de los Servicios, Entregables y Materiales de Kyndryl, y necesaria para mantener la conformidad y las certificaciones necesarias.
1.5 El Proveedor diseñará medidas de seguridad y privacidad para proteger y mantener la disponibilidad de los Materiales de Kyndryl, incluido mediante su implementación, mantenimiento y cumplimiento de las políticas y los procedimientos que requieren privacidad y seguridad por diseño, ingeniería segura y operaciones seguras, para todos los Servicios y Entregables y para todo el Manejo de Tecnologías de Kyndryl.
2. Incidentes de Seguridad
2.1 El Proveedor mantendrá y seguirá las políticas de respuesta a incidentes conforme a las Prácticas Recomendadas del Sector para la administración de incidentes de seguridad informática.
2.2 El Proveedor investigará cualquier acceso no autorizado o uso no autorizado de los Materiales de Kyndryl y definirá y ejecutará un plan de respuesta adecuado.
2.3 Cuando el Proveedor tome conocimiento de cualquier Incumplimiento de Seguridad, notificará de inmediato a Kyndryl (en ningún caso deberá hacerlo después de las 48 horas). El Proveedor enviará dicha notificación a cyber.incidents@kyndryl.com. El Proveedor proporcionará a Kyndryl la información solicitada de manera razonable sobre dicha infracción y el estado de las actividades de corrección y restauración que haya emprendido. A modo de ejemplo, la información solicitada razonablemente puede incluir registros que demuestren acceso privilegiado, administrativo y de otro tipo a Dispositivos, sistemas o aplicaciones, imágenes forenses de Dispositivos, sistemas o aplicaciones y otros elementos similares, en la medida que sean relevantes con la infracción o las actividades de reparación y restauración del Proveedor.
2.4 El Proveedor proporcionará asistencia razonable a Kyndryl en el cumplimiento de las obligaciones legales (incluida la obligación de notificar a los reguladores o los titulares de datos) de Kyndryl, las filiales de Kyndryl y los Clientes (y sus respectivos clientes y filiales) en relación con un Incumplimiento de Seguridad.
2.5 El Proveedor no informará ni notificará a ningún tercero que un Incumplimiento de seguridad se relacione directa o indirectamente con Kyndryl o Materiales de Kyndryl a menos que Kyndryl lo apruebe por escrito o cuando así lo exija la ley. El Proveedor notificará a Kyndryl por escrito antes de distribuir cualquier notificación requerida legalmente a cualquier tercero, donde la notificación revelaría directa o indirectamente la identidad de Kyndryl.
2.6 En caso de producirse un Incumplimiento de Seguridad que surja del incumplimiento por parte del Proveedor de cualquier obligación bajo estas Condiciones:
(a) el Proveedor será responsable de los costos incurridos por el Proveedor, así como de los costos reales en que incurra Kyndryl, al notificar el Incumplimiento de Seguridad a los reguladores correspondientes, otros organismos gubernamentales y los organismos autorreguladores de la industria pertinente, los medios (si lo requiere la legislación aplicable), titulares de datos, Clientes, etc.,
(b) si Kyndryl lo solicita, el Proveedor establecerá y mantendrá a su cargo un centro de atención telefónica para responder a las preguntas de los titulares de datos sobre el Incumplimiento de Seguridad y sus consecuencias, durante 1 año después de la fecha en que dichos titulares de datos hayan sido notificados acerca del Incumplimiento de Seguridad, o según lo requiera cualquier legislación de protección de datos aplicable, lo que brinde mayor protección. Kyndryl y el Proveedor trabajarán juntos para crear los scripts y otros materiales que utilizará el personal del centro de atención telefónica para responder a las consultas. Alternativamente, mediante notificación escrita al Proveedor, Kyndryl puede establecer y mantener su propio centro de atención telefónica, en lugar de que lo establezca el Proveedor, y el Proveedor reembolsará a Kyndryl los costos reales en que incurra Kyndryl para establecer y mantener dicho centro de atención telefónica, y
(c) el Proveedor reembolsará a Kyndryl los costos reales en que incurra Kyndryl al prestar Servicios de supervisión y restauración de crédito durante 1 año después de la fecha en que las personas afectadas por el Incumplimiento que elijan registrarse para recibir estos servicios hayan sido notificadas acerca del Incumplimiento de Seguridad, o según lo requiera cualquier legislación de protección de datos aplicable, lo que brinde mayor protección.
3. Seguridad física y Control de entrada (como se usa a continuación, "Instalaciones" significa una ubicación física donde el Proveedor hospeda, procesa o accede de otro modo a Materiales de Kyndryl).
3.1 El Proveedor efectuará los controles de entrada física adecuados, como barreras, puntos de entrada controlados con tarjeta, cámaras de vigilancia y recepcionistas, para impedir la entrada no autorizada a las Instalaciones.
3.2 El Proveedor requerirá una aprobación autorizada para acceder a las Instalaciones y áreas controladas dentro de las Instalaciones, incluido cualquier acceso temporal, y limitará el acceso según la función profesional y la necesidad empresarial. Si el Proveedor otorga acceso temporal, su empleado autorizado escoltará al visitante mientras esté en las Instalaciones y las áreas controladas.
3.3 El Proveedor implementará controles de acceso físico, incluidos los controles de acceso de varios factores que serán coherentes con las Prácticas Recomendadas del Sector, para restringir adecuadamente la entrada a las áreas controladas dentro de las Instalaciones, registrará todos los intentos de entrada y guardará dichos registros durante un año como mínimo.
3.4 El Proveedor revocará el acceso a las Instalaciones y áreas controladas dentro de las Instalaciones (a) tras la separación de un empleado autorizado del Proveedor o (b) cuando el empleado autorizado del Proveedor ya no tenga una necesidad empresarial de acceso. El Proveedor llevará a cabo los procedimientos formales de terminación de la relación laboral que incluyen la eliminación de las listas de control de acceso y la devolución de los identificadores de acceso físicos.
3.5 El Proveedor tomará precauciones para proteger toda la infraestructura física utilizada para dar soporte a los Servicios y Entregables y el Manejo de Tecnologías de Kyndryl frente a amenazas medioambientales, tanto naturales como artificiales, como temperatura ambiental excesiva, incendios, inundaciones, humedad, robo y vandalismo.
4. Acceso, Intervención, Transferencia y Control de Segregación de Funciones
4.1 El Proveedor mantendrá la arquitectura de seguridad documentada de las redes que gestiona en su operativa de los Servicios, su provisión de Entregables y su Manejo de Tecnologías de Kyndryl. El Proveedor revisará de forma independiente la arquitectura de red y utilizará medidas para evitar las conexiones de red no autorizadas a sistemas, aplicaciones y dispositivos de red, para el cumplimiento de las normas de segmentación segura, aislamiento y defensa en profundidad. El Proveedor no puede utilizar tecnología inalámbrica en sus alojamientos y operaciones de Servicios Hospedados; de lo contrario, el Proveedor puede utilizar tecnología de red inalámbrica en su prestación de los Servicios y los Entregables y en su Manejo de Tecnologías de Kyndryl, pero el Proveedor deberá cifrar y requerir una autenticación segura para dichas redes inalámbricas.
4.2 El Proveedor actualizará las medidas diseñadas para separar lógicamente e impedir la exposición o el acceso a Materiales de Kyndryl de personas no autorizadas. Asimismo, el Proveedor mantendrá un aislamiento adecuado de sus entornos productivos y no productivos u otros entornos y, si los Materiales de Kyndryl ya existen en un entorno no productivo o se transfieren posteriormente a un entorno no productivo (por ejemplo, para reproducir un error), el Proveedor se asegurará de que las protecciones de seguridad y privacidad en el entorno no productivo sean equivalentes a las del productivo.
4.3 El Proveedor cifrará los Materiales de Kyndryl en tránsito y en reposo (a menos que el Proveedor demuestre de forma razonable a Kyndryl que el cifrado de los Materiales de Kyndryl en reposo es técnicamente inviable). El Proveedor también cifrará todos los soportes físicos, si existen, como los que contienen archivos de copia de seguridad. El Proveedor actualizará los procedimientos documentados para la generación, emisión, distribución, almacenamiento, rotación, revocación, recuperación, copia de seguridad, destrucción, acceso y uso de claves seguras asociados con el cifrado de datos. El Proveedor se asegurará de que los métodos criptográficos específicos utilizados para dicho cifrado se alineen con las Prácticas Recomendadas del Sector como, por ejemplo, NIST SP 800-131a.
4.4 Si el Proveedor requiere acceso a Materiales de Kyndryl, el Proveedor restringirá y limitará dicho acceso al nivel mínimo necesario para la prestación y el soporte de los Servicios y los Entregables. El Proveedor requerirá que dicho acceso, incluido el acceso administrativo a los componentes subyacentes (por ejemplo, acceso con privilegios), será individual, se basará en cargos y estará sujeto a aprobación y validación regular por parte del Personal del Proveedor autorizado conforme a los principios de separación de funciones. El Proveedor mantendrá medidas adecuadas para identificar y eliminar cuentas redundantes e iniciativas. El Proveedor también revocará las cuentas con acceso privilegiado dentro del plazo de veinticuatro (24) horas posteriores a la separación del titular de la cuenta o a la solicitud por parte de Kyndryl o cualquier empleado del Proveedor autorizado, como el director del titular de la cuenta.
4.5 De conformidad con las Prácticas Recomendadas del Sector, el Proveedor mantendrá medidas técnicas que impongan tiempo de espera en sesiones inactivas, bloqueo de cuentas tras diversos intentos fallidos de inicio de sesión, autenticación con contraseña o frase de contraseña fuerte, así como medidas que requieran la transferencia y el almacenamiento seguros de estas contraseñas y frases de contraseñas. Asimismo, el Proveedor utilizará la autenticación de multifactores para todo acceso con privilegios no basado en contraseña a los Materiales de Kyndryl.
4.6 El Proveedor supervisará el uso del acceso con privilegios y mantendrá la información de seguridad y las medidas de gestión de eventos diseñadas para (a) identificar la actividad y el acceso no autorizados; (b) facilitar una respuesta adecuada y oportuna a la actividad y el acceso no autorizados; y (c) habilitar las auditorías del Proveedor, Kyndryl (de acuerdo con sus derechos de verificación de estas Condiciones y derechos de auditoría de este Documento Transaccional o base asociada u otro acuerdo relacionado entre las partes) y otros de acuerdo con la política documentada del Proveedor.
4.7 El Proveedor mantendrá registros en los que incorporará, de conformidad con las Prácticas Recomendadas del Sector, todos los accesos o actividades administrativas, de usuarios o de otro tipo para o con respecto a los sistemas utilizados para prestar Servicios o Entregables y en el Manejo de Tecnologías de Kyndryl (y proporcionará esos registros a Kyndryl, a petición). El Proveedor mantendrá medidas diseñadas para la protección en caso de acceso no autorizado, modificación y destrucción accidental o deliberada de estos registros.
4.8 El Proveedor mantendrá medidas informáticas de protección para los sistemas que posee o gestiona, incluidos los sistemas de usuario final, y que utilice para prestar Servicios o Entregables o en el Manejo de Tecnologías de Kyndryl, y estas medidas de protección incluirán lo siguiente: los cortafuegos de puntos finales, el cifrado de disco completo, las tecnologías de detección y respuesta de punto final basadas en firmas y no basadas en firmas para detectar malware y amenazas persistentes avanzadas, los bloqueos de pantalla basados en tiempo y las soluciones de gestión de puntos finales que impongan tanto la configuración de seguridad como los requisitos de parches. Asimismo, el Proveedor implementará controles técnicos y operativos que garanticen que solo los sistemas de usuario final conocidos y de confianza puedan utilizar las redes del Proveedor.
4.9 De conformidad con las Prácticas Recomendadas del Sector, el Proveedor mantendrá protecciones para los entornos de centro de datos donde existan o se traten Materiales de Kyndryl. Dichas protecciones incluyen detección y prevención de intrusiones, y mitigación y contramedidas de ataques de denegación de servicio.
5. Integridad de Sistemas y Servicio y Control de Disponibilidad
5.1 El Proveedor (a) realizará evaluaciones de riesgos de seguridad y evaluación de vulnerabilidades al menos una vez al año, (b) llevará a cabo pruebas de intrusión y evaluaciones de vulnerabilidades, incluido el escaneo de seguridad automatizado de aplicaciones y sistemas y los pirateos éticos manuales, antes del lanzamiento en producción y anualmente a partir del mismo, (c) presentará un tercero independiente y cualificado para la realización de pruebas de penetración coherentes con las Prácticas Recomendadas del Sector al menos una vez al año, y estas pruebas incluirán pruebas manuales y automatizadas, (d) efectuará tareas de gestión automatizada y verificación rutinaria del cumplimiento de los requisitos de la configuración de seguridad de cada componente de los Servicios y los Entregables con respecto a su Manejo de Tecnologías de Kyndryl; y (e) corregirá las vulnerabilidades identificadas o el incumplimiento de los requisitos de la configuración de seguridad según el riesgo asociado, la posibilidad de explotación y el impacto. El Proveedor llevará a cabo los pasos razonables para evitar la interrupción de los Servicios durante la realización de las pruebas, evaluaciones y escaneos, así como durante la ejecución de las actividades de corrección. Si Kyndryl lo solicita, el Proveedor proporcionará a Kyndryl un resumen escrito de las actividades de pruebas de intrusión más recientes del Proveedor, cuyo informe incluirá como mínimo el nombre de las ofertas cubiertas por la prueba, el número de sistemas o aplicaciones en ámbito para las pruebas, las fechas de las pruebas, las metodologías utilizas en ellas y un resumen de alto nivel de los resultados.
5.2 El Proveedor mantendrá sus políticas y procedimientos diseñados para gestionar los riesgos asociados con la aplicación de cambios a los Servicios o Entregables o al Manejo de Tecnologías de Kyndryl. Antes de implementar dicho cambio, incluidos los sistemas, las redes y los componentes subyacentes afectados, el Proveedor documentará en una solicitud de cambio registrada: (a) una descripción y el motivo del cambio, (b) detalles y programación de implementación, (c) una declaración de riesgo que aborde el impacto en los Servicios y Entregables, clientes de los Servicios o Materiales de Kyndryl, (d) el resultado esperado, (e) plan de reversión y (f) aprobación por parte de los empleados autorizados del Proveedor.
5.3 El Proveedor mantendrá un inventario de todos los activos de TI que utiliza para operar los Servicios, proporcionar Entregables y el Manejo de Tecnologías de Kyndryl. El Proveedor supervisará y gestionará de forma continuada el estado (incluida la capacidad) y la disponibilidad de dichos activos de TI, Servicios, Entregables y Tecnologías de Kyndryl, incluidos los componentes subyacentes de dichos activos, Servicios, Entregables y Tecnologías de Kyndryl.
5.4 El Proveedor construirá todos los sistemas que utiliza en el desarrollo o la operación de Servicios y Entregables y en el Manejo de Tecnologías de Kyndryl a partir de líneas base de seguridad o imágenes de seguridad del sistema predefinidas, que cumplirán las Prácticas Recomendadas del Sector, como los indicadores del Centro de Seguridad de Internet (CIS).
5.5 Sin limitación de las obligaciones del Proveedor o los derechos de Kyndryl bajo el Documento Transaccional o el acuerdo base asociado entre las partes con respecto a la continuidad del negocio, el Proveedor evaluará por separado cada Servicio y Entregable y cada sistema de TI utilizado en el Manejo de Tecnologías de Kyndryl en relación con los requisitos de continuidad empresarial y TI y la recuperación tras desastre ("disaster recovery") de conformidad con las directrices documentadas de gestión de riesgos. El Proveedor garantizará que cada Servicio, Entregable y sistema de TI tenga, en la medida en que se especifique en la evaluación de riesgos, planes de recuperación tras desastre y continuidad del negocio validados anualmente, mantenidos, documentados y definidos por separado conforme a las Prácticas Recomendadas del Sector. El Proveedor garantizará que dichos planes estén diseñados para ofrecer los tiempos de recuperación que se establecen en el Apartado 5.6, a continuación.
5.6 Los objetivos de punto de recuperación específicos ("RPO”) y los objetivos de tiempo de recuperación (“RTO”) en relación con un Servicio Alojado son: 24 horas de RPO y 24 horas de RTO; no obstante, el Proveedor cumplirá con cualquier RPO o RTO de menor duración para el que Kyndryl se haya comprometido con un Cliente, inmediatamente después de que Kyndryl notifique al Proveedor por escrito dicho RPO o RTO de menor duración (un correo electrónico se considera por escrito). En lo que respecta a los demás Servicios proporcionados por el Proveedor a Kyndryl, el Proveedor garantizará que sus planes de continuidad empresarial y recuperación tras desastre estén diseñados para proporcionar un RPO y RTO que permitan al Proveedor cumplir todas sus obligaciones con Kyndryl bajo este Documento Transaccional y el acuerdo base asociado entre las partes, y estas Condiciones, incluidas sus obligaciones de proporcionar pruebas, soporte y mantenimiento.
5.7 El Proveedor mantendrá medidas diseñadas para evaluar, probar y aplicar parches de advertencia de seguridad a los Servicios y Entregables y sus sistemas, redes, aplicaciones y componentes subyacentes asociados en el ámbito de dichos Servicios y Entregables, así como los sistemas, redes, aplicaciones y componentes subyacentes utilizados en el Manejo de Tecnologías de Kyndryl. Tras determinar que un parche de advertencia de seguridad es aplicable y adecuado, el Proveedor implementará dicho parche conforme con las directrices documentadas de evaluación del riesgo y la gravedad. La implementación del Proveedor de parches de advertencia de seguridad estará sujeta a su política de gestión de cambios.
5.8 Si Kyndryl tiene una base razonable para considerar que el hardware o el software que el Proveedor proporciona a Kyndryl puede contener elementos intrusivos, como spyware, malware o código malicioso, el Proveedor cooperará oportunamente con Kyndryl en la investigación y solución de las sospechas de Kyndryl.
6. Aprovisionamiento de Servicio
6.1 El Proveedor dará soporte a los métodos comunes de autenticación federada del sector para cualquier cuenta de usuario o Cliente de Kyndryl, y el Proveedor seguirá las Prácticas Recomendadas del Sector en la autenticación de dichas cuentas de Usuario o Cliente de Kyndryl (como el inicio de sesión único de diversos factores de gestión centralizada de Kyndryl, utilizando OpenID Connect o SAML).
7. Subcontratistas. Sin limitación de las obligaciones del Proveedor o los derechos de Kyndryl bajo el Documento Transaccional o el acuerdo base asociado entre las partes con respecto a la retención de subcontratistas, el Proveedor se asegurará de que cualquier subcontratista que realice trabajos para el Proveedor haya instituido controles de gestión para cumplir los requisitos y obligaciones que estas Condiciones imponen al Proveedor.
8. Soporte Físico. El Proveedor saneará de forma segura los soportes físicos para su reutilización antes de dicha reutilización y destruirá los soportes físicos que se van a reutilizar, de conformidad con las Prácticas Recomendadas del Sector para el saneamiento de soportes.
Artículo X, Cooperación, Verificación y Resolución
Este artículo se aplica si el Proveedor proporciona algún Servicio o Entregable a Kyndryl.
1. Cooperación del Proveedor
1.1 Si Kyndryl tiene motivos para sospechar que algún Servicio o Entregable puede haber contribuido, está contribuyendo o contribuirá a algún problema de ciberseguridad, el Proveedor cooperará con cualquier consulta de Kyndryl con respecto a dicha sospecha, incluida una respuesta oportuna y de manera completa a las solicitudes de información, ya sea a través de documentos, otros registros, entrevistas al Personal del Proveedor relevante o similares.
1.2 Las partes acuerdan: (a) proporcionarse, a petición, entre sí dicha información adicional, (b) ejecutar y entregarse mutuamente cualquier otro tipo de documentación, y (c) llevar a cabo otras acciones, todo aquello que la otra parte pueda razonablemente solicitar con el fin de ejecutar la intencionalidad de estas Condiciones y los documentos mencionados en estas Condiciones. Por ejemplo, si Kyndryl lo solicita, el Proveedor proporcionará oportunamente las condiciones centradas en la privacidad y la seguridad de sus contratos escritos con Subencargados del Tratamiento y subcontratistas, incluida, cuando el Proveedor tenga derecho a hacerlo, la concesión de acceso a los contratos en sí.
1.3 Si Kyndryl lo solicita, el Proveedor proporcionará oportunamente información sobre los países donde se fabricaron, desarrollaron u obtuvieron de otro modo sus Entregables y los componentes de los Entregables.
2. Verificación (como se usa a continuación, "Instalación" significa una ubicación física donde el Proveedor hospeda, procesa o accede a los Materiales de Kyndryl)
2.1 El Proveedor mantendrá un registro auditable que demuestre la conformidad con estas Condiciones.
2.2 Kyndryl, propiamente o mediante un auditor externo, puede, con 30 días de notificación previa por escrito al Proveedor, verificar la conformidad del Proveedor con estas Condiciones, incluido el acceso a cualquier Instalación o Instalaciones para tales fines, aunque Kyndryl no accederá a ningún centro de datos donde el Proveedor trate los Datos de Kyndryl a menos que tenga una buena razón para creer que con ello proporcionará alguna información relevante. El Proveedor cooperará con la verificación de Kyndryl, incluida la respuesta oportuna y de manera completa a las solicitudes de información, ya sea a través de documentos, otros registros, entrevistas con el Personal del Proveedor relevante o similares. El Proveedor puede ofrecer una prueba de cumplimiento de un código de conducta aprobado o una certificación del sector, o proporcionar información para demostrar el cumplimiento de estas Condiciones, para su consideración por parte de Kyndryl.
2.3 No se realizará una verificación más de una vez en un período de 12 meses, a menos que: (a) Kyndryl esté validando la resolución de sospechas del Proveedor derivada de una verificación previa durante el 12.º mes o (b) haya surgido un Incumplimiento de Seguridad y Kyndryl quiera verificar el cumplimiento de las obligaciones relevantes para la infracción. En cualquier caso, Kyndryl proporcionará la misma notificación previa por escrito de 30 días como se especifica en el Apartado 2.2 anterior, pero la urgencia de abordar un Incumplimiento de Seguridad puede requerir que Kyndryl realice una verificación con menos de 30 días de notificación previa por escrito.
2.4. Un regulador u otro Responsable del Tratamiento puede ejercer los mismos derechos que Kyndryl en los Apartados 2.2 y 2.3, bajo el supuesto de que un regulador puede ejercer cualquier derecho adicional que tenga según la legislación vigente.
2.5 Si Kyndryl tiene una base razonable para concluir que el Proveedor no cumple con ninguna de estas Condiciones (ya sea que dicha base surja de una verificación bajo estas Condiciones o no), el Proveedor corregirá de inmediato dicho incumplimiento.
3. Programa contra la Falsificación
3.1 Si los Entregables del Proveedor incluyen componentes electrónicos (por ejemplo, unidades de disco duro, unidades de estado sólido, memoria, unidades centrales de procesamiento, dispositivos lógicos o cables), el Proveedor mantendrá y seguirá un programa documentado de prevención de posibles falsificaciones para, en primer lugar, evitar que el Proveedor proporcione componentes falsificados a Kyndryl y, en segundo lugar, detectar y corregir de inmediato cualquier caso en que el Proveedor proporcione componentes falsificados por error a Kyndryl. El Proveedor impondrá esta misma obligación de mantener y seguir un programa documentado de prevención de posibles falsificaciones en todos sus proveedores que proporcionen componentes electrónicos incluidos en los Entregables del Proveedor a Kyndryl.
4. Resolución
4.1 Si el Proveedor no cumple con cualquiera de sus obligaciones en virtud de estas Condiciones, y ese incumplimiento causa un Incumplimiento de seguridad, el Proveedor corregirá la anomalía en su ejecución y corregirá el efecto nocivo del Incumplimiento de seguridad, con las instrucciones y el cronograma que Kyndryl estime razonables. Sin embargo, si el incumplimiento de seguridad surge del suministro por parte del Proveedor de un Servicio alojado de múltiples inquilinos y, en consecuencia, afecta a muchos clientes del Proveedor, incluida Kyndryl, entonces el Proveedor, dada la naturaleza del incumplimiento de seguridad, corregirá oportuna y adecuadamente la falla en su desempeño, y subsanar los efectos dañinos del incumplimiento de seguridad, al mismo tiempo que se presta la debida consideración a cualquier aportación de Kyndryl sobre dichas correcciones y subsanación. Sin perjuicio de lo anterior, el Proveedor deberá notificar a Kyndryl sin demoras injustificadas si ya no puede cumplir con las obligaciones establecidas por la ley de protección de datos aplicable.
4.2 Kyndryl tendrá derecho a participar en la reparación de cualquier incumplimiento de seguridad a la que se hace referencia en la Sección 4.1, según lo considere apropiado o necesario, y el Proveedor será responsable de sus costos y gastos para corregir su desempeño y de los costos y gastos de reparación que las partes deben incurrir con respecto a dicho incumplimiento de seguridad.
4.3 A modo de ejemplo, los costos y gastos de corrección asociados con un Incumplimiento de Seguridad podrían incluir los derivados de detectar e investigar un Incumplimiento de Seguridad, determinar las responsabilidades bajo la legislación y las normativas aplicables, proporcionar notificaciones de incumplimiento, establecer y mantener centros de atención telefónica, prestar Servicios de supervisión y restauración de crédito, recargar datos, corregir defectos del producto (incluido a través del Código fuente u otros desarrollos), retener a terceros para ayudar con las actividades anteriores u otras actividades relevantes, y otros costos y gastos que sean necesarios para corregir los efectos nocivos del Incumplimiento de Seguridad. Para mayor claridad, los costos y gastos de corrección no incluirían la pérdida de ganancias, negocios, valor, ingresos, previsiones o ahorros anticipados de Kyndryl.
-
Si es así, los Artículos II (Medidas Técnicas y Organizativas, Seguridad de los Datos), VIII (Medidas Técnicas y Organizativas, Seguridad General) y X (Cooperación, Verificación y Resolución) se aplican al acceso.
Ejemplos:
El Proveedor almacena, transmite, tiene acceso a o trata de otra forma los Datos No Personales que Kyndryl o los Clientes proporcionan al Proveedor.
Artículo II, Medidas Técnicas y Organizativas, Seguridad de los Datos
Este Artículo se aplica si el Proveedor trata datos de Kyndryl, que no sean BCI de Kyndryl. El Proveedor cumplirá los requisitos de este Artículo proporcionando todos los Servicios y Entregables, y al hacerlo protegerá los Datos de Kyndryl contra pérdida, destrucción, alteración, revelación accidental o no autorizada, acceso accidental o no autorizado, y formas ilegales de Tratamiento. Los requisitos de este Artículo se extienden a todas las aplicaciones, plataformas e infraestructura de TI que el Proveedor opera o administra para proporcionar Entregables y Servicios, incluidos todos los entornos de desarrollo, pruebas, alojamiento, soporte, operaciones y centros de datos.
1. Uso de Datos
1.1 El Proveedor no puede agregar a los Datos de Kyndryl ni incluir con los Datos de Kyndryl ninguna otra información o dato, incluidos los Datos personales, sin el consentimiento previo por escrito de Kyndryl, y el Proveedor no puede usar los Datos de Kyndryl de ninguna forma, agregada o de otro modo, para ningún otro fin que no sea prestar Servicios y Entregables (a modo de ejemplo, al Proveedor no se le permite usar o reutilizar los Datos de Kyndryl para evaluar la eficacia o los medios para mejorar las soluciones del Proveedor, para la investigación y el desarrollo para crear nuevas soluciones, o para generar informes sobre las soluciones del Proveedor). A menos que se permita expresamente en el Documento Transaccional, el Proveedor tiene prohibido Vender Datos de Kyndryl.
1.2 El Proveedor no incorporará ninguna tecnología de seguimiento web en los Entregables o como parte de los Servicios (estas tecnologías incluyen HTML5, almacenamiento local, etiquetas o tokens de terceros y web beacons) a menos que esté expresamente permitido en el Documento transaccional.
2. Confidencialidad y Solicitudes de Terceros
2.1 El Proveedor no revelará los Datos de Kyndryl a ningún tercero, a menos que Kyndryl lo autorice previamente por escrito. Si una autoridad pública, incluido cualquier regulador, exige acceso a los Datos de Kyndryl (por ejemplo, si el Gobierno de los EE. UU. dicta una orden de seguridad nacional que afecta al Proveedor para obtener los Datos de Kyndryl), o si la ley requiere una revelación de los Datos de Kyndryl, el Proveedor notificará a Kyndryl por escrito dicha demanda o requisito y brindará a Kyndryl una oportunidad razonable para impugnar cualquier revelación (si la ley prohíbe la notificación, el Proveedor tomará las medidas que razonablemente considere apropiadas para impugnar la prohibición y revelación de los Datos de Kyndryl a través de acciones judiciales u otros medios).
2.2 El Proveedor garantiza a Kyndryl que: (a) solo los empleados que necesiten acceso a los Datos de Kyndryl para prestar Servicios o Entregables tendrán ese acceso, y posteriormente solo en la medida necesaria para proporcionar dichos Servicios y Entregables; y (b) sus empleados tienen obligaciones vinculantes de confidencialidad en virtud de las cuales solo pueden usar y revelar los Datos de Kyndryl según lo permitido en estas Condiciones.
3. Devolución o eliminación de datos de Kyndryl
3.1 El Proveedor, a elección de Kyndryl, eliminará o devolverá los Datos de Kyndryl a Kyndryl al terminar o vencer el Documento transaccional, o con anterioridad a petición de Kyndryl. Si Kyndryl requiere la eliminación, el Proveedor, de acuerdo con las Prácticas Recomendadas del Sector, hará que los datos sean ilegibles y no puedan reensamblarse o reconstruirse, y certificará la eliminación a Kyndryl. Si Kyndryl requiere la devolución de los Datos de Kyndryl, el Proveedor lo hará bajo un programa razonable de Kyndryl y según las instrucciones escritas razonables de Kyndryl.
Artículo VIII, Medidas Técnicas y Organizativas, Seguridad General
Este artículo se aplica si el Proveedor proporciona algún Servicio o Entregables a Kyndryl, a menos que el Proveedor solo tenga acceso a la BCI de Kyndryl para proporcionar esos Servicios y Entregables (por ejemplo, el Proveedor no tratará otros Datos de Kyndryl ni tendrá acceso a cualquier otro tipo de Materiales de Kyndryl o a cualquier sistema corporativo), los únicos Servicios y Entregables del Proveedor consisten en entregar Software Local a Kyndryl, o el Proveedor proporciona todos sus Servicios y Entregables bajo un modelo de aumento de personal de conformidad con el Artículo VII, incluida su Sección 1.7.
El Proveedor cumplirá los requisitos de este Artículo y al hacerlo protegerá: (a) los Materiales de Kyndryl contra pérdida, destrucción, alteración, revelación accidental o no autorizada, y accidental o acceso no autorizado, (b) los Datos de Kyndryl frente a formas ilegales de procesamiento y (c) la Tecnología de Kyndryl frente a formas ilegales de Manejo. Los requisitos de este Artículo se extienden a todas las aplicaciones, plataformas e infraestructura de TI que el Proveedor opere o gestione para proporcionar Entregables y Servicios y en el Manejo de Tecnologías de Kyndryl, incluidos todos los entornos de desarrollo, prueba, alojamiento, soporte, operaciones y centros de datos.
1. Políticas de Seguridad
1.1 El Proveedor mantendrá y seguirá las políticas y prácticas relativas a la seguridad de TI que formen parte del negocio del Proveedor, sean obligatorias para todos los empleados del Proveedor y sean coherentes con las Prácticas Recomendadas del Sector.
1.2 El Proveedor revisará sus políticas y prácticas de seguridad de TI como mínimo una vez al año y realizará modificaciones de las mismas según sea necesario para proteger los Materiales de Kyndryl.
