CONDICIONES GENERALES ESCUDO DIGITAL
· PRIMERA.- Descripción y objeto del servicio
EL PRESTADOR, se compromete a conceder al adquirente (en adelante, cliente) indicado en el " FORMULARIO DE PEDIDO DE SUMINISTRO DE SERVICIO DE DETECCIÓN Y RESPUESTA GESTIONADA (MDR, por sus siglas en inglés)" (en adelante, "contrato" o "formulario de pedido") el uso, temporal y remoto a través de Internet, de los software de aplicación y / o servicios relacionados con ellos (en adelante "servicios" o "programas") indicados en el contrato o solicitados por separado con referencia a dicho contrato. Cabe señalar que los softwares concedidos con la licencia correspondiente al uso a través de la web son aplicaciones producidas y comercializadas por EL PRESTADOR.
El servicio MDR está diseñado para brindar a todo tipo de organizaciones, especialmente autónomos // profesionales, pequeña y mediana empresa, una capa de ciber-protección robusta y que es gestionada en tiempo real por expertos. Este servicio está diseñado aprovechando las capacidades avanzadas de Extended Detection and Response (XDR) y soportada sobre tecnología líder mundial en tecnologías de seguridad según el cuadrante de Gartner.
La estrategia y objetivo de este servicio, va más allá de las herramientas utilizadas tradicionalmente; en especial los antivirus que no son otra cosa que un elemento pasivo y reactivo de seguridad.
El XDR integra datos de múltiples fuentes, como endpoints, [ordenadores de sobre mesa, ordenadores portátiles, “tablets” y teléfonos móviles]; redes, identidades y aplicaciones. Esto permite tener una visibilidad y una gestión centralizada, además de un análisis contextual, que optimiza la detección de amenazas y mejora la eficiencia en la respuesta a incidentes.
Las amenazas avanzadas, como el ransomware, el phishing dirigido y los ataques basados en vulnerabilidades de día cero, requieren de soluciones de seguridad proactivas, inteligentes y escalables que permitan no solo detectar, sino también, anticipar y responder de manera rápida y efectiva a los incidentes de seguridad.
Con el respaldo de tecnologías líderes, este servicio no solo detecta amenazas conocidas y comportamientos anómalos, sino que también prioriza los riesgos en base a su impacto potencial, permitiendo la respuesta más adecuada y dirigida al objetivo. Además, el equipo de analistas de seguridad de EL PRESTADOR trabaja 24x7 para garantizar que los clientes // usuarios de este servicio estén protegidos frente a las amenazas más sofisticadas, mientras el usuario de la tecnología se enfoca en sus objetivos y tareas diarias.
Este servicio se adapta a las necesidades específicas de cada cliente, asegurando una implementación progresiva y escalable que cubra desde la monitorización básica hasta la integración completa con soluciones de inteligencia artificial y correlación avanzada de eventos.
Las amenazas tecnológicas se vuelven cada día más sofisticadas y diversificadas y además evolucionan según evoluciona la tecnología de protección, especialmente los antivirus, que se vuelven inocuos para proteger los dispositivos fijos y móviles. Este hecho, pone en riesgo tanto la infraestructura tecnológica como a las personas que utilizan y se apoyan en la tecnología tanto para su vida profesional como personal.
Reconociendo esta problemática dual; tecnología y factor humano; EL PRESTADOR ha desarrollado un servicio integral denominado ESCUDO DIGITAL que aborda la protección desde dos frentes fundamentales:
Detección y Respuesta Gestionada (MDR) basada en tecnología puntera del mercado de la ciberseguridad. Un servicio avanzado diseñado para proteger la infraestructura tecnológica mediante la monitorización, detección y respuesta automatizada a amenazas en tiempo real. Aprovechando las capacidades de estas herramientas, el servicio unifica la protección de endpoints, identidades, aplicaciones y cargas de trabajo en la nube, garantizando una defensa proactiva frente a ataques sofisticados como ransomware, amenazas persistentes avanzadas (APT) y vulnerabilidades críticas.
Plan de Concienciación para la Reducción del Riesgo Humano. Una solución enfocada en sensibilizar y preparar a los usuarios de la tecnología.
· SEGUNDA.- Aceptación de las condiciones del suministro del servicio
Al firmar el contrato o al enviar la orden de compra, EL CLIENTE acepta íntegramente todas las condiciones incluidas en el mismo, así como, como se especifica en el contrato, las "CONDICIONES GENERALES DE USO DE LOS SERVICIOS MDR". A menos que se indique expresamente lo contrario, la introducción de cualquier modificación del servicio que permita utilizarlo de otro modo respecto a la forma actual, así como el lanzamiento de nuevos servicios, estará sujeto y, por lo tanto, regulado por las condiciones generales.
EL PRESTADOR se reserva el derecho de modificar las condiciones generales en cualquier momento. Las condiciones generales vigentes al aceptar el pedido y / o el contrato se considerarán válidas hasta el vencimiento natural del mismo. EL CLIENTE podrá consultar en cualquier momento el texto de las condiciones generales válidas en relación con su pedido / contrato directamente en la página www.gemed.io o solicitándolo al correo electrónico a info@gemed.io.
Además, EL PRESTADOR podrá ofrecer servicios adicionales que, en cada caso, podrán estar regulados por diferentes condiciones generales.
· TERCERA.- Obligaciones relacionadas con la activación del servicio.
Para utilizar los servicios, EL CLIENTE se compromete y debe:
2. Adquirir el servicio por unos de los canales de venta autorizados por EL PRESTADOR.
3. No instalar en el equipo software ilegal.
4. Mantener el equipo actualizado.
5. Garantizar en el equipo una conexión ininterrumpida a internet.
6. No forzar el deshabilitado de los procesos del XDR.
7. Cumplimentar las pruebas remitidas por EL PRESTADOR en el módulo de gestión del riesgo humano.
8. Facilitar la información requerida por EL PRESTADOR necesaria para la activación del servicio.
· CUARTA.- Predisposiciones a cargo del CLIENTE y limitaciones de responsabilidad de EL PRESTADOR.
EL CLIENTE se compromete, bajo su cargo y coste, a la predisposición, compra, activación e instalación de todo lo necesario a efectos del cumplimiento del servicio telemático proporcionado por EL PRESTADOR. Por ejemplo: un terminal adecuado (ordenador personal, teléfono inteligente), líneas telefónicas, aparatos telefónicos y módem o enrutador, programas de acceso a Internet, suscripciones, dispositivos, etc. Se entiende y acuerda entre las partes que, en ninguna circunstancia EL PRESTADOR garantiza que los aparatos y todo lo expuesto anteriormente utilizado por EL CLIENTE sea adecuado para satisfacer el servicio ofrecido por EL PRESTADORniqueestoslogrenalcanzarlafinalidaddeseada.
EL PRESTADOR podrá proporcionar toda la información técnica y útil para las prestaciones de los servicios y utilizará sus propios estándares de conexión, equipos y programas reservándose la posibilidad de realizar cualquier modificación de estos, quedando eximido de cualquier cargo o responsabilidad.
Corre a cargo del CLIENTE cualquier coste de conexión, adaptando sus propios aparatos siempre que sea necesario en función de los parámetros y estándares definidos por EL PRESTADOR en cada caso.
