Procesamiento de pedidos

preámbulo

Este acuerdo rige los derechos y obligaciones de las partes en el ámbito del tratamiento de datos, de conformidad con el artículo 28 del RGPD. El encargado del tratamiento presta al responsable un servicio que realiza un análisis externo de vulnerabilidades de los sistemas informáticos. Dependiendo de la configuración del sistema, esto también puede implicar la recopilación y el tratamiento de datos personales (por ejemplo, direcciones IP, direcciones de correo electrónico o rutas de acceso visibles públicamente).

El tratamiento se lleva a cabo exclusivamente en el marco de los servicios acordados y sobre la base de las siguientes disposiciones

§1 Objeto del tratamiento

El contratista realiza análisis técnicos automatizados de los sistemas informáticos de acceso público en nombre del cliente. Estos análisis se basan en una dirección de destino (dirección IP o dominio) especificada por el responsable del tratamiento.

El contratista procesa datos personales en forma de sistemas informáticos especificados por el cliente (por ejemplo, direcciones IP, dominios). Los resultados se publican en forma de informes. El acceso solo se concede tras una autenticación correcta.

§2 Tipo de tratamiento

El tratamiento incluye en particular:

  • Recopilación de información disponible públicamente (por ejemplo, subdominios, configuración de correo)
  • Comprobación de vulnerabilidades en servicios accesibles (por ejemplo, mediante escaneo de puertos, detección de CVE)
  • Almacenamiento de metadatos y resultados en formato de informe
  • Suministro de informes en el área protegida del cliente
  • Gestión de cuentas de usuario (nombre, dirección de correo electrónico, datos de inicio de sesión, token 2FA)
  • Envío de notificaciones a direcciones de correo electrónico almacenadas (opcional)

§3 Finalidad del tratamiento

El tratamiento se realiza con la finalidad de:

  • Identificación de riesgos técnicos y vulnerabilidades,
  • Mejorar la situación de seguridad de la parte responsable,
  • Cumplimiento de los requisitos legales y reglamentarios (por ejemplo, ISO 27001, NIS2),
  • Apoyo a los procesos de seguridad interna y gestión de riesgos,
  • Proporcionar un área de cliente segura para administrar análisis y derechos de acceso.

§4 Categorías de interesados

En el ámbito de los servicios encargados podrán verse afectados los datos de los siguientes grupos de personas:

  • Empleados del responsable del tratamiento, por ejemplo, administradores de TI o usuarios de los sistemas analizados
  • Contactos externoscuyas direcciones de correo electrónico o datos de contacto aparecen públicamente en áreas analizadas
  • Usuarios con acceso al área de clientes (por ejemplo, titular de la cuenta, personas autorizadas para ver los informes)

§5 Derechos y obligaciones del cliente

  • Responsabilidad por el tratamiento de datos
    El responsable del tratamiento es responsable del tratamiento lícito de los datos personales en el sentido del RGPD. Es responsable de garantizar que el tratamiento realizado por el encargado del tratamiento se base en una base jurídica válida (por ejemplo, consentimiento, contrato u obligación legal).
  • Derecho a dar instrucciones
    El cliente solo podrá proporcionar al contratista datos para su tratamiento si dicho tratamiento es lícito. El contratista trata los datos personales de acuerdo con los procedimientos automatizados de esta plataforma. No se requieren instrucciones del cliente para el tratamiento de los datos.
  • Obligaciones de cooperación
    El cliente está obligado a cumplir de forma independiente con sus propias obligaciones legales (por ejemplo, obligaciones de información, derechos de los interesados).
  • Obligaciones de confidencialidad frente a terceros
    El cliente se compromete a tratar de forma confidencial los datos de acceso y el contenido de su cuenta de cliente y a no conceder acceso no autorizado a terceros.

§7 Obligaciones del encargado del tratamiento

  • confidencialidad
    El contratista se compromete a tratar los datos personales de forma confidencial. Las personas que tengan acceso a los datos están obligadas a mantener la confidencialidad de los mismos de conformidad con el artículo 28 (3) (b) del RGPD; esto también aplica a los empresarios individuales (obligatorio).
  • Medidas técnicas y organizativas (TOMs)
    El contratista se compromete a implementar medidas técnicas y organizativas apropiadas de conformidad con el art. 32 del RGPD para garantizar un nivel de protección adecuado.
    Puede encontrar una descripción general de las medidas actualmente vigentes en la siguiente dirección:
    https://threatemy.com/transparency/
  • Apoyo con los derechos del interesado
    El contratista apoyará al responsable, en la medida de lo posible, en el cumplimiento de las solicitudes de los interesados (por ejemplo, información, eliminación, corrección) de conformidad con los artículos 12 a 23 del RGPD.
  • Denuncia de infracciones de protección de datos
    El Contratista deberá informar inmediatamente al Responsable del Tratamiento de cualquier violación de la protección de datos, en particular en caso de acceso no autorizado a los datos almacenados o de compromiso del sistema.

§8 Utilización de subcontratistas

  • El Contratista tiene derecho a subcontratar el tratamiento de datos personales. Para ello, se asegurará de que estos subcontratistas estén sujetos contractualmente a las mismas obligaciones de protección de datos establecidas en el presente Acuerdo.
  • Una lista actualizada de los subcontratistas utilizados está disponible en la siguiente URL:
    https://threatemy.com/transparency/
  • El Contratista informará al Cliente de cualquier cambio previsto en la contratación o sustitución de subcontratistas en un plazo razonable. El Cliente podrá oponerse al cambio por motivos importantes de protección de datos.

§9 Devolución y eliminación de datos

  • Una vez finalizado el tratamiento de datos acordado contractualmente o por orden del cliente, el contratista eliminará todos los datos personales en su posesión, a menos que exista una obligación legal de conservarlos.
  • Los datos personales se eliminarán de conformidad con la normativa de protección de datos aplicable.

§10 Disposiciones finales

El contrato se celebra electrónicamente. No se requiere firma manuscrita si el consentimiento se documenta electrónicamente.

Este contrato está sujeto a las leyes de la República Federal de Alemania.

Si alguna disposición de este Acuerdo fuera o se volviera inválida, la validez de las disposiciones restantes no se verá afectada.