1.3 El Proveedor actualizará y seguirá sus requisitos obligatorios de verificación de empleabilidad en las nuevas contrataciones y ampliará tales requisitos a todo el Personal del Proveedor y a las filiales bajo propiedad integral del Proveedor. Dichos requisitos incluirán comprobaciones de antecedentes penales, según lo permitido por la legislación vigente, la validación de la prueba de identidad y las comprobaciones adicionales que el Proveedor estime oportunas. El Proveedor repetirá y revalidará estos requisitos periódicamente, según considere necesario.
1.4 El Proveedor proporcionará una formación sobre seguridad y privacidad a sus empleados anualmente, y requerirá que todos los empleados certifiquen cada año que van a cumplir con las políticas éticas del Proveedor respecto a la conducta empresarial, la confidencialidad y la seguridad, como se establece en el código de conducta del Proveedor o en documentos similares. El Proveedor proporcionará una formación complementaria sobre procesos y políticas al personal con acceso administrativo a los componentes de los Servicios, Entregables o Materiales de Kyndryl, que será específica para su función y el soporte de los Servicios, Entregables y Materiales de Kyndryl, y necesaria para mantener la conformidad y las certificaciones necesarias.
1.5 El Proveedor diseñará medidas de seguridad y privacidad para proteger y mantener la disponibilidad de los Materiales de Kyndryl, incluido mediante su implementación, mantenimiento y cumplimiento de las políticas y los procedimientos que requieren privacidad y seguridad por diseño, ingeniería segura y operaciones seguras, para todos los Servicios y Entregables y para todo el Manejo de Tecnologías de Kyndryl.
2. Incidentes de Seguridad
2.1 El Proveedor mantendrá y seguirá las políticas de respuesta a incidentes conforme a las Prácticas Recomendadas del Sector para la administración de incidentes de seguridad informática.
2.2 El Proveedor investigará cualquier acceso no autorizado o uso no autorizado de los Materiales de Kyndryl y definirá y ejecutará un plan de respuesta adecuado.
2.3 Cuando el Proveedor tome conocimiento de cualquier Incumplimiento de Seguridad, notificará de inmediato a Kyndryl (en ningún caso deberá hacerlo después de las 48 horas). El Proveedor enviará dicha notificación a cyber.incidents@kyndryl.com. El Proveedor proporcionará a Kyndryl la información solicitada de manera razonable sobre dicha infracción y el estado de las actividades de corrección y restauración que haya emprendido. A modo de ejemplo, la información solicitada razonablemente puede incluir registros que demuestren acceso privilegiado, administrativo y de otro tipo a Dispositivos, sistemas o aplicaciones, imágenes forenses de Dispositivos, sistemas o aplicaciones y otros elementos similares, en la medida que sean relevantes con la infracción o las actividades de reparación y restauración del Proveedor.
2.4 El Proveedor proporcionará asistencia razonable a Kyndryl en el cumplimiento de las obligaciones legales (incluida la obligación de notificar a los reguladores o los titulares de datos) de Kyndryl, las filiales de Kyndryl y los Clientes (y sus respectivos clientes y filiales) en relación con un Incumplimiento de Seguridad.
2.5 El Proveedor no informará ni notificará a ningún tercero que un Incumplimiento de seguridad se relacione directa o indirectamente con Kyndryl o Materiales de Kyndryl a menos que Kyndryl lo apruebe por escrito o cuando así lo exija la ley. El Proveedor notificará a Kyndryl por escrito antes de distribuir cualquier notificación requerida legalmente a cualquier tercero, donde la notificación revelaría directa o indirectamente la identidad de Kyndryl.
2.6 En caso de producirse un Incumplimiento de Seguridad que surja del incumplimiento por parte del Proveedor de cualquier obligación bajo estas Condiciones:
(a) el Proveedor será responsable de los costos incurridos por el Proveedor, así como de los costos reales en que incurra Kyndryl, al notificar el Incumplimiento de Seguridad a los reguladores correspondientes, otros organismos gubernamentales y los organismos autorreguladores de la industria pertinente, los medios (si lo requiere la legislación aplicable), titulares de datos, Clientes, etc.,
(b) si Kyndryl lo solicita, el Proveedor establecerá y mantendrá a su cargo un centro de atención telefónica para responder a las preguntas de los titulares de datos sobre el Incumplimiento de Seguridad y sus consecuencias, durante 1 año después de la fecha en que dichos titulares de datos hayan sido notificados acerca del Incumplimiento de Seguridad, o según lo requiera cualquier legislación de protección de datos aplicable, lo que brinde mayor protección. Kyndryl y el Proveedor trabajarán juntos para crear los scripts y otros materiales que utilizará el personal del centro de atención telefónica para responder a las consultas. Alternativamente, mediante notificación escrita al Proveedor, Kyndryl puede establecer y mantener su propio centro de atención telefónica, en lugar de que lo establezca el Proveedor, y el Proveedor reembolsará a Kyndryl los costos reales en que incurra Kyndryl para establecer y mantener dicho centro de atención telefónica, y
(c) el Proveedor reembolsará a Kyndryl los costos reales en que incurra Kyndryl al prestar Servicios de supervisión y restauración de crédito durante 1 año después de la fecha en que las personas afectadas por el Incumplimiento que elijan registrarse para recibir estos servicios hayan sido notificadas acerca del Incumplimiento de Seguridad, o según lo requiera cualquier legislación de protección de datos aplicable, lo que brinde mayor protección.
3. Seguridad física y Control de entrada (como se usa a continuación, "Instalaciones" significa una ubicación física donde el Proveedor hospeda, procesa o accede de otro modo a Materiales de Kyndryl).
3.1 El Proveedor efectuará los controles de entrada física adecuados, como barreras, puntos de entrada controlados con tarjeta, cámaras de vigilancia y recepcionistas, para impedir la entrada no autorizada a las Instalaciones.
3.2 El Proveedor requerirá una aprobación autorizada para acceder a las Instalaciones y áreas controladas dentro de las Instalaciones, incluido cualquier acceso temporal, y limitará el acceso según la función profesional y la necesidad empresarial. Si el Proveedor otorga acceso temporal, su empleado autorizado escoltará al visitante mientras esté en las Instalaciones y las áreas controladas.
3.3 El Proveedor implementará controles de acceso físico, incluidos los controles de acceso de varios factores que serán coherentes con las Prácticas Recomendadas del Sector, para restringir adecuadamente la entrada a las áreas controladas dentro de las Instalaciones, registrará todos los intentos de entrada y guardará dichos registros durante un año como mínimo.
3.4 El Proveedor revocará el acceso a las Instalaciones y áreas controladas dentro de las Instalaciones (a) tras la separación de un empleado autorizado del Proveedor o (b) cuando el empleado autorizado del Proveedor ya no tenga una necesidad empresarial de acceso. El Proveedor llevará a cabo los procedimientos formales de terminación de la relación laboral que incluyen la eliminación de las listas de control de acceso y la devolución de los identificadores de acceso físicos.
3.5 El Proveedor tomará precauciones para proteger toda la infraestructura física utilizada para dar soporte a los Servicios y Entregables y el Manejo de Tecnologías de Kyndryl frente a amenazas medioambientales, tanto naturales como artificiales, como temperatura ambiental excesiva, incendios, inundaciones, humedad, robo y vandalismo.
4. Acceso, Intervención, Transferencia y Control de Segregación de Funciones
4.1 El Proveedor mantendrá la arquitectura de seguridad documentada de las redes que gestiona en su operativa de los Servicios, su provisión de Entregables y su Manejo de Tecnologías de Kyndryl. El Proveedor revisará de forma independiente la arquitectura de red y utilizará medidas para evitar las conexiones de red no autorizadas a sistemas, aplicaciones y dispositivos de red, para el cumplimiento de las normas de segmentación segura, aislamiento y defensa en profundidad. El Proveedor no puede utilizar tecnología inalámbrica en sus alojamientos y operaciones de Servicios Hospedados; de lo contrario, el Proveedor puede utilizar tecnología de red inalámbrica en su prestación de los Servicios y los Entregables y en su Manejo de Tecnologías de Kyndryl, pero el Proveedor deberá cifrar y requerir una autenticación segura para dichas redes inalámbricas.
4.2 El Proveedor actualizará las medidas diseñadas para separar lógicamente e impedir la exposición o el acceso a Materiales de Kyndryl de personas no autorizadas. Asimismo, el Proveedor mantendrá un aislamiento adecuado de sus entornos productivos y no productivos u otros entornos y, si los Materiales de Kyndryl ya existen en un entorno no productivo o se transfieren posteriormente a un entorno no productivo (por ejemplo, para reproducir un error), el Proveedor se asegurará de que las protecciones de seguridad y privacidad en el entorno no productivo sean equivalentes a las del productivo.
4.3 El Proveedor cifrará los Materiales de Kyndryl en tránsito y en reposo (a menos que el Proveedor demuestre de forma razonable a Kyndryl que el cifrado de los Materiales de Kyndryl en reposo es técnicamente inviable). El Proveedor también cifrará todos los soportes físicos, si existen, como los que contienen archivos de copia de seguridad. El Proveedor actualizará los procedimientos documentados para la generación, emisión, distribución, almacenamiento, rotación, revocación, recuperación, copia de seguridad, destrucción, acceso y uso de claves seguras asociados con el cifrado de datos. El Proveedor se asegurará de que los métodos criptográficos específicos utilizados para dicho cifrado se alineen con las Prácticas Recomendadas del Sector como, por ejemplo, NIST SP 800-131a.
4.4 Si el Proveedor requiere acceso a Materiales de Kyndryl, el Proveedor restringirá y limitará dicho acceso al nivel mínimo necesario para la prestación y el soporte de los Servicios y los Entregables. El Proveedor requerirá que dicho acceso, incluido el acceso administrativo a los componentes subyacentes (por ejemplo, acceso con privilegios), será individual, se basará en cargos y estará sujeto a aprobación y validación regular por parte del Personal del Proveedor autorizado conforme a los principios de separación de funciones. El Proveedor mantendrá medidas adecuadas para identificar y eliminar cuentas redundantes e iniciativas. El Proveedor también revocará las cuentas con acceso privilegiado dentro del plazo de veinticuatro (24) horas posteriores a la separación del titular de la cuenta o a la solicitud por parte de Kyndryl o cualquier empleado del Proveedor autorizado, como el director del titular de la cuenta.
4.5 De conformidad con las Prácticas Recomendadas del Sector, el Proveedor mantendrá medidas técnicas que impongan tiempo de espera en sesiones inactivas, bloqueo de cuentas tras diversos intentos fallidos de inicio de sesión, autenticación con contraseña o frase de contraseña fuerte, así como medidas que requieran la transferencia y el almacenamiento seguros de estas contraseñas y frases de contraseñas. Asimismo, el Proveedor utilizará la autenticación de multifactores para todo acceso con privilegios no basado en contraseña a los Materiales de Kyndryl.
4.6 El Proveedor supervisará el uso del acceso con privilegios y mantendrá la información de seguridad y las medidas de gestión de eventos diseñadas para (a) identificar la actividad y el acceso no autorizados; (b) facilitar una respuesta adecuada y oportuna a la actividad y el acceso no autorizados; y (c) habilitar las auditorías del Proveedor, Kyndryl (de acuerdo con sus derechos de verificación de estas Condiciones y derechos de auditoría de este Documento Transaccional o base asociada u otro acuerdo relacionado entre las partes) y otros de acuerdo con la política documentada del Proveedor.
4.7 El Proveedor mantendrá registros en los que incorporará, de conformidad con las Prácticas Recomendadas del Sector, todos los accesos o actividades administrativas, de usuarios o de otro tipo para o con respecto a los sistemas utilizados para prestar Servicios o Entregables y en el Manejo de Tecnologías de Kyndryl (y proporcionará esos registros a Kyndryl, a petición). El Proveedor mantendrá medidas diseñadas para la protección en caso de acceso no autorizado, modificación y destrucción accidental o deliberada de estos registros.
4.8 El Proveedor mantendrá medidas informáticas de protección para los sistemas que posee o gestiona, incluidos los sistemas de usuario final, y que utilice para prestar Servicios o Entregables o en el Manejo de Tecnologías de Kyndryl, y estas medidas de protección incluirán lo siguiente: los cortafuegos de puntos finales, el cifrado de disco completo, las tecnologías de detección y respuesta de punto final basadas en firmas y no basadas en firmas para detectar malware y amenazas persistentes avanzadas, los bloqueos de pantalla basados en tiempo y las soluciones de gestión de puntos finales que impongan tanto la configuración de seguridad como los requisitos de parches. Asimismo, el Proveedor implementará controles técnicos y operativos que garanticen que solo los sistemas de usuario final conocidos y de confianza puedan utilizar las redes del Proveedor.
4.9 De conformidad con las Prácticas Recomendadas del Sector, el Proveedor mantendrá protecciones para los entornos de centro de datos donde existan o se traten Materiales de Kyndryl. Dichas protecciones incluyen detección y prevención de intrusiones, y mitigación y contramedidas de ataques de denegación de servicio.
5. Integridad de Sistemas y Servicio y Control de Disponibilidad
5.1 El Proveedor (a) realizará evaluaciones de riesgos de seguridad y evaluación de vulnerabilidades al menos una vez al año, (b) llevará a cabo pruebas de intrusión y evaluaciones de vulnerabilidades, incluido el escaneo de seguridad automatizado de aplicaciones y sistemas y los pirateos éticos manuales, antes del lanzamiento en producción y anualmente a partir del mismo, (c) presentará un tercero independiente y cualificado para la realización de pruebas de penetración coherentes con las Prácticas Recomendadas del Sector al menos una vez al año, y estas pruebas incluirán pruebas manuales y automatizadas, (d) efectuará tareas de gestión automatizada y verificación rutinaria del cumplimiento de los requisitos de la configuración de seguridad de cada componente de los Servicios y los Entregables con respecto a su Manejo de Tecnologías de Kyndryl; y (e) corregirá las vulnerabilidades identificadas o el incumplimiento de los requisitos de la configuración de seguridad según el riesgo asociado, la posibilidad de explotación y el impacto. El Proveedor llevará a cabo los pasos razonables para evitar la interrupción de los Servicios durante la realización de las pruebas, evaluaciones y escaneos, así como durante la ejecución de las actividades de corrección. Si Kyndryl lo solicita, el Proveedor proporcionará a Kyndryl un resumen escrito de las actividades de pruebas de intrusión más recientes del Proveedor, cuyo informe incluirá como mínimo el nombre de las ofertas cubiertas por la prueba, el número de sistemas o aplicaciones en ámbito para las pruebas, las fechas de las pruebas, las metodologías utilizas en ellas y un resumen de alto nivel de los resultados.
5.2 El Proveedor mantendrá sus políticas y procedimientos diseñados para gestionar los riesgos asociados con la aplicación de cambios a los Servicios o Entregables o al Manejo de Tecnologías de Kyndryl. Antes de implementar dicho cambio, incluidos los sistemas, las redes y los componentes subyacentes afectados, el Proveedor documentará en una solicitud de cambio registrada: (a) una descripción y el motivo del cambio, (b) detalles y programación de implementación, (c) una declaración de riesgo que aborde el impacto en los Servicios y Entregables, clientes de los Servicios o Materiales de Kyndryl, (d) el resultado esperado, (e) plan de reversión y (f) aprobación por parte de los empleados autorizados del Proveedor.
5.3 El Proveedor mantendrá un inventario de todos los activos de TI que utiliza para operar los Servicios, proporcionar Entregables y el Manejo de Tecnologías de Kyndryl. El Proveedor supervisará y gestionará de forma continuada el estado (incluida la capacidad) y la disponibilidad de dichos activos de TI, Servicios, Entregables y Tecnologías de Kyndryl, incluidos los componentes subyacentes de dichos activos, Servicios, Entregables y Tecnologías de Kyndryl.
5.4 El Proveedor construirá todos los sistemas que utiliza en el desarrollo o la operación de Servicios y Entregables y en el Manejo de Tecnologías de Kyndryl a partir de líneas base de seguridad o imágenes de seguridad del sistema predefinidas, que cumplirán las Prácticas Recomendadas del Sector, como los indicadores del Centro de Seguridad de Internet (CIS).
5.5 Sin limitación de las obligaciones del Proveedor o los derechos de Kyndryl bajo el Documento Transaccional o el acuerdo base asociado entre las partes con respecto a la continuidad del negocio, el Proveedor evaluará por separado cada Servicio y Entregable y cada sistema de TI utilizado en el Manejo de Tecnologías de Kyndryl en relación con los requisitos de continuidad empresarial y TI y la recuperación tras desastre ("disaster recovery") de conformidad con las directrices documentadas de gestión de riesgos. El Proveedor garantizará que cada Servicio, Entregable y sistema de TI tenga, en la medida en que se especifique en la evaluación de riesgos, planes de recuperación tras desastre y continuidad del negocio validados anualmente, mantenidos, documentados y definidos por separado conforme a las Prácticas Recomendadas del Sector. El Proveedor garantizará que dichos planes estén diseñados para ofrecer los tiempos de recuperación que se establecen en el Apartado 5.6, a continuación.
5.6 Los objetivos de punto de recuperación específicos ("RPO”) y los objetivos de tiempo de recuperación (“RTO”) en relación con un Servicio Alojado son: 24 horas de RPO y 24 horas de RTO; no obstante, el Proveedor cumplirá con cualquier RPO o RTO de menor duración para el que Kyndryl se haya comprometido con un Cliente, inmediatamente después de que Kyndryl notifique al Proveedor por escrito dicho RPO o RTO de menor duración (un correo electrónico se considera por escrito). En lo que respecta a los demás Servicios proporcionados por el Proveedor a Kyndryl, el Proveedor garantizará que sus planes de continuidad empresarial y recuperación tras desastre estén diseñados para proporcionar un RPO y RTO que permitan al Proveedor cumplir todas sus obligaciones con Kyndryl bajo este Documento Transaccional y el acuerdo base asociado entre las partes, y estas Condiciones, incluidas sus obligaciones de proporcionar pruebas, soporte y mantenimiento.
5.7 El Proveedor mantendrá medidas diseñadas para evaluar, probar y aplicar parches de advertencia de seguridad a los Servicios y Entregables y sus sistemas, redes, aplicaciones y componentes subyacentes asociados en el ámbito de dichos Servicios y Entregables, así como los sistemas, redes, aplicaciones y componentes subyacentes utilizados en el Manejo de Tecnologías de Kyndryl. Tras determinar que un parche de advertencia de seguridad es aplicable y adecuado, el Proveedor implementará dicho parche conforme con las directrices documentadas de evaluación del riesgo y la gravedad. La implementación del Proveedor de parches de advertencia de seguridad estará sujeta a su política de gestión de cambios.
5.8 Si Kyndryl tiene una base razonable para considerar que el hardware o el software que el Proveedor proporciona a Kyndryl puede contener elementos intrusivos, como spyware, malware o código malicioso, el Proveedor cooperará oportunamente con Kyndryl en la investigación y solución de las sospechas de Kyndryl.
6. Aprovisionamiento de Servicio
6.1 El Proveedor dará soporte a los métodos comunes de autenticación federada del sector para cualquier cuenta de usuario o Cliente de Kyndryl, y el Proveedor seguirá las Prácticas Recomendadas del Sector en la autenticación de dichas cuentas de Usuario o Cliente de Kyndryl (como el inicio de sesión único de diversos factores de gestión centralizada de Kyndryl, utilizando OpenID Connect o SAML).
7. Subcontratistas. Sin limitación de las obligaciones del Proveedor o los derechos de Kyndryl bajo el Documento Transaccional o el acuerdo base asociado entre las partes con respecto a la retención de subcontratistas, el Proveedor se asegurará de que cualquier subcontratista que realice trabajos para el Proveedor haya instituido controles de gestión para cumplir los requisitos y obligaciones que estas Condiciones imponen al Proveedor.
8. Soporte Físico. El Proveedor saneará de forma segura los soportes físicos para su reutilización antes de dicha reutilización y destruirá los soportes físicos que se van a reutilizar, de conformidad con las Prácticas Recomendadas del Sector para el saneamiento de soportes.
Artículo X, Cooperación, Verificación y Resolución
Este artículo se aplica si el Proveedor proporciona algún Servicio o Entregable a Kyndryl.
1. Cooperación del Proveedor
1.1 Si Kyndryl tiene motivos para sospechar que algún Servicio o Entregable puede haber contribuido, está contribuyendo o contribuirá a algún problema de ciberseguridad, el Proveedor cooperará con cualquier consulta de Kyndryl con respecto a dicha sospecha, incluida una respuesta oportuna y de manera completa a las solicitudes de información, ya sea a través de documentos, otros registros, entrevistas al Personal del Proveedor relevante o similares.
1.2 Las partes acuerdan: (a) proporcionarse, a petición, entre sí dicha información adicional, (b) ejecutar y entregarse mutuamente cualquier otro tipo de documentación, y (c) llevar a cabo otras acciones, todo aquello que la otra parte pueda razonablemente solicitar con el fin de ejecutar la intencionalidad de estas Condiciones y los documentos mencionados en estas Condiciones. Por ejemplo, si Kyndryl lo solicita, el Proveedor proporcionará oportunamente las condiciones centradas en la privacidad y la seguridad de sus contratos escritos con Subencargados del Tratamiento y subcontratistas, incluida, cuando el Proveedor tenga derecho a hacerlo, la concesión de acceso a los contratos en sí.
1.3 Si Kyndryl lo solicita, el Proveedor proporcionará oportunamente información sobre los países donde se fabricaron, desarrollaron u obtuvieron de otro modo sus Entregables y los componentes de los Entregables.
2. Verificación (como se usa a continuación, "Instalación" significa una ubicación física donde el Proveedor hospeda, procesa o accede a los Materiales de Kyndryl)
2.1 El Proveedor mantendrá un registro auditable que demuestre la conformidad con estas Condiciones.
2.2 Kyndryl, propiamente o mediante un auditor externo, puede, con 30 días de notificación previa por escrito al Proveedor, verificar la conformidad del Proveedor con estas Condiciones, incluido el acceso a cualquier Instalación o Instalaciones para tales fines, aunque Kyndryl no accederá a ningún centro de datos donde el Proveedor trate los Datos de Kyndryl a menos que tenga una buena razón para creer que con ello proporcionará alguna información relevante. El Proveedor cooperará con la verificación de Kyndryl, incluida la respuesta oportuna y de manera completa a las solicitudes de información, ya sea a través de documentos, otros registros, entrevistas con el Personal del Proveedor relevante o similares. El Proveedor puede ofrecer una prueba de cumplimiento de un código de conducta aprobado o una certificación del sector, o proporcionar información para demostrar el cumplimiento de estas Condiciones, para su consideración por parte de Kyndryl.
2.3 No se realizará una verificación más de una vez en un período de 12 meses, a menos que: (a) Kyndryl esté validando la resolución de sospechas del Proveedor derivada de una verificación previa durante el 12.º mes o (b) haya surgido un Incumplimiento de Seguridad y Kyndryl quiera verificar el cumplimiento de las obligaciones relevantes para la infracción. En cualquier caso, Kyndryl proporcionará la misma notificación previa por escrito de 30 días como se especifica en el Apartado 2.2 anterior, pero la urgencia de abordar un Incumplimiento de Seguridad puede requerir que Kyndryl realice una verificación con menos de 30 días de notificación previa por escrito.
2.4. Un regulador u otro Responsable del Tratamiento puede ejercer los mismos derechos que Kyndryl en los Apartados 2.2 y 2.3, bajo el supuesto de que un regulador puede ejercer cualquier derecho adicional que tenga según la legislación vigente.
2.5 Si Kyndryl tiene una base razonable para concluir que el Proveedor no cumple con ninguna de estas Condiciones (ya sea que dicha base surja de una verificación bajo estas Condiciones o no), el Proveedor corregirá de inmediato dicho incumplimiento.
3. Programa contra la Falsificación
3.1 Si los Entregables del Proveedor incluyen componentes electrónicos (por ejemplo, unidades de disco duro, unidades de estado sólido, memoria, unidades centrales de procesamiento, dispositivos lógicos o cables), el Proveedor mantendrá y seguirá un programa documentado de prevención de posibles falsificaciones para, en primer lugar, evitar que el Proveedor proporcione componentes falsificados a Kyndryl y, en segundo lugar, detectar y corregir de inmediato cualquier caso en que el Proveedor proporcione componentes falsificados por error a Kyndryl. El Proveedor impondrá esta misma obligación de mantener y seguir un programa documentado de prevención de posibles falsificaciones en todos sus proveedores que proporcionen componentes electrónicos incluidos en los Entregables del Proveedor a Kyndryl.
4. Resolución
4.1 Si el Proveedor no cumple con cualquiera de sus obligaciones en virtud de estas Condiciones, y ese incumplimiento causa un Incumplimiento de seguridad, el Proveedor corregirá la anomalía en su ejecución y corregirá el efecto nocivo del Incumplimiento de seguridad, con las instrucciones y el cronograma que Kyndryl estime razonables. Sin embargo, si el incumplimiento de seguridad surge del suministro por parte del Proveedor de un Servicio alojado de múltiples inquilinos y, en consecuencia, afecta a muchos clientes del Proveedor, incluida Kyndryl, entonces el Proveedor, dada la naturaleza del incumplimiento de seguridad, corregirá oportuna y adecuadamente la falla en su desempeño, y subsanar los efectos dañinos del incumplimiento de seguridad, al mismo tiempo que se presta la debida consideración a cualquier aportación de Kyndryl sobre dichas correcciones y subsanación. Sin perjuicio de lo anterior, el Proveedor deberá notificar a Kyndryl sin demoras injustificadas si ya no puede cumplir con las obligaciones establecidas por la ley de protección de datos aplicable.
4.2 Kyndryl tendrá derecho a participar en la reparación de cualquier incumplimiento de seguridad a la que se hace referencia en la Sección 4.1, según lo considere apropiado o necesario, y el Proveedor será responsable de sus costos y gastos para corregir su desempeño y de los costos y gastos de reparación que las partes deben incurrir con respecto a dicho incumplimiento de seguridad.
4.3 A modo de ejemplo, los costos y gastos de corrección asociados con un Incumplimiento de Seguridad podrían incluir los derivados de detectar e investigar un Incumplimiento de Seguridad, determinar las responsabilidades bajo la legislación y las normativas aplicables, proporcionar notificaciones de incumplimiento, establecer y mantener centros de atención telefónica, prestar Servicios de supervisión y restauración de crédito, recargar datos, corregir defectos del producto (incluido a través del Código fuente u otros desarrollos), retener a terceros para ayudar con las actividades anteriores u otras actividades relevantes, y otros costos y gastos que sean necesarios para corregir los efectos nocivos del Incumplimiento de Seguridad. Para mayor claridad, los costos y gastos de corrección no incluirían la pérdida de ganancias, negocios, valor, ingresos, previsiones o ahorros anticipados de Kyndryl.
-
Si es así, los Artículos IV (Medidas Técnicas y Organizativas, Seguridad del Código), V (Desarrollo Seguro), VIII (Medidas Técnicas y Organizativas, Seguridad General) y X (Cooperación, Verificación y Resolución) se aplican al acceso.
Ejemplos:
El Proveedor asume las responsabilidades de desarrollo de un producto de Kyndryl, y Kyndryl hace que su Código fuente esté accesible para el Proveedor para ese desarrollo.
El Proveedor está desarrollando el Código fuente propiedad de Kyndryl.
Artículo IV, Medidas Técnicas y Organizativas, Seguridad del Código
Este Artículo se aplica si el Proveedor tiene acceso al Código fuente de Kyndryl. El Proveedor cumplirá los requisitos de este Artículo y al hacerlo protegerá el Código fuente de Kyndryl frente a pérdida, destrucción, alteración, revelación accidental o no autorizada, acceso accidental o no autorizado y formas ilegales de Manejo. Los requisitos de este Artículo se extienden a todas las aplicaciones, plataformas e infraestructura de TI que el Proveedor opere o gestione para proporcionar Entregables y Servicios y en el Manejo de Tecnologías de Kyndryl, incluidos todos los entornos de desarrollo, prueba, alojamiento, soporte, operaciones y centros de datos.
1. Requisitos de Seguridad
Según su uso a continuación,
País prohibido significa cualquier país: (a) que el Gobierno de los Estados Unidos haya designado como adversario extranjero en virtud de la Orden Ejecutiva del 15 de mayo de 2019 sobre la Seguridad de la Cadena de Suministro de Tecnología y Servicios de Información y Comunicaciones, (b) listado conforme al Apartado 1654 de la Ley de Autorización de Defensa Nacional de los EE. UU. de 2019, o (c) identificado como "País Prohibido" en el Documento Transaccional.
1.1 El Proveedor no distribuirá ni pondrá ningún Código fuente de Kyndryl en depósito en beneficio de ningún tercero.
1.2 El Proveedor no permitirá que ningún Código fuente de Kyndryl resida en servidores ubicados en un País Prohibido. El Proveedor no permitirá a nadie, incluido su Personal, ubicado en un País Prohibido o que visite un País Prohibido (durante el plazo de dicha visita), por ningún motivo, acceder o utilizar cualquier Código fuente de Kyndryl, independientemente de dónde se encuentre el Código fuente de Kyndryl a nivel global, y el Proveedor no permitirá que se realicen desarrollos, pruebas u otros trabajos en un País Prohibido que requiera dicho acceso o uso.
1.3 El Proveedor no pondrá ni distribuirá el Código fuente de Kyndryl en ninguna jurisdicción donde la ley o la interpretación de la ley exijan la revelación del Código fuente a terceros. Si se produce un cambio de ley o de interpretación de la ley en una jurisdicción donde se encuentra el Código fuente de Kyndryl, que pueda obligar al Proveedor a revelar el Código fuente a un tercero, el Proveedor destruirá o eliminará inmediatamente el Código fuente de Kyndryl de dicha jurisdicción, y no pondrá ningún Código fuente de Kyndryl adicional en dicha jurisdicción si la ley o la interpretación de la ley sigue vigente.
1.4 El Proveedor no llevará a cabo, directa o indirectamente, ninguna acción, incluida la firma de un acuerdo, que pueda causar que el Proveedor, Kyndryl o cualquier tercero incurra en una obligación de revelación bajo los Apartados 1654 o 1655 de la Ley de Autorización de Defensa Nacional de EE. UU. de 2019. Para mayor claridad, salvo que se permita expresamente en el Documento Transaccional o el acuerdo base asociado entre las partes, el Proveedor no puede revelar el Código fuente de Kyndryl a ningún tercero, bajo ninguna circunstancia, sin el consentimiento previo por escrito de Kyndryl.
1.5 Si Kyndryl notifica al Proveedor, o un tercero notifica a cualquiera de las partes, que: (a) el Proveedor ha permitido que el Código fuente de Kyndryl se lleve a un País Prohibido o a cualquier jurisdicción sujeta al Apartado 1.3 anterior, (b) el Proveedor ha publicado, accedido o utilizado el Código fuente de Kyndryl de una manera no permitida por el Documento transaccional o la base asociada u otro acuerdo entre las partes o (c) el Proveedor ha infringido el Apartado 1.4 anterior, en consecuencia y sin limitar los derechos de Kyndryl para abordar dicho incumplimiento de forma legal o justa o según el Documento transaccional o la base asociada u otro acuerdo entre las partes: (i) si dicha notificación se realiza al Proveedor, el Proveedor compartirá de inmediato la notificación con Kyndryl; y (ii) el Proveedor, bajo directrices razonables de Kyndryl, investigará y corregirá el asunto bajo la programación que Kyndryl determine razonablemente (tras consultarlo con el Proveedor).