· QUINTA.- Modalidad de ACCESO a los servicios – Obligaciones y responsabilidades
Se entiende que los servicios han sido prestados solo después de la concesión del permiso de acceso y concesión del usuario y contraseña correspondientes, entregados por correo electrónico a la dirección indicada en el contrato (formulario de pedido).
EL PRESTADOR se reserva el derecho de procesar las primeras órdenes de compra o renovaciones periódicas, siempre y cuando no se constaten retrasos en los pagos, ausencia de los mismos y / o litigios de cualquier tipo, antes del transcurso de 15 días (quince) hábiles desde la aceptación del pedido y aquellos posteriores a las mismas (órdenes de compra sucesivas), o de notificar al cliente, antes del transcurso del tiempo mencionado con anterioridad, la imposibilidad proporcionarle los servicios solicitados. Por lo tanto, el cliente tiene derecho a cancelar un pedido siempre que EL PRESTADOR no pueda proporcionarle los servicios una vez transcurridos 30 (treinta) días desde el vencimiento de los términos de entrega establecidos.
El cliente accede al servicio utilizando las URL, el usuario y la contraseña recibidos de conformidad con lo dispuesto por EL PRESTADOR. Al utilizarlo por primera vez, será necesario cambiar la contraseña recibida para proteger completamente el área de datos reservada al cliente; a partir del primer acceso, el cliente asume todos los cargos y responsabilidades con respecto al uso del servicio y de los datos introducidos en los archivos. El cliente está obligado a conservar la contraseña y la ID de usuario de manera confidencial, datos considerados personales, intransferibles y que se deberán utilizar solo para acceder a los servicios adquiridos (procedimiento de autenticación).
El cliente garantiza la puesta en práctica de todas las medidas de seguridad necesarias para evitar cualquier acceso indebido al servicio por parte de terceros no autorizados, y es la única persona responsable de cualquier suceso, robo, pérdida de la ID DE USUARIO y CONTRASEÑA y la consiguiente pérdida de confidencialidad de dichos códigos. EL PRESTADOR quedará libre e indemne de toda responsabilidad por cualquier hecho, incluyendo la manipulación, destrucción, cancelación, falta de registro o de procesamiento total y / o parcial de datos y / o programas, como consecuencia de dicha pérdida luego de la transferencia de los códigos al cliente.
EL PRESTADOR podrá, en cualquier momento, efectuar controles y verificaciones sobre el correcto uso de los programas, pero sin acceder directamente a los archivos de datos sin la autorización o solicitud del cliente. En cualquier caso, EL PRESTADOR no se hace responsable la información contenida en los archivos y bases de datos. Lo anterior también se aplica a los datos individuales, para los que tampoco asume obligación alguna respecto a su generación, mantenimiento, funcionamiento y veracidad.
· SEXTA.- Contenido del Servicio
EL PRESTADOR prestará al cliente los siguientes servicios incluidos en la oferta :
I. Protección Contra Amenazas Avanzadas
Prevención de Ataques. Utiliza análisis basados en inteligencia artificial para prevenir infecciones de malware, ransomware y ataques de día cero antes de que comprometan los dispositivos.
Análisis de Comportamiento. Monitoriza patrones de uso y comportamientos inusuales para identificar amenazas emergentes y actividades sospechosas.
Protección Basada en la Nube. Se apoya en la inteligencia global de Amenazas para actualizarse constantemente y enfrentar nuevas amenazas en tiempo real
II. Capacidades de Detección y Respuesta (EDR)
Visibilidad en Tiempo Real. Proporciona un análisis continuo de eventos en los endpoints, generando alertas detalladas cuando se detectan amenazas o anomalías.
Investigación Automatizada. Identifica automáticamente las causas raíz de incidentes, ofreciendo una descripción detallada del alcance del ataque, los vectores de entrada y los dispositivos comprometidos.
Treat Hunting. Incluye herramientas avanzadas de Threat Hunting para que los equipos de seguridad puedan investigar eventos complejos utilizando consultas en tiempo real basadas en Kusto Query Language (KQL).
III. Respuesta Automatizada y Orquestada
Aislamiento de Dispositivos. Permite desconectar endpoints comprometidos de la red para evitar la propagación de amenazas, mientras se mantiene el acceso para análisis remoto.
Eliminación de Malware. Automatiza la eliminación de archivos maliciosos y remediación de cambios en el sistema.
Acciones de Remediación. Coordina la respuesta en identidades, correo electrónico y aplicaciones para contener amenazas que cruzan múltiples vectores
IV. Gestión de Vulnerabilidades y Reducción de la Superficie de Ataque
Evaluación de Vulnerabilidades. Escanea continuamente los endpoints para identificar configuraciones incorrectas, software vulnerable y aplicaciones desactualizadas.
Recomendaciones de Seguridad. Proporciona acciones sugeridas para fortalecer la seguridad, como implementar actualizaciones o ajustar configuraciones.
Control de la Superficie de Ataque. Implementa reglas para restringir el acceso a áreas críticas, bloquear aplicaciones potencialmente peligrosas y evitar ataques de fuerza bruta.
V. Compatibilidad Multiplataforma
Protege dispositivos con Windows, macOS, Linux, iOS y Android, asegurando una cobertura integral en entornos heterogéneos. (PCs, Portátiles, Smartphones y Tablets)
El ESCUDO DIGITAL no solo protege los dispositivos contra las amenazas más avanzadas, sino que también facilita a las organizaciones modernizar su estrategia de ciberseguridad, mejorando la resiliencia y optimizando los recursos de los equipos de seguridad.
El servicio de ESCUDO DIGITAL está diseñado para operar sobre la base de las herramientas punteras de ciberseguridad, que ofrecen un conjunto completo de capacidades avanzadas de protección, detección y respuesta.
- Actividades Incluidas en la Detección y Respuesta Gestionada
La Detección y Respuesta Gestionada (MDR) combina tecnología avanzada y experiencia humana para ofrecer una protección integral contra amenazas. Este servicio incluye las siguientes actividades:
- Configuración del servicio y recursos CLOUD.
- Despliegue del agente XDR.
- Mantenimiento de políticas de seguridad y funcionalidades de seguridad.
- Detección proactiva de incidentes.
- Monitorización 24/7.
- Respuesta Automatizada.
- Análisis de amenazas avanzadas
- Mantenimiento de lista de exclusiones, actualizaciones de bases de datos y escaneos de malware.
- Informe mensual de vulnerabilidades y sus correcciones.
Mediante la instalación del software en el equipo del cliente, EL PRESTADOR tan solo dispondrá de las credenciales y permisos pertinentes para la ejecución de las siguientes tareas :
- Aislar el dispositivo. - Aísla un dispositivo, lo que ayuda a evitar que un atacante lo controle y realice otras actividades, como la filtración de datos y el movimiento lateral.
- Poner archivo en cuarentena. - Detiene los procesos en ejecución, pone en cuarentena los archivos y elimina datos persistentes, como las claves del Registro.
- Restringir ejecución de aplicación. - Restringe la ejecución de programas potencialmente malintencionados y bloquea el dispositivo para evitar intentos adicionales.
- Liberación del aislamiento. - Deshace el aislamiento de un dispositivo.