1.6 Si Kyndryl considera razonablemente que pueden ser necesarios cambios en las políticas, procedimientos, controles o prácticas del Proveedor con respecto al acceso al Código fuente para abordar la ciberseguridad, el robo de propiedad intelectual o riesgos similares o relacionados (incluido el riesgo de que la no aplicación de estos cambios suponga que Kyndryl no pueda vender a ciertos Clientes o en determinados mercados o no pueda satisfacer los requisitos de seguridad del cliente o de la cadena de suministro), Kyndryl puede ponerse en contacto con el Proveedor para debatir las acciones necesarias para abordar los riesgos, incluidos los cambios en dichas políticas, procedimientos, controles o prácticas. A petición de Kyndryl, el Proveedor cooperará con Kyndryl para evaluar si los cambios son necesarios y para implementar los cambios apropiados y mutuamente acordados.
---
Artículo V, Desarrollo Seguro
Este artículo aplica si el Proveedor proporcionará su Código fuente o el de terceros o software local a Kyndryl o alguno de los Entregables o Servicios del Proveedor se proporcionará a un Cliente de Kyndryl como parte de un producto o servicio de Kyndryl.
1. Preparación de la Seguridad
1.1 El Proveedor cooperará con procesos internos de Kyndryl que evalúan la preparación de la seguridad de los productos y servicios de Kyndryl que dependen de cualquiera de los Entregables del Proveedor, incluida la respuesta oportuna a las solicitudes de información, ya sea a través de documentos, otros registros, entrevistas del Personal del Proveedor relevante o similares.
2. Desarrollo seguro
2.1 Esta Sección 2 solo se aplica cuando el Proveedor proporciona software local a Kyndryl.
2.2 El Proveedor ha implementado y mantendrá durante la vigencia del Documento de Transacción, de acuerdo con las Prácticas Recomendadas de la Industria, la red, la plataforma, el sistema, la aplicación, el dispositivo, la infraestructura física, la respuesta a incidentes y las políticas, procedimientos y controles de seguridad enfocados en el Personal que son necesarios para proteger: (a) los sistemas y entornos de desarrollo, construcción, prueba y operaciones que el Proveedor o cualquier tercero contratado por el Proveedor opera, administra, utiliza o en los que se basa para o con respecto a los Entregables y (b) todos los Entregables código fuente contra pérdida, formas ilegales de manejo y acceso no autorizado, divulgación o alteración.
3. Certificación ISO 20243
3.1 Esta Sección 3 solo se aplica si cualquiera de los Entregables o Servicios del Proveedor se proporcionará a un Cliente de Kyndryl como parte de un producto o servicio de Kyndryl.
3.2 El Proveedor obtendrá una certificación de conformidad con ISO 20243, Tecnología de la Información, Proveedor de Tecnología de Confianza Abierta, Estándar TM (O-TTPS), Mitigación de productos malintencionados y falsificados (ya sea una certificación autoevaluada o una certificación basada en la evaluación de un auditor independiente de buena reputación). Como alternativa, si el Proveedor lo solicita por escrito y Kyndryl lo aprueba por escrito, el Proveedor obtendrá una certificación de conformidad con una norma del sector sustancialmente equivalente que aborde prácticas de cadena de suministro y desarrollo seguro (ya sea una certificación autoevaluada o una certificación basada en la evaluación de un auditor independiente de buena reputación, si Kyndryl lo aprueba).
3.3 El proveedor obtendrá la certificación de cumplimiento de ISO 20243 o una norma de la industria equivalente en lo sustancial (si Kyndryl lo aprueba por escrito) en un plazo de 180 días después de la fecha de entrada en vigencia del Documento transaccional
y renovará la certificación cada 12 meses a partir de entonces (cada renovación deberá tomar en cuenta la versión más reciente de la norma aplicable, es decir, ISO 20243 o, cuando Kyndryl lo haya aprobado por escrito, una norma de la industria equivalente en lo sustancial que aborde las prácticas de desarrollo seguro y de cadena de suministro).
3.4 El Proveedor, a petición, proporcionará a Kyndryl una copia de las certificaciones que está obligado a obtener, según los Apartados 2.1 y 2.2 anteriores.
4. Vulnerabilidades de Seguridad
Según su uso a continuación,
Corrección de error significa arreglos de defectos y revisiones que corrigen errores o deficiencias, incluyendo las Vulnerabilidades de Seguridad, en los Entregables.
Mitigación significa cualquier medio conocido para reducir o evitar los riesgos de una Vulnerabilidad de Seguridad.
Vulnerabilidad de seguridad significa un estado en el diseño, codificación, desarrollo, implementación, prueba, operación, soporte, mantenimiento o gestión de un Entregable que permite un ataque que puede dar como resultado la explotación o el acceso no autorizado, incluido: (a) acceso, control o interrupción de la operación de un sistema, (b) acceso, supresión, modificación o extracción de datos, o (c) cambios de identidad, autorizaciones o permisos de usuarios o administradores. Una Vulnerabilidad de Seguridad puede existir independientemente de si se le ha asignado un ID de Vulnerabilidades y Exposiciones Comunes (CVE) o cualquier otra puntuación o clasificación oficial.
4.1 El Proveedor declara y garantiza que: (a) utilizará Prácticas Recomendadas del Sector para identificar las Vulnerabilidades de Seguridad, incluido de forma continua la exploración de seguridad de aplicaciones de código fuente estático y dinámico, la exploración de seguridad de código abierto y la exploración de vulnerabilidades del sistema, y (b) cumplirá los requisitos de estas Condiciones para ayudar a evitar, detectar y corregir las Vulnerabilidades de Seguridad en los Entregables y en todas las aplicaciones, plataformas e infraestructuras de TI con las que el Proveedor cree y proporcione Servicios y Entregables.
4.2 Si el Proveedor tiene conocimiento de una Vulnerabilidad de Seguridad en un Entregable o en alguna de estas aplicaciones, plataformas e infraestructuras de TI, el Proveedor deberá proporcionar a Kyndryl una Mitigación y Corrección de Errores para todas las versiones y lanzamientos de los Entregables de acuerdo con los Niveles de Gravedad y periodos de tiempo que se definen en las tablas siguientes:
Nivel de Gravedad*
Vulnerabilidad de la seguridad de emergencia: es una Vulnerabilidad de la seguridad que constituye una amenaza grave y potencialmente global. Kyndryl designa las Vulnerabilidades de la seguridad de emergencia a su entera discreción, independientemente de su Puntuación base de CVSS.
Crítica: es una Vulnerabilidad de la seguridad con una Puntuación base de CVSS de 9 a 10,0.
Alta: una Vulnerabilidad de la seguridad con una Puntuación base de CVSS de 7,0 a 8,9.
Media: una Vulnerabilidad de la seguridad con una Puntuación base de CVSS de 4,0 a 6,9.
Baja: una Vulnerabilidad de la seguridad con una Puntuación base de CVSS de 0,0 a 3,9.
Plazos
Emergencia
Crítica
Alta
Media
Baja
4 días o menos, según determine la Oficina de Seguridad de la Información Principal de Kyndryl
30 días
30 días
90 días
Según la Prácticas Recomendadas del Sector
* En cualquier caso en que una Vulnerabilidad de la seguridad no tenga una Puntuación base de CVSS asignada de inmediato, el Proveedor aplicará un Nivel de gravedad apropiado a la naturaleza y las circunstancias de la vulnerabilidad.
4.3 Para una Vulnerabilidad de la seguridad que se haya revelado públicamente y para la que el Proveedor no haya proporcionado todavía a Kyndryl una Mitigación y Corrección de Errores, el Proveedor deberá implementar controles de seguridad adicionales viables desde el punto de vista técnico que puedan mitigar los riesgos de la vulnerabilidad.
4.4 Si Kyndryl no está satisfecho con la respuesta del Proveedor a cualquier Vulnerabilidad de la seguridad en un Entregable o en cualquier aplicación, plataforma o infraestructura mencionada anteriormente, sin perjuicio de cualquier otro derecho de Kyndryl, el Proveedor dispondrá lo necesario de inmediato para que Kyndryl pueda analizar sus inquietudes directamente con un vicepresidente o un ejecutivo equivalente del Proveedor que sea responsable de proporcionar la Corrección del error.
4.5 Entre los ejemplos de Vulnerabilidades de la seguridad están los códigos de terceros o los códigos fuente abiertos de fin de servicio (EOS), dado que estos tipos de código ya no reciben parches de seguridad.
---
Artículo VIII, Medidas Técnicas y Organizativas, Seguridad General
Este artículo se aplica si el Proveedor proporciona algún Servicio o Entregables a Kyndryl, a menos que el Proveedor solo tenga acceso a la BCI de Kyndryl para proporcionar esos Servicios y Entregables (por ejemplo, el Proveedor no tratará otros Datos de Kyndryl ni tendrá acceso a cualquier otro tipo de Materiales de Kyndryl o a cualquier sistema corporativo), los únicos Servicios y Entregables del Proveedor consisten en entregar Software Local a Kyndryl, o el Proveedor proporciona todos sus Servicios y Entregables bajo un modelo de aumento de personal de conformidad con el Artículo VII, incluida su Sección 1.7.
El Proveedor cumplirá los requisitos de este Artículo y al hacerlo protegerá: (a) los Materiales de Kyndryl contra pérdida, destrucción, alteración, revelación accidental o no autorizada, y accidental o acceso no autorizado, (b) los Datos de Kyndryl frente a formas ilegales de procesamiento y (c) la Tecnología de Kyndryl frente a formas ilegales de Manejo. Los requisitos de este Artículo se extienden a todas las aplicaciones, plataformas e infraestructura de TI que el Proveedor opere o gestione para proporcionar Entregables y Servicios y en el Manejo de Tecnologías de Kyndryl, incluidos todos los entornos de desarrollo, prueba, alojamiento, soporte, operaciones y centros de datos.
1. Políticas de Seguridad
1.1 El Proveedor mantendrá y seguirá las políticas y prácticas relativas a la seguridad de TI que formen parte del negocio del Proveedor, sean obligatorias para todos los empleados del Proveedor y sean coherentes con las Prácticas Recomendadas del Sector.
1.2 El Proveedor revisará sus políticas y prácticas de seguridad de TI como mínimo una vez al año y realizará modificaciones de las mismas según sea necesario para proteger los Materiales de Kyndryl.
1.3 El Proveedor actualizará y seguirá sus requisitos obligatorios de verificación de empleabilidad en las nuevas contrataciones y ampliará tales requisitos a todo el Personal del Proveedor y a las filiales bajo propiedad integral del Proveedor. Dichos requisitos incluirán comprobaciones de antecedentes penales, según lo permitido por la legislación vigente, la validación de la prueba de identidad y las comprobaciones adicionales que el Proveedor estime oportunas. El Proveedor repetirá y revalidará estos requisitos periódicamente, según considere necesario.
1.4 El Proveedor proporcionará una formación sobre seguridad y privacidad a sus empleados anualmente, y requerirá que todos los empleados certifiquen cada año que van a cumplir con las políticas éticas del Proveedor respecto a la conducta empresarial, la confidencialidad y la seguridad, como se establece en el código de conducta del Proveedor o en documentos similares. El Proveedor proporcionará una formación complementaria sobre procesos y políticas al personal con acceso administrativo a los componentes de los Servicios, Entregables o Materiales de Kyndryl, que será específica para su función y el soporte de los Servicios, Entregables y Materiales de Kyndryl, y necesaria para mantener la conformidad y las certificaciones necesarias.
1.5 El Proveedor diseñará medidas de seguridad y privacidad para proteger y mantener la disponibilidad de los Materiales de Kyndryl, incluido mediante su implementación, mantenimiento y cumplimiento de las políticas y los procedimientos que requieren privacidad y seguridad por diseño, ingeniería segura y operaciones seguras, para todos los Servicios y Entregables y para todo el Manejo de Tecnologías de Kyndryl.
2. Incidentes de Seguridad
2.1 El Proveedor mantendrá y seguirá las políticas de respuesta a incidentes conforme a las Prácticas Recomendadas del Sector para la administración de incidentes de seguridad informática.
2.2 El Proveedor investigará cualquier acceso no autorizado o uso no autorizado de los Materiales de Kyndryl y definirá y ejecutará un plan de respuesta adecuado.
2.3 Cuando el Proveedor tome conocimiento de cualquier Incumplimiento de Seguridad, notificará de inmediato a Kyndryl (en ningún caso deberá hacerlo después de las 48 horas). El Proveedor enviará dicha notificación a cyber.incidents@kyndryl.com. El Proveedor proporcionará a Kyndryl la información solicitada de manera razonable sobre dicha infracción y el estado de las actividades de corrección y restauración que haya emprendido. A modo de ejemplo, la información solicitada razonablemente puede incluir registros que demuestren acceso privilegiado, administrativo y de otro tipo a Dispositivos, sistemas o aplicaciones, imágenes forenses de Dispositivos, sistemas o aplicaciones y otros elementos similares, en la medida que sean relevantes con la infracción o las actividades de reparación y restauración del Proveedor.
2.4 El Proveedor proporcionará asistencia razonable a Kyndryl en el cumplimiento de las obligaciones legales (incluida la obligación de notificar a los reguladores o los titulares de datos) de Kyndryl, las filiales de Kyndryl y los Clientes (y sus respectivos clientes y filiales) en relación con un Incumplimiento de Seguridad.
2.5 El Proveedor no informará ni notificará a ningún tercero que un Incumplimiento de seguridad se relacione directa o indirectamente con Kyndryl o Materiales de Kyndryl a menos que Kyndryl lo apruebe por escrito o cuando así lo exija la ley. El Proveedor notificará a Kyndryl por escrito antes de distribuir cualquier notificación requerida legalmente a cualquier tercero, donde la notificación revelaría directa o indirectamente la identidad de Kyndryl.
2.6 En caso de producirse un Incumplimiento de Seguridad que surja del incumplimiento por parte del Proveedor de cualquier obligación bajo estas Condiciones:
(a) el Proveedor será responsable de los costos incurridos por el Proveedor, así como de los costos reales en que incurra Kyndryl, al notificar el Incumplimiento de Seguridad a los reguladores correspondientes, otros organismos gubernamentales y los organismos autorreguladores de la industria pertinente, los medios (si lo requiere la legislación aplicable), titulares de datos, Clientes, etc.,
(b) si Kyndryl lo solicita, el Proveedor establecerá y mantendrá a su cargo un centro de atención telefónica para responder a las preguntas de los titulares de datos sobre el Incumplimiento de Seguridad y sus consecuencias, durante 1 año después de la fecha en que dichos titulares de datos hayan sido notificados acerca del Incumplimiento de Seguridad, o según lo requiera cualquier legislación de protección de datos aplicable, lo que brinde mayor protección. Kyndryl y el Proveedor trabajarán juntos para crear los scripts y otros materiales que utilizará el personal del centro de atención telefónica para responder a las consultas. Alternativamente, mediante notificación escrita al Proveedor, Kyndryl puede establecer y mantener su propio centro de atención telefónica, en lugar de que lo establezca el Proveedor, y el Proveedor reembolsará a Kyndryl los costos reales en que incurra Kyndryl para establecer y mantener dicho centro de atención telefónica, y
(c) el Proveedor reembolsará a Kyndryl los costos reales en que incurra Kyndryl al prestar Servicios de supervisión y restauración de crédito durante 1 año después de la fecha en que las personas afectadas por el Incumplimiento que elijan registrarse para recibir estos servicios hayan sido notificadas acerca del Incumplimiento de Seguridad, o según lo requiera cualquier legislación de protección de datos aplicable, lo que brinde mayor protección.
3. Seguridad física y Control de entrada (como se usa a continuación, "Instalaciones" significa una ubicación física donde el Proveedor hospeda, procesa o accede de otro modo a Materiales de Kyndryl).
3.1 El Proveedor efectuará los controles de entrada física adecuados, como barreras, puntos de entrada controlados con tarjeta, cámaras de vigilancia y recepcionistas, para impedir la entrada no autorizada a las Instalaciones.
3.2 El Proveedor requerirá una aprobación autorizada para acceder a las Instalaciones y áreas controladas dentro de las Instalaciones, incluido cualquier acceso temporal, y limitará el acceso según la función profesional y la necesidad empresarial. Si el Proveedor otorga acceso temporal, su empleado autorizado escoltará al visitante mientras esté en las Instalaciones y las áreas controladas.
3.3 El Proveedor implementará controles de acceso físico, incluidos los controles de acceso de varios factores que serán coherentes con las Prácticas Recomendadas del Sector, para restringir adecuadamente la entrada a las áreas controladas dentro de las Instalaciones, registrará todos los intentos de entrada y guardará dichos registros durante un año como mínimo.
3.4 El Proveedor revocará el acceso a las Instalaciones y áreas controladas dentro de las Instalaciones (a) tras la separación de un empleado autorizado del Proveedor o (b) cuando el empleado autorizado del Proveedor ya no tenga una necesidad empresarial de acceso. El Proveedor llevará a cabo los procedimientos formales de terminación de la relación laboral que incluyen la eliminación de las listas de control de acceso y la devolución de los identificadores de acceso físicos.
3.5 El Proveedor tomará precauciones para proteger toda la infraestructura física utilizada para dar soporte a los Servicios y Entregables y el Manejo de Tecnologías de Kyndryl frente a amenazas medioambientales, tanto naturales como artificiales, como temperatura ambiental excesiva, incendios, inundaciones, humedad, robo y vandalismo.
4. Acceso, Intervención, Transferencia y Control de Segregación de Funciones
4.1 El Proveedor mantendrá la arquitectura de seguridad documentada de las redes que gestiona en su operativa de los Servicios, su provisión de Entregables y su Manejo de Tecnologías de Kyndryl. El Proveedor revisará de forma independiente la arquitectura de red y utilizará medidas para evitar las conexiones de red no autorizadas a sistemas, aplicaciones y dispositivos de red, para el cumplimiento de las normas de segmentación segura, aislamiento y defensa en profundidad. El Proveedor no puede utilizar tecnología inalámbrica en sus alojamientos y operaciones de Servicios Hospedados; de lo contrario, el Proveedor puede utilizar tecnología de red inalámbrica en su prestación de los Servicios y los Entregables y en su Manejo de Tecnologías de Kyndryl, pero el Proveedor deberá cifrar y requerir una autenticación segura para dichas redes inalámbricas.
4.2 El Proveedor actualizará las medidas diseñadas para separar lógicamente e impedir la exposición o el acceso a Materiales de Kyndryl de personas no autorizadas. Asimismo, el Proveedor mantendrá un aislamiento adecuado de sus entornos productivos y no productivos u otros entornos y, si los Materiales de Kyndryl ya existen en un entorno no productivo o se transfieren posteriormente a un entorno no productivo (por ejemplo, para reproducir un error), el Proveedor se asegurará de que las protecciones de seguridad y privacidad en el entorno no productivo sean equivalentes a las del productivo.
4.3 El Proveedor cifrará los Materiales de Kyndryl en tránsito y en reposo (a menos que el Proveedor demuestre de forma razonable a Kyndryl que el cifrado de los Materiales de Kyndryl en reposo es técnicamente inviable). El Proveedor también cifrará todos los soportes físicos, si existen, como los que contienen archivos de copia de seguridad. El Proveedor actualizará los procedimientos documentados para la generación, emisión, distribución, almacenamiento, rotación, revocación, recuperación, copia de seguridad, destrucción, acceso y uso de claves seguras asociados con el cifrado de datos. El Proveedor se asegurará de que los métodos criptográficos específicos utilizados para dicho cifrado se alineen con las Prácticas Recomendadas del Sector como, por ejemplo, NIST SP 800-131a.
4.4 Si el Proveedor requiere acceso a Materiales de Kyndryl, el Proveedor restringirá y limitará dicho acceso al nivel mínimo necesario para la prestación y el soporte de los Servicios y los Entregables. El Proveedor requerirá que dicho acceso, incluido el acceso administrativo a los componentes subyacentes (por ejemplo, acceso con privilegios), será individual, se basará en cargos y estará sujeto a aprobación y validación regular por parte del Personal del Proveedor autorizado conforme a los principios de separación de funciones. El Proveedor mantendrá medidas adecuadas para identificar y eliminar cuentas redundantes e iniciativas. El Proveedor también revocará las cuentas con acceso privilegiado dentro del plazo de veinticuatro (24) horas posteriores a la separación del titular de la cuenta o a la solicitud por parte de Kyndryl o cualquier empleado del Proveedor autorizado, como el director del titular de la cuenta.
4.5 De conformidad con las Prácticas Recomendadas del Sector, el Proveedor mantendrá medidas técnicas que impongan tiempo de espera en sesiones inactivas, bloqueo de cuentas tras diversos intentos fallidos de inicio de sesión, autenticación con contraseña o frase de contraseña fuerte, así como medidas que requieran la transferencia y el almacenamiento seguros de estas contraseñas y frases de contraseñas. Asimismo, el Proveedor utilizará la autenticación de multifactores para todo acceso con privilegios no basado en contraseña a los Materiales de Kyndryl.
4.6 El Proveedor supervisará el uso del acceso con privilegios y mantendrá la información de seguridad y las medidas de gestión de eventos diseñadas para (a) identificar la actividad y el acceso no autorizados; (b) facilitar una respuesta adecuada y oportuna a la actividad y el acceso no autorizados; y (c) habilitar las auditorías del Proveedor, Kyndryl (de acuerdo con sus derechos de verificación de estas Condiciones y derechos de auditoría de este Documento Transaccional o base asociada u otro acuerdo relacionado entre las partes) y otros de acuerdo con la política documentada del Proveedor.
4.7 El Proveedor mantendrá registros en los que incorporará, de conformidad con las Prácticas Recomendadas del Sector, todos los accesos o actividades administrativas, de usuarios o de otro tipo para o con respecto a los sistemas utilizados para prestar Servicios o Entregables y en el Manejo de Tecnologías de Kyndryl (y proporcionará esos registros a Kyndryl, a petición). El Proveedor mantendrá medidas diseñadas para la protección en caso de acceso no autorizado, modificación y destrucción accidental o deliberada de estos registros.
4.8 El Proveedor mantendrá medidas informáticas de protección para los sistemas que posee o gestiona, incluidos los sistemas de usuario final, y que utilice para prestar Servicios o Entregables o en el Manejo de Tecnologías de Kyndryl, y estas medidas de protección incluirán lo siguiente: los cortafuegos de puntos finales, el cifrado de disco completo, las tecnologías de detección y respuesta de punto final basadas en firmas y no basadas en firmas para detectar malware y amenazas persistentes avanzadas, los bloqueos de pantalla basados en tiempo y las soluciones de gestión de puntos finales que impongan tanto la configuración de seguridad como los requisitos de parches. Asimismo, el Proveedor implementará controles técnicos y operativos que garanticen que solo los sistemas de usuario final conocidos y de confianza puedan utilizar las redes del Proveedor.
4.9 De conformidad con las Prácticas Recomendadas del Sector, el Proveedor mantendrá protecciones para los entornos de centro de datos donde existan o se traten Materiales de Kyndryl. Dichas protecciones incluyen detección y prevención de intrusiones, y mitigación y contramedidas de ataques de denegación de servicio.
5. Integridad de Sistemas y Servicio y Control de Disponibilidad
5.1 El Proveedor (a) realizará evaluaciones de riesgos de seguridad y evaluación de vulnerabilidades al menos una vez al año, (b) llevará a cabo pruebas de intrusión y evaluaciones de vulnerabilidades, incluido el escaneo de seguridad automatizado de aplicaciones y sistemas y los pirateos éticos manuales, antes del lanzamiento en producción y anualmente a partir del mismo, (c) presentará un tercero independiente y cualificado para la realización de pruebas de penetración coherentes con las Prácticas Recomendadas del Sector al menos una vez al año, y estas pruebas incluirán pruebas manuales y automatizadas, (d) efectuará tareas de gestión automatizada y verificación rutinaria del cumplimiento de los requisitos de la configuración de seguridad de cada componente de los Servicios y los Entregables con respecto a su Manejo de Tecnologías de Kyndryl; y (e) corregirá las vulnerabilidades identificadas o el incumplimiento de los requisitos de la configuración de seguridad según el riesgo asociado, la posibilidad de explotación y el impacto. El Proveedor llevará a cabo los pasos razonables para evitar la interrupción de los Servicios durante la realización de las pruebas, evaluaciones y escaneos, así como durante la ejecución de las actividades de corrección. Si Kyndryl lo solicita, el Proveedor proporcionará a Kyndryl un resumen escrito de las actividades de pruebas de intrusión más recientes del Proveedor, cuyo informe incluirá como mínimo el nombre de las ofertas cubiertas por la prueba, el número de sistemas o aplicaciones en ámbito para las pruebas, las fechas de las pruebas, las metodologías utilizas en ellas y un resumen de alto nivel de los resultados.
5.2 El Proveedor mantendrá sus políticas y procedimientos diseñados para gestionar los riesgos asociados con la aplicación de cambios a los Servicios o Entregables o al Manejo de Tecnologías de Kyndryl. Antes de implementar dicho cambio, incluidos los sistemas, las redes y los componentes subyacentes afectados, el Proveedor documentará en una solicitud de cambio registrada: (a) una descripción y el motivo del cambio, (b) detalles y programación de implementación, (c) una declaración de riesgo que aborde el impacto en los Servicios y Entregables, clientes de los Servicios o Materiales de Kyndryl, (d) el resultado esperado, (e) plan de reversión y (f) aprobación por parte de los empleados autorizados del Proveedor.
5.3 El Proveedor mantendrá un inventario de todos los activos de TI que utiliza para operar los Servicios, proporcionar Entregables y el Manejo de Tecnologías de Kyndryl. El Proveedor supervisará y gestionará de forma continuada el estado (incluida la capacidad) y la disponibilidad de dichos activos de TI, Servicios, Entregables y Tecnologías de Kyndryl, incluidos los componentes subyacentes de dichos activos, Servicios, Entregables y Tecnologías de Kyndryl.
5.4 El Proveedor construirá todos los sistemas que utiliza en el desarrollo o la operación de Servicios y Entregables y en el Manejo de Tecnologías de Kyndryl a partir de líneas base de seguridad o imágenes de seguridad del sistema predefinidas, que cumplirán las Prácticas Recomendadas del Sector, como los indicadores del Centro de Seguridad de Internet (CIS).
5.5 Sin limitación de las obligaciones del Proveedor o los derechos de Kyndryl bajo el Documento Transaccional o el acuerdo base asociado entre las partes con respecto a la continuidad del negocio, el Proveedor evaluará por separado cada Servicio y Entregable y cada sistema de TI utilizado en el Manejo de Tecnologías de Kyndryl en relación con los requisitos de continuidad empresarial y TI y la recuperación tras desastre ("disaster recovery") de conformidad con las directrices documentadas de gestión de riesgos. El Proveedor garantizará que cada Servicio, Entregable y sistema de TI tenga, en la medida en que se especifique en la evaluación de riesgos, planes de recuperación tras desastre y continuidad del negocio validados anualmente, mantenidos, documentados y definidos por separado conforme a las Prácticas Recomendadas del Sector. El Proveedor garantizará que dichos planes estén diseñados para ofrecer los tiempos de recuperación que se establecen en el Apartado 5.6, a continuación.
5.6 Los objetivos de punto de recuperación específicos ("RPO”) y los objetivos de tiempo de recuperación (“RTO”) en relación con un Servicio Alojado son: 24 horas de RPO y 24 horas de RTO; no obstante, el Proveedor cumplirá con cualquier RPO o RTO de menor duración para el que Kyndryl se haya comprometido con un Cliente, inmediatamente después de que Kyndryl notifique al Proveedor por escrito dicho RPO o RTO de menor duración (un correo electrónico se considera por escrito). En lo que respecta a los demás Servicios proporcionados por el Proveedor a Kyndryl, el Proveedor garantizará que sus planes de continuidad empresarial y recuperación tras desastre estén diseñados para proporcionar un RPO y RTO que permitan al Proveedor cumplir todas sus obligaciones con Kyndryl bajo este Documento Transaccional y el acuerdo base asociado entre las partes, y estas Condiciones, incluidas sus obligaciones de proporcionar pruebas, soporte y mantenimiento.
5.7 El Proveedor mantendrá medidas diseñadas para evaluar, probar y aplicar parches de advertencia de seguridad a los Servicios y Entregables y sus sistemas, redes, aplicaciones y componentes subyacentes asociados en el ámbito de dichos Servicios y Entregables, así como los sistemas, redes, aplicaciones y componentes subyacentes utilizados en el Manejo de Tecnologías de Kyndryl. Tras determinar que un parche de advertencia de seguridad es aplicable y adecuado, el Proveedor implementará dicho parche conforme con las directrices documentadas de evaluación del riesgo y la gravedad. La implementación del Proveedor de parches de advertencia de seguridad estará sujeta a su política de gestión de cambios.
5.8 Si Kyndryl tiene una base razonable para considerar que el hardware o el software que el Proveedor proporciona a Kyndryl puede contener elementos intrusivos, como spyware, malware o código malicioso, el Proveedor cooperará oportunamente con Kyndryl en la investigación y solución de las sospechas de Kyndryl.
6. Aprovisionamiento de Servicio
6.1 El Proveedor dará soporte a los métodos comunes de autenticación federada del sector para cualquier cuenta de usuario o Cliente de Kyndryl, y el Proveedor seguirá las Prácticas Recomendadas del Sector en la autenticación de dichas cuentas de Usuario o Cliente de Kyndryl (como el inicio de sesión único de diversos factores de gestión centralizada de Kyndryl, utilizando OpenID Connect o SAML).
7. Subcontratistas. Sin limitación de las obligaciones del Proveedor o los derechos de Kyndryl bajo el Documento Transaccional o el acuerdo base asociado entre las partes con respecto a la retención de subcontratistas, el Proveedor se asegurará de que cualquier subcontratista que realice trabajos para el Proveedor haya instituido controles de gestión para cumplir los requisitos y obligaciones que estas Condiciones imponen al Proveedor.
8. Soporte Físico. El Proveedor saneará de forma segura los soportes físicos para su reutilización antes de dicha reutilización y destruirá los soportes físicos que se van a reutilizar, de conformidad con las Prácticas Recomendadas del Sector para el saneamiento de soportes.
Artículo X, Cooperación, Verificación y Resolución
Este artículo se aplica si el Proveedor proporciona algún Servicio o Entregable a Kyndryl.
1. Cooperación del Proveedor
1.1 Si Kyndryl tiene motivos para sospechar que algún Servicio o Entregable puede haber contribuido, está contribuyendo o contribuirá a algún problema de ciberseguridad, el Proveedor cooperará con cualquier consulta de Kyndryl con respecto a dicha sospecha, incluida una respuesta oportuna y de manera completa a las solicitudes de información, ya sea a través de documentos, otros registros, entrevistas al Personal del Proveedor relevante o similares.
1.2 Las partes acuerdan: (a) proporcionarse, a petición, entre sí dicha información adicional, (b) ejecutar y entregarse mutuamente cualquier otro tipo de documentación, y (c) llevar a cabo otras acciones, todo aquello que la otra parte pueda razonablemente solicitar con el fin de ejecutar la intencionalidad de estas Condiciones y los documentos mencionados en estas Condiciones. Por ejemplo, si Kyndryl lo solicita, el Proveedor proporcionará oportunamente las condiciones centradas en la privacidad y la seguridad de sus contratos escritos con Subencargados del Tratamiento y subcontratistas, incluida, cuando el Proveedor tenga derecho a hacerlo, la concesión de acceso a los contratos en sí.
1.3 Si Kyndryl lo solicita, el Proveedor proporcionará oportunamente información sobre los países donde se fabricaron, desarrollaron u obtuvieron de otro modo sus Entregables y los componentes de los Entregables.
2. Verificación (como se usa a continuación, "Instalación" significa una ubicación física donde el Proveedor hospeda, procesa o accede a los Materiales de Kyndryl)
2.1 El Proveedor mantendrá un registro auditable que demuestre la conformidad con estas Condiciones.
2.2 Kyndryl, propiamente o mediante un auditor externo, puede, con 30 días de notificación previa por escrito al Proveedor, verificar la conformidad del Proveedor con estas Condiciones, incluido el acceso a cualquier Instalación o Instalaciones para tales fines, aunque Kyndryl no accederá a ningún centro de datos donde el Proveedor trate los Datos de Kyndryl a menos que tenga una buena razón para creer que con ello proporcionará alguna información relevante. El Proveedor cooperará con la verificación de Kyndryl, incluida la respuesta oportuna y de manera completa a las solicitudes de información, ya sea a través de documentos, otros registros, entrevistas con el Personal del Proveedor relevante o similares. El Proveedor puede ofrecer una prueba de cumplimiento de un código de conducta aprobado o una certificación del sector, o proporcionar información para demostrar el cumplimiento de estas Condiciones, para su consideración por parte de Kyndryl.
2.3 No se realizará una verificación más de una vez en un período de 12 meses, a menos que: (a) Kyndryl esté validando la resolución de sospechas del Proveedor derivada de una verificación previa durante el 12.º mes o (b) haya surgido un Incumplimiento de Seguridad y Kyndryl quiera verificar el cumplimiento de las obligaciones relevantes para la infracción. En cualquier caso, Kyndryl proporcionará la misma notificación previa por escrito de 30 días como se especifica en el Apartado 2.2 anterior, pero la urgencia de abordar un Incumplimiento de Seguridad puede requerir que Kyndryl realice una verificación con menos de 30 días de notificación previa por escrito.
2.4. Un regulador u otro Responsable del Tratamiento puede ejercer los mismos derechos que Kyndryl en los Apartados 2.2 y 2.3, bajo el supuesto de que un regulador puede ejercer cualquier derecho adicional que tenga según la legislación vigente.
2.5 Si Kyndryl tiene una base razonable para concluir que el Proveedor no cumple con ninguna de estas Condiciones (ya sea que dicha base surja de una verificación bajo estas Condiciones o no), el Proveedor corregirá de inmediato dicho incumplimiento.
3. Programa contra la Falsificación
3.1 Si los Entregables del Proveedor incluyen componentes electrónicos (por ejemplo, unidades de disco duro, unidades de estado sólido, memoria, unidades centrales de procesamiento, dispositivos lógicos o cables), el Proveedor mantendrá y seguirá un programa documentado de prevención de posibles falsificaciones para, en primer lugar, evitar que el Proveedor proporcione componentes falsificados a Kyndryl y, en segundo lugar, detectar y corregir de inmediato cualquier caso en que el Proveedor proporcione componentes falsificados por error a Kyndryl. El Proveedor impondrá esta misma obligación de mantener y seguir un programa documentado de prevención de posibles falsificaciones en todos sus proveedores que proporcionen componentes electrónicos incluidos en los Entregables del Proveedor a Kyndryl.
4. Resolución
4.1 Si el Proveedor no cumple con cualquiera de sus obligaciones en virtud de estas Condiciones, y ese incumplimiento causa un Incumplimiento de seguridad, el Proveedor corregirá la anomalía en su ejecución y corregirá el efecto nocivo del Incumplimiento de seguridad, con las instrucciones y el cronograma que Kyndryl estime razonables. Sin embargo, si el incumplimiento de seguridad surge del suministro por parte del Proveedor de un Servicio alojado de múltiples inquilinos y, en consecuencia, afecta a muchos clientes del Proveedor, incluida Kyndryl, entonces el Proveedor, dada la naturaleza del incumplimiento de seguridad, corregirá oportuna y adecuadamente la falla en su desempeño, y subsanar los efectos dañinos del incumplimiento de seguridad, al mismo tiempo que se presta la debida consideración a cualquier aportación de Kyndryl sobre dichas correcciones y subsanación. Sin perjuicio de lo anterior, el Proveedor deberá notificar a Kyndryl sin demoras injustificadas si ya no puede cumplir con las obligaciones establecidas por la ley de protección de datos aplicable.
4.2 Kyndryl tendrá derecho a participar en la reparación de cualquier incumplimiento de seguridad a la que se hace referencia en la Sección 4.1, según lo considere apropiado o necesario, y el Proveedor será responsable de sus costos y gastos para corregir su desempeño y de los costos y gastos de reparación que las partes deben incurrir con respecto a dicho incumplimiento de seguridad.
4.3 A modo de ejemplo, los costos y gastos de corrección asociados con un Incumplimiento de Seguridad podrían incluir los derivados de detectar e investigar un Incumplimiento de Seguridad, determinar las responsabilidades bajo la legislación y las normativas aplicables, proporcionar notificaciones de incumplimiento, establecer y mantener centros de atención telefónica, prestar Servicios de supervisión y restauración de crédito, recargar datos, corregir defectos del producto (incluido a través del Código fuente u otros desarrollos), retener a terceros para ayudar con las actividades anteriores u otras actividades relevantes, y otros costos y gastos que sean necesarios para corregir los efectos nocivos del Incumplimiento de Seguridad. Para mayor claridad, los costos y gastos de corrección no incluirían la pérdida de ganancias, negocios, valor, ingresos, previsiones o ahorros anticipados de Kyndryl.
-
Si es así, cuando el Proveedor proporcione su Código fuente o el de un tercero a Kyndryl, o cuando cualquiera de los Entregables o Servicios del Proveedor se proporcione a un Cliente de Kyndryl como parte de un producto o servicio de Kyndryl, se aplican los Artículos V (Desarrollo seguro), VIII (Medidas Técnicas y Organizativas, Seguridad General) y X (Cooperación, Verificación y Resolución).
Cuando el Proveedor solo proporciona Software local a Kyndryl, se aplican los Artículos V (Desarrollo seguro) y X (Cooperación, Verificación y Resolución).
Ejemplos:
El Proveedor está desarrollando un Código fuente que será propiedad del Proveedor para un producto que Kyndryl comercializará y venderá.
El Proveedor está otorgando la licencia de un programa de software a Kyndryl para uso local de Kyndryl.
Kyndryl renueva la marca de un Servicio alojado por el Proveedor, que el Proveedor alojará y gestionará, como producto o servicio de Kyndryl.
Nota: El Artículo VIII (Medidas Técnicas y Organizativas, Seguridad General) también se aplicará a un Proveedor que proporcione Software en las instalaciones a Kyndryl, si las otras características de un acuerdo hacen que se aplique el Artículo VIII (por ejemplo, cuando el Proveedor tiene acceso a información adicional a la BCI, como los Datos personales o los Datos no personales de Kyndryl).
Artículo V, Desarrollo Seguro
Este artículo aplica si el Proveedor proporcionará su Código fuente o el de terceros o software local a Kyndryl o alguno de los Entregables o Servicios del Proveedor se proporcionará a un Cliente de Kyndryl como parte de un producto o servicio de Kyndryl.
1. Preparación de la Seguridad
1.1 El Proveedor cooperará con procesos internos de Kyndryl que evalúan la preparación de la seguridad de los productos y servicios de Kyndryl que dependen de cualquiera de los Entregables del Proveedor, incluida la respuesta oportuna a las solicitudes de información, ya sea a través de documentos, otros registros, entrevistas del Personal del Proveedor relevante o similares.
2. Desarrollo seguro
2.1 Esta Sección 2 solo se aplica cuando el Proveedor proporciona software local a Kyndryl.
2.2 El Proveedor ha implementado y mantendrá durante la vigencia del Documento de Transacción, de acuerdo con las Prácticas Recomendadas de la Industria, la red, la plataforma, el sistema, la aplicación, el dispositivo, la infraestructura física, la respuesta a incidentes y las políticas, procedimientos y controles de seguridad enfocados en el Personal que son necesarios para proteger: (a) los sistemas y entornos de desarrollo, construcción, prueba y operaciones que el Proveedor o cualquier tercero contratado por el Proveedor opera, administra, utiliza o en los que se basa para o con respecto a los Entregables y (b) todos los Entregables código fuente contra pérdida, formas ilegales de manejo y acceso no autorizado, divulgación o alteración.
3. Certificación ISO 20243
3.1 Esta Sección 3 solo se aplica si cualquiera de los Entregables o Servicios del Proveedor se proporcionará a un Cliente de Kyndryl como parte de un producto o servicio de Kyndryl.
3.2 El Proveedor obtendrá una certificación de conformidad con ISO 20243, Tecnología de la Información, Proveedor de Tecnología de Confianza Abierta, Estándar TM (O-TTPS), Mitigación de productos malintencionados y falsificados (ya sea una certificación autoevaluada o una certificación basada en la evaluación de un auditor independiente de buena reputación). Como alternativa, si el Proveedor lo solicita por escrito y Kyndryl lo aprueba por escrito, el Proveedor obtendrá una certificación de conformidad con una norma del sector sustancialmente equivalente que aborde prácticas de cadena de suministro y desarrollo seguro (ya sea una certificación autoevaluada o una certificación basada en la evaluación de un auditor independiente de buena reputación, si Kyndryl lo aprueba).
3.3 El proveedor obtendrá la certificación de cumplimiento de ISO 20243 o una norma de la industria equivalente en lo sustancial (si Kyndryl lo aprueba por escrito) en un plazo de 180 días después de la fecha de entrada en vigencia del Documento transaccional
y renovará la certificación cada 12 meses a partir de entonces (cada renovación deberá tomar en cuenta la versión más reciente de la norma aplicable, es decir, ISO 20243 o, cuando Kyndryl lo haya aprobado por escrito, una norma de la industria equivalente en lo sustancial que aborde las prácticas de desarrollo seguro y de cadena de suministro).
3.4 El Proveedor, a petición, proporcionará a Kyndryl una copia de las certificaciones que está obligado a obtener, según los Apartados 2.1 y 2.2 anteriores.
4. Vulnerabilidades de Seguridad
Según su uso a continuación,
Corrección de error significa arreglos de defectos y revisiones que corrigen errores o deficiencias, incluyendo las Vulnerabilidades de Seguridad, en los Entregables.
Mitigación significa cualquier medio conocido para reducir o evitar los riesgos de una Vulnerabilidad de Seguridad.
Vulnerabilidad de seguridad significa un estado en el diseño, codificación, desarrollo, implementación, prueba, operación, soporte, mantenimiento o gestión de un Entregable que permite un ataque que puede dar como resultado la explotación o el acceso no autorizado, incluido: (a) acceso, control o interrupción de la operación de un sistema, (b) acceso, supresión, modificación o extracción de datos, o (c) cambios de identidad, autorizaciones o permisos de usuarios o administradores. Una Vulnerabilidad de Seguridad puede existir independientemente de si se le ha asignado un ID de Vulnerabilidades y Exposiciones Comunes (CVE) o cualquier otra puntuación o clasificación oficial.
4.1 El Proveedor declara y garantiza que: (a) utilizará Prácticas Recomendadas del Sector para identificar las Vulnerabilidades de Seguridad, incluido de forma continua la exploración de seguridad de aplicaciones de código fuente estático y dinámico, la exploración de seguridad de código abierto y la exploración de vulnerabilidades del sistema, y (b) cumplirá los requisitos de estas Condiciones para ayudar a evitar, detectar y corregir las Vulnerabilidades de Seguridad en los Entregables y en todas las aplicaciones, plataformas e infraestructuras de TI con las que el Proveedor cree y proporcione Servicios y Entregables.
4.2 Si el Proveedor tiene conocimiento de una Vulnerabilidad de Seguridad en un Entregable o en alguna de estas aplicaciones, plataformas e infraestructuras de TI, el Proveedor deberá proporcionar a Kyndryl una Mitigación y Corrección de Errores para todas las versiones y lanzamientos de los Entregables de acuerdo con los Niveles de Gravedad y periodos de tiempo que se definen en las tablas siguientes:
Nivel de Gravedad*
Vulnerabilidad de la seguridad de emergencia: es una Vulnerabilidad de la seguridad que constituye una amenaza grave y potencialmente global. Kyndryl designa las Vulnerabilidades de la seguridad de emergencia a su entera discreción, independientemente de su Puntuación base de CVSS.
Crítica: es una Vulnerabilidad de la seguridad con una Puntuación base de CVSS de 9 a 10,0.
Alta: una Vulnerabilidad de la seguridad con una Puntuación base de CVSS de 7,0 a 8,9.
Media: una Vulnerabilidad de la seguridad con una Puntuación base de CVSS de 4,0 a 6,9.
Baja: una Vulnerabilidad de la seguridad con una Puntuación base de CVSS de 0,0 a 3,9.
Plazos
Emergencia
Crítica
Alta
Media
Baja
4 días o menos, según determine la Oficina de Seguridad de la Información Principal de Kyndryl
30 días
30 días
90 días
Según la Prácticas Recomendadas del Sector
* En cualquier caso en que una Vulnerabilidad de la seguridad no tenga una Puntuación base de CVSS asignada de inmediato, el Proveedor aplicará un Nivel de gravedad apropiado a la naturaleza y las circunstancias de la vulnerabilidad.
4.3 Para una Vulnerabilidad de la seguridad que se haya revelado públicamente y para la que el Proveedor no haya proporcionado todavía a Kyndryl una Mitigación y Corrección de Errores, el Proveedor deberá implementar controles de seguridad adicionales viables desde el punto de vista técnico que puedan mitigar los riesgos de la vulnerabilidad.
4.4 Si Kyndryl no está satisfecho con la respuesta del Proveedor a cualquier Vulnerabilidad de la seguridad en un Entregable o en cualquier aplicación, plataforma o infraestructura mencionada anteriormente, sin perjuicio de cualquier otro derecho de Kyndryl, el Proveedor dispondrá lo necesario de inmediato para que Kyndryl pueda analizar sus inquietudes directamente con un vicepresidente o un ejecutivo equivalente del Proveedor que sea responsable de proporcionar la Corrección del error.
4.5 Entre los ejemplos de Vulnerabilidades de la seguridad están los códigos de terceros o los códigos fuente abiertos de fin de servicio (EOS), dado que estos tipos de código ya no reciben parches de seguridad.
---
Artículo VIII, Medidas Técnicas y Organizativas, Seguridad General
Este artículo se aplica si el Proveedor proporciona algún Servicio o Entregables a Kyndryl, a menos que el Proveedor solo tenga acceso a la BCI de Kyndryl para proporcionar esos Servicios y Entregables (por ejemplo, el Proveedor no tratará otros Datos de Kyndryl ni tendrá acceso a cualquier otro tipo de Materiales de Kyndryl o a cualquier sistema corporativo), los únicos Servicios y Entregables del Proveedor consisten en entregar Software Local a Kyndryl, o el Proveedor proporciona todos sus Servicios y Entregables bajo un modelo de aumento de personal de conformidad con el Artículo VII, incluida su Sección 1.7.
El Proveedor cumplirá los requisitos de este Artículo y al hacerlo protegerá: (a) los Materiales de Kyndryl contra pérdida, destrucción, alteración, revelación accidental o no autorizada, y accidental o acceso no autorizado, (b) los Datos de Kyndryl frente a formas ilegales de procesamiento y (c) la Tecnología de Kyndryl frente a formas ilegales de Manejo. Los requisitos de este Artículo se extienden a todas las aplicaciones, plataformas e infraestructura de TI que el Proveedor opere o gestione para proporcionar Entregables y Servicios y en el Manejo de Tecnologías de Kyndryl, incluidos todos los entornos de desarrollo, prueba, alojamiento, soporte, operaciones y centros de datos.
1. Políticas de Seguridad
1.1 El Proveedor mantendrá y seguirá las políticas y prácticas relativas a la seguridad de TI que formen parte del negocio del Proveedor, sean obligatorias para todos los empleados del Proveedor y sean coherentes con las Prácticas Recomendadas del Sector.
1.2 El Proveedor revisará sus políticas y prácticas de seguridad de TI como mínimo una vez al año y realizará modificaciones de las mismas según sea necesario para proteger los Materiales de Kyndryl.
1.3 El Proveedor actualizará y seguirá sus requisitos obligatorios de verificación de empleabilidad en las nuevas contrataciones y ampliará tales requisitos a todo el Personal del Proveedor y a las filiales bajo propiedad integral del Proveedor. Dichos requisitos incluirán comprobaciones de antecedentes penales, según lo permitido por la legislación vigente, la validación de la prueba de identidad y las comprobaciones adicionales que el Proveedor estime oportunas. El Proveedor repetirá y revalidará estos requisitos periódicamente, según considere necesario.
1.4 El Proveedor proporcionará una formación sobre seguridad y privacidad a sus empleados anualmente, y requerirá que todos los empleados certifiquen cada año que van a cumplir con las políticas éticas del Proveedor respecto a la conducta empresarial, la confidencialidad y la seguridad, como se establece en el código de conducta del Proveedor o en documentos similares. El Proveedor proporcionará una formación complementaria sobre procesos y políticas al personal con acceso administrativo a los componentes de los Servicios, Entregables o Materiales de Kyndryl, que será específica para su función y el soporte de los Servicios, Entregables y Materiales de Kyndryl, y necesaria para mantener la conformidad y las certificaciones necesarias.
1.5 El Proveedor diseñará medidas de seguridad y privacidad para proteger y mantener la disponibilidad de los Materiales de Kyndryl, incluido mediante su implementación, mantenimiento y cumplimiento de las políticas y los procedimientos que requieren privacidad y seguridad por diseño, ingeniería segura y operaciones seguras, para todos los Servicios y Entregables y para todo el Manejo de Tecnologías de Kyndryl.
2. Incidentes de Seguridad
2.1 El Proveedor mantendrá y seguirá las políticas de respuesta a incidentes conforme a las Prácticas Recomendadas del Sector para la administración de incidentes de seguridad informática.
2.2 El Proveedor investigará cualquier acceso no autorizado o uso no autorizado de los Materiales de Kyndryl y definirá y ejecutará un plan de respuesta adecuado.
2.3 Cuando el Proveedor tome conocimiento de cualquier Incumplimiento de Seguridad, notificará de inmediato a Kyndryl (en ningún caso deberá hacerlo después de las 48 horas). El Proveedor enviará dicha notificación a cyber.incidents@kyndryl.com. El Proveedor proporcionará a Kyndryl la información solicitada de manera razonable sobre dicha infracción y el estado de las actividades de corrección y restauración que haya emprendido. A modo de ejemplo, la información solicitada razonablemente puede incluir registros que demuestren acceso privilegiado, administrativo y de otro tipo a Dispositivos, sistemas o aplicaciones, imágenes forenses de Dispositivos, sistemas o aplicaciones y otros elementos similares, en la medida que sean relevantes con la infracción o las actividades de reparación y restauración del Proveedor.
2.4 El Proveedor proporcionará asistencia razonable a Kyndryl en el cumplimiento de las obligaciones legales (incluida la obligación de notificar a los reguladores o los titulares de datos) de Kyndryl, las filiales de Kyndryl y los Clientes (y sus respectivos clientes y filiales) en relación con un Incumplimiento de Seguridad.
2.5 El Proveedor no informará ni notificará a ningún tercero que un Incumplimiento de seguridad se relacione directa o indirectamente con Kyndryl o Materiales de Kyndryl a menos que Kyndryl lo apruebe por escrito o cuando así lo exija la ley. El Proveedor notificará a Kyndryl por escrito antes de distribuir cualquier notificación requerida legalmente a cualquier tercero, donde la notificación revelaría directa o indirectamente la identidad de Kyndryl.
2.6 En caso de producirse un Incumplimiento de Seguridad que surja del incumplimiento por parte del Proveedor de cualquier obligación bajo estas Condiciones:
(a) el Proveedor será responsable de los costos incurridos por el Proveedor, así como de los costos reales en que incurra Kyndryl, al notificar el Incumplimiento de Seguridad a los reguladores correspondientes, otros organismos gubernamentales y los organismos autorreguladores de la industria pertinente, los medios (si lo requiere la legislación aplicable), titulares de datos, Clientes, etc.,
(b) si Kyndryl lo solicita, el Proveedor establecerá y mantendrá a su cargo un centro de atención telefónica para responder a las preguntas de los titulares de datos sobre el Incumplimiento de Seguridad y sus consecuencias, durante 1 año después de la fecha en que dichos titulares de datos hayan sido notificados acerca del Incumplimiento de Seguridad, o según lo requiera cualquier legislación de protección de datos aplicable, lo que brinde mayor protección. Kyndryl y el Proveedor trabajarán juntos para crear los scripts y otros materiales que utilizará el personal del centro de atención telefónica para responder a las consultas. Alternativamente, mediante notificación escrita al Proveedor, Kyndryl puede establecer y mantener su propio centro de atención telefónica, en lugar de que lo establezca el Proveedor, y el Proveedor reembolsará a Kyndryl los costos reales en que incurra Kyndryl para establecer y mantener dicho centro de atención telefónica, y
(c) el Proveedor reembolsará a Kyndryl los costos reales en que incurra Kyndryl al prestar Servicios de supervisión y restauración de crédito durante 1 año después de la fecha en que las personas afectadas por el Incumplimiento que elijan registrarse para recibir estos servicios hayan sido notificadas acerca del Incumplimiento de Seguridad, o según lo requiera cualquier legislación de protección de datos aplicable, lo que brinde mayor protección.
3. Seguridad física y Control de entrada (como se usa a continuación, "Instalaciones" significa una ubicación física donde el Proveedor hospeda, procesa o accede de otro modo a Materiales de Kyndryl).
3.1 El Proveedor efectuará los controles de entrada física adecuados, como barreras, puntos de entrada controlados con tarjeta, cámaras de vigilancia y recepcionistas, para impedir la entrada no autorizada a las Instalaciones.
3.2 El Proveedor requerirá una aprobación autorizada para acceder a las Instalaciones y áreas controladas dentro de las Instalaciones, incluido cualquier acceso temporal, y limitará el acceso según la función profesional y la necesidad empresarial. Si el Proveedor otorga acceso temporal, su empleado autorizado escoltará al visitante mientras esté en las Instalaciones y las áreas controladas.
3.3 El Proveedor implementará controles de acceso físico, incluidos los controles de acceso de varios factores que serán coherentes con las Prácticas Recomendadas del Sector, para restringir adecuadamente la entrada a las áreas controladas dentro de las Instalaciones, registrará todos los intentos de entrada y guardará dichos registros durante un año como mínimo.
3.4 El Proveedor revocará el acceso a las Instalaciones y áreas controladas dentro de las Instalaciones (a) tras la separación de un empleado autorizado del Proveedor o (b) cuando el empleado autorizado del Proveedor ya no tenga una necesidad empresarial de acceso. El Proveedor llevará a cabo los procedimientos formales de terminación de la relación laboral que incluyen la eliminación de las listas de control de acceso y la devolución de los identificadores de acceso físicos.
3.5 El Proveedor tomará precauciones para proteger toda la infraestructura física utilizada para dar soporte a los Servicios y Entregables y el Manejo de Tecnologías de Kyndryl frente a amenazas medioambientales, tanto naturales como artificiales, como temperatura ambiental excesiva, incendios, inundaciones, humedad, robo y vandalismo.
4. Acceso, Intervención, Transferencia y Control de Segregación de Funciones
4.1 El Proveedor mantendrá la arquitectura de seguridad documentada de las redes que gestiona en su operativa de los Servicios, su provisión de Entregables y su Manejo de Tecnologías de Kyndryl. El Proveedor revisará de forma independiente la arquitectura de red y utilizará medidas para evitar las conexiones de red no autorizadas a sistemas, aplicaciones y dispositivos de red, para el cumplimiento de las normas de segmentación segura, aislamiento y defensa en profundidad. El Proveedor no puede utilizar tecnología inalámbrica en sus alojamientos y operaciones de Servicios Hospedados; de lo contrario, el Proveedor puede utilizar tecnología de red inalámbrica en su prestación de los Servicios y los Entregables y en su Manejo de Tecnologías de Kyndryl, pero el Proveedor deberá cifrar y requerir una autenticación segura para dichas redes inalámbricas.
4.2 El Proveedor actualizará las medidas diseñadas para separar lógicamente e impedir la exposición o el acceso a Materiales de Kyndryl de personas no autorizadas. Asimismo, el Proveedor mantendrá un aislamiento adecuado de sus entornos productivos y no productivos u otros entornos y, si los Materiales de Kyndryl ya existen en un entorno no productivo o se transfieren posteriormente a un entorno no productivo (por ejemplo, para reproducir un error), el Proveedor se asegurará de que las protecciones de seguridad y privacidad en el entorno no productivo sean equivalentes a las del productivo.
4.3 El Proveedor cifrará los Materiales de Kyndryl en tránsito y en reposo (a menos que el Proveedor demuestre de forma razonable a Kyndryl que el cifrado de los Materiales de Kyndryl en reposo es técnicamente inviable). El Proveedor también cifrará todos los soportes físicos, si existen, como los que contienen archivos de copia de seguridad. El Proveedor actualizará los procedimientos documentados para la generación, emisión, distribución, almacenamiento, rotación, revocación, recuperación, copia de seguridad, destrucción, acceso y uso de claves seguras asociados con el cifrado de datos. El Proveedor se asegurará de que los métodos criptográficos específicos utilizados para dicho cifrado se alineen con las Prácticas Recomendadas del Sector como, por ejemplo, NIST SP 800-131a.
4.4 Si el Proveedor requiere acceso a Materiales de Kyndryl, el Proveedor restringirá y limitará dicho acceso al nivel mínimo necesario para la prestación y el soporte de los Servicios y los Entregables. El Proveedor requerirá que dicho acceso, incluido el acceso administrativo a los componentes subyacentes (por ejemplo, acceso con privilegios), será individual, se basará en cargos y estará sujeto a aprobación y validación regular por parte del Personal del Proveedor autorizado conforme a los principios de separación de funciones. El Proveedor mantendrá medidas adecuadas para identificar y eliminar cuentas redundantes e iniciativas. El Proveedor también revocará las cuentas con acceso privilegiado dentro del plazo de veinticuatro (24) horas posteriores a la separación del titular de la cuenta o a la solicitud por parte de Kyndryl o cualquier empleado del Proveedor autorizado, como el director del titular de la cuenta.
4.5 De conformidad con las Prácticas Recomendadas del Sector, el Proveedor mantendrá medidas técnicas que impongan tiempo de espera en sesiones inactivas, bloqueo de cuentas tras diversos intentos fallidos de inicio de sesión, autenticación con contraseña o frase de contraseña fuerte, así como medidas que requieran la transferencia y el almacenamiento seguros de estas contraseñas y frases de contraseñas. Asimismo, el Proveedor utilizará la autenticación de multifactores para todo acceso con privilegios no basado en contraseña a los Materiales de Kyndryl.
4.6 El Proveedor supervisará el uso del acceso con privilegios y mantendrá la información de seguridad y las medidas de gestión de eventos diseñadas para (a) identificar la actividad y el acceso no autorizados; (b) facilitar una respuesta adecuada y oportuna a la actividad y el acceso no autorizados; y (c) habilitar las auditorías del Proveedor, Kyndryl (de acuerdo con sus derechos de verificación de estas Condiciones y derechos de auditoría de este Documento Transaccional o base asociada u otro acuerdo relacionado entre las partes) y otros de acuerdo con la política documentada del Proveedor.
4.7 El Proveedor mantendrá registros en los que incorporará, de conformidad con las Prácticas Recomendadas del Sector, todos los accesos o actividades administrativas, de usuarios o de otro tipo para o con respecto a los sistemas utilizados para prestar Servicios o Entregables y en el Manejo de Tecnologías de Kyndryl (y proporcionará esos registros a Kyndryl, a petición). El Proveedor mantendrá medidas diseñadas para la protección en caso de acceso no autorizado, modificación y destrucción accidental o deliberada de estos registros.
4.8 El Proveedor mantendrá medidas informáticas de protección para los sistemas que posee o gestiona, incluidos los sistemas de usuario final, y que utilice para prestar Servicios o Entregables o en el Manejo de Tecnologías de Kyndryl, y estas medidas de protección incluirán lo siguiente: los cortafuegos de puntos finales, el cifrado de disco completo, las tecnologías de detección y respuesta de punto final basadas en firmas y no basadas en firmas para detectar malware y amenazas persistentes avanzadas, los bloqueos de pantalla basados en tiempo y las soluciones de gestión de puntos finales que impongan tanto la configuración de seguridad como los requisitos de parches. Asimismo, el Proveedor implementará controles técnicos y operativos que garanticen que solo los sistemas de usuario final conocidos y de confianza puedan utilizar las redes del Proveedor.
4.9 De conformidad con las Prácticas Recomendadas del Sector, el Proveedor mantendrá protecciones para los entornos de centro de datos donde existan o se traten Materiales de Kyndryl. Dichas protecciones incluyen detección y prevención de intrusiones, y mitigación y contramedidas de ataques de denegación de servicio.
5. Integridad de Sistemas y Servicio y Control de Disponibilidad
5.1 El Proveedor (a) realizará evaluaciones de riesgos de seguridad y evaluación de vulnerabilidades al menos una vez al año, (b) llevará a cabo pruebas de intrusión y evaluaciones de vulnerabilidades, incluido el escaneo de seguridad automatizado de aplicaciones y sistemas y los pirateos éticos manuales, antes del lanzamiento en producción y anualmente a partir del mismo, (c) presentará un tercero independiente y cualificado para la realización de pruebas de penetración coherentes con las Prácticas Recomendadas del Sector al menos una vez al año, y estas pruebas incluirán pruebas manuales y automatizadas, (d) efectuará tareas de gestión automatizada y verificación rutinaria del cumplimiento de los requisitos de la configuración de seguridad de cada componente de los Servicios y los Entregables con respecto a su Manejo de Tecnologías de Kyndryl; y (e) corregirá las vulnerabilidades identificadas o el incumplimiento de los requisitos de la configuración de seguridad según el riesgo asociado, la posibilidad de explotación y el impacto. El Proveedor llevará a cabo los pasos razonables para evitar la interrupción de los Servicios durante la realización de las pruebas, evaluaciones y escaneos, así como durante la ejecución de las actividades de corrección. Si Kyndryl lo solicita, el Proveedor proporcionará a Kyndryl un resumen escrito de las actividades de pruebas de intrusión más recientes del Proveedor, cuyo informe incluirá como mínimo el nombre de las ofertas cubiertas por la prueba, el número de sistemas o aplicaciones en ámbito para las pruebas, las fechas de las pruebas, las metodologías utilizas en ellas y un resumen de alto nivel de los resultados.
5.2 El Proveedor mantendrá sus políticas y procedimientos diseñados para gestionar los riesgos asociados con la aplicación de cambios a los Servicios o Entregables o al Manejo de Tecnologías de Kyndryl. Antes de implementar dicho cambio, incluidos los sistemas, las redes y los componentes subyacentes afectados, el Proveedor documentará en una solicitud de cambio registrada: (a) una descripción y el motivo del cambio, (b) detalles y programación de implementación, (c) una declaración de riesgo que aborde el impacto en los Servicios y Entregables, clientes de los Servicios o Materiales de Kyndryl, (d) el resultado esperado, (e) plan de reversión y (f) aprobación por parte de los empleados autorizados del Proveedor.
5.3 El Proveedor mantendrá un inventario de todos los activos de TI que utiliza para operar los Servicios, proporcionar Entregables y el Manejo de Tecnologías de Kyndryl. El Proveedor supervisará y gestionará de forma continuada el estado (incluida la capacidad) y la disponibilidad de dichos activos de TI, Servicios, Entregables y Tecnologías de Kyndryl, incluidos los componentes subyacentes de dichos activos, Servicios, Entregables y Tecnologías de Kyndryl.
5.4 El Proveedor construirá todos los sistemas que utiliza en el desarrollo o la operación de Servicios y Entregables y en el Manejo de Tecnologías de Kyndryl a partir de líneas base de seguridad o imágenes de seguridad del sistema predefinidas, que cumplirán las Prácticas Recomendadas del Sector, como los indicadores del Centro de Seguridad de Internet (CIS).
5.5 Sin limitación de las obligaciones del Proveedor o los derechos de Kyndryl bajo el Documento Transaccional o el acuerdo base asociado entre las partes con respecto a la continuidad del negocio, el Proveedor evaluará por separado cada Servicio y Entregable y cada sistema de TI utilizado en el Manejo de Tecnologías de Kyndryl en relación con los requisitos de continuidad empresarial y TI y la recuperación tras desastre ("disaster recovery") de conformidad con las directrices documentadas de gestión de riesgos. El Proveedor garantizará que cada Servicio, Entregable y sistema de TI tenga, en la medida en que se especifique en la evaluación de riesgos, planes de recuperación tras desastre y continuidad del negocio validados anualmente, mantenidos, documentados y definidos por separado conforme a las Prácticas Recomendadas del Sector. El Proveedor garantizará que dichos planes estén diseñados para ofrecer los tiempos de recuperación que se establecen en el Apartado 5.6, a continuación.