- Quitar restricción de aplicación. - Deshace la liberación del aislamiento.
- Deshabilitar usuario. - Deshabilite el acceso de una identidad a la red y a distintos puntos de conexión.
EL PRESTADOR tendrá derecho a cambiar las modalidades de acceso y uso del servicio incluso por motivo del cambio en las tecnologías telemáticas y de la variación de las características técnicas del software de aplicación y básicos (sistemas operativos e infraestructuras tecnológicas).
El CLIENTE garantiza el uso de los servicios de conformidad con las normas jurídicas y las normativas vigentes; a modo de ejemplo normativas en materia laboral, tributaria, de confidencialidad y seguridad. Por lo tanto, no se exime al cliente de cualquier responsabilidad y / o excepción con respecto a EL PRESTADOR por posibles daños y / o sucesos que pudieran surgir durante la prestación actual de los servicios establecidos en el contrato, y que deriven, directa y / o indirectamente, en la violación y / o incumplimiento de las obligaciones y condiciones contractuales y legales a cargo del cliente o no dependientes de manera objetiva de EL PRESTADOR.
El cliente y EL PRESTADOR se comprometen mutuamente a respetar la confidencialidad de todo lo que se contempla en el presente contrato, incluyendo los equipos, instalaciones, etc., extendiendo tal obligación a terceros y empleados.
· SÉPTIMA. - Modalidad de prestación y disponibilidad de los servicios
Los servicios proporcionados con conexión directa a través de Internet estarán disponibles todos los días de la semana y a cualquier hora, excepto cuando se deban realizar operaciones técnicas en los programas o datos, por ejemplo procedimientos de mantenimiento, actualización o almacenamiento (*); por lo tanto, EL PRESTADOR mantendrá activa la conexión con el cliente incluso más allá del horario normal de trabajo y en días festivos, pero sin que posibles mal funcionamientos o imposibilidad para acceder al sistema por cualquier motivo, razón o causa puedan considerarse como un deservicio por parte de EL PRESTADOR.
En cualquier caso, EL PRESTADOR no se hace responsable de las interrupciones del servicio que no dependan de su propia voluntad, como por ejemplo el mal funcionamiento de las redes telefónicas, redes eléctricas, proveedores, administradores de redes de Internet y administradores internacionales de las tiendas de aplicaciones o APP store.
EL PRESTADOR no se responsabilizará en ningún caso por demoras y / o violaciones debidas a causas ajenas a su control y / o provenientes de obligaciones derivadas de la ley, reglamentos, órdenes, disposiciones administrativas emitidas por cualquier autoridad civil y / o militar, organismo estatal y / o local, actos u omisiones de la otra parte (por ejemplo, incendios, inundaciones, terremotos, huelgas, embargos, guerras, sabotajes).
(*) la disponibilidad de los servicios disponibles a través de la web se entiende sin perjuicio de las suspensiones llevadas a cabo por razones técnicas y, según EL PRESTADOR crea conveniente, útiles para garantizar una mejor continuación de los servicios tales como:
- Mantenimiento ordinario de sistemas hardware;
- Implementación en los sistemas de nuevas versiones de software básicos;
- Operaciones destinadas al mantenimiento ordinario y extraordinario, corrección de cualquier anomalía o la carga de actualizaciones;
- Operaciones de creación de copia de seguridad de los archivos; Operaciones de restauración de archivos, también bajo solicitud del cliente;
- Situaciones que podrían hacer suponer o determinar una reducción insuficiencia del nivel de seguridad de los accesos a los datos;
- Situaciones urgentes para las que se debe recurrir a intervenciones extraordinarias en los componentes hardware, software y en redes, siempre que sean necesarias para permitir el uso normal o la restauración de los servicios;
- Situaciones de fuerza mayor o sobre las que EL PRESTADOR no posee la capacidad de predecir.
· Octava. – Provisión de datos
Con el fin de identificar las amenazas de seguridad de datos nuevas y complicadas, como también sus orígenes, así como las amenazas de intrusión, y para tomar medidas rápidas para aumentar la protección de los datos almacenados y procesados con el ordenador por el Cliente, EL CLIENTE acepta proporcionar automáticamente lo siguiente información para recibir el Servicio:
- La fecha de instalación y activación del software; el nombre completo y la versión del software, incluida la información sobre las actualizaciones instaladas y el idioma de localización del software.
- Información sobre el software instalado en el equipo, así como la versión del sistema operativo y la fecha de descarga y de instalación de actualizaciones, objetos de kernel, controladores, servicios, entradas de inicio automático, programas que se inician automáticamente en el caso de diversos eventos del sistema (p. ej., inicio del sistema operativo, inicio de sesión del usuario, etc.) y sus configuraciones, extensiones del navegador, extensiones de Microsoft Internet Explorer, extensiones del sistema de impresión, extensiones de Windows Explorer, extensiones de shell del sistema operativo, sumas de comprobación de objetos cargadas (MD5), elementos de configuración activa y aplicaciones del panel de control, versiones del navegador y cliente de correo.
- Información sobre los permisos del sistema de archivos, el bit eficaz para los permisos del sistema de archivos, las versiones de permisos del sistema de archivos, las variables de entorno y los nombres de las llamadas del sistema.
- Información sobre permisos heredados de un archivo de sistema.
- Información sobre el nombre del ordenador, las direcciones IP, las pasarelas predeterminadas, las direcciones MAC y el hardware, así como una suma de comprobación del número de serie del disco duro, los últimos 12 bytes del ID de seguridad del ordenador (SID) y el identificador de la zona de seguridad procedente del flujo de datos NTFS.
- Información sobre las herramientas de software utilizadas para solucionar problemas en el software instalado en el equipo del Usuario, o para cambiar su funcionalidad, y los códigos de retorno recibidos después de la instalación de cada componente de software.
- Información sobre el estado de la protección antivirus del ordenador, así como las versiones y las fechas y horas de lanzamiento de las bases de datos antivirus en uso, los códigos de error principales de un evento específico, los códigos de error secundarios de un evento específico y los números ordinales de los eventos.
- Información sobre las cuentas de usuario del Cliente: nombre de la cuenta de usuario, nombre del usuario, identificador del sistema operativo, información de inicio de sesión, privilegios, afiliación a grupos, tipos de inicios de sesión en el sistema, nombre del paquete de autenticación, nombres de dominio, nombres DNS utilizados para las sesiones de inicio de sesión del sistema de autenticación, el nombre del servidor utilizado para la autenticación, el nombre principal del usuario (UPN) de la cuenta y el SID.
- Contenido completo de los registros del sistema operativo.
- Información sobre los sistemas de llamadas.
- Información sobre los correos electrónicos recibidos, que incluye: direcciones de correo electrónico del remitente y del destinatario, asunto, información del archivo adjunto: nombre del archivo adjunto, tamaño, hash (MD5), resultados del análisis del formato de archivo.
- Información sobre las coordenadas del área de la pantalla en la que se realizó la captura de pantalla.
- Información sobre las conexiones de red, las direcciones IP y los puertos del emisor y el receptor, los índices de zona IPv6, la información sobre la dirección de la conexión de red (entrante/saliente), los tipos y máscaras de las consultas DNS realizadas, los códigos de error de las operaciones de consulta DNS, la respuesta a una consulta DNS e información sobre el servidor DNS solicitado.