5.6 Los objetivos de punto de recuperación específicos ("RPO”) y los objetivos de tiempo de recuperación (“RTO”) en relación con un Servicio Alojado son: 24 horas de RPO y 24 horas de RTO; no obstante, el Proveedor cumplirá con cualquier RPO o RTO de menor duración para el que Kyndryl se haya comprometido con un Cliente, inmediatamente después de que Kyndryl notifique al Proveedor por escrito dicho RPO o RTO de menor duración (un correo electrónico se considera por escrito). En lo que respecta a los demás Servicios proporcionados por el Proveedor a Kyndryl, el Proveedor garantizará que sus planes de continuidad empresarial y recuperación tras desastre estén diseñados para proporcionar un RPO y RTO que permitan al Proveedor cumplir todas sus obligaciones con Kyndryl bajo este Documento Transaccional y el acuerdo base asociado entre las partes, y estas Condiciones, incluidas sus obligaciones de proporcionar pruebas, soporte y mantenimiento.
5.7 El Proveedor mantendrá medidas diseñadas para evaluar, probar y aplicar parches de advertencia de seguridad a los Servicios y Entregables y sus sistemas, redes, aplicaciones y componentes subyacentes asociados en el ámbito de dichos Servicios y Entregables, así como los sistemas, redes, aplicaciones y componentes subyacentes utilizados en el Manejo de Tecnologías de Kyndryl. Tras determinar que un parche de advertencia de seguridad es aplicable y adecuado, el Proveedor implementará dicho parche conforme con las directrices documentadas de evaluación del riesgo y la gravedad. La implementación del Proveedor de parches de advertencia de seguridad estará sujeta a su política de gestión de cambios.
5.8 Si Kyndryl tiene una base razonable para considerar que el hardware o el software que el Proveedor proporciona a Kyndryl puede contener elementos intrusivos, como spyware, malware o código malicioso, el Proveedor cooperará oportunamente con Kyndryl en la investigación y solución de las sospechas de Kyndryl.
6. Aprovisionamiento de Servicio
6.1 El Proveedor dará soporte a los métodos comunes de autenticación federada del sector para cualquier cuenta de usuario o Cliente de Kyndryl, y el Proveedor seguirá las Prácticas Recomendadas del Sector en la autenticación de dichas cuentas de Usuario o Cliente de Kyndryl (como el inicio de sesión único de diversos factores de gestión centralizada de Kyndryl, utilizando OpenID Connect o SAML).
7. Subcontratistas. Sin limitación de las obligaciones del Proveedor o los derechos de Kyndryl bajo el Documento Transaccional o el acuerdo base asociado entre las partes con respecto a la retención de subcontratistas, el Proveedor se asegurará de que cualquier subcontratista que realice trabajos para el Proveedor haya instituido controles de gestión para cumplir los requisitos y obligaciones que estas Condiciones imponen al Proveedor.
8. Soporte Físico. El Proveedor saneará de forma segura los soportes físicos para su reutilización antes de dicha reutilización y destruirá los soportes físicos que se van a reutilizar, de conformidad con las Prácticas Recomendadas del Sector para el saneamiento de soportes.
Artículo X, Cooperación, Verificación y Resolución
Este artículo se aplica si el Proveedor proporciona algún Servicio o Entregable a Kyndryl.
1. Cooperación del Proveedor
1.1 Si Kyndryl tiene motivos para sospechar que algún Servicio o Entregable puede haber contribuido, está contribuyendo o contribuirá a algún problema de ciberseguridad, el Proveedor cooperará con cualquier consulta de Kyndryl con respecto a dicha sospecha, incluida una respuesta oportuna y de manera completa a las solicitudes de información, ya sea a través de documentos, otros registros, entrevistas al Personal del Proveedor relevante o similares.
1.2 Las partes acuerdan: (a) proporcionarse, a petición, entre sí dicha información adicional, (b) ejecutar y entregarse mutuamente cualquier otro tipo de documentación, y (c) llevar a cabo otras acciones, todo aquello que la otra parte pueda razonablemente solicitar con el fin de ejecutar la intencionalidad de estas Condiciones y los documentos mencionados en estas Condiciones. Por ejemplo, si Kyndryl lo solicita, el Proveedor proporcionará oportunamente las condiciones centradas en la privacidad y la seguridad de sus contratos escritos con Subencargados del Tratamiento y subcontratistas, incluida, cuando el Proveedor tenga derecho a hacerlo, la concesión de acceso a los contratos en sí.
1.3 Si Kyndryl lo solicita, el Proveedor proporcionará oportunamente información sobre los países donde se fabricaron, desarrollaron u obtuvieron de otro modo sus Entregables y los componentes de los Entregables.
2. Verificación (como se usa a continuación, "Instalación" significa una ubicación física donde el Proveedor hospeda, procesa o accede a los Materiales de Kyndryl)
2.1 El Proveedor mantendrá un registro auditable que demuestre la conformidad con estas Condiciones.
2.2 Kyndryl, propiamente o mediante un auditor externo, puede, con 30 días de notificación previa por escrito al Proveedor, verificar la conformidad del Proveedor con estas Condiciones, incluido el acceso a cualquier Instalación o Instalaciones para tales fines, aunque Kyndryl no accederá a ningún centro de datos donde el Proveedor trate los Datos de Kyndryl a menos que tenga una buena razón para creer que con ello proporcionará alguna información relevante. El Proveedor cooperará con la verificación de Kyndryl, incluida la respuesta oportuna y de manera completa a las solicitudes de información, ya sea a través de documentos, otros registros, entrevistas con el Personal del Proveedor relevante o similares. El Proveedor puede ofrecer una prueba de cumplimiento de un código de conducta aprobado o una certificación del sector, o proporcionar información para demostrar el cumplimiento de estas Condiciones, para su consideración por parte de Kyndryl.
2.3 No se realizará una verificación más de una vez en un período de 12 meses, a menos que: (a) Kyndryl esté validando la resolución de sospechas del Proveedor derivada de una verificación previa durante el 12.º mes o (b) haya surgido un Incumplimiento de Seguridad y Kyndryl quiera verificar el cumplimiento de las obligaciones relevantes para la infracción. En cualquier caso, Kyndryl proporcionará la misma notificación previa por escrito de 30 días como se especifica en el Apartado 2.2 anterior, pero la urgencia de abordar un Incumplimiento de Seguridad puede requerir que Kyndryl realice una verificación con menos de 30 días de notificación previa por escrito.
2.4. Un regulador u otro Responsable del Tratamiento puede ejercer los mismos derechos que Kyndryl en los Apartados 2.2 y 2.3, bajo el supuesto de que un regulador puede ejercer cualquier derecho adicional que tenga según la legislación vigente.
2.5 Si Kyndryl tiene una base razonable para concluir que el Proveedor no cumple con ninguna de estas Condiciones (ya sea que dicha base surja de una verificación bajo estas Condiciones o no), el Proveedor corregirá de inmediato dicho incumplimiento.
3. Programa contra la Falsificación
3.1 Si los Entregables del Proveedor incluyen componentes electrónicos (por ejemplo, unidades de disco duro, unidades de estado sólido, memoria, unidades centrales de procesamiento, dispositivos lógicos o cables), el Proveedor mantendrá y seguirá un programa documentado de prevención de posibles falsificaciones para, en primer lugar, evitar que el Proveedor proporcione componentes falsificados a Kyndryl y, en segundo lugar, detectar y corregir de inmediato cualquier caso en que el Proveedor proporcione componentes falsificados por error a Kyndryl. El Proveedor impondrá esta misma obligación de mantener y seguir un programa documentado de prevención de posibles falsificaciones en todos sus proveedores que proporcionen componentes electrónicos incluidos en los Entregables del Proveedor a Kyndryl.
4. Resolución
4.1 Si el Proveedor no cumple con cualquiera de sus obligaciones en virtud de estas Condiciones, y ese incumplimiento causa un Incumplimiento de seguridad, el Proveedor corregirá la anomalía en su ejecución y corregirá el efecto nocivo del Incumplimiento de seguridad, con las instrucciones y el cronograma que Kyndryl estime razonables. Sin embargo, si el incumplimiento de seguridad surge del suministro por parte del Proveedor de un Servicio alojado de múltiples inquilinos y, en consecuencia, afecta a muchos clientes del Proveedor, incluida Kyndryl, entonces el Proveedor, dada la naturaleza del incumplimiento de seguridad, corregirá oportuna y adecuadamente la falla en su desempeño, y subsanar los efectos dañinos del incumplimiento de seguridad, al mismo tiempo que se presta la debida consideración a cualquier aportación de Kyndryl sobre dichas correcciones y subsanación. Sin perjuicio de lo anterior, el Proveedor deberá notificar a Kyndryl sin demoras injustificadas si ya no puede cumplir con las obligaciones establecidas por la ley de protección de datos aplicable.
4.2 Kyndryl tendrá derecho a participar en la reparación de cualquier incumplimiento de seguridad a la que se hace referencia en la Sección 4.1, según lo considere apropiado o necesario, y el Proveedor será responsable de sus costos y gastos para corregir su desempeño y de los costos y gastos de reparación que las partes deben incurrir con respecto a dicho incumplimiento de seguridad.
4.3 A modo de ejemplo, los costos y gastos de corrección asociados con un Incumplimiento de Seguridad podrían incluir los derivados de detectar e investigar un Incumplimiento de Seguridad, determinar las responsabilidades bajo la legislación y las normativas aplicables, proporcionar notificaciones de incumplimiento, establecer y mantener centros de atención telefónica, prestar Servicios de supervisión y restauración de crédito, recargar datos, corregir defectos del producto (incluido a través del Código fuente u otros desarrollos), retener a terceros para ayudar con las actividades anteriores u otras actividades relevantes, y otros costos y gastos que sean necesarios para corregir los efectos nocivos del Incumplimiento de Seguridad. Para mayor claridad, los costos y gastos de corrección no incluirían la pérdida de ganancias, negocios, valor, ingresos, previsiones o ahorros anticipados de Kyndryl.
-
Si es así, los Artículos VI (Acceso a Sistemas Corporativos), VIII (Medidas Técnicas y Organizativas, Seguridad General) y X (Cooperación, Verificación y Resolución) se aplican al acceso.
Ejemplos:
Las responsabilidades de desarrollo del Proveedor requieren acceso a los repositorios de Código fuente de Kyndryl.
Nota: los Artículos II (Medidas Técnicas y Organizativas, Seguridad de los Datos), III (Privacidad), IV (Medidas Técnicas y Organizativas, Código de Seguridad) y V (Desarrollo Seguro) pueden aplicarse también, si se permite al Proveedor de Materiales de Kyndryl tener acceso dentro del Sistema Corporativo.
Artículo VI, Acceso a Sistemas Corporativos
Este Artículo se aplica si los empleados del Proveedor tendrán acceso a cualquier Sistema Corporativo.
1. Términos generales
1.1 Kyndryl determinará si autoriza a los empleados del Proveedor a acceder a los Sistemas corporativos. Si Kyndryl lo autoriza, el Proveedor cumplirá y hará que sus empleados con dicho acceso cumplan, los requisitos de este Artículo.
1.2 Kyndryl identificará los medios por los cuales los empleados del Proveedor pueden acceder a los Sistemas corporativos, lo que incluye si los empleados tendrán acceso a los Sistemas corporativos a través de Kyndryl o de los Dispositivos proporcionados por el Proveedor.
1.3 Los empleados del Proveedor solo pueden acceder a los Sistemas corporativos y solo pueden usar los Dispositivos que Kyndryl autorice para dicho acceso para prestar Servicios. Los empleados del Proveedor no pueden usar los Dispositivos que Kyndryl autorice para prestar Servicios a ninguna otra persona o entidad, ni para acceder a sistemas de TI, redes, aplicaciones, sitios web, herramientas de correo electrónico, herramientas de colaboración o similares de un Proveedor o un tercero en relación con los Servicios.
1.4 Para mayor claridad, los empleados del Proveedor no pueden usar los Dispositivos que Kyndryl autoriza para acceder a los Sistemas corporativos por ningún motivo personal (por ejemplo, los empleados del Proveedor no pueden almacenar archivos personales como música, videos, imágenes u otros elementos similares en dichos Dispositivos y no pueden usar Internet desde dichos dispositivos para fines personales).
1.5 Los empleados del Proveedor no copiarán los Materiales de Kyndryl a los que se pueda acceder a través de un Sistema corporativo sin la aprobación previa por escrito de Kyndryl (y nunca copiarán los Materiales de Kyndryl a un dispositivo de almacenamiento portátil, como una memoria USB, un disco duro externo u otros elementos similares).
1.6 A petición, el Proveedor confirmará, por nombre de empleado, los Sistemas corporativos específicos a los que sus empleados están autorizados a acceder, y han accedido, durante cualquier período de tiempo que Kyndryl identifique.
1.7 El Proveedor notificará a Kyndryl dentro del plazo de veinticuatro (24) horas después de que cualquier empleado del Proveedor con acceso a cualquier Sistema corporativo: (a) ya no sea empleado del Proveedor o (b) ya no trabaje en actividades que requieran dicho acceso. El Proveedor trabajará con Kyndryl para garantizar que se revoque de inmediato el acceso de dichos exempleados o empleados actuales.
1.8 El Proveedor notificará inmediatamente a Kyndryl cualquier incidente de seguridad real o presunto (como la pérdida de un Dispositivo de Kyndryl o del Proveedor o el acceso no autorizado a un Dispositivo o datos, materiales u otra información de cualquier tipo) y cooperará con Kyndryl en la investigación de dichos incidentes.
1.9 El Proveedor no puede permitir que un agente, contratista independiente o empleado del subcontratista acceda a ningún Sistema corporativo sin el consentimiento previo por escrito de Kyndryl; si Kyndryl otorga ese consentimiento, el Proveedor comprometerá contractualmente a estas personas y a sus empleadores para cumplir los requisitos de este Artículo como si estas personas fueran empleados del Proveedor, y será responsable ante Kyndryl de todas las acciones y omisiones de acción de dicha persona o empleador con respecto al acceso al Sistema corporativo.
2. Software del Dispositivo
2.1 El Proveedor ordenará a sus empleados que instalen oportunamente todo el software del Dispositivo que Kyndryl requiera para facilitar el acceso a los Sistemas corporativos de manera segura. Ni el Proveedor ni sus empleados interferirán en las operaciones del software o las características de seguridad que el software permite.
2.2 El Proveedor y sus empleados cumplirán las reglas de configuración del Dispositivo que Kyndryl establezca y de otro modo trabajarán con Kyndryl para ayudar a garantizar que el software funcione como Kyndryl pretende. Por ejemplo, el Proveedor no anulará el bloqueo de páginas web de software o las características de parches automáticos.
2.3 Los empleados del Proveedor no pueden compartir los Dispositivos que utilizan para acceder a los Sistemas corporativos, o los nombres de usuario, contraseñas o similares de los Dispositivos con ninguna otra persona.
2.4 Si Kyndryl autoriza a los empleados del Proveedor a acceder a los Sistemas corporativos utilizando los Dispositivos del Proveedor, el Proveedor instalará y ejecutará un sistema operativo en esos Dispositivos que Kyndryl apruebe y actualizará a una nueva versión de dicho sistema operativo o un nuevo sistema operativo, en un plazo razonable, después de que Kyndryl así lo indique.
3. Supervisión y Cooperación
3.1 Kyndryl tienen los derechos absolutos para supervisar y corregir posibles intrusiones y otras amenazas de ciberseguridad de cualquier modo, desde cualquier ubicación y utilizando cualquier medio que Kyndryl considere necesario o apropiado, sin previo aviso al Proveedor, a cualquier empleado del Proveedor o a otros. Como ejemplos de tales derechos, Kyndryl puede, en cualquier momento, (a) realizar una prueba de seguridad en cualquier Dispositivo, (b) supervisar, recuperar a través de medios técnicos o de otro tipo y revisar comunicaciones (incluidos correos electrónicos de cualquier cuenta de correo electrónico), registros, archivos y otros elementos almacenados en cualquier Dispositivo o transmitidos a través de cualquier Sistema Corporativo, y (c) adquirir una imagen forense completa de cualquier Dispositivo. Si Kyndryl necesita la cooperación del Proveedor para ejercer sus derechos, el Proveedor deberá satisfacer plena y oportunamente las solicitudes de dicha cooperación con Kyndryl (incluidas, por ejemplo, solicitudes para configurar de forma segura cualquier Dispositivo, instalar software de supervisión o de otro tipo en cualquier Dispositivo, compartir detalles de conexión a nivel del sistema, participar en medidas de respuesta a incidentes en cualquier Dispositivo y proporcionar acceso físico a cualquier Dispositivo para que Kyndryl obtenga una imagen forense completa o de otro tipo, y solicitudes similares y relacionadas).
3.2 Kyndryl puede revocar el acceso a los Sistemas corporativos en cualquier momento, para algunos o la totalidad de los empleados del Proveedor, sin previo aviso al Proveedor, a cualquier empleado del Proveedor o a otros, si considera que es necesario para su propia protección.
3.3 Los derechos de Kyndryl no quedan bloqueados, reducidos o restringidos de ninguna manera por ninguna cláusula del Documento transaccional, el acuerdo base asociado entre las partes ni cualquier otro acuerdo entre las partes, lo que incluye cualquier cláusula que requiera que los datos, materiales u otra información de cualquier tipo residan solo en una ubicación o en ubicaciones seleccionadas o que requiera que solo personas de una ubicación o de ubicaciones seleccionadas accedan a dichos datos, materiales u otra información.
4. Dispositivos de Kyndryl
4.1 Kyndryl retendrá la titularidad de todos los Dispositivos de Kyndryl, y el Proveedor asumirá el riesgo de pérdida de los Dispositivos, incluidos casos de robo, vandalismo o negligencia. El Proveedor no realizará ni permitirá modificaciones a los Dispositivos de Kyndryl sin el consentimiento previo por escrito de Kyndryl, siendo una modificación cualquier cambio en un Dispositivo, incluido cualquier cambio en el software, las aplicaciones, el diseño de seguridad, la configuración de seguridad o el diseño físico, mecánico o eléctrico del dispositivo.
4.2 El Proveedor devolverá todos los Dispositivos de Kyndryl dentro del plazo de 5 días laborables tras la finalización de la necesidad de dichos Dispositivos para proporcionar los Servicios y, si Kyndryl lo solicita, destruirá todos los datos, materiales y otra información de cualquier tipo en esos Dispositivos al mismo tiempo, sin retener ninguna copia, siguiendo las Prácticas Recomendadas del Sector para borrar permanentemente todos esos datos, materiales y otra información. El Proveedor empaquetará y devolverá los Dispositivos de Kyndryl en las mismas condiciones en que fueron entregados al Proveedor, exceptuando el desgaste razonable, responsabilizándose de los costos, en la ubicación que Kyndryl identifique. El incumplimiento por parte del Proveedor de cualquier obligación establecida en este Apartado 4.2 constituye una infracción sustancial del Documento Transaccional y el acuerdo base asociado y cualquier acuerdo relacionado entre las partes, bajo el supuesto de que un acuerdo está "relacionado" si el acceso a cualquier Sistema Corporativo facilita las tareas del Proveedor u otras actividades bajo ese acuerdo.
4.3 Kyndryl proporcionará soporte para Dispositivos Kyndryl (incluida la inspección de Dispositivos y el mantenimiento preventivo y correctivo). El Proveedor informará de inmediato a Kyndryl sobre la necesidad de un servicio de reparación.
4.4. Para los programas de software que Kyndryl posea o de los cuales tenga derecho para conceder licencias, Kyndryl otorga al Proveedor un derecho temporal para usar, almacenar y hacer copias suficientes para dar soporte a su uso autorizado de Dispositivos Kyndryl. El Proveedor no puede transferir programas, hacer copias de la información de la licencia de software, o desensamblar, descompilar, aplicar ingeniería inversa o convertir cualquier programa a menos que la legislación aplicable lo permita sin la posibilidad de renuncia contractual.
5. Actualizaciones
5.1 Sin perjuicio de lo establecido en contra en el Documento Transaccional o el acuerdo base asociado entre las partes, previa notificación por escrito al Proveedor y sin necesidad de obtener el consentimiento del Proveedor, Kyndryl puede actualizar, complementar o de otro modo enmendar este Artículo para abordar cualquier requisito bajo la legislación aplicable o una obligación del Cliente, para reflejar cualquier desarrollo en prácticas recomendadas de seguridad, o de otra manera como Kyndryl considere necesario para proteger los Sistemas Corporativos o a Kyndryl.
Artículo VIII, Medidas Técnicas y Organizativas, Seguridad General
Este artículo se aplica si el Proveedor proporciona algún Servicio o Entregables a Kyndryl, a menos que el Proveedor solo tenga acceso a la BCI de Kyndryl para proporcionar esos Servicios y Entregables (por ejemplo, el Proveedor no tratará otros Datos de Kyndryl ni tendrá acceso a cualquier otro tipo de Materiales de Kyndryl o a cualquier sistema corporativo), los únicos Servicios y Entregables del Proveedor consisten en entregar Software Local a Kyndryl, o el Proveedor proporciona todos sus Servicios y Entregables bajo un modelo de aumento de personal de conformidad con el Artículo VII, incluida su Sección 1.7.
El Proveedor cumplirá los requisitos de este Artículo y al hacerlo protegerá: (a) los Materiales de Kyndryl contra pérdida, destrucción, alteración, revelación accidental o no autorizada, y accidental o acceso no autorizado, (b) los Datos de Kyndryl frente a formas ilegales de procesamiento y (c) la Tecnología de Kyndryl frente a formas ilegales de Manejo. Los requisitos de este Artículo se extienden a todas las aplicaciones, plataformas e infraestructura de TI que el Proveedor opere o gestione para proporcionar Entregables y Servicios y en el Manejo de Tecnologías de Kyndryl, incluidos todos los entornos de desarrollo, prueba, alojamiento, soporte, operaciones y centros de datos.
1. Políticas de Seguridad
1.1 El Proveedor mantendrá y seguirá las políticas y prácticas relativas a la seguridad de TI que formen parte del negocio del Proveedor, sean obligatorias para todos los empleados del Proveedor y sean coherentes con las Prácticas Recomendadas del Sector.
1.2 El Proveedor revisará sus políticas y prácticas de seguridad de TI como mínimo una vez al año y realizará modificaciones de las mismas según sea necesario para proteger los Materiales de Kyndryl.
1.3 El Proveedor actualizará y seguirá sus requisitos obligatorios de verificación de empleabilidad en las nuevas contrataciones y ampliará tales requisitos a todo el Personal del Proveedor y a las filiales bajo propiedad integral del Proveedor. Dichos requisitos incluirán comprobaciones de antecedentes penales, según lo permitido por la legislación vigente, la validación de la prueba de identidad y las comprobaciones adicionales que el Proveedor estime oportunas. El Proveedor repetirá y revalidará estos requisitos periódicamente, según considere necesario.
1.4 El Proveedor proporcionará una formación sobre seguridad y privacidad a sus empleados anualmente, y requerirá que todos los empleados certifiquen cada año que van a cumplir con las políticas éticas del Proveedor respecto a la conducta empresarial, la confidencialidad y la seguridad, como se establece en el código de conducta del Proveedor o en documentos similares. El Proveedor proporcionará una formación complementaria sobre procesos y políticas al personal con acceso administrativo a los componentes de los Servicios, Entregables o Materiales de Kyndryl, que será específica para su función y el soporte de los Servicios, Entregables y Materiales de Kyndryl, y necesaria para mantener la conformidad y las certificaciones necesarias.
1.5 El Proveedor diseñará medidas de seguridad y privacidad para proteger y mantener la disponibilidad de los Materiales de Kyndryl, incluido mediante su implementación, mantenimiento y cumplimiento de las políticas y los procedimientos que requieren privacidad y seguridad por diseño, ingeniería segura y operaciones seguras, para todos los Servicios y Entregables y para todo el Manejo de Tecnologías de Kyndryl.
2. Incidentes de Seguridad
2.1 El Proveedor mantendrá y seguirá las políticas de respuesta a incidentes conforme a las Prácticas Recomendadas del Sector para la administración de incidentes de seguridad informática.
2.2 El Proveedor investigará cualquier acceso no autorizado o uso no autorizado de los Materiales de Kyndryl y definirá y ejecutará un plan de respuesta adecuado.
2.3 Cuando el Proveedor tome conocimiento de cualquier Incumplimiento de Seguridad, notificará de inmediato a Kyndryl (en ningún caso deberá hacerlo después de las 48 horas). El Proveedor enviará dicha notificación a cyber.incidents@kyndryl.com. El Proveedor proporcionará a Kyndryl la información solicitada de manera razonable sobre dicha infracción y el estado de las actividades de corrección y restauración que haya emprendido. A modo de ejemplo, la información solicitada razonablemente puede incluir registros que demuestren acceso privilegiado, administrativo y de otro tipo a Dispositivos, sistemas o aplicaciones, imágenes forenses de Dispositivos, sistemas o aplicaciones y otros elementos similares, en la medida que sean relevantes con la infracción o las actividades de reparación y restauración del Proveedor.
2.4 El Proveedor proporcionará asistencia razonable a Kyndryl en el cumplimiento de las obligaciones legales (incluida la obligación de notificar a los reguladores o los titulares de datos) de Kyndryl, las filiales de Kyndryl y los Clientes (y sus respectivos clientes y filiales) en relación con un Incumplimiento de Seguridad.
2.5 El Proveedor no informará ni notificará a ningún tercero que un Incumplimiento de seguridad se relacione directa o indirectamente con Kyndryl o Materiales de Kyndryl a menos que Kyndryl lo apruebe por escrito o cuando así lo exija la ley. El Proveedor notificará a Kyndryl por escrito antes de distribuir cualquier notificación requerida legalmente a cualquier tercero, donde la notificación revelaría directa o indirectamente la identidad de Kyndryl.
2.6 En caso de producirse un Incumplimiento de Seguridad que surja del incumplimiento por parte del Proveedor de cualquier obligación bajo estas Condiciones:
(a) el Proveedor será responsable de los costos incurridos por el Proveedor, así como de los costos reales en que incurra Kyndryl, al notificar el Incumplimiento de Seguridad a los reguladores correspondientes, otros organismos gubernamentales y los organismos autorreguladores de la industria pertinente, los medios (si lo requiere la legislación aplicable), titulares de datos, Clientes, etc.,
(b) si Kyndryl lo solicita, el Proveedor establecerá y mantendrá a su cargo un centro de atención telefónica para responder a las preguntas de los titulares de datos sobre el Incumplimiento de Seguridad y sus consecuencias, durante 1 año después de la fecha en que dichos titulares de datos hayan sido notificados acerca del Incumplimiento de Seguridad, o según lo requiera cualquier legislación de protección de datos aplicable, lo que brinde mayor protección. Kyndryl y el Proveedor trabajarán juntos para crear los scripts y otros materiales que utilizará el personal del centro de atención telefónica para responder a las consultas. Alternativamente, mediante notificación escrita al Proveedor, Kyndryl puede establecer y mantener su propio centro de atención telefónica, en lugar de que lo establezca el Proveedor, y el Proveedor reembolsará a Kyndryl los costos reales en que incurra Kyndryl para establecer y mantener dicho centro de atención telefónica, y
(c) el Proveedor reembolsará a Kyndryl los costos reales en que incurra Kyndryl al prestar Servicios de supervisión y restauración de crédito durante 1 año después de la fecha en que las personas afectadas por el Incumplimiento que elijan registrarse para recibir estos servicios hayan sido notificadas acerca del Incumplimiento de Seguridad, o según lo requiera cualquier legislación de protección de datos aplicable, lo que brinde mayor protección.
3. Seguridad física y Control de entrada (como se usa a continuación, "Instalaciones" significa una ubicación física donde el Proveedor hospeda, procesa o accede de otro modo a Materiales de Kyndryl).
3.1 El Proveedor efectuará los controles de entrada física adecuados, como barreras, puntos de entrada controlados con tarjeta, cámaras de vigilancia y recepcionistas, para impedir la entrada no autorizada a las Instalaciones.
3.2 El Proveedor requerirá una aprobación autorizada para acceder a las Instalaciones y áreas controladas dentro de las Instalaciones, incluido cualquier acceso temporal, y limitará el acceso según la función profesional y la necesidad empresarial. Si el Proveedor otorga acceso temporal, su empleado autorizado escoltará al visitante mientras esté en las Instalaciones y las áreas controladas.
3.3 El Proveedor implementará controles de acceso físico, incluidos los controles de acceso de varios factores que serán coherentes con las Prácticas Recomendadas del Sector, para restringir adecuadamente la entrada a las áreas controladas dentro de las Instalaciones, registrará todos los intentos de entrada y guardará dichos registros durante un año como mínimo.
3.4 El Proveedor revocará el acceso a las Instalaciones y áreas controladas dentro de las Instalaciones (a) tras la separación de un empleado autorizado del Proveedor o (b) cuando el empleado autorizado del Proveedor ya no tenga una necesidad empresarial de acceso. El Proveedor llevará a cabo los procedimientos formales de terminación de la relación laboral que incluyen la eliminación de las listas de control de acceso y la devolución de los identificadores de acceso físicos.
3.5 El Proveedor tomará precauciones para proteger toda la infraestructura física utilizada para dar soporte a los Servicios y Entregables y el Manejo de Tecnologías de Kyndryl frente a amenazas medioambientales, tanto naturales como artificiales, como temperatura ambiental excesiva, incendios, inundaciones, humedad, robo y vandalismo.
4. Acceso, Intervención, Transferencia y Control de Segregación de Funciones
4.1 El Proveedor mantendrá la arquitectura de seguridad documentada de las redes que gestiona en su operativa de los Servicios, su provisión de Entregables y su Manejo de Tecnologías de Kyndryl. El Proveedor revisará de forma independiente la arquitectura de red y utilizará medidas para evitar las conexiones de red no autorizadas a sistemas, aplicaciones y dispositivos de red, para el cumplimiento de las normas de segmentación segura, aislamiento y defensa en profundidad. El Proveedor no puede utilizar tecnología inalámbrica en sus alojamientos y operaciones de Servicios Hospedados; de lo contrario, el Proveedor puede utilizar tecnología de red inalámbrica en su prestación de los Servicios y los Entregables y en su Manejo de Tecnologías de Kyndryl, pero el Proveedor deberá cifrar y requerir una autenticación segura para dichas redes inalámbricas.
4.2 El Proveedor actualizará las medidas diseñadas para separar lógicamente e impedir la exposición o el acceso a Materiales de Kyndryl de personas no autorizadas. Asimismo, el Proveedor mantendrá un aislamiento adecuado de sus entornos productivos y no productivos u otros entornos y, si los Materiales de Kyndryl ya existen en un entorno no productivo o se transfieren posteriormente a un entorno no productivo (por ejemplo, para reproducir un error), el Proveedor se asegurará de que las protecciones de seguridad y privacidad en el entorno no productivo sean equivalentes a las del productivo.
4.3 El Proveedor cifrará los Materiales de Kyndryl en tránsito y en reposo (a menos que el Proveedor demuestre de forma razonable a Kyndryl que el cifrado de los Materiales de Kyndryl en reposo es técnicamente inviable). El Proveedor también cifrará todos los soportes físicos, si existen, como los que contienen archivos de copia de seguridad. El Proveedor actualizará los procedimientos documentados para la generación, emisión, distribución, almacenamiento, rotación, revocación, recuperación, copia de seguridad, destrucción, acceso y uso de claves seguras asociados con el cifrado de datos. El Proveedor se asegurará de que los métodos criptográficos específicos utilizados para dicho cifrado se alineen con las Prácticas Recomendadas del Sector como, por ejemplo, NIST SP 800-131a.
4.4 Si el Proveedor requiere acceso a Materiales de Kyndryl, el Proveedor restringirá y limitará dicho acceso al nivel mínimo necesario para la prestación y el soporte de los Servicios y los Entregables. El Proveedor requerirá que dicho acceso, incluido el acceso administrativo a los componentes subyacentes (por ejemplo, acceso con privilegios), será individual, se basará en cargos y estará sujeto a aprobación y validación regular por parte del Personal del Proveedor autorizado conforme a los principios de separación de funciones. El Proveedor mantendrá medidas adecuadas para identificar y eliminar cuentas redundantes e iniciativas. El Proveedor también revocará las cuentas con acceso privilegiado dentro del plazo de veinticuatro (24) horas posteriores a la separación del titular de la cuenta o a la solicitud por parte de Kyndryl o cualquier empleado del Proveedor autorizado, como el director del titular de la cuenta.
4.5 De conformidad con las Prácticas Recomendadas del Sector, el Proveedor mantendrá medidas técnicas que impongan tiempo de espera en sesiones inactivas, bloqueo de cuentas tras diversos intentos fallidos de inicio de sesión, autenticación con contraseña o frase de contraseña fuerte, así como medidas que requieran la transferencia y el almacenamiento seguros de estas contraseñas y frases de contraseñas. Asimismo, el Proveedor utilizará la autenticación de multifactores para todo acceso con privilegios no basado en contraseña a los Materiales de Kyndryl.
4.6 El Proveedor supervisará el uso del acceso con privilegios y mantendrá la información de seguridad y las medidas de gestión de eventos diseñadas para (a) identificar la actividad y el acceso no autorizados; (b) facilitar una respuesta adecuada y oportuna a la actividad y el acceso no autorizados; y (c) habilitar las auditorías del Proveedor, Kyndryl (de acuerdo con sus derechos de verificación de estas Condiciones y derechos de auditoría de este Documento Transaccional o base asociada u otro acuerdo relacionado entre las partes) y otros de acuerdo con la política documentada del Proveedor.
4.7 El Proveedor mantendrá registros en los que incorporará, de conformidad con las Prácticas Recomendadas del Sector, todos los accesos o actividades administrativas, de usuarios o de otro tipo para o con respecto a los sistemas utilizados para prestar Servicios o Entregables y en el Manejo de Tecnologías de Kyndryl (y proporcionará esos registros a Kyndryl, a petición). El Proveedor mantendrá medidas diseñadas para la protección en caso de acceso no autorizado, modificación y destrucción accidental o deliberada de estos registros.
4.8 El Proveedor mantendrá medidas informáticas de protección para los sistemas que posee o gestiona, incluidos los sistemas de usuario final, y que utilice para prestar Servicios o Entregables o en el Manejo de Tecnologías de Kyndryl, y estas medidas de protección incluirán lo siguiente: los cortafuegos de puntos finales, el cifrado de disco completo, las tecnologías de detección y respuesta de punto final basadas en firmas y no basadas en firmas para detectar malware y amenazas persistentes avanzadas, los bloqueos de pantalla basados en tiempo y las soluciones de gestión de puntos finales que impongan tanto la configuración de seguridad como los requisitos de parches. Asimismo, el Proveedor implementará controles técnicos y operativos que garanticen que solo los sistemas de usuario final conocidos y de confianza puedan utilizar las redes del Proveedor.
4.9 De conformidad con las Prácticas Recomendadas del Sector, el Proveedor mantendrá protecciones para los entornos de centro de datos donde existan o se traten Materiales de Kyndryl. Dichas protecciones incluyen detección y prevención de intrusiones, y mitigación y contramedidas de ataques de denegación de servicio.
5. Integridad de Sistemas y Servicio y Control de Disponibilidad
5.1 El Proveedor (a) realizará evaluaciones de riesgos de seguridad y evaluación de vulnerabilidades al menos una vez al año, (b) llevará a cabo pruebas de intrusión y evaluaciones de vulnerabilidades, incluido el escaneo de seguridad automatizado de aplicaciones y sistemas y los pirateos éticos manuales, antes del lanzamiento en producción y anualmente a partir del mismo, (c) presentará un tercero independiente y cualificado para la realización de pruebas de penetración coherentes con las Prácticas Recomendadas del Sector al menos una vez al año, y estas pruebas incluirán pruebas manuales y automatizadas, (d) efectuará tareas de gestión automatizada y verificación rutinaria del cumplimiento de los requisitos de la configuración de seguridad de cada componente de los Servicios y los Entregables con respecto a su Manejo de Tecnologías de Kyndryl; y (e) corregirá las vulnerabilidades identificadas o el incumplimiento de los requisitos de la configuración de seguridad según el riesgo asociado, la posibilidad de explotación y el impacto. El Proveedor llevará a cabo los pasos razonables para evitar la interrupción de los Servicios durante la realización de las pruebas, evaluaciones y escaneos, así como durante la ejecución de las actividades de corrección. Si Kyndryl lo solicita, el Proveedor proporcionará a Kyndryl un resumen escrito de las actividades de pruebas de intrusión más recientes del Proveedor, cuyo informe incluirá como mínimo el nombre de las ofertas cubiertas por la prueba, el número de sistemas o aplicaciones en ámbito para las pruebas, las fechas de las pruebas, las metodologías utilizas en ellas y un resumen de alto nivel de los resultados.
5.2 El Proveedor mantendrá sus políticas y procedimientos diseñados para gestionar los riesgos asociados con la aplicación de cambios a los Servicios o Entregables o al Manejo de Tecnologías de Kyndryl. Antes de implementar dicho cambio, incluidos los sistemas, las redes y los componentes subyacentes afectados, el Proveedor documentará en una solicitud de cambio registrada: (a) una descripción y el motivo del cambio, (b) detalles y programación de implementación, (c) una declaración de riesgo que aborde el impacto en los Servicios y Entregables, clientes de los Servicios o Materiales de Kyndryl, (d) el resultado esperado, (e) plan de reversión y (f) aprobación por parte de los empleados autorizados del Proveedor.
5.3 El Proveedor mantendrá un inventario de todos los activos de TI que utiliza para operar los Servicios, proporcionar Entregables y el Manejo de Tecnologías de Kyndryl. El Proveedor supervisará y gestionará de forma continuada el estado (incluida la capacidad) y la disponibilidad de dichos activos de TI, Servicios, Entregables y Tecnologías de Kyndryl, incluidos los componentes subyacentes de dichos activos, Servicios, Entregables y Tecnologías de Kyndryl.
5.4 El Proveedor construirá todos los sistemas que utiliza en el desarrollo o la operación de Servicios y Entregables y en el Manejo de Tecnologías de Kyndryl a partir de líneas base de seguridad o imágenes de seguridad del sistema predefinidas, que cumplirán las Prácticas Recomendadas del Sector, como los indicadores del Centro de Seguridad de Internet (CIS).
5.5 Sin limitación de las obligaciones del Proveedor o los derechos de Kyndryl bajo el Documento Transaccional o el acuerdo base asociado entre las partes con respecto a la continuidad del negocio, el Proveedor evaluará por separado cada Servicio y Entregable y cada sistema de TI utilizado en el Manejo de Tecnologías de Kyndryl en relación con los requisitos de continuidad empresarial y TI y la recuperación tras desastre ("disaster recovery") de conformidad con las directrices documentadas de gestión de riesgos. El Proveedor garantizará que cada Servicio, Entregable y sistema de TI tenga, en la medida en que se especifique en la evaluación de riesgos, planes de recuperación tras desastre y continuidad del negocio validados anualmente, mantenidos, documentados y definidos por separado conforme a las Prácticas Recomendadas del Sector. El Proveedor garantizará que dichos planes estén diseñados para ofrecer los tiempos de recuperación que se establecen en el Apartado 5.6, a continuación.
5.6 Los objetivos de punto de recuperación específicos ("RPO”) y los objetivos de tiempo de recuperación (“RTO”) en relación con un Servicio Alojado son: 24 horas de RPO y 24 horas de RTO; no obstante, el Proveedor cumplirá con cualquier RPO o RTO de menor duración para el que Kyndryl se haya comprometido con un Cliente, inmediatamente después de que Kyndryl notifique al Proveedor por escrito dicho RPO o RTO de menor duración (un correo electrónico se considera por escrito). En lo que respecta a los demás Servicios proporcionados por el Proveedor a Kyndryl, el Proveedor garantizará que sus planes de continuidad empresarial y recuperación tras desastre estén diseñados para proporcionar un RPO y RTO que permitan al Proveedor cumplir todas sus obligaciones con Kyndryl bajo este Documento Transaccional y el acuerdo base asociado entre las partes, y estas Condiciones, incluidas sus obligaciones de proporcionar pruebas, soporte y mantenimiento.
5.7 El Proveedor mantendrá medidas diseñadas para evaluar, probar y aplicar parches de advertencia de seguridad a los Servicios y Entregables y sus sistemas, redes, aplicaciones y componentes subyacentes asociados en el ámbito de dichos Servicios y Entregables, así como los sistemas, redes, aplicaciones y componentes subyacentes utilizados en el Manejo de Tecnologías de Kyndryl. Tras determinar que un parche de advertencia de seguridad es aplicable y adecuado, el Proveedor implementará dicho parche conforme con las directrices documentadas de evaluación del riesgo y la gravedad. La implementación del Proveedor de parches de advertencia de seguridad estará sujeta a su política de gestión de cambios.
5.8 Si Kyndryl tiene una base razonable para considerar que el hardware o el software que el Proveedor proporciona a Kyndryl puede contener elementos intrusivos, como spyware, malware o código malicioso, el Proveedor cooperará oportunamente con Kyndryl en la investigación y solución de las sospechas de Kyndryl.
6. Aprovisionamiento de Servicio
6.1 El Proveedor dará soporte a los métodos comunes de autenticación federada del sector para cualquier cuenta de usuario o Cliente de Kyndryl, y el Proveedor seguirá las Prácticas Recomendadas del Sector en la autenticación de dichas cuentas de Usuario o Cliente de Kyndryl (como el inicio de sesión único de diversos factores de gestión centralizada de Kyndryl, utilizando OpenID Connect o SAML).
7. Subcontratistas. Sin limitación de las obligaciones del Proveedor o los derechos de Kyndryl bajo el Documento Transaccional o el acuerdo base asociado entre las partes con respecto a la retención de subcontratistas, el Proveedor se asegurará de que cualquier subcontratista que realice trabajos para el Proveedor haya instituido controles de gestión para cumplir los requisitos y obligaciones que estas Condiciones imponen al Proveedor.
8. Soporte Físico. El Proveedor saneará de forma segura los soportes físicos para su reutilización antes de dicha reutilización y destruirá los soportes físicos que se van a reutilizar, de conformidad con las Prácticas Recomendadas del Sector para el saneamiento de soportes.
Artículo X, Cooperación, Verificación y Resolución
Este artículo se aplica si el Proveedor proporciona algún Servicio o Entregable a Kyndryl.
1. Cooperación del Proveedor
1.1 Si Kyndryl tiene motivos para sospechar que algún Servicio o Entregable puede haber contribuido, está contribuyendo o contribuirá a algún problema de ciberseguridad, el Proveedor cooperará con cualquier consulta de Kyndryl con respecto a dicha sospecha, incluida una respuesta oportuna y de manera completa a las solicitudes de información, ya sea a través de documentos, otros registros, entrevistas al Personal del Proveedor relevante o similares.
1.2 Las partes acuerdan: (a) proporcionarse, a petición, entre sí dicha información adicional, (b) ejecutar y entregarse mutuamente cualquier otro tipo de documentación, y (c) llevar a cabo otras acciones, todo aquello que la otra parte pueda razonablemente solicitar con el fin de ejecutar la intencionalidad de estas Condiciones y los documentos mencionados en estas Condiciones. Por ejemplo, si Kyndryl lo solicita, el Proveedor proporcionará oportunamente las condiciones centradas en la privacidad y la seguridad de sus contratos escritos con Subencargados del Tratamiento y subcontratistas, incluida, cuando el Proveedor tenga derecho a hacerlo, la concesión de acceso a los contratos en sí.
1.3 Si Kyndryl lo solicita, el Proveedor proporcionará oportunamente información sobre los países donde se fabricaron, desarrollaron u obtuvieron de otro modo sus Entregables y los componentes de los Entregables.
2. Verificación (como se usa a continuación, "Instalación" significa una ubicación física donde el Proveedor hospeda, procesa o accede a los Materiales de Kyndryl)
2.1 El Proveedor mantendrá un registro auditable que demuestre la conformidad con estas Condiciones.
2.2 Kyndryl, propiamente o mediante un auditor externo, puede, con 30 días de notificación previa por escrito al Proveedor, verificar la conformidad del Proveedor con estas Condiciones, incluido el acceso a cualquier Instalación o Instalaciones para tales fines, aunque Kyndryl no accederá a ningún centro de datos donde el Proveedor trate los Datos de Kyndryl a menos que tenga una buena razón para creer que con ello proporcionará alguna información relevante. El Proveedor cooperará con la verificación de Kyndryl, incluida la respuesta oportuna y de manera completa a las solicitudes de información, ya sea a través de documentos, otros registros, entrevistas con el Personal del Proveedor relevante o similares. El Proveedor puede ofrecer una prueba de cumplimiento de un código de conducta aprobado o una certificación del sector, o proporcionar información para demostrar el cumplimiento de estas Condiciones, para su consideración por parte de Kyndryl.
2.3 No se realizará una verificación más de una vez en un período de 12 meses, a menos que: (a) Kyndryl esté validando la resolución de sospechas del Proveedor derivada de una verificación previa durante el 12.º mes o (b) haya surgido un Incumplimiento de Seguridad y Kyndryl quiera verificar el cumplimiento de las obligaciones relevantes para la infracción. En cualquier caso, Kyndryl proporcionará la misma notificación previa por escrito de 30 días como se especifica en el Apartado 2.2 anterior, pero la urgencia de abordar un Incumplimiento de Seguridad puede requerir que Kyndryl realice una verificación con menos de 30 días de notificación previa por escrito.
2.4. Un regulador u otro Responsable del Tratamiento puede ejercer los mismos derechos que Kyndryl en los Apartados 2.2 y 2.3, bajo el supuesto de que un regulador puede ejercer cualquier derecho adicional que tenga según la legislación vigente.
2.5 Si Kyndryl tiene una base razonable para concluir que el Proveedor no cumple con ninguna de estas Condiciones (ya sea que dicha base surja de una verificación bajo estas Condiciones o no), el Proveedor corregirá de inmediato dicho incumplimiento.
3. Programa contra la Falsificación
3.1 Si los Entregables del Proveedor incluyen componentes electrónicos (por ejemplo, unidades de disco duro, unidades de estado sólido, memoria, unidades centrales de procesamiento, dispositivos lógicos o cables), el Proveedor mantendrá y seguirá un programa documentado de prevención de posibles falsificaciones para, en primer lugar, evitar que el Proveedor proporcione componentes falsificados a Kyndryl y, en segundo lugar, detectar y corregir de inmediato cualquier caso en que el Proveedor proporcione componentes falsificados por error a Kyndryl. El Proveedor impondrá esta misma obligación de mantener y seguir un programa documentado de prevención de posibles falsificaciones en todos sus proveedores que proporcionen componentes electrónicos incluidos en los Entregables del Proveedor a Kyndryl.
4. Resolución
4.1 Si el Proveedor no cumple con cualquiera de sus obligaciones en virtud de estas Condiciones, y ese incumplimiento causa un Incumplimiento de seguridad, el Proveedor corregirá la anomalía en su ejecución y corregirá el efecto nocivo del Incumplimiento de seguridad, con las instrucciones y el cronograma que Kyndryl estime razonables. Sin embargo, si el incumplimiento de seguridad surge del suministro por parte del Proveedor de un Servicio alojado de múltiples inquilinos y, en consecuencia, afecta a muchos clientes del Proveedor, incluida Kyndryl, entonces el Proveedor, dada la naturaleza del incumplimiento de seguridad, corregirá oportuna y adecuadamente la falla en su desempeño, y subsanar los efectos dañinos del incumplimiento de seguridad, al mismo tiempo que se presta la debida consideración a cualquier aportación de Kyndryl sobre dichas correcciones y subsanación. Sin perjuicio de lo anterior, el Proveedor deberá notificar a Kyndryl sin demoras injustificadas si ya no puede cumplir con las obligaciones establecidas por la ley de protección de datos aplicable.
4.2 Kyndryl tendrá derecho a participar en la reparación de cualquier incumplimiento de seguridad a la que se hace referencia en la Sección 4.1, según lo considere apropiado o necesario, y el Proveedor será responsable de sus costos y gastos para corregir su desempeño y de los costos y gastos de reparación que las partes deben incurrir con respecto a dicho incumplimiento de seguridad.
4.3 A modo de ejemplo, los costos y gastos de corrección asociados con un Incumplimiento de Seguridad podrían incluir los derivados de detectar e investigar un Incumplimiento de Seguridad, determinar las responsabilidades bajo la legislación y las normativas aplicables, proporcionar notificaciones de incumplimiento, establecer y mantener centros de atención telefónica, prestar Servicios de supervisión y restauración de crédito, recargar datos, corregir defectos del producto (incluido a través del Código fuente u otros desarrollos), retener a terceros para ayudar con las actividades anteriores u otras actividades relevantes, y otros costos y gastos que sean necesarios para corregir los efectos nocivos del Incumplimiento de Seguridad. Para mayor claridad, los costos y gastos de corrección no incluirían la pérdida de ganancias, negocios, valor, ingresos, previsiones o ahorros anticipados de Kyndryl.
-
Si es así, los Artículos VI (Acceso a Sistemas Corporativos), VII (Aumento de Personal) y X (Cooperación, Verificación y Resolución) se aplican.
Nota: los Artículos II (Medidas Técnicas y Organizativas, Seguridad de los Datos), III (Privacidad), IV (Medidas Técnicas y Organizativas, Código de Seguridad) y V (Desarrollo Seguro) pueden aplicarse también, si se permite al Proveedor de Materiales de Kyndryl tener acceso dentro del Sistema Corporativo.
Artículo VI, Acceso a Sistemas Corporativos
Este Artículo se aplica si los empleados del Proveedor tendrán acceso a cualquier Sistema Corporativo.
1. Términos generales
1.1 Kyndryl determinará si autoriza a los empleados del Proveedor a acceder a los Sistemas corporativos. Si Kyndryl lo autoriza, el Proveedor cumplirá y hará que sus empleados con dicho acceso cumplan, los requisitos de este Artículo.
1.2 Kyndryl identificará los medios por los cuales los empleados del Proveedor pueden acceder a los Sistemas corporativos, lo que incluye si los empleados tendrán acceso a los Sistemas corporativos a través de Kyndryl o de los Dispositivos proporcionados por el Proveedor.
1.3 Los empleados del Proveedor solo pueden acceder a los Sistemas corporativos y solo pueden usar los Dispositivos que Kyndryl autorice para dicho acceso para prestar Servicios. Los empleados del Proveedor no pueden usar los Dispositivos que Kyndryl autorice para prestar Servicios a ninguna otra persona o entidad, ni para acceder a sistemas de TI, redes, aplicaciones, sitios web, herramientas de correo electrónico, herramientas de colaboración o similares de un Proveedor o un tercero en relación con los Servicios.
1.4 Para mayor claridad, los empleados del Proveedor no pueden usar los Dispositivos que Kyndryl autoriza para acceder a los Sistemas corporativos por ningún motivo personal (por ejemplo, los empleados del Proveedor no pueden almacenar archivos personales como música, videos, imágenes u otros elementos similares en dichos Dispositivos y no pueden usar Internet desde dichos dispositivos para fines personales).
1.5 Los empleados del Proveedor no copiarán los Materiales de Kyndryl a los que se pueda acceder a través de un Sistema corporativo sin la aprobación previa por escrito de Kyndryl (y nunca copiarán los Materiales de Kyndryl a un dispositivo de almacenamiento portátil, como una memoria USB, un disco duro externo u otros elementos similares).
1.6 A petición, el Proveedor confirmará, por nombre de empleado, los Sistemas corporativos específicos a los que sus empleados están autorizados a acceder, y han accedido, durante cualquier período de tiempo que Kyndryl identifique.
1.7 El Proveedor notificará a Kyndryl dentro del plazo de veinticuatro (24) horas después de que cualquier empleado del Proveedor con acceso a cualquier Sistema corporativo: (a) ya no sea empleado del Proveedor o (b) ya no trabaje en actividades que requieran dicho acceso. El Proveedor trabajará con Kyndryl para garantizar que se revoque de inmediato el acceso de dichos exempleados o empleados actuales.
1.8 El Proveedor notificará inmediatamente a Kyndryl cualquier incidente de seguridad real o presunto (como la pérdida de un Dispositivo de Kyndryl o del Proveedor o el acceso no autorizado a un Dispositivo o datos, materiales u otra información de cualquier tipo) y cooperará con Kyndryl en la investigación de dichos incidentes.
1.9 El Proveedor no puede permitir que un agente, contratista independiente o empleado del subcontratista acceda a ningún Sistema corporativo sin el consentimiento previo por escrito de Kyndryl; si Kyndryl otorga ese consentimiento, el Proveedor comprometerá contractualmente a estas personas y a sus empleadores para cumplir los requisitos de este Artículo como si estas personas fueran empleados del Proveedor, y será responsable ante Kyndryl de todas las acciones y omisiones de acción de dicha persona o empleador con respecto al acceso al Sistema corporativo.
2. Software del Dispositivo
2.1 El Proveedor ordenará a sus empleados que instalen oportunamente todo el software del Dispositivo que Kyndryl requiera para facilitar el acceso a los Sistemas corporativos de manera segura. Ni el Proveedor ni sus empleados interferirán en las operaciones del software o las características de seguridad que el software permite.
2.2 El Proveedor y sus empleados cumplirán las reglas de configuración del Dispositivo que Kyndryl establezca y de otro modo trabajarán con Kyndryl para ayudar a garantizar que el software funcione como Kyndryl pretende. Por ejemplo, el Proveedor no anulará el bloqueo de páginas web de software o las características de parches automáticos.
2.3 Los empleados del Proveedor no pueden compartir los Dispositivos que utilizan para acceder a los Sistemas corporativos, o los nombres de usuario, contraseñas o similares de los Dispositivos con ninguna otra persona.
2.4 Si Kyndryl autoriza a los empleados del Proveedor a acceder a los Sistemas corporativos utilizando los Dispositivos del Proveedor, el Proveedor instalará y ejecutará un sistema operativo en esos Dispositivos que Kyndryl apruebe y actualizará a una nueva versión de dicho sistema operativo o un nuevo sistema operativo, en un plazo razonable, después de que Kyndryl así lo indique.
3. Supervisión y Cooperación
3.1 Kyndryl tienen los derechos absolutos para supervisar y corregir posibles intrusiones y otras amenazas de ciberseguridad de cualquier modo, desde cualquier ubicación y utilizando cualquier medio que Kyndryl considere necesario o apropiado, sin previo aviso al Proveedor, a cualquier empleado del Proveedor o a otros. Como ejemplos de tales derechos, Kyndryl puede, en cualquier momento, (a) realizar una prueba de seguridad en cualquier Dispositivo, (b) supervisar, recuperar a través de medios técnicos o de otro tipo y revisar comunicaciones (incluidos correos electrónicos de cualquier cuenta de correo electrónico), registros, archivos y otros elementos almacenados en cualquier Dispositivo o transmitidos a través de cualquier Sistema Corporativo, y (c) adquirir una imagen forense completa de cualquier Dispositivo. Si Kyndryl necesita la cooperación del Proveedor para ejercer sus derechos, el Proveedor deberá satisfacer plena y oportunamente las solicitudes de dicha cooperación con Kyndryl (incluidas, por ejemplo, solicitudes para configurar de forma segura cualquier Dispositivo, instalar software de supervisión o de otro tipo en cualquier Dispositivo, compartir detalles de conexión a nivel del sistema, participar en medidas de respuesta a incidentes en cualquier Dispositivo y proporcionar acceso físico a cualquier Dispositivo para que Kyndryl obtenga una imagen forense completa o de otro tipo, y solicitudes similares y relacionadas).
3.2 Kyndryl puede revocar el acceso a los Sistemas corporativos en cualquier momento, para algunos o la totalidad de los empleados del Proveedor, sin previo aviso al Proveedor, a cualquier empleado del Proveedor o a otros, si considera que es necesario para su propia protección.
3.3 Los derechos de Kyndryl no quedan bloqueados, reducidos o restringidos de ninguna manera por ninguna cláusula del Documento transaccional, el acuerdo base asociado entre las partes ni cualquier otro acuerdo entre las partes, lo que incluye cualquier cláusula que requiera que los datos, materiales u otra información de cualquier tipo residan solo en una ubicación o en ubicaciones seleccionadas o que requiera que solo personas de una ubicación o de ubicaciones seleccionadas accedan a dichos datos, materiales u otra información.
4. Dispositivos de Kyndryl
4.1 Kyndryl retendrá la titularidad de todos los Dispositivos de Kyndryl, y el Proveedor asumirá el riesgo de pérdida de los Dispositivos, incluidos casos de robo, vandalismo o negligencia. El Proveedor no realizará ni permitirá modificaciones a los Dispositivos de Kyndryl sin el consentimiento previo por escrito de Kyndryl, siendo una modificación cualquier cambio en un Dispositivo, incluido cualquier cambio en el software, las aplicaciones, el diseño de seguridad, la configuración de seguridad o el diseño físico, mecánico o eléctrico del dispositivo.
4.2 El Proveedor devolverá todos los Dispositivos de Kyndryl dentro del plazo de 5 días laborables tras la finalización de la necesidad de dichos Dispositivos para proporcionar los Servicios y, si Kyndryl lo solicita, destruirá todos los datos, materiales y otra información de cualquier tipo en esos Dispositivos al mismo tiempo, sin retener ninguna copia, siguiendo las Prácticas Recomendadas del Sector para borrar permanentemente todos esos datos, materiales y otra información. El Proveedor empaquetará y devolverá los Dispositivos de Kyndryl en las mismas condiciones en que fueron entregados al Proveedor, exceptuando el desgaste razonable, responsabilizándose de los costos, en la ubicación que Kyndryl identifique. El incumplimiento por parte del Proveedor de cualquier obligación establecida en este Apartado 4.2 constituye una infracción sustancial del Documento Transaccional y el acuerdo base asociado y cualquier acuerdo relacionado entre las partes, bajo el supuesto de que un acuerdo está "relacionado" si el acceso a cualquier Sistema Corporativo facilita las tareas del Proveedor u otras actividades bajo ese acuerdo.
4.3 Kyndryl proporcionará soporte para Dispositivos Kyndryl (incluida la inspección de Dispositivos y el mantenimiento preventivo y correctivo). El Proveedor informará de inmediato a Kyndryl sobre la necesidad de un servicio de reparación.
4.4. Para los programas de software que Kyndryl posea o de los cuales tenga derecho para conceder licencias, Kyndryl otorga al Proveedor un derecho temporal para usar, almacenar y hacer copias suficientes para dar soporte a su uso autorizado de Dispositivos Kyndryl. El Proveedor no puede transferir programas, hacer copias de la información de la licencia de software, o desensamblar, descompilar, aplicar ingeniería inversa o convertir cualquier programa a menos que la legislación aplicable lo permita sin la posibilidad de renuncia contractual.
5. Actualizaciones
5.1 Sin perjuicio de lo establecido en contra en el Documento Transaccional o el acuerdo base asociado entre las partes, previa notificación por escrito al Proveedor y sin necesidad de obtener el consentimiento del Proveedor, Kyndryl puede actualizar, complementar o de otro modo enmendar este Artículo para abordar cualquier requisito bajo la legislación aplicable o una obligación del Cliente, para reflejar cualquier desarrollo en prácticas recomendadas de seguridad, o de otra manera como Kyndryl considere necesario para proteger los Sistemas Corporativos o a Kyndryl.
Artículo VII, Aumento de Personal
Este Artículo se aplica cuando los empleados de Proveedor dedicarán todo su tiempo laborable a prestar Servicios para Kyndryl, realizarán todos esos Servicios en las instalaciones de Kyndryl, en las instalaciones del Cliente o desde sus casas, y solo proporcionarán Servicios usando los Dispositivos de Kyndryl para acceder a los Sistemas Corporativos.
1. Acceso a Sistemas Corporativos; Entornos de Kyndryl
1.1 El Proveedor solo puede realizar Servicios accediendo a Sistemas Corporativos utilizando los Dispositivos que Kyndryl proporciona.
1.2 El Proveedor cumplirá con las condiciones establecidas en el Artículo VI (Acceso a Sistemas Corporativos), para todo acceso a los Sistemas Corporativos.
1.3 Los Dispositivos proporcionados por Kyndryl son los únicos Dispositivos que el Proveedor y sus empleados pueden usar para prestar Servicios y solo pueden utilizarlos el Proveedor y sus empleados para prestar Servicios. Para mayor claridad, en ningún caso el Proveedor o sus empleados pueden usar ningún otro Dispositivo para prestar Servicios o utilizar Dispositivos de Kyndryl para cualquier otro cliente del Proveedor o para cualquier otro propósito que no sea prestar Servicios a Kyndryl.
1.4 Los empleados del Proveedor que usan Dispositivos de Kyndryl pueden compartir Materiales de Kyndryl entre ellos y almacenar dichos materiales en los Dispositivos de Kyndryl, pero solo en la medida limitada en que dicho intercambio y almacenamiento sean necesarios para prestar con éxito los Servicios.
1.5 Excepto en lo relativo a dicho almacenamiento dentro de los Dispositivos de Kyndryl, en ningún caso el Proveedor o sus empleados pueden eliminar Materiales de Kyndryl de los repositorios, entornos, herramientas o infraestructura de Kyndryl donde Kyndryl los conserve.
1.6 Para mayor claridad, ni el Proveedor ni sus empleados están autorizados a transferir Materiales de Kyndryl a los repositorios, entornos, herramientas o infraestructura del Proveedor, ni a ningún otro sistema, plataforma, redes o infraestructura similar del Proveedor, sin el consentimiento previo por escrito de Kyndryl.
1.7 El Artículo VIII (Medidas Técnicas y Organizativas, Seguridad General) no se aplica a los Servicios del Proveedor en los casos en que los empleados del Proveedor dediquen todo su tiempo laborable a prestar Servicios para Kyndryl, presten todos esos Servicios en las instalaciones de Kyndryl, las instalaciones del Cliente o desde sus hogares, y solo proporcionen Servicios que utilizan Dispositivos de Kyndryl para acceder a los Sistemas Corporativos. En cualquier otro caso, el Artículo VIII se aplica a los Servicios del Proveedor.
Artículo X, Cooperación, Verificación y Resolución
Este artículo se aplica si el Proveedor proporciona algún Servicio o Entregable a Kyndryl.
1. Cooperación del Proveedor
1.1 Si Kyndryl tiene motivos para sospechar que algún Servicio o Entregable puede haber contribuido, está contribuyendo o contribuirá a algún problema de ciberseguridad, el Proveedor cooperará con cualquier consulta de Kyndryl con respecto a dicha sospecha, incluida una respuesta oportuna y de manera completa a las solicitudes de información, ya sea a través de documentos, otros registros, entrevistas al Personal del Proveedor relevante o similares.
1.2 Las partes acuerdan: (a) proporcionarse, a petición, entre sí dicha información adicional, (b) ejecutar y entregarse mutuamente cualquier otro tipo de documentación, y (c) llevar a cabo otras acciones, todo aquello que la otra parte pueda razonablemente solicitar con el fin de ejecutar la intencionalidad de estas Condiciones y los documentos mencionados en estas Condiciones. Por ejemplo, si Kyndryl lo solicita, el Proveedor proporcionará oportunamente las condiciones centradas en la privacidad y la seguridad de sus contratos escritos con Subencargados del Tratamiento y subcontratistas, incluida, cuando el Proveedor tenga derecho a hacerlo, la concesión de acceso a los contratos en sí.