- Los datos y métodos de conexión HTTP, las direcciones web visitadas, las URL de referencia, los agentes de usuario y los datos del protocolo de autenticación de red: hash MD5 de datos para la autenticación de Kerberos, el nombre de cuenta u ordenador, el nombre del dominio de Kerberos al que pertenece el nombre del servidor, el dominio al que pertenece el nombre del cliente, el UPN de la cuenta, el paquete de criptografía que se utilizó para el ticket de Kerberos emitido, la máscara del indicador del ticket de Kerberos en formato hexadecimal, la hora de emisión del ticket de Kerberos, la hora de vencimiento del ticket de Kerberos, la fecha de vencimiento del ticket (después de la que el ticket no se puede renovar) y el nombre del controlador de dominio utilizado para emitir el ticket de Kerberos.
- Información sobre los protocolos de la capa de aplicaciones: tamaño de la solicitud de búsqueda de LDAP, filtro de solicitud de búsqueda de LDAP, nombre único de la solicitud de búsqueda de LDAP, lista de atributos para la solicitud de búsqueda de LDAP.
- Información de .NET: nombre completo del conjunto .NET descargado, indicadores de conjunto del conjunto .NET descargado, indicadores de módulo del módulo .NET descargado, nombre de dominio del conjunto .NET descargado, módulos para el código auxiliar de MSIL generado, información sobre el método administrado: el espacio de nombres del método administrado de interacción, el nombre del método administrado de interacción, la firma del método administrado de interacción, la firma del método nativo y la firma del código auxiliar del método.
- La información sobre los archivos se procesa en el sistema operativo: nombre y ruta del archivo, tamaño, atributos, tipos de archivos y objetos, resultados del análisis de formato del archivo, suma de comprobación (MD5), dirección web desde la que se descargó el archivo, dirección de correo electrónico del remitente desde la que se recibió el archivo y el asunto del correo electrónico, el contenido del sistema de archivos de la estructura VERSIONINFO de los metadatos del archivo, información sobre el editor si el archivo está firmado, el ID de usuario del propietario del archivo, el ID de grupo de propietarios del archivo, la hora a la que se accedió por última vez al archivo, la hora a la que se modificaron por última vez los metadatos del archivo, la hora a la que se creó el archivo, las máscaras de indicador de verificación de la firma digital, las fechas de inicio y fin y los códigos de las operaciones en archivos y objetos, el número de lanzamientos de archivos ejecutables, el identificador de formato del archivo, la ruta completa del objeto y la ruta del contenedor del objeto, el contenido del archivo de ejecución automática y el nombre del archivo y la ruta al archivo en la fuente de red remota a la cual se está accediendo.
- Contenido del directorio \etc\.
- Datos de salida de comando.
- Datos de auditoría: resultado de la operación, descripción de la operación, tipo de evento y usuario de la operación.
- Información sobre el proceso: identificador de proceso (PID), rastreo de llamada del proceso, información sobre el archivo ejecutable del proceso y su línea de comando, información sobre el proceso principal, hash MD5 del código de error de computación del archivo ejecutable, códigos de error principales, información de integridad del proceso, información de inicio de sesión, línea de comandos, argumentos de la línea de comandos para el proceso, variables de entorno para el proceso de destino, identificador único del registro de actividad del proceso, nombre o dirección del sitio de inyección de código, información sobre los derechos de acceso del proceso, códigos de error para calcular el hash MD5 de un objeto desde la línea de comandos del proceso, una lista de contenedores de archivos que encapsula el objeto, el directorio de trabajo inicial para el proceso de destino y la matriz de identificadores (PID) para los procesos completados.
- Información de registro: nombres, secciones y valores.
- Información sobre las operaciones remotas: el nombre del equipo remoto y el nombre completo (FQDN) del ordenador remoto en el que se llevó a cabo la operación remota, el nombre de la cuenta de usuario que inició la operación remota, el identificador proporcionado por el sistema del proceso remoto que inició la operación remota, la hora de inicio del proceso remoto que inició la operación remota, el nombre del espacio de nombre para el usuario de los eventos WMI, el nombre del filtro de eventos WMI del usuario, el nombre del usuario creado de los eventos WMI y el código fuente del usuario de los eventos WMI.
- Información de error: código de error para el cálculo MD5, código de error de acceso al archivo, códigos de error principales y códigos de error secundarios.
- Información sobre las tareas de evento de respuesta creadas por especialistas de EL PRESTADOR y del Usuario: nombre y tipo del evento, fecha y hora en que ocurrió el evento, y configuración y resultados de la tarea de respuesta (información sobre el objeto [ruta del objeto, nombre y tamaño del objeto, y sumas de comprobación MD5 y SHA256], información sobre la puesta en cuarentena del objeto, información sobre la supresión del objeto, información sobre la terminación del proceso, información sobre la supresión de una clave/rama de registro, información sobre el inicio del proceso, información sobre objetos solicitados por especialistas de AO Kaspersky Lab para un análisis detallado a partir del consentimiento del Usuario [nombre, ruta, tamaño y tipo del objeto, sumas de comprobación MD5 y SHA256, descripción del objeto, fecha y hora del procesamiento de la solicitud de archivos, y contenido del archivo], información sobre la instalación y la eliminación del aislamiento de red del dispositivo, e información sobre los errores resultantes de la tarea de respuesta).
- Datos sobre los scripts que se ejecuten en el ordenador: argumentos de la línea de comandos, contenido del script o parte del script que se ejecuten en el ordenador y el contenido del objeto o parte del objeto recibido por AMSI.
- Datos sobre los comandos recibidos por la aplicación de consola, incluidos los intérpretes de la línea de comandos, que utilicen la redirección de entradas a través de una tubería («pipe») o un archivo, así como los comandos ejecutados por el usuario en las aplicaciones de consola, incluidos los intérpretes de la línea de comandos.
- Lista de datos sobre eventos que se detectan como resultado del análisis de tráfico de red
Con el fin de identificar los eventos de seguridad de datos nuevos y complicados, como también sus orígenes, así como las amenazas de intrusión, y para tomar medidas rápidas para aumentar la protección de los datos almacenados y procesados con el ordenador por el Cliente, el Cliente acepta proporcionar automáticamente lo siguiente información para recibir el Servicio:
- Información sobre el identificador, la versión, el tipo y la marca de tiempo del registro en la base de datos antivirus utilizada para detectar un evento de seguridad de la información, el nombre de la amenaza, la marca de tiempo de las bases de datos antivirus que se utilizan, el código de tipo de archivo, el identificador de formato de archivo, el identificador de tarea del software que detectó el evento, el indicador de verificación de reputación o verificación de firma de archivo.
- Información para determinar la reputación de archivos y recursos web, incluida la dirección IP y el nombre de dominio de la dirección URL en la que se solicita la reputación, el nombre del archivo que se ejecutó en el momento en que se detectó el evento, la ruta del archivo y las sumas de comprobación (MD5) del archivo, y su ruta.
- Información sobre la emulación del archivo ejecutable, incluido el tamaño del archivo y sus sumas de comprobación (MD5, SHA256, SHA1), la versión del componente de emulación, la profundidad de la emulación, una serie de propiedades de los bloques lógicos y funciones dentro de los bloques lógicos obtenidos durante la emulación, los datos de los encabezados PE del archivo ejecutable.