1.3 Si Kyndryl lo solicita, el Proveedor proporcionará oportunamente información sobre los países donde se fabricaron, desarrollaron u obtuvieron de otro modo sus Entregables y los componentes de los Entregables.
2. Verificación (como se usa a continuación, "Instalación" significa una ubicación física donde el Proveedor hospeda, procesa o accede a los Materiales de Kyndryl)
2.1 El Proveedor mantendrá un registro auditable que demuestre la conformidad con estas Condiciones.
2.2 Kyndryl, propiamente o mediante un auditor externo, puede, con 30 días de notificación previa por escrito al Proveedor, verificar la conformidad del Proveedor con estas Condiciones, incluido el acceso a cualquier Instalación o Instalaciones para tales fines, aunque Kyndryl no accederá a ningún centro de datos donde el Proveedor trate los Datos de Kyndryl a menos que tenga una buena razón para creer que con ello proporcionará alguna información relevante. El Proveedor cooperará con la verificación de Kyndryl, incluida la respuesta oportuna y de manera completa a las solicitudes de información, ya sea a través de documentos, otros registros, entrevistas con el Personal del Proveedor relevante o similares. El Proveedor puede ofrecer una prueba de cumplimiento de un código de conducta aprobado o una certificación del sector, o proporcionar información para demostrar el cumplimiento de estas Condiciones, para su consideración por parte de Kyndryl.
2.3 No se realizará una verificación más de una vez en un período de 12 meses, a menos que: (a) Kyndryl esté validando la resolución de sospechas del Proveedor derivada de una verificación previa durante el 12.º mes o (b) haya surgido un Incumplimiento de Seguridad y Kyndryl quiera verificar el cumplimiento de las obligaciones relevantes para la infracción. En cualquier caso, Kyndryl proporcionará la misma notificación previa por escrito de 30 días como se especifica en el Apartado 2.2 anterior, pero la urgencia de abordar un Incumplimiento de Seguridad puede requerir que Kyndryl realice una verificación con menos de 30 días de notificación previa por escrito.
2.4. Un regulador u otro Responsable del Tratamiento puede ejercer los mismos derechos que Kyndryl en los Apartados 2.2 y 2.3, bajo el supuesto de que un regulador puede ejercer cualquier derecho adicional que tenga según la legislación vigente.
2.5 Si Kyndryl tiene una base razonable para concluir que el Proveedor no cumple con ninguna de estas Condiciones (ya sea que dicha base surja de una verificación bajo estas Condiciones o no), el Proveedor corregirá de inmediato dicho incumplimiento.
3. Programa contra la Falsificación
3.1 Si los Entregables del Proveedor incluyen componentes electrónicos (por ejemplo, unidades de disco duro, unidades de estado sólido, memoria, unidades centrales de procesamiento, dispositivos lógicos o cables), el Proveedor mantendrá y seguirá un programa documentado de prevención de posibles falsificaciones para, en primer lugar, evitar que el Proveedor proporcione componentes falsificados a Kyndryl y, en segundo lugar, detectar y corregir de inmediato cualquier caso en que el Proveedor proporcione componentes falsificados por error a Kyndryl. El Proveedor impondrá esta misma obligación de mantener y seguir un programa documentado de prevención de posibles falsificaciones en todos sus proveedores que proporcionen componentes electrónicos incluidos en los Entregables del Proveedor a Kyndryl.
4. Resolución
4.1 Si el Proveedor no cumple con cualquiera de sus obligaciones en virtud de estas Condiciones, y ese incumplimiento causa un Incumplimiento de seguridad, el Proveedor corregirá la anomalía en su ejecución y corregirá el efecto nocivo del Incumplimiento de seguridad, con las instrucciones y el cronograma que Kyndryl estime razonables. Sin embargo, si el incumplimiento de seguridad surge del suministro por parte del Proveedor de un Servicio alojado de múltiples inquilinos y, en consecuencia, afecta a muchos clientes del Proveedor, incluida Kyndryl, entonces el Proveedor, dada la naturaleza del incumplimiento de seguridad, corregirá oportuna y adecuadamente la falla en su desempeño, y subsanar los efectos dañinos del incumplimiento de seguridad, al mismo tiempo que se presta la debida consideración a cualquier aportación de Kyndryl sobre dichas correcciones y subsanación. Sin perjuicio de lo anterior, el Proveedor deberá notificar a Kyndryl sin demoras injustificadas si ya no puede cumplir con las obligaciones establecidas por la ley de protección de datos aplicable.
4.2 Kyndryl tendrá derecho a participar en la reparación de cualquier incumplimiento de seguridad a la que se hace referencia en la Sección 4.1, según lo considere apropiado o necesario, y el Proveedor será responsable de sus costos y gastos para corregir su desempeño y de los costos y gastos de reparación que las partes deben incurrir con respecto a dicho incumplimiento de seguridad.
4.3 A modo de ejemplo, los costos y gastos de corrección asociados con un Incumplimiento de Seguridad podrían incluir los derivados de detectar e investigar un Incumplimiento de Seguridad, determinar las responsabilidades bajo la legislación y las normativas aplicables, proporcionar notificaciones de incumplimiento, establecer y mantener centros de atención telefónica, prestar Servicios de supervisión y restauración de crédito, recargar datos, corregir defectos del producto (incluido a través del Código fuente u otros desarrollos), retener a terceros para ayudar con las actividades anteriores u otras actividades relevantes, y otros costos y gastos que sean necesarios para corregir los efectos nocivos del Incumplimiento de Seguridad. Para mayor claridad, los costos y gastos de corrección no incluirían la pérdida de ganancias, negocios, valor, ingresos, previsiones o ahorros anticipados de Kyndryl.
-
Si es así, se aplican los Artículos II (Medidas Técnicas y Organizativas, Seguridad de los Datos), VIII (Medidas Técnicas y Organizativas, Seguridad General), IX (Informes y Certificaciones de Servicios Alojados) y X (Cooperación, Verificación y Resolución). El Artículo III (Privacidad) también se aplicará si el Proveedor tiene acceso a Datos Personales de Kyndryl al proporcionar un Servicio de hosting.
Ejemplos:
El proveedor proporciona cualquier oferta "como servicio" a Kyndryl, como ofertas "como servicio" de software, plataforma o infraestructura.
Artículo II, Medidas Técnicas y Organizativas, Seguridad de los Datos
Este Artículo se aplica si el Proveedor trata datos de Kyndryl, que no sean BCI de Kyndryl. El Proveedor cumplirá los requisitos de este Artículo proporcionando todos los Servicios y Entregables, y al hacerlo protegerá los Datos de Kyndryl contra pérdida, destrucción, alteración, revelación accidental o no autorizada, acceso accidental o no autorizado, y formas ilegales de Tratamiento. Los requisitos de este Artículo se extienden a todas las aplicaciones, plataformas e infraestructura de TI que el Proveedor opera o administra para proporcionar Entregables y Servicios, incluidos todos los entornos de desarrollo, pruebas, alojamiento, soporte, operaciones y centros de datos.
1. Uso de Datos
1.1 El Proveedor no puede agregar a los Datos de Kyndryl ni incluir con los Datos de Kyndryl ninguna otra información o dato, incluidos los Datos personales, sin el consentimiento previo por escrito de Kyndryl, y el Proveedor no puede usar los Datos de Kyndryl de ninguna forma, agregada o de otro modo, para ningún otro fin que no sea prestar Servicios y Entregables (a modo de ejemplo, al Proveedor no se le permite usar o reutilizar los Datos de Kyndryl para evaluar la eficacia o los medios para mejorar las soluciones del Proveedor, para la investigación y el desarrollo para crear nuevas soluciones, o para generar informes sobre las soluciones del Proveedor). A menos que se permita expresamente en el Documento Transaccional, el Proveedor tiene prohibido Vender Datos de Kyndryl.
1.2 El Proveedor no incorporará ninguna tecnología de seguimiento web en los Entregables o como parte de los Servicios (estas tecnologías incluyen HTML5, almacenamiento local, etiquetas o tokens de terceros y web beacons) a menos que esté expresamente permitido en el Documento transaccional.
2. Confidencialidad y Solicitudes de Terceros
2.1 El Proveedor no revelará los Datos de Kyndryl a ningún tercero, a menos que Kyndryl lo autorice previamente por escrito. Si una autoridad pública, incluido cualquier regulador, exige acceso a los Datos de Kyndryl (por ejemplo, si el Gobierno de los EE. UU. dicta una orden de seguridad nacional que afecta al Proveedor para obtener los Datos de Kyndryl), o si la ley requiere una revelación de los Datos de Kyndryl, el Proveedor notificará a Kyndryl por escrito dicha demanda o requisito y brindará a Kyndryl una oportunidad razonable para impugnar cualquier revelación (si la ley prohíbe la notificación, el Proveedor tomará las medidas que razonablemente considere apropiadas para impugnar la prohibición y revelación de los Datos de Kyndryl a través de acciones judiciales u otros medios).
2.2 El Proveedor garantiza a Kyndryl que: (a) solo los empleados que necesiten acceso a los Datos de Kyndryl para prestar Servicios o Entregables tendrán ese acceso, y posteriormente solo en la medida necesaria para proporcionar dichos Servicios y Entregables; y (b) sus empleados tienen obligaciones vinculantes de confidencialidad en virtud de las cuales solo pueden usar y revelar los Datos de Kyndryl según lo permitido en estas Condiciones.
3. Devolución o eliminación de datos de Kyndryl
3.1 El Proveedor, a elección de Kyndryl, eliminará o devolverá los Datos de Kyndryl a Kyndryl al terminar o vencer el Documento transaccional, o con anterioridad a petición de Kyndryl. Si Kyndryl requiere la eliminación, el Proveedor, de acuerdo con las Prácticas Recomendadas del Sector, hará que los datos sean ilegibles y no puedan reensamblarse o reconstruirse, y certificará la eliminación a Kyndryl. Si Kyndryl requiere la devolución de los Datos de Kyndryl, el Proveedor lo hará bajo un programa razonable de Kyndryl y según las instrucciones escritas razonables de Kyndryl.
Artículo III, Privacidad
Este Artículo se aplica si el Proveedor trata Datos Personales de Kyndryl.
1. Tratamiento
1.1 Kyndryl designa al Proveedor como Procesador para tratar los Datos personales de Kyndryl con el único objetivo de proporcionar los Entregables y los Servicios de acuerdo con las instrucciones de Kyndryl, incluidas las contenidas en estas Condiciones, el Documento transaccional y el acuerdo base asociado entre las partes. Si el Proveedor no acepta una instrucción, Kyndryl puede rescindir la parte afectada de los Servicios mediante notificación por escrito. Si el Proveedor considera que una instrucción infringe una ley de protección de datos, el Proveedor lo notificará a Kyndryl de inmediato y dentro de cualquier plazo temporal que requiera la legislación pertinente. Si el Proveedor no cumple con cualquiera de sus obligaciones en virtud de estas Condiciones y ese incumplimiento provoca un uso no autorizado de Información personal o, en general, en cualquier caso de uso no autorizado de Información personal, Kyndryl tendrá derecho a detener el procesamiento, corregir la falla y subsanar los efectos dañinos del uso no autorizado, con las instrucciones y el cronograma que Kyndryl estime razonables.
1.2 El Proveedor cumplirá toda la legislación de protección de datos aplicable a los Servicios y Entregables.
1.3 Un Suplemento del Documento transaccional, o el Documento transaccional en sí, establece lo siguiente con respecto a los Datos de Kyndryl:
(a) categorías de los titulares de datos
(b) tipos de datos personales de Kyndryl;
(c) acciones de datos y actividades de procesamiento;
(d) duración y frecuencia del procesamiento; y
(e) una lista de Subprocesadores.
2. Medidas Técnicas y Organizativas
2.1 El Proveedor implementará y mantendrá las medidas técnicas y organizativas establecidas en el Artículo II (Medidas Técnicas y Organizativas, Seguridad de los Datos) y el Artículo VIII (Medidas Técnicas y Organizativas, Seguridad General), y con ello garantizará un nivel de seguridad adecuado al riesgo que sus Servicios y Entregables presentan. El Proveedor certifica y comprende las restricciones del Artículo II, este Artículo III y el Artículo VIII, y las cumplirá.
3. Solicitudes y Derechos de los Interesados
3.1 El Proveedor notificará a Kyndryl de inmediato (según un calendario que permita a Kyndryl y a cualquier otro Controlador cumplir sus obligaciones legales) sobre cualquier solicitud de un Titular de datos para ejercer cualquier derecho del Titular de datos (por ejemplo, rectificación, eliminación o bloqueo de datos) con respecto a los Datos personales de Kyndryl. El Proveedor también puede dirigir de inmediato a un Interesado que realice dicha solicitud a Kyndryl. El Proveedor no responderá a las solicitudes de los titulares de datos a menos que lo exija la legislación o que Kyndryl lo requiera por escrito.
3.2 Si Kyndryl está obligado a proporcionar información sobre los Datos personales de Kyndryl a Otros controladores u otros terceros (por ejemplo, Titulares de datos o reguladores), el Proveedor ayudará a Kyndryl proporcionando información y llevando a cabo otras acciones razonables que Kyndryl solicite, según un cronograma que permita a Kyndryl responder oportunamente a dichos Otros controladores o terceros.
4. Subprocesadores
4.1 El Proveedor enviará a Kyndryl un aviso por escrito antes de incluir a un nuevo Subprocesador o de ampliar el alcance del Procesamiento por parte de un Subprocesador existente, y dicho aviso escrito deberá identificar el nombre del Subprocesador y describir el alcance nuevo o ampliado del Procesamiento. Kyndryl puede oponerse a cualquier nuevo Subprocesador o la ampliación en el alcance del mismo por motivos razonables en cualquier momento, y si lo hace, las partes trabajarán juntas de buena fe para abordar la objeción de Kyndryl. Sujeto al derecho de Kyndryl de oponerse en cualquier momento, el Proveedor puede nombrar el nuevo Subprocesador o ampliar el alcance del Procesamiento del Subprocesador existente si Kyndryl no ha presentado ninguna objeción dentro del plazo de 30 días posterior a la fecha del aviso por escrito del Proveedor.
4.2 El Proveedor impondrá las obligaciones de protección de datos, seguridad y certificación establecidas en estas Condiciones a cada Subprocesador aprobado antes de que un Subprocesador trate los Datos de Kyndryl. El Proveedor es plenamente responsable ante Kyndryl por el cumplimiento de las obligaciones de cada Subprocesador.
5. Procesamiento de Datos Transfronterizo
Según su uso a continuación:
País adecuado refiere a un país que proporciona un nivel adecuado de protección de datos con respecto a la transferencia relevante de conformidad con las leyes de protección de datos aplicables o las decisiones de los reguladores.
Importador de datos refiere a un Procesador o a un Subprocesador que no está establecido en un País adecuado.
Cláusulas contractuales tipo de la UE ("SCC de la UE") refiere a las Cláusulas contractuales tipo de la UE (Decisión de la Comisión 2021/914) con cláusulas opcionales aplicadas, excepto la opción 1 de la Cláusula 9(a) y la opción 2 de la Cláusula 17, como se publicó oficialmente en https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_en
Cláusulas contractuales tipo de Serbia ("SCC de Serbia") refiere a las Cláusulas contractuales tipo de Serbia tal como fueron adoptadas por el "Comisionado de Serbia para la información de importancia pública y la protección de datos personales", publicadas en https://www.poverenik.rs/images/stories/dokumentacija-nova/podzakonski-akti/Klauzulelat.docx.
Cláusulas contractuales tipo (“SCC”) refiere a las cláusulas contractuales requeridas por la legislación de protección de datos aplicable para la transferencia de Datos personales a los Procesadores que no están establecidos en Países adecuados.
El apéndice sobre transferencia internacional de datos del Reino Unido a las cláusulas contractuales tipo de la Comisión de la UE ("Apéndice del Reino Unido") significa el apéndice sobre transferencia internacional de datos del Reino Unido a las cláusulas contractuales tipo de la comisión de la UE, publicado oficialmente en https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.
Anexo suizo a las cláusulas contractuales tipo de la Comisión de la UE ("Anexo suizo") refiere a las cláusulas contractuales de las cláusulas contractuales tipo de la Comisión de la UE que se aplican de conformidad con la decisión de la Autoridad Suiza de Protección de Datos ("FDPIC") y en cumplimiento de la Ley Federal Suiza sobre Protección de Datos ("FADP").
5.1 El Proveedor no transferirá ni revelará (ni siquiera por acceso remoto) ningún Dato personal de Kyndryl a nivel transfronterizo sin el consentimiento previo por escrito de Kyndryl. Si Kyndryl proporciona dicho consentimiento, las partes cooperarán para garantizar el cumplimiento de la legislación de protección de datos aplicable. Si esta legislación requiere las SCC, el Proveedor incorporará de inmediato las SCC a solicitud de Kyndryl.
5.2 En relación con las SCC de la UE:
(a) Si el Proveedor no está establecido en un País adecuado: Por la presente, el Proveedor formaliza las SCC de la UE como Importador de datos con Kyndryl, y el Proveedor celebrará acuerdos por escrito con cada Subprocesador aprobado, de acuerdo con la Cláusula 9 de las SCC de la UE, y proporcionará a Kyndryl copias de esos acuerdos a solicitud de parte.
(i) El Módulo 1 de las CEC de la UE no se aplica a menos que las partes acuerden lo contrario por escrito.
(ii) El Módulo 2 de los EU SCC se aplica cuando Kyndryl es un controlador y el Módulo 3 se aplica cuando Kyndryl es un procesador. De acuerdo con la Cláusula 13 de las SCC de la UE, cuando se apliquen los Módulos 2 o 3, las partes acuerdan que (1) los SCC de la UE se regirán por la ley del estado miembro de la UE donde se encuentre la autoridad de supervisión competente y (2) cualquier disputa que surja de las SCC de la UE se ventilará en los tribunales del estado miembro de la UE donde se encuentre la autoridad de supervisión competente. Si dicha ley en (1) no permite los derechos de terceros beneficiarios, las SCC de la UE se regirán por la ley de los Países Bajos y cualquier disputa que surja de las SCC de la UE según (2) será resuelta por el tribunal de Ámsterdam en los Países Bajos.
(b) Si ambas partes, el Proveedor y Kyndryl, están establecidas en un País adecuado, el Proveedor actuará como Exportador de datos y participará en las SCC de la UE con cada Subprocesador aprobado en un País no adecuado. El Proveedor realizará la Evaluación de impacto de la transferencia (TIA) requerida y notificará a Kyndryl sin demora indebida sobre (1) cualquier necesidad de aplicar medidas complementarias y (2) las medidas aplicadas. Previa solicitud, el Proveedor proporcionará a Kyndryl los resultados de la TIA y cualquier información necesaria para comprender y evaluar los resultados. En caso de que Kyndryl no esté de acuerdo con los resultados de la TIA de los Proveedores o con las medidas complementarias aplicadas, Kyndryl y el Proveedor trabajarán juntos para encontrar una solución factible. Kyndryl conserva el derecho de suspender o rescindir los servicios de los Proveedores en cuestión sin compensación. Para evitar dudas, esto no exime a los Subprocesadores del Proveedor de la obligación de convertirse en parte de las SCC de la UE con Kyndryl o sus Clientes, como se describe en la sección 5.2 (d) a continuación.
(c) Si el Proveedor está establecido en el Espacio Económico Europeo y Kyndryl es un Controlador que no está sujeto al Reglamento General de Protección de Datos 2016/679, se aplica el Módulo 4 de las SCC de la UE y, por la presente, el Proveedor formaliza las SCC de la UE como exportador de datos con Kyndryl. Si se aplica el Módulo 4 de las SCC de la UE, las partes acuerdan que los SCC de la UE se regirán por la ley de los Países Bajos y cualquier disputa que surja de las SCC de la UE será resuelta por el tribunal de Ámsterdam en los Países Bajos.
(d) Si Otros controladores, como Clientes o filiales, solicitan ser parte de las SCC de la UE de conformidad con la "cláusula de acoplamiento" en la Cláusula 7, por la presente el Proveedor acepta dicha solicitud.
(e) Las Medidas técnicas y organizativas necesarias para completar el Anexo II de las SCC de la UE se pueden encontrar en las presentes Condiciones, el Documento transaccional en sí y el acuerdo base asociado entre las partes.
(f) En caso de conflicto entre las SCC de la UE y estas Condiciones, prevalecerán las SCC de la UE.
5.3 En cuanto a el/los apéndice(s) del Reino Unido:
a. Si el Proveedor no está establecido en un País Adecuado: (i) el Proveedor celebra por la presente un apéndice en el Reino Unido con Kyndryl como importador para adjuntar a los CCE de la UE establecidos anteriormente (según corresponda, en función de las circunstancias de las actividades de procesamiento); y (ii) el Proveedor celebrará acuerdos por escrito con cada Subprocesador aprobado, y proporcionará a Kyndryl copias de dichos acuerdos si se le solicita.
(b) Si el Proveedor está establecido en un País Adecuado, y Kyndryl es un Controlador no sujeto al Reglamento General de Protección de Datos del Reino Unido (incorporado a la legislación del Reino Unido en virtud de la Ley de la Unión Europea (Retirada) de 2018), entonces el Proveedor celebra por la presente el/los apéndice(s) del Reino Unido como exportador con Kyndryl para adjuntar a los CCE de la UE establecidos en la Sección 5.2(b) anterior.
c. Si otros Controladores, como los clientes o las filiales, solicitan ser parte de el/los apéndice(s) del Reino Unido, el Proveedor acepta por la presente dicha solicitud.
d. La información del apéndice (tal y como se establece en la Tabla 3) en el/los apéndice(s) del Reino Unido se puede encontrar en los CCE de la UE aplicables, en estas Condiciones, en el propio Documento de la Transacción y en el acuerdo base asociado entre las partes. Ni Kyndryl ni el Proveedor pueden poner fin a el/los apéndice(s) del Reino Unido cuando ésta(s) cambia(n).
e. En caso de conflicto entre el/los apéndice(s) del Reino Unido y estas Condiciones, prevalecerá(n) el/los apéndice(s) del Reino Unido.
5.4 Con respecto a los SCC serbios:
a. Si el Proveedor no está establecido en un País adecuado: (i) por el presente documento, el Proveedor formaliza las SCC de Serbia con Kyndryl actuando en nombre del Proveedor como Procesador; y (ii) el Proveedor firmará acuerdos por escrito con cada Suprocesador aprobado, de conformidad con el Artículo 8 de las SCC de Serbia, y proporcionará a Kyndryl copias de dichos acuerdos, a petición.
b. Si el Proveedor está establecido en un País adecuado, mediante el presente, el Proveedor formaliza las SCC de Serbia con Kyndryl actuando en nombre de cada Suprocesador ubicado en un País no adecuado. Si el Proveedor no puede proceder de ese modo para ningún Suprocesador, proporcionará a Kyndryl las SCC de Serbia firmadas por el Subprocesador para la posterior rúbrica de Kyndryl antes de permitir que el Subprocesador procese los Datos personales de Kyndryl.
c. Las SCC de Serbia entre Kyndryl y el Proveedor funcionará como SCC de Serbia entre el Controlador y el Procesador o como un acuerdo escrito back-to-back entre el "procesador" y el "subprocesador", según lo requieran los hechos. En caso de conflicto entre las SCC de Serbia y estos Términos, prevalecerán las SCC de Serbia.
d. La información necesaria para completar los Apéndices 1 a 8 de las CEC de Serbia con el fin de regir la transferencia de Datos Personales a un País no Adecuado se puede encontrar en estos Términos y en el Anexo del Documento de Transacción, o en el Documento de Transacción en sí.
5.5. En cuanto al(los) Anexo(s) de Suiza:
En el caso y en la medida en que una transferencia de Datos personales de Kyndryl en virtud de la sección 5.1. esté sujeta a la Ley Federal Suiza sobre Protección de Datos ("FADP"), las SCC de la UE acordadas en la Sección 5.2. de estos Términos regirán la transferencia, con las siguientes enmiendas para adoptar el estándar RGPD para datos personales suizos:
Las referencias al Reglamento General de Protección de Datos ("RGPD") se entenderán también como referencias a las disposiciones equivalentes de la FADP,
el Comisionado Federal de Protección de Datos e Información de Suiza es la autoridad de control competente según la Cláusula 13 y el Anexo I.C de las SCC de la UE
La ley suiza como ley aplicable en caso de que la transferencia esté sujeta exclusivamente a la FADP y
El término "estado miembro" en la Cláusula 18 de las SCC de la UE se ampliará para incluir a Suiza con el fin de permitir que los titulares de datos suizos ejerzan sus derechos en su lugar de residencia habitual.
Para evitar dudas, nada de lo anterior pretende disminuir de modo alguno el nivel de protección de datos proporcionado por las SCC de la UE, sino solo extender este nivel de protección a los titulares de datos suizos. Si y en la medida en que este no sea el caso, prevalecerán las SCC de la UE.
6. Asistencia y Registros
6.1 Teniendo en cuenta la naturaleza del Procesamiento, el Proveedor ayudará a Kyndryl mediante la adopción de medidas técnicas y organizativas adecuadas a cumplir las obligaciones asociadas con las solicitudes y los derechos del Titular de datos. El Proveedor también ayudará a Kyndryl a garantizar el cumplimiento de las obligaciones relacionadas con la seguridad del Procesamiento, la notificación y comunicación de un Incumplimiento de seguridad y la creación de evaluaciones de impacto en la protección de datos, incluida la consulta previa con el regulador responsable, si es necesario, teniendo en cuenta la información disponible para el Proveedor.
6.2 El Proveedor mantendrá un registro actualizado del nombre y los datos de contacto de cada Subprocesador, incluido cada delegado de protección de datos y representante del Subprocesador. Previa solicitud, el Proveedor proporcionará este registro a Kyndryl bajo una programación que permita a Kyndryl responder oportunamente a cualquier demanda de un Cliente u otro tercero.
Artículo VIII, Medidas Técnicas y Organizativas, Seguridad General
Este artículo se aplica si el Proveedor proporciona algún Servicio o Entregables a Kyndryl, a menos que el Proveedor solo tenga acceso a la BCI de Kyndryl para proporcionar esos Servicios y Entregables (por ejemplo, el Proveedor no tratará otros Datos de Kyndryl ni tendrá acceso a cualquier otro tipo de Materiales de Kyndryl o a cualquier sistema corporativo), los únicos Servicios y Entregables del Proveedor consisten en entregar Software Local a Kyndryl, o el Proveedor proporciona todos sus Servicios y Entregables bajo un modelo de aumento de personal de conformidad con el Artículo VII, incluida su Sección 1.7.
El Proveedor cumplirá los requisitos de este Artículo y al hacerlo protegerá: (a) los Materiales de Kyndryl contra pérdida, destrucción, alteración, revelación accidental o no autorizada, y accidental o acceso no autorizado, (b) los Datos de Kyndryl frente a formas ilegales de procesamiento y (c) la Tecnología de Kyndryl frente a formas ilegales de Manejo. Los requisitos de este Artículo se extienden a todas las aplicaciones, plataformas e infraestructura de TI que el Proveedor opere o gestione para proporcionar Entregables y Servicios y en el Manejo de Tecnologías de Kyndryl, incluidos todos los entornos de desarrollo, prueba, alojamiento, soporte, operaciones y centros de datos.
1. Políticas de Seguridad
1.1 El Proveedor mantendrá y seguirá las políticas y prácticas relativas a la seguridad de TI que formen parte del negocio del Proveedor, sean obligatorias para todos los empleados del Proveedor y sean coherentes con las Prácticas Recomendadas del Sector.
1.2 El Proveedor revisará sus políticas y prácticas de seguridad de TI como mínimo una vez al año y realizará modificaciones de las mismas según sea necesario para proteger los Materiales de Kyndryl.
1.3 El Proveedor actualizará y seguirá sus requisitos obligatorios de verificación de empleabilidad en las nuevas contrataciones y ampliará tales requisitos a todo el Personal del Proveedor y a las filiales bajo propiedad integral del Proveedor. Dichos requisitos incluirán comprobaciones de antecedentes penales, según lo permitido por la legislación vigente, la validación de la prueba de identidad y las comprobaciones adicionales que el Proveedor estime oportunas. El Proveedor repetirá y revalidará estos requisitos periódicamente, según considere necesario.
1.4 El Proveedor proporcionará una formación sobre seguridad y privacidad a sus empleados anualmente, y requerirá que todos los empleados certifiquen cada año que van a cumplir con las políticas éticas del Proveedor respecto a la conducta empresarial, la confidencialidad y la seguridad, como se establece en el código de conducta del Proveedor o en documentos similares. El Proveedor proporcionará una formación complementaria sobre procesos y políticas al personal con acceso administrativo a los componentes de los Servicios, Entregables o Materiales de Kyndryl, que será específica para su función y el soporte de los Servicios, Entregables y Materiales de Kyndryl, y necesaria para mantener la conformidad y las certificaciones necesarias.
1.5 El Proveedor diseñará medidas de seguridad y privacidad para proteger y mantener la disponibilidad de los Materiales de Kyndryl, incluido mediante su implementación, mantenimiento y cumplimiento de las políticas y los procedimientos que requieren privacidad y seguridad por diseño, ingeniería segura y operaciones seguras, para todos los Servicios y Entregables y para todo el Manejo de Tecnologías de Kyndryl.
2. Incidentes de Seguridad
2.1 El Proveedor mantendrá y seguirá las políticas de respuesta a incidentes conforme a las Prácticas Recomendadas del Sector para la administración de incidentes de seguridad informática.
2.2 El Proveedor investigará cualquier acceso no autorizado o uso no autorizado de los Materiales de Kyndryl y definirá y ejecutará un plan de respuesta adecuado.
2.3 Cuando el Proveedor tome conocimiento de cualquier Incumplimiento de Seguridad, notificará de inmediato a Kyndryl (en ningún caso deberá hacerlo después de las 48 horas). El Proveedor enviará dicha notificación a cyber.incidents@kyndryl.com. El Proveedor proporcionará a Kyndryl la información solicitada de manera razonable sobre dicha infracción y el estado de las actividades de corrección y restauración que haya emprendido. A modo de ejemplo, la información solicitada razonablemente puede incluir registros que demuestren acceso privilegiado, administrativo y de otro tipo a Dispositivos, sistemas o aplicaciones, imágenes forenses de Dispositivos, sistemas o aplicaciones y otros elementos similares, en la medida que sean relevantes con la infracción o las actividades de reparación y restauración del Proveedor.
2.4 El Proveedor proporcionará asistencia razonable a Kyndryl en el cumplimiento de las obligaciones legales (incluida la obligación de notificar a los reguladores o los titulares de datos) de Kyndryl, las filiales de Kyndryl y los Clientes (y sus respectivos clientes y filiales) en relación con un Incumplimiento de Seguridad.
2.5 El Proveedor no informará ni notificará a ningún tercero que un Incumplimiento de seguridad se relacione directa o indirectamente con Kyndryl o Materiales de Kyndryl a menos que Kyndryl lo apruebe por escrito o cuando así lo exija la ley. El Proveedor notificará a Kyndryl por escrito antes de distribuir cualquier notificación requerida legalmente a cualquier tercero, donde la notificación revelaría directa o indirectamente la identidad de Kyndryl.