- Información acerca de todos los objetos detectados, como el nombre y el tamaño del objeto, la ruta completa al objeto en el ordenador, las sumas de comprobación (MD5, SHA256) de los archivos que se procesan, el nombre del evento asociado con el objeto, la fecha y hora de detección, la marca de la presencia de la firma digital del archivo, el nombre de la organización que firmó el archivo, el estado de confianza y el nivel de amenaza del archivo, el identificador y la prioridad de la regla utilizada para la detección y el tipo de tecnología de detección.
- El tipo de origen desde el que se descargó el objeto, la dirección IP de la fuente (o suma de comprobación (MD5) de la dirección IP, cuando es local), la dirección URL de la fuente, así como la dirección URL de referencia, el nombre, el dominio nombre y suma de comprobación (MD5) del nombre del host que envió la solicitud de descarga y la información de servicio sobre el navegador web que envió la solicitud de descarga.
- Sumas de comprobación (MD5) de las partes local y de dominio de las direcciones de correo electrónico del remitente y del destinatario, así como la suma de comprobación (MD5) del asunto del correo electrónico.
- Direcciones IP locales y remotas de la conexión de red, los números de los puertos locales y remotos, y el identificador de protocolo de la conexión.
- Dirección URL y nombre del host de destino, y las direcciones IP del host.
- El identificador del sistema operativo instalado en una máquina virtual que el software utiliza para analizar objetos.
- Información adicional sobre eventos, incluido el índice de frecuencia del archivo en la red local del Usuario, la fecha de intrusión del archivo en la red local y en el ordenador del Usuario, los identificadores de las cuentas desde las que se inició el proceso, las sumas de comprobación de sus nombres de usuario, así como los nombres de sus dominios o grupos de trabajo e información sobre los privilegios de las cuentas de usuario.
- Información sobre la actividad de red del proceso, incluidos los nombres de dominio de los recursos de red que se utilizan para establecer una conexión, y las direcciones IP de los dominios, la frecuencia de la conexión con el recurso de red seleccionado, el tamaño y el tipo de los datos transferidos.
- Información sobre el uso del dominio del recurso de red, incluido el índice de frecuencia de las solicitudes al dominio desde la red local, la marca de hora de la primera solicitud al dominio desde la red local, la duración de las solicitudes de diferentes usuarios y las sumas de comprobación de sus nombres, los nombres de los ordenadores que iniciaron las solicitudes al dominio e información adicional sobre las razones de detección.
- Información de servicio sobre el componente de procesamiento de estadísticas, incluida la fecha y hora del inicio y el final del término que se utilizó para analizar los datos estadísticos, el volumen de la memoria de disco libre y utilizada, la hora del último procesamiento de eventos, el tiempo de funcionamiento de los diferentes algoritmos de detección, los mensajes sobre los errores del componente y los mensajes sobre el inicio exitoso de los diferentes algoritmos de detección.
- Datos enviados al soporte técnico.
· NOVENA. - Gestión del riesgo humano (plan de concienciación)
Los empleados o usuarios de tecnología son la última capa de seguridad y la primera línea de defensa de las organizaciones. Para protegerlos y, al mismo tiempo, proteger a la organización se precisa elevar los niveles de concienciación dirigida a la seguridad de estos empleados, pues, si bien nos es posible evitar que sigan siendo la primera línea de defensa, sí que se puede incrementar sustancialmente sus capacidades en el desarrollo de hábitos seguros en el uso de la tecnología que se pone a su disposición, en la concienciación respecto a la protección de la información de la organización, y en su fortalecimiento en cuanto a la resistencia presentada ante ataques de ingeniería social.
Las tácticas de engaño están en constante evolución y perfeccionamiento. Los ciberdelincuentes están permanentemente introduciendo cambios en cada una de las fases de sus ataques de ingeniería social. El entrenamiento y la capacitación del personal, debe ser una acción permanente para obtener niveles sostenidos y homogéneos de seguridad. El entrenamiento, por tanto, debe ser adaptativo para evolucionar de forma conjunta a las técnicas de la ingeniería social que utilizan los ciberdelincuentes.
EL PRESTADOR dispone de una solución de gestión del riesgo humano comercializada como servicio gestionado. Se trata de una plataforma dotada de herramientas especializadas dirigidas a mejorar los hábitos, el nivel de capacitación y de concienciación de los empleados y, por tanto, a elevar los niveles de seguridad para combatir las amenazas
Tipos de Campañas Incluidas en el Servicio
El servicio integra toda la gestión de su programa de capacitación y concienciación, con métricas de correlación que le permiten conocer de forma objetiva el grado de efectividad de sus acciones.
En este servicio gestionado obtendrá campañas de:
- Módulos Interactivos [1 x Mes]. Tienen una duración de entre 5 y 8 minutos, son módulos preparados pedagógicamente para lograr cambios de hábitos permanentes en los usuarios, dirigidos a mejorar la identificación y combatir ataques de ingeniería social.
- Newsletters [1 x Mes]. Son emails diseñados entre otras utilidades para mantener informado a los usuarios de las últimas técnicas de ingeniería social utilizadas por los ciberdelincuentes.
- Simulaciones de ataques de Ingeniería Social [1 x mes]. Correos electrónicos de PHISHING o de RANSOMWARE simulado de manera realista y efectiva la realidad de cada momento respecto a las técnicas y campañas empleadas. Las trampas se mantienen actualizadas y cubren las estrategias más frecuentes y novedosas utilizadas por los ciberdelincuentes para distribuir malware o para realizar ataques dirigidos.
- Informes [1 x mes]. Los resultados del servicio se plasmarán de forma objetiva sobre reportes mensuales que permitirá a NOMBRECLIENTE realizar un análisis exhaustivo sobre la situación actual de la organización y tomar decisiones o acciones sobre aquellos puntos débiles que se reflejan en los mismos.
· DÉCIMA. - Garantías y responsabilidades sobre la adecuación de los servicios
EL CLIENTE declara haber leído y entendido los servicios y las condiciones del contrato y también se declara el único responsable de verificar la idoneidad y la adecuación de los servicios prestados por EL PRESTADOR respecto a sus exigencias específicas y al uso que pretenda hacer de los mismos.
El uso de los servicios a través de la web, y enparticular de los programas de software, está permitido en el estado en el que seencuentra,sinningunagarantíadequelasfuncionescontenidasydescritasenlasespecificacionessatisfaganlosrequisitos legales o las exigencias del cliente o que funcionen en todas las combinaciones de hardware, software y de gestión / empresarialesqueelclientepuedaelegirparasuuso,elcual,antesdelaconclusióndeestecontrato,deberáhaberverificado yevaluadocompletamente,bajosuresponsabilidadpersonal,quesatisfagansusexigencias.
El cliente tiene la responsabilidad de verificar constantemente el software y de comprobar el resultado del procesamiento realizado a través de este, cuyo uso es responsabilidad exclusiva del mismo.
EL PRESTADOR no se hace responsable y no ofrece ninguna garantía respecto a las descritas expresamente. Queda excluida cualquier responsabilidad de EL PRESTADOR por daños directos e indirectos de cualquier naturaleza que el cliente o terceros puedan sufrir como resultado de este contrato, incluidos aquellos derivados del uso o falta de uso de los procedimientos o por errores de los mismos, o aquellos sin limitaciones, por pérdida o falta de ingresos, interrupción de la actividad empresarial, pérdidas económicas o de información, así como por mal funcionamiento o defectos relacionados o causados por ambientes informáticos o por sistemas operativos sobre los que operan los programas.
· UNDÉCIMA. - Actualizaciones de software y servicios de mantenimiento.
EL PRESTADOR se reserva el derecho de realizar cualquier modificación funcional, técnica o tecnológica de los programas, siempre que lo considere necesario, y no garantiza que las nuevas versiones posean las mismas características que las versiones anteriores; estas pueden ser eliminadas, reemplazadas, mejoradas o modificadas según lo requiera la legislación vigente.
Dichas modificaciones podrán implementarse en cualquier momento ya que es una práctica habitual de EL PRESTADOR actualizar continuamente sus software, no solo sobre la base de un plan de desarrollo y evolución predeterminado, sino también en función de las nuevas características técnicas y funcionales que, a lo largo del tiempo y según su propio criterio, haya considerado útiles o necesarias, o simplemente en función de las necesidades de mantenimiento o corrección de cualquier posible mal funcionamiento o anomalía que haya detectado durante el uso de los programas de software o sobre los que se le haya informado. Para cada lanzamiento primario efectuado sobre los programas de software, EL PRESTADOR enviará un comunicado a través de las plataformas de software indicando la descripción de las principales novedades funcionales y una fecha aproximada sobre la actualización.
Por consiguiente, el cliente deberá verificar escrupulosamente, con costes a su cargo, el alcance de las nuevas actualizaciones. Por ejemplo, a partir de ahora el cliente se compromete a verificar las nuevas funciones y si estas se adaptan a sus propios propósitos sin que posibles inexactitudes, fallas y / o defectos en este sentido por parte de EL PRESTADOR puedan dar lugar a la misma responsabilidad incluso en virtud de negligencia leve. De ahora en adelante, el cliente exonera a EL PRESTADOR de cualquier responsabilidad por daños, de cualquier naturaleza, derivados /producidos al cliente o a terceros.
EL PRESTADOR también se reserva el derecho incuestionable de modificar, reemplazar, eliminar e interrumpir la distribución de uno o más programas o de suspender las actualizaciones. Las partes acuerdan que en el momento en que EL PRESTADOR tenga la intención de eliminar o interrumpir la distribución de uno o más programas de software, el cliente tendrá el derecho de rescindir de los servicios sin el pago de ningún depósito penitencial mediante un comunicado escrito que deberá enviar a EL PRESTADOR mediante la dirección de correo indicada antes del transcurso de 30 (treinta) días desde la recepción del comunicado; la resolución entrará en vigor en 20 (veinte) días desde la recepción del correo electrónico. Se acuerda que, en caso de ejercer el derecho de resolución, el cliente tendrá el derecho de recibir actualizaciones por parte de EL PRESTADOR hasta el vencimiento de los servicios.
Se entiende que la modificación y / o la sustitución de uno o más programas no constituyen una causa justa de resolución, así como tampoco constituyen una causa justa de rescisión la modificación, sustitución, eliminación e interrupción de la distribución de una o más actualizaciones.
El cliente tiene el derecho de utilizar la versión estable de software en lanzamiento al momento de la compra.
El cliente tiene el derecho de disfrutar de las actualizaciones de desarrollo o de mantenimiento de la misma versión del software que utiliza.
El cliente tiene el derecho de disfrutar de las actualizaciones normativas.
El cliente no posee el derecho de usar las versiones superiores del software de forma gratuita. El cliente podrá, aceptando una nueva oferta y firmando un nuevo contrato, disfrutar de las nuevas versiones del software.
El cliente podrá variar la versión del software en uso durante el periodo de validez contractual o al renovar el mismo, aceptando previamente las nuevas condiciones económicas y de uso.
· DUODÉCIMA. - Derechos de propiedad de EL PRESTADOR (propiedad intelectual)
Los servicios y, en particular, los programas correspondientes y todos los derechos relacionados, incluidos los de marcas comerciales, patentes, derechos de autor u otros derechos de cualquier tipo sobre el programa o parte de este, son propiedad exclusiva de EL PRESTADOR y están protegidos por leyes en materia de propiedad intelectual y / o industrial.
El Cliente se compromete a no permitir a terceros ajenos ni el uso ocasional ni a la reproducción de cualquier forma. Por lo tanto, está expresamente prohibida la exhibición por parte del cliente de los programas a terceros y permita su uso, ya sea de forma gratuita o a título oneroso. El Cliente, también en relación con sus administradores, socios, colaboradores, profesionales, técnicos y empleados, se compromete a mantener en secreto el contenido de los programas y a proteger los derechos de propiedad del mismo; en particular, el cliente se compromete a no ceder, prestar, exhibir o describir a terceros las características técnicas y funcionales de los programas, así como de cualquier material, soporte o información relacionada con los mismos. Los programas están disponibles exclusivamente en formato ejecutable y no se pueden modificar, y mucho menos decodificar o descompilar. Los códigos fuente de los programas, depositados en la sede de EL PRESTADOR, están disponibles solo para posibles investigaciones por parte de las autoridades. Los programas se suministran en el estado en el que se encuentran.
El cliente también se compromete a no acceder al servicio a través de una interfaz diferente de la suministrada o autorizada por EL PRESTADOR.
Los honorarios para cada tipo de servicio regulado por las presentes condiciones contractuales se indican en la oferta y / o formulario de pedido. En particular, los servicios se prestan por EL PRESTADOR a título oneroso frente al pago de un importe fijo periódico (por ejemplo, una tarifa o cuota anual) que generalmente se abona en una cuota anual y / o, cuando esté indicado, un importe fijo "una tantum" (un único pago). La tarifa o cuota periódica comienza a partir de la fecha de activación del servicio. Las tarifas o cuotas pueden actualizarse en función de la variación del índice ISTAT del año precedente.
EL PRESTADOR también se reserva el derecho de modificar el importe de la tarifa si las condiciones del mercado así lo requieren, sin perjuicio del derecho del cliente de no aceptarla de la manera indicada en el siguiente apartado.
Si durante el periodo de validez del servicio se realizan modificaciones de la lista de EL PRESTADOR (excluyendo los aumentos ISTAT) que comportan un aumento de las tarifas, dichas modificaciones se le deberán comunicar al cliente antes del transcurso de 15 (quince) días y entrarán en vigor en la primera renovación posterior del servicio.
En el caso de que se confirmaran las variaciones citadas en el párrafo anterior, el cliente se reserva el derecho de rescisión y deberá comunicarlo a través de una declaración que enviará a través de correo electrónico certificado PEC antes del transcurso de 10 (diez) días a partir de la notificación de dichas variaciones. La rescisión entrará en vigor a partir de la siguiente renovación contractual. Al finalizar este plazo, y sin que EL PRESTADOR haya recibido la comunicación citada anteriormente, se dan por aceptadas las variaciones.
Los pagos por parte del cliente se deben realizar por transferencia bancaria antes del transcurso de 30 (treinta) días desde la fecha de emisión de la factura, a menos que se acuerde lo contrario o se disponga de otra forma en el pliego de condiciones.