2.6 En caso de producirse un Incumplimiento de Seguridad que surja del incumplimiento por parte del Proveedor de cualquier obligación bajo estas Condiciones:
(a) el Proveedor será responsable de los costos incurridos por el Proveedor, así como de los costos reales en que incurra Kyndryl, al notificar el Incumplimiento de Seguridad a los reguladores correspondientes, otros organismos gubernamentales y los organismos autorreguladores de la industria pertinente, los medios (si lo requiere la legislación aplicable), titulares de datos, Clientes, etc.,
(b) si Kyndryl lo solicita, el Proveedor establecerá y mantendrá a su cargo un centro de atención telefónica para responder a las preguntas de los titulares de datos sobre el Incumplimiento de Seguridad y sus consecuencias, durante 1 año después de la fecha en que dichos titulares de datos hayan sido notificados acerca del Incumplimiento de Seguridad, o según lo requiera cualquier legislación de protección de datos aplicable, lo que brinde mayor protección. Kyndryl y el Proveedor trabajarán juntos para crear los scripts y otros materiales que utilizará el personal del centro de atención telefónica para responder a las consultas. Alternativamente, mediante notificación escrita al Proveedor, Kyndryl puede establecer y mantener su propio centro de atención telefónica, en lugar de que lo establezca el Proveedor, y el Proveedor reembolsará a Kyndryl los costos reales en que incurra Kyndryl para establecer y mantener dicho centro de atención telefónica, y
(c) el Proveedor reembolsará a Kyndryl los costos reales en que incurra Kyndryl al prestar Servicios de supervisión y restauración de crédito durante 1 año después de la fecha en que las personas afectadas por el Incumplimiento que elijan registrarse para recibir estos servicios hayan sido notificadas acerca del Incumplimiento de Seguridad, o según lo requiera cualquier legislación de protección de datos aplicable, lo que brinde mayor protección.
3. Seguridad física y Control de entrada (como se usa a continuación, "Instalaciones" significa una ubicación física donde el Proveedor hospeda, procesa o accede de otro modo a Materiales de Kyndryl).
3.1 El Proveedor efectuará los controles de entrada física adecuados, como barreras, puntos de entrada controlados con tarjeta, cámaras de vigilancia y recepcionistas, para impedir la entrada no autorizada a las Instalaciones.
3.2 El Proveedor requerirá una aprobación autorizada para acceder a las Instalaciones y áreas controladas dentro de las Instalaciones, incluido cualquier acceso temporal, y limitará el acceso según la función profesional y la necesidad empresarial. Si el Proveedor otorga acceso temporal, su empleado autorizado escoltará al visitante mientras esté en las Instalaciones y las áreas controladas.
3.3 El Proveedor implementará controles de acceso físico, incluidos los controles de acceso de varios factores que serán coherentes con las Prácticas Recomendadas del Sector, para restringir adecuadamente la entrada a las áreas controladas dentro de las Instalaciones, registrará todos los intentos de entrada y guardará dichos registros durante un año como mínimo.
3.4 El Proveedor revocará el acceso a las Instalaciones y áreas controladas dentro de las Instalaciones (a) tras la separación de un empleado autorizado del Proveedor o (b) cuando el empleado autorizado del Proveedor ya no tenga una necesidad empresarial de acceso. El Proveedor llevará a cabo los procedimientos formales de terminación de la relación laboral que incluyen la eliminación de las listas de control de acceso y la devolución de los identificadores de acceso físicos.
3.5 El Proveedor tomará precauciones para proteger toda la infraestructura física utilizada para dar soporte a los Servicios y Entregables y el Manejo de Tecnologías de Kyndryl frente a amenazas medioambientales, tanto naturales como artificiales, como temperatura ambiental excesiva, incendios, inundaciones, humedad, robo y vandalismo.
4. Acceso, Intervención, Transferencia y Control de Segregación de Funciones
4.1 El Proveedor mantendrá la arquitectura de seguridad documentada de las redes que gestiona en su operativa de los Servicios, su provisión de Entregables y su Manejo de Tecnologías de Kyndryl. El Proveedor revisará de forma independiente la arquitectura de red y utilizará medidas para evitar las conexiones de red no autorizadas a sistemas, aplicaciones y dispositivos de red, para el cumplimiento de las normas de segmentación segura, aislamiento y defensa en profundidad. El Proveedor no puede utilizar tecnología inalámbrica en sus alojamientos y operaciones de Servicios Hospedados; de lo contrario, el Proveedor puede utilizar tecnología de red inalámbrica en su prestación de los Servicios y los Entregables y en su Manejo de Tecnologías de Kyndryl, pero el Proveedor deberá cifrar y requerir una autenticación segura para dichas redes inalámbricas.
4.2 El Proveedor actualizará las medidas diseñadas para separar lógicamente e impedir la exposición o el acceso a Materiales de Kyndryl de personas no autorizadas. Asimismo, el Proveedor mantendrá un aislamiento adecuado de sus entornos productivos y no productivos u otros entornos y, si los Materiales de Kyndryl ya existen en un entorno no productivo o se transfieren posteriormente a un entorno no productivo (por ejemplo, para reproducir un error), el Proveedor se asegurará de que las protecciones de seguridad y privacidad en el entorno no productivo sean equivalentes a las del productivo.
4.3 El Proveedor cifrará los Materiales de Kyndryl en tránsito y en reposo (a menos que el Proveedor demuestre de forma razonable a Kyndryl que el cifrado de los Materiales de Kyndryl en reposo es técnicamente inviable). El Proveedor también cifrará todos los soportes físicos, si existen, como los que contienen archivos de copia de seguridad. El Proveedor actualizará los procedimientos documentados para la generación, emisión, distribución, almacenamiento, rotación, revocación, recuperación, copia de seguridad, destrucción, acceso y uso de claves seguras asociados con el cifrado de datos. El Proveedor se asegurará de que los métodos criptográficos específicos utilizados para dicho cifrado se alineen con las Prácticas Recomendadas del Sector como, por ejemplo, NIST SP 800-131a.
4.4 Si el Proveedor requiere acceso a Materiales de Kyndryl, el Proveedor restringirá y limitará dicho acceso al nivel mínimo necesario para la prestación y el soporte de los Servicios y los Entregables. El Proveedor requerirá que dicho acceso, incluido el acceso administrativo a los componentes subyacentes (por ejemplo, acceso con privilegios), será individual, se basará en cargos y estará sujeto a aprobación y validación regular por parte del Personal del Proveedor autorizado conforme a los principios de separación de funciones. El Proveedor mantendrá medidas adecuadas para identificar y eliminar cuentas redundantes e iniciativas. El Proveedor también revocará las cuentas con acceso privilegiado dentro del plazo de veinticuatro (24) horas posteriores a la separación del titular de la cuenta o a la solicitud por parte de Kyndryl o cualquier empleado del Proveedor autorizado, como el director del titular de la cuenta.
4.5 De conformidad con las Prácticas Recomendadas del Sector, el Proveedor mantendrá medidas técnicas que impongan tiempo de espera en sesiones inactivas, bloqueo de cuentas tras diversos intentos fallidos de inicio de sesión, autenticación con contraseña o frase de contraseña fuerte, así como medidas que requieran la transferencia y el almacenamiento seguros de estas contraseñas y frases de contraseñas. Asimismo, el Proveedor utilizará la autenticación de multifactores para todo acceso con privilegios no basado en contraseña a los Materiales de Kyndryl.
4.6 El Proveedor supervisará el uso del acceso con privilegios y mantendrá la información de seguridad y las medidas de gestión de eventos diseñadas para (a) identificar la actividad y el acceso no autorizados; (b) facilitar una respuesta adecuada y oportuna a la actividad y el acceso no autorizados; y (c) habilitar las auditorías del Proveedor, Kyndryl (de acuerdo con sus derechos de verificación de estas Condiciones y derechos de auditoría de este Documento Transaccional o base asociada u otro acuerdo relacionado entre las partes) y otros de acuerdo con la política documentada del Proveedor.
4.7 El Proveedor mantendrá registros en los que incorporará, de conformidad con las Prácticas Recomendadas del Sector, todos los accesos o actividades administrativas, de usuarios o de otro tipo para o con respecto a los sistemas utilizados para prestar Servicios o Entregables y en el Manejo de Tecnologías de Kyndryl (y proporcionará esos registros a Kyndryl, a petición). El Proveedor mantendrá medidas diseñadas para la protección en caso de acceso no autorizado, modificación y destrucción accidental o deliberada de estos registros.
4.8 El Proveedor mantendrá medidas informáticas de protección para los sistemas que posee o gestiona, incluidos los sistemas de usuario final, y que utilice para prestar Servicios o Entregables o en el Manejo de Tecnologías de Kyndryl, y estas medidas de protección incluirán lo siguiente: los cortafuegos de puntos finales, el cifrado de disco completo, las tecnologías de detección y respuesta de punto final basadas en firmas y no basadas en firmas para detectar malware y amenazas persistentes avanzadas, los bloqueos de pantalla basados en tiempo y las soluciones de gestión de puntos finales que impongan tanto la configuración de seguridad como los requisitos de parches. Asimismo, el Proveedor implementará controles técnicos y operativos que garanticen que solo los sistemas de usuario final conocidos y de confianza puedan utilizar las redes del Proveedor.
4.9 De conformidad con las Prácticas Recomendadas del Sector, el Proveedor mantendrá protecciones para los entornos de centro de datos donde existan o se traten Materiales de Kyndryl. Dichas protecciones incluyen detección y prevención de intrusiones, y mitigación y contramedidas de ataques de denegación de servicio.
5. Integridad de Sistemas y Servicio y Control de Disponibilidad
5.1 El Proveedor (a) realizará evaluaciones de riesgos de seguridad y evaluación de vulnerabilidades al menos una vez al año, (b) llevará a cabo pruebas de intrusión y evaluaciones de vulnerabilidades, incluido el escaneo de seguridad automatizado de aplicaciones y sistemas y los pirateos éticos manuales, antes del lanzamiento en producción y anualmente a partir del mismo, (c) presentará un tercero independiente y cualificado para la realización de pruebas de penetración coherentes con las Prácticas Recomendadas del Sector al menos una vez al año, y estas pruebas incluirán pruebas manuales y automatizadas, (d) efectuará tareas de gestión automatizada y verificación rutinaria del cumplimiento de los requisitos de la configuración de seguridad de cada componente de los Servicios y los Entregables con respecto a su Manejo de Tecnologías de Kyndryl; y (e) corregirá las vulnerabilidades identificadas o el incumplimiento de los requisitos de la configuración de seguridad según el riesgo asociado, la posibilidad de explotación y el impacto. El Proveedor llevará a cabo los pasos razonables para evitar la interrupción de los Servicios durante la realización de las pruebas, evaluaciones y escaneos, así como durante la ejecución de las actividades de corrección. Si Kyndryl lo solicita, el Proveedor proporcionará a Kyndryl un resumen escrito de las actividades de pruebas de intrusión más recientes del Proveedor, cuyo informe incluirá como mínimo el nombre de las ofertas cubiertas por la prueba, el número de sistemas o aplicaciones en ámbito para las pruebas, las fechas de las pruebas, las metodologías utilizas en ellas y un resumen de alto nivel de los resultados.
5.2 El Proveedor mantendrá sus políticas y procedimientos diseñados para gestionar los riesgos asociados con la aplicación de cambios a los Servicios o Entregables o al Manejo de Tecnologías de Kyndryl. Antes de implementar dicho cambio, incluidos los sistemas, las redes y los componentes subyacentes afectados, el Proveedor documentará en una solicitud de cambio registrada: (a) una descripción y el motivo del cambio, (b) detalles y programación de implementación, (c) una declaración de riesgo que aborde el impacto en los Servicios y Entregables, clientes de los Servicios o Materiales de Kyndryl, (d) el resultado esperado, (e) plan de reversión y (f) aprobación por parte de los empleados autorizados del Proveedor.
5.3 El Proveedor mantendrá un inventario de todos los activos de TI que utiliza para operar los Servicios, proporcionar Entregables y el Manejo de Tecnologías de Kyndryl. El Proveedor supervisará y gestionará de forma continuada el estado (incluida la capacidad) y la disponibilidad de dichos activos de TI, Servicios, Entregables y Tecnologías de Kyndryl, incluidos los componentes subyacentes de dichos activos, Servicios, Entregables y Tecnologías de Kyndryl.
5.4 El Proveedor construirá todos los sistemas que utiliza en el desarrollo o la operación de Servicios y Entregables y en el Manejo de Tecnologías de Kyndryl a partir de líneas base de seguridad o imágenes de seguridad del sistema predefinidas, que cumplirán las Prácticas Recomendadas del Sector, como los indicadores del Centro de Seguridad de Internet (CIS).
5.5 Sin limitación de las obligaciones del Proveedor o los derechos de Kyndryl bajo el Documento Transaccional o el acuerdo base asociado entre las partes con respecto a la continuidad del negocio, el Proveedor evaluará por separado cada Servicio y Entregable y cada sistema de TI utilizado en el Manejo de Tecnologías de Kyndryl en relación con los requisitos de continuidad empresarial y TI y la recuperación tras desastre ("disaster recovery") de conformidad con las directrices documentadas de gestión de riesgos. El Proveedor garantizará que cada Servicio, Entregable y sistema de TI tenga, en la medida en que se especifique en la evaluación de riesgos, planes de recuperación tras desastre y continuidad del negocio validados anualmente, mantenidos, documentados y definidos por separado conforme a las Prácticas Recomendadas del Sector. El Proveedor garantizará que dichos planes estén diseñados para ofrecer los tiempos de recuperación que se establecen en el Apartado 5.6, a continuación.
5.6 Los objetivos de punto de recuperación específicos ("RPO”) y los objetivos de tiempo de recuperación (“RTO”) en relación con un Servicio Alojado son: 24 horas de RPO y 24 horas de RTO; no obstante, el Proveedor cumplirá con cualquier RPO o RTO de menor duración para el que Kyndryl se haya comprometido con un Cliente, inmediatamente después de que Kyndryl notifique al Proveedor por escrito dicho RPO o RTO de menor duración (un correo electrónico se considera por escrito). En lo que respecta a los demás Servicios proporcionados por el Proveedor a Kyndryl, el Proveedor garantizará que sus planes de continuidad empresarial y recuperación tras desastre estén diseñados para proporcionar un RPO y RTO que permitan al Proveedor cumplir todas sus obligaciones con Kyndryl bajo este Documento Transaccional y el acuerdo base asociado entre las partes, y estas Condiciones, incluidas sus obligaciones de proporcionar pruebas, soporte y mantenimiento.
5.7 El Proveedor mantendrá medidas diseñadas para evaluar, probar y aplicar parches de advertencia de seguridad a los Servicios y Entregables y sus sistemas, redes, aplicaciones y componentes subyacentes asociados en el ámbito de dichos Servicios y Entregables, así como los sistemas, redes, aplicaciones y componentes subyacentes utilizados en el Manejo de Tecnologías de Kyndryl. Tras determinar que un parche de advertencia de seguridad es aplicable y adecuado, el Proveedor implementará dicho parche conforme con las directrices documentadas de evaluación del riesgo y la gravedad. La implementación del Proveedor de parches de advertencia de seguridad estará sujeta a su política de gestión de cambios.
5.8 Si Kyndryl tiene una base razonable para considerar que el hardware o el software que el Proveedor proporciona a Kyndryl puede contener elementos intrusivos, como spyware, malware o código malicioso, el Proveedor cooperará oportunamente con Kyndryl en la investigación y solución de las sospechas de Kyndryl.
6. Aprovisionamiento de Servicio
6.1 El Proveedor dará soporte a los métodos comunes de autenticación federada del sector para cualquier cuenta de usuario o Cliente de Kyndryl, y el Proveedor seguirá las Prácticas Recomendadas del Sector en la autenticación de dichas cuentas de Usuario o Cliente de Kyndryl (como el inicio de sesión único de diversos factores de gestión centralizada de Kyndryl, utilizando OpenID Connect o SAML).
7. Subcontratistas. Sin limitación de las obligaciones del Proveedor o los derechos de Kyndryl bajo el Documento Transaccional o el acuerdo base asociado entre las partes con respecto a la retención de subcontratistas, el Proveedor se asegurará de que cualquier subcontratista que realice trabajos para el Proveedor haya instituido controles de gestión para cumplir los requisitos y obligaciones que estas Condiciones imponen al Proveedor.
8. Soporte Físico. El Proveedor saneará de forma segura los soportes físicos para su reutilización antes de dicha reutilización y destruirá los soportes físicos que se van a reutilizar, de conformidad con las Prácticas Recomendadas del Sector para el saneamiento de soportes.
---
Artículo IX, Informes y Certificaciones de Servicios Alojados
Este Artículo se aplica si el Proveedor presta un Servicio Alojado a Kyndryl.
1.1 El Proveedor obtendrá las siguientes certificaciones o informes en los plazos que se definen a continuación:
Certificaciones / Informes
Periodo de Tiempo
En relación con los Servicios Alojados del Proveedor:
Certificación de cumplimiento de la ISO 27001, Tecnologías de la información, Técnicas de seguridad, Sistemas de gestión de seguridad de la información, con dicha certificación basada en la evaluación de un auditor independiente reputado
O bien
SOC 2 de Tipo 2: un informe realizado por un auditor independiente reconocido que demuestre su revisión de los sistemas, controles y operaciones del Proveedor, de acuerdo con un SOC 2 de Tipo 2 (que incluya, como mínimo, seguridad, confidencialidad y disponibilidad)
El Proveedor deberá obtener la certificación ISO 27001 en un plazo de 120 días desde la fecha efectiva de este Documento transaccional* o la Fecha de asunción**, y renovar posteriormente la certificación en base a la evaluación de un auditor independiente reconocido cada 12 meses posteriores (donde cada renovación se realizará con la versión más actualizada del estándar)
El Proveedor obtendrá el informe SOC 2 de Tipo 2 240 días después de la fecha efectiva del Documento Transaccional* o la Fecha de Asunción** y posteriormente obtendrá un nuevo informe de un auditor independiente reconocido que demuestre su revisión de los sistemas, controles y operaciones del Proveedor de conformidad con un SOC 2 de Tipo 2 (que incluya, como mínimo, seguridad, confidencialidad y disponibilidad) cada 12 meses en adelante
* Si, a partir de la fecha efectiva, el Proveedor proporciona un Servicio Alojado
** La fecha en la que el Proveedor asume la obligación de proporcionar un Servicio Alojado
1.2 Si el Proveedor lo solicita por escrito, y Kyndryl lo aprueba por escrito, el Proveedor puede obtener una certificación o un informe sustancialmente equivalente a los mencionados anteriormente, bajo el supuesto de que los plazos establecidos en la tabla anterior se aplicarán sin cambios con respecto a la certificación o informe sustancialmente equivalente.
1.3 El Proveedor: (a) a petición, proporcionará rápidamente a Kyndryl una copia de cada certificación e informe que el Proveedor está obligado a obtener y (b) resolverá rápidamente cualquier debilidad de control interno observada durante el SOC 2 u otras revisiones sustancialmente equivalentes (si Kyndryl así lo aprueba).
Artículo X, Cooperación, Verificación y Resolución
Este artículo se aplica si el Proveedor proporciona algún Servicio o Entregable a Kyndryl.
1. Cooperación del Proveedor
1.1 Si Kyndryl tiene motivos para sospechar que algún Servicio o Entregable puede haber contribuido, está contribuyendo o contribuirá a algún problema de ciberseguridad, el Proveedor cooperará con cualquier consulta de Kyndryl con respecto a dicha sospecha, incluida una respuesta oportuna y de manera completa a las solicitudes de información, ya sea a través de documentos, otros registros, entrevistas al Personal del Proveedor relevante o similares.
1.2 Las partes acuerdan: (a) proporcionarse, a petición, entre sí dicha información adicional, (b) ejecutar y entregarse mutuamente cualquier otro tipo de documentación, y (c) llevar a cabo otras acciones, todo aquello que la otra parte pueda razonablemente solicitar con el fin de ejecutar la intencionalidad de estas Condiciones y los documentos mencionados en estas Condiciones. Por ejemplo, si Kyndryl lo solicita, el Proveedor proporcionará oportunamente las condiciones centradas en la privacidad y la seguridad de sus contratos escritos con Subencargados del Tratamiento y subcontratistas, incluida, cuando el Proveedor tenga derecho a hacerlo, la concesión de acceso a los contratos en sí.
1.3 Si Kyndryl lo solicita, el Proveedor proporcionará oportunamente información sobre los países donde se fabricaron, desarrollaron u obtuvieron de otro modo sus Entregables y los componentes de los Entregables.
2. Verificación (como se usa a continuación, "Instalación" significa una ubicación física donde el Proveedor hospeda, procesa o accede a los Materiales de Kyndryl)
2.1 El Proveedor mantendrá un registro auditable que demuestre la conformidad con estas Condiciones.
2.2 Kyndryl, propiamente o mediante un auditor externo, puede, con 30 días de notificación previa por escrito al Proveedor, verificar la conformidad del Proveedor con estas Condiciones, incluido el acceso a cualquier Instalación o Instalaciones para tales fines, aunque Kyndryl no accederá a ningún centro de datos donde el Proveedor trate los Datos de Kyndryl a menos que tenga una buena razón para creer que con ello proporcionará alguna información relevante. El Proveedor cooperará con la verificación de Kyndryl, incluida la respuesta oportuna y de manera completa a las solicitudes de información, ya sea a través de documentos, otros registros, entrevistas con el Personal del Proveedor relevante o similares. El Proveedor puede ofrecer una prueba de cumplimiento de un código de conducta aprobado o una certificación del sector, o proporcionar información para demostrar el cumplimiento de estas Condiciones, para su consideración por parte de Kyndryl.
2.3 No se realizará una verificación más de una vez en un período de 12 meses, a menos que: (a) Kyndryl esté validando la resolución de sospechas del Proveedor derivada de una verificación previa durante el 12.º mes o (b) haya surgido un Incumplimiento de Seguridad y Kyndryl quiera verificar el cumplimiento de las obligaciones relevantes para la infracción. En cualquier caso, Kyndryl proporcionará la misma notificación previa por escrito de 30 días como se especifica en el Apartado 2.2 anterior, pero la urgencia de abordar un Incumplimiento de Seguridad puede requerir que Kyndryl realice una verificación con menos de 30 días de notificación previa por escrito.
2.4. Un regulador u otro Responsable del Tratamiento puede ejercer los mismos derechos que Kyndryl en los Apartados 2.2 y 2.3, bajo el supuesto de que un regulador puede ejercer cualquier derecho adicional que tenga según la legislación vigente.
2.5 Si Kyndryl tiene una base razonable para concluir que el Proveedor no cumple con ninguna de estas Condiciones (ya sea que dicha base surja de una verificación bajo estas Condiciones o no), el Proveedor corregirá de inmediato dicho incumplimiento.
3. Programa contra la Falsificación
3.1 Si los Entregables del Proveedor incluyen componentes electrónicos (por ejemplo, unidades de disco duro, unidades de estado sólido, memoria, unidades centrales de procesamiento, dispositivos lógicos o cables), el Proveedor mantendrá y seguirá un programa documentado de prevención de posibles falsificaciones para, en primer lugar, evitar que el Proveedor proporcione componentes falsificados a Kyndryl y, en segundo lugar, detectar y corregir de inmediato cualquier caso en que el Proveedor proporcione componentes falsificados por error a Kyndryl. El Proveedor impondrá esta misma obligación de mantener y seguir un programa documentado de prevención de posibles falsificaciones en todos sus proveedores que proporcionen componentes electrónicos incluidos en los Entregables del Proveedor a Kyndryl.
4. Resolución
4.1 Si el Proveedor no cumple con cualquiera de sus obligaciones en virtud de estas Condiciones, y ese incumplimiento causa un Incumplimiento de seguridad, el Proveedor corregirá la anomalía en su ejecución y corregirá el efecto nocivo del Incumplimiento de seguridad, con las instrucciones y el cronograma que Kyndryl estime razonables. Sin embargo, si el incumplimiento de seguridad surge del suministro por parte del Proveedor de un Servicio alojado de múltiples inquilinos y, en consecuencia, afecta a muchos clientes del Proveedor, incluida Kyndryl, entonces el Proveedor, dada la naturaleza del incumplimiento de seguridad, corregirá oportuna y adecuadamente la falla en su desempeño, y subsanar los efectos dañinos del incumplimiento de seguridad, al mismo tiempo que se presta la debida consideración a cualquier aportación de Kyndryl sobre dichas correcciones y subsanación. Sin perjuicio de lo anterior, el Proveedor deberá notificar a Kyndryl sin demoras injustificadas si ya no puede cumplir con las obligaciones establecidas por la ley de protección de datos aplicable.
4.2 Kyndryl tendrá derecho a participar en la reparación de cualquier incumplimiento de seguridad a la que se hace referencia en la Sección 4.1, según lo considere apropiado o necesario, y el Proveedor será responsable de sus costos y gastos para corregir su desempeño y de los costos y gastos de reparación que las partes deben incurrir con respecto a dicho incumplimiento de seguridad.
4.3 A modo de ejemplo, los costos y gastos de corrección asociados con un Incumplimiento de Seguridad podrían incluir los derivados de detectar e investigar un Incumplimiento de Seguridad, determinar las responsabilidades bajo la legislación y las normativas aplicables, proporcionar notificaciones de incumplimiento, establecer y mantener centros de atención telefónica, prestar Servicios de supervisión y restauración de crédito, recargar datos, corregir defectos del producto (incluido a través del Código fuente u otros desarrollos), retener a terceros para ayudar con las actividades anteriores u otras actividades relevantes, y otros costos y gastos que sean necesarios para corregir los efectos nocivos del Incumplimiento de Seguridad. Para mayor claridad, los costos y gastos de corrección no incluirían la pérdida de ganancias, negocios, valor, ingresos, previsiones o ahorros anticipados de Kyndryl.
Standard Contractual Clauses (SCCs) and Related Documents
- EU Standard Contractual Clauses
- UK International Data Transfer Addendum
- Swiss Addendum to the EU SCC
- Supplier Schrems II FAQ
Previous Versions
Languages
Definiciones
Las palabras en mayúscula tienen el significado que se indica a continuación, en otra parte de estas Condiciones, o en el Documento Transaccional o el acuerdo base asociado entre las partes. Es probable que los términos "Servicios" y "Entregables" se definan en el Documento Transaccional o el acuerdo base asociado entre las partes; pero si no es así, "Servicios" significa cualquier Servicio Alojado, consultoría, instalación, personalización, mantenimiento, soporte, aumento de personal, negocio, trabajo técnico u otro trabajo que el Proveedor realice para Kyndryl, como se especifica en el Documento Transaccional, y "Entregables" significa cualquier programa de software, plataforma, aplicación u otros productos o artículos y sus respectivos materiales relacionados que el Proveedor proporcione a Kyndryl, como se especifica en el Documento Transaccional.
Información de contacto comercial (“BCI”) refiere a los Datos personales que se utilizan para contactar, identificar o autenticar a una persona y determinar si actúa a título profesional o comercial. Por lo general, la BCI incluye el nombre, la dirección de e-mail comercial, la dirección física, el número de teléfono o datos similares de una persona individual.
Servicio en la nube refiere a cualquier solución "como servicio" que el Proveedor aloja o gestiona, incluidas las soluciones de "software como servicio", "plataforma como servicio" e "infraestructura como servicio".
Controlador refiere a la persona física o jurídica, autoridad pública, agencia u otro organismo que, de forma individual o junto con otros, determina los fines y medios del Procesamiento de datos personales.
Sistema corporativo refiere al sistema de TI, plataforma, aplicación, red o similar de los que Kyndryl depende para su negocio, incluidos aquellos ubicados o accesibles a través de la intranet de Kyndryl, de Internet o por otros medios.
Cliente significa un cliente de Kyndryl.
Titular de datos refiere a una persona física que puede ser asociada, directa o indirectamente, por referencia a un nombre, número de identificación, datos de ubicación, identificador en línea o uno o más factores propios de la identidad física, fisiológica, genética, mental, económica, cultural o social de dicha persona física.
Día o días refiere a los días calendario, a menos que se designen días "hábiles".
Dispositivo significa estación de trabajo, equipo portátil, tablet, teléfono inteligente o asistente digital personal proporcionado por Kyndryl o el Proveedor.
Manejan, maneja o manejo incluyen todo acceso, uso y almacenamiento y cualquier otro manejo de la Tecnología de Kyndryl.
Servicio alojado refiere a cualquier servicio de centro de datos, servicio de aplicaciones, servicio de TI o Servicio de la nube que el Proveedor aloja o gestiona.
Datos de Kyndryl refiere a todos y cada uno de los archivos electrónicos, materiales, texto, audio, video, imágenes y otros datos, incluidos los Datos personales y los Datos no personales de Kyndryl, que Kyndryl, el Personal de Kyndryl, un Cliente, un empleado del Cliente o cualquier otra persona o entidad, en relación con el Documento transaccional, proporciona al Proveedor, carga o almacena en un Servicio alojado, o a los que el Proveedor tiene acceso de otro modo, y que el Proveedor trata en nombre de Kyndryl.
Materiales de Kyndryl refiere a todos y cada uno de los Datos de Kyndryl y la Tecnología de Kyndryl.
Datos personales de Kyndryl refiere a los Datos personales que el Proveedor está tratando en nombre de Kyndryl. Los Datos Personales de Kyndryl incluyen Datos Personales que Kyndryl controla y Datos Personales que Kyndryl trata en nombre de otros Responsables del Tratamiento.
Código fuente de Kyndryl refiere al Código fuente que Kyndryl posee u otorga en licencia.
Tecnología de Kyndryl refiere al Código fuente de Kyndryl, otro código, lenguajes de descripción, firmware, software, herramientas, diseños, esquemas, representaciones gráficas, claves incrustadas, certificados y otra información, materiales, activos, documentos y tecnología que Kyndryl ha otorgado en licencia, directa o indirectamente, o que ha puesto a disposición del Proveedor en relación con el Documento transaccional o un acuerdo relacionado entre Kyndryl y el Proveedor.
Incluye e incluido, estén en mayúscula o no, no se interpretarán como condiciones de limitación.
Prácticas Recomendadas de la Industria refiere a las prácticas que guardan conformidad con aquellas recomendadas o exigidas por el Instituto Nacional de Normas y Tecnología (NIST) o la Organización Internacional para la Normalización (ISO), o cualquier otro organismo u organización de reputación y complejidad similar.
TI son las siglas de tecnología de la información.
Otro controlador refiere a cualquier entidad fuera de Kyndryl que sea Controlador de Datos de Kyndryl, como una filial, un Cliente o la filial de un Cliente de Kyndryl.
Software en las instalaciones refiere al software que Kyndryl o un subcontratista ejecuta, instala u opera en los servidores o sistemas de Kyndryl o del subcontratista. Para mayor claridad, el software en las instalaciones es un entregable del proveedor.
Datos personales refiere a cualquier información relacionada con un Titular de datos y cualquier otra información que califique como "datos personales" o similar en virtud de cualquier ley de protección de datos.
Personal refiere a las personas que son empleados de Kyndryl o del Proveedor, agentes de Kyndryl o del Proveedor, contratistas independientes contratados por Kyndryl o el Proveedor, o proporcionados a una parte por un subcontratista.
Procesar o procesamiento refiere a cualquier operación o conjunto de operaciones realizadas en los Datos de Kyndryl, incluido el almacenamiento, uso, acceso y lectura.
Procesador refiere a la persona física o jurídica que procesa datos personales en nombre de un controlador.
Incumplimiento de la seguridad refiere a una infracción de la seguridad que conlleva: (a) pérdida, destrucción, alteración o revelación accidental o no autorizada de Materiales de Kyndryl, (b) acceso accidental o no autorizado a Materiales de Kyndryl, (c) procesamiento ilegal de los Datos de Kyndryl o (d) manejo ilegal de la Tecnología de Kyndryl.
Vender (o venta) refiere a vender, alquilar, liberar, divulgar, distribuir, poner a disposición, transferir o comunicar de otra forma oral, por escrito o por medios electrónicos u otros, datos por una contraprestación monetaria u otro tipo de contraprestación económica.
Código fuente refiere al código de programación legible por humanos que los desarrolladores usan para elaborar o realizar el mantenimiento de un producto, pero que no se entrega a los usuarios finales en el curso normal de la distribución comercial o uso del producto.
Subprocesador refiere a cualquier subcontratista del Proveedor, incluida una filial del Proveedor, que trata datos de Kyndryl.