Sin perjuicio del mayor daño causado, en caso de incumplimiento o demora en los pagos, se cobrarán los cargos bancarios relativos a los intereses pendientes y, además, se aplicarán los intereses vigentes para la morosidad en operaciones comerciales.
En caso de retraso en el pago más allá de 60 días naturales desde la fecha de vencimiento de la factura o de impago de la tarifa, EL PRESTADOR tendrá derecho a rescindir el contrato, previa indemnización por los daños y perjuicios sufridos y por sufrir.
· DÉCIMOCUARTA. - Duración y resolución
La duración del contrato será la prevista en el momento de la aceptación del formulario de pedido (anual, bienal, trienal, personalizada) y se considerará prorrogada tácitamente, a excepción de la Administración Pública y organismos similares. El contrato puede ser resuelto por cada una de las partes enviando un correo electrónico antes del transcurso de 90 (noventa) días antes de la expiración la próxima cuota anual.
A partir de 90 (noventa) días desde la fecha de vencimiento del servicio, EL PRESTADOR envía continuos avisos sobre la expiración de este y / o una oferta de renovación a la dirección de correo electrónico del titular del servicio indicada, para informar sobre la proximidad del vencimiento del servicio y las instrucciones correspondientes para su renovación.
En la fecha de vencimiento, los softwares desactivan automáticamente las características principales pero permiten el acceso y consulta del panel de administración durante 90 (noventa) días.
Al finalizar los 90 días a partir de la fecha de vencimiento del contrato, los sistemas se desactivan automáticamente y se bloquean las credenciales de acceso.
· DÉCIMOQUINTA. – Información en virtud del RGPD (Reglamento General de Protección de datos) 2016/679
Se informa que EL PRESTADOR almacena los datos del cliente de acuerdo con los términos de la política sobre privacidad. Junto con estas condiciones generales, también se entienden aceptadas las condiciones sobre privacidad disponibles en el enlace Política de privacidad – EL PRESTADOR . Les invitamos a leer regularmente nuestra política de privacidad, ya que encontrará la información más actualizada sobre nuestros métodos de recopilación, almacenamiento y uso de los datos.
· DÉCIMOEXTA.- Designación del responsable del tratamiento de datos
Como resultado del perfeccionamiento del presente contrato, y con arreglo al Reglamento UE 2016/679 y a la legislación vigente en materia, el cliente, en calidad de titular de los datos personales tratados a través del software o servicio elegido, designa a EL PRESTADOR como responsable del tratamiento de datos personales, de conformidad con el Artículo 28 del RGPD, para llevar a cabo los tratamientos necesarios para el desarrollo de los servicios objeto del contrato.
I. Duración de la designación
La designación como responsable del tratamiento de datos y las cláusulas relacionadas poseen la misma duración que el contrato estipulado entre el titular y EL PRESTADOR en relación con el servicio adquirido. Esta designación cesará de forma automática en caso resolución, rescisión o pérdida de vigencia del contrato. Asimismo, en caso de renovación del contrato, la designación como responsable del tratamiento de datos se considerará renovada de forma automática con una duración equivalente a la del contrato.
II. Datos personales tratados por EL PRESTADOR en la prestación de los servicios objeto del contrato
Los servicios proporcionados por EL PRESTADOR, de forma compatible con sus especificaciones técnicas, permiten al titular tratar los datos personales según la modalidad que él mismo estableció y que gestionó de manera autónoma. El ámbito de la designación de EL PRESTADOR se relaciona únicamente con el tratamiento de los datos personales introducidos y / o transmitidos de forma autónoma por el titular y por los interesados en el servicio (proveedores, empleados, etc.) a través del servicio o software elegido y / o en el ámbito de este y, en cualquier caso, de conformidad con los fines destinados a su correcta prestación por parte de EL PRESTADOR y de conformidad con las disposiciones de la legislación aplicable.
El tratamiento de los datos personales realizado por EL PRESTADOR por cuenta del cliente consistirá en las operaciones necesarias para el mantenimiento del servicio y la asistencia técnica (memorización, almacenamiento y, a petición del propietario, lectura, modificación y cancelación). Se entiende que EL PRESTADOR, al proporcionar los servicios, no asume ninguna responsabilidad en relación con la información almacenada bajo solicitud del titular, ni está sujeta a la obligación general de monitorear la información que transmite o almacena, ni a la obligación general de buscar activamente hechos o circunstancias que indiquen la presencia de actividades ilegales.
III. Obligaciones y derechos
Como resultado de la presente designación, EL PRESTADOR está exclusivamente autorizado para el tratamiento de los datos personales en la medida y dentro de los límites necesarios para la ejecución de las actividades que se le asignan. EL PRESTADOR tiene la facultad de llevar a cabo todas las actividades necesarias para garantizar el cumplimiento de las normativas vigentes relativas a la materia, así como el deber de organizar, administrar y supervisar todas las operaciones de tratamiento de los datos personales comunicados por los titulares con el fin de poner en marcha las actividades objeto del servicio seleccionado. De conformidad con las disposiciones del Reglamento UE 2016/679 y la normativa relativa al tratamiento de los datos personales, cabe precisar que es deber de EL PRESTADOR:
tratar los datos personales introducidos y / o transmitidos en el marco de la ejecución del servicio escogido objeto del contrato con las características técnicas y de seguridad establecidas en las especificaciones del software / servicio escogido. En caso de que el titular solicite necesidades específicas que requieran instrucciones diferentes respecto a las descritas en la documentación mencionada anteriormente, deberá expresar dicha necesidad a EL PRESTADOR y describir las medidas que desea que le sean garantizadas, las cuales serán evaluadas y, si pudieran implementarse, cotizadas con una oferta específica;
garantizar que las personas autorizadas para el tratamiento de datos personales se hayan comprometido a respetar la confidencialidad o posean una obligación legal de confidencialidad; tales sujetos autorizados para el tratamiento de los datos, en relación con el desempeño de las actividades descritas anteriormente, serán específicamente asignados al tratamiento de los datos por EL PRESTADOR, proporcionándoles las instrucciones necesarias y haciéndolos conocedores de las modalidades acordadas y de las prescritas por el Reglamento UE 2016/679;
adoptar todas las medidas requeridas con arreglo al artículo 32 del Reglamento UE 2016/679; en particular, EL PRESTADOR, al prestar el servicio escogido, aplicará las medidas indicadas en el contrato, en las especificaciones técnicas y en los procedimientos adoptados por la empresa de conformidad con la normativa ISO 27001, y al Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
considerando la naturaleza del tratamiento, asistir al titular (i) con medidas técnicas y organizativas adecuadas, en la medida de lo posible, para atender las solicitudes recibidas para el ejercicio de los derechos de las partes interesadas; (ii) para garantizar el cumplimiento de las obligaciones establecidas por los artículos 32 a36 del Reglamento UE 2016/679, habida cuenta de la información a disposición del responsable del tratamiento de datos;
bajo elección del titular, eliminar o restituir al mismo todos los datos personales después de que se dé por finalizada la prestación de servicios relacionados con el tratamiento de datos y destruir las copias existentes, tal como se estipula el art. 13;
poner a disposición del titular toda la información necesaria para demostrar el cumplimiento de las obligaciones contempladas en la designación del presente documento, permitiendo y contribuyendo a las actividades de revisión y verificación, acordándose previamente sobre los plazos y las modalidades, siempre y cuando no entren en conflicto con las obligaciones de confidencialidad asumidas por EL PRESTADOR y / o con sus políticas. Los costes de estas verificaciones correrán a cargo del titular.
Por lo tanto, EL PRESTADOR efectúa el tratamiento de los datos conforme a las instrucciones indicadas anteriormente y a las disposiciones contenidas en el Reglamento UE n.2016/679, y conforme a los requisitos de seguridad establecidos para la prestación de los servicios individuales.
IV. Subresponsables
A través del presente contrato, el titular autoriza a EL PRESTADOR a recurrir a sus propios subresponsables, tales como proveedores externos, para la prestación de servicios (asistencia, mantenimiento, suministro de redes y servicios de comunicación electrónica) relacionados con la prestación solicitada, reconociendo y aceptando que esto podrá implicar el tratamiento de datos por parte de estos. Con vistas a la designación de un subresponsable, EL PRESTADOR garantiza, a través de un contrato escrito separado con dicho subresponsable, que:
a) el subresponsable podrá acceder a los datos del titular solo en la medida exigida para llevar a cabo el cumplimiento de las obligaciones a este delegadas con arreglo al contrato;
b) el subresponsable asume las obligaciones contempladas en el art. 28 del RGPD;
c) seguirá siendo responsabilidad de EL PRESTADOR en relación al titular, el cumplimiento de todas las obligaciones contraídas, incluso en relación con las actividades asignadas al subresponsable. Con la finalidad de permitir al titular de los datos un control preciso sobre los subresponsables, así como para llevar a cabo el cumplimiento de las obligaciones respecto a la categoría de dichos subresponsables, EL PRESTADOR se compromete a mantener actualizada, tanto la lista de dichos subresponsables como la documentación específica donde figuran las obligaciones contraídas por los mismos. EL PRESTADOR se compromete a informar al titular en caso de realizar cambios de los subresponsables.
V. Violaciones
En el momento en que se verifiquen eventos que comporten la violación de los datos tratados por EL PRESTADOR durante la prestación de los servicios, EL PRESTADOR notificará al titular siguiendo las modalidades y en los plazos contemplados en la normativa vigente aplicable en relación con la materia.
VI. Ejercicio de derechos
Podrá ejercitar los derechos en materia de protección de datos personales en cualquier momento y de forma gratuita dirigiendo un correo electrónico a rgpd@gemed.io, enviando el formulario de acuerdo con el derecho que desea ejercitar y sus datos identificativos, disponibles en política de privacidad – EL PRESTADOR. También podrá ejercitarlos en la oficina sita en calle Olof Palme 43, 2B, 35010, Las Palmas de Gran Canaria, España.
· DÉCIMOSÉPTIMA. - Comunicaciones
Cualquier comunicación entre las partes deberá realizarse por escrito o por correo electrónico certificado y, a menos que se disponga explícitamente en las CONDICIONES GENERALES, dichas comunicaciones podrán efectuarse tanto por correo electrónico certificado como por correo postal certificado.
EL PRESTADOR podrá enviar comunicados en relación con posibles modificaciones de las presentes Condiciones Generales u otras cuestiones, introduciendo avisos generales para los usuarios o enlaces a dichos avisos directamente en los servicios.
· DÉCIMOOCTAVA. - Leyes aplicables y tribunal competente
Las presentes Condiciones Generales y la relación entre EL PRESTADOR y el cliente están reguladas por el ordenamiento jurídico español
Salvo que por Ley aplicable resulte forzoso el sometimiento de las discusiones a un determinado fuero territorial, se declara la competencia de los Juzgados y Tribunales de Las Palmas de Gran Canaria para el conocimiento de cualquier tipo de reclamación dimanante del servicio contratado.
Las presentes Condiciones Generales constituyen, junto con el formulario de pedido, un acuerdo único y exclusivo entre el cliente y EL PRESTADOR.
El no ejercicio de EL PRESTADOR de un propio derecho, previsto por la ley o por las presentes Condiciones Generales, no constituye en ningún caso una renuncia al derecho en sí.
En caso de que una o más disposiciones de las presentes Condiciones Generales sean declaradas inválidas por un juez competente, las partes acuerdan que el juez deberá, en cualquier caso, intentar mantener la efectividad de los acuerdos entre las partes, como se especifica en el presente acuerdo, y las demás Condiciones Generales seguirán poseyendo validez y eficacia a todos los efectos.
· VIGÉSIMA. – Disposiciones finales
Aunque no está expresamente contemplado en el presente contrato, se aplicarán las normas del Código Civil y el Ordenamiento Jurídico Español.
· VIGÉCIMA PRIMERA. - Certificaciones
Nuestras certificaciones reflejan nuestro compromiso con la excelencia, la calidad y el cumplimiento de los estándares más rigurosos en la industria. Estas acreditaciones no solo avalan nuestras capacidades técnicas, sino que también demuestran nuestra dedicación por ofrecer soluciones que garantizan la protección de los datos, la eficiencia operativa y la innovación constante.
Al contar con un equipo certificado y procesos alineados con las mejores prácticas internacionales, aseguramos a nuestros clientes y partners que trabajan con un aliado confiable y comprometido con la seguridad y la transparencia.
EL PRESTADOR cuenta con personal altamente especializado en ciberseguridad, sistemas de seguridad de la información y continuidad del negocio. Personal que ha superado estrictos procesos de selección, por lo sensible de la actividad que van a desarrollar con sus clientes y que han sido sometidos a exigentes programas de capacitación en cada una de sus especialidades:
· Director de Seguridad Especializado en Infraestructuras Críticas y Diplomado en Inteligencia Competitiva y Vigilancia Tecnológica. Licencia número 17.526.
· Técnicos Certificados en Ciberseguridad. Especialistas en Seguridad de la Información, Seguridad Informática, Seguridad Perimetral, Hacking Ético defensivo y ofensivo.
o AlienVault - Cybersecurity Engineer Certified.
o Ethical Hacker Certified.
o CEH, OSCP, OSCE, CREST, OSWP, etc.
o Fortinet NS4, NS7
o Sophos Firewall Engineer v19.5 (Sophos Central)
o Sophos Firewall Architect v19.5 (Sophos Central)
o Devo Certified Platform User.
o Darktrace Cyber Engineer.
o Darktrace Cyber Analyst.
· Técnicos Especialistas Implantadores de Sistemas de Gestión de Seguridad de la Información según norma ISO 27001[1] certificados por AENOR.
· Técnicos Certificados por AENOR en Sistemas de Gestión de Continuidad del Negocio según norma ISO ISO 22301[2].
· Auditores para evaluación e implantación ENS (Esquema Nacional de Seguridad) certificados por AENOR.
· Auditores implantadores de la Directiva Europea NIS 2
· Asesoría jurídica interna especializada en Derecho Digital.
· Técnico certificado por ISACA como Certified Information Systems Auditor [C.I.S.A.] Certificación de Auditor de Sistemas de Información.
· Técnico certificado por ISACA como Certified Information Security Manager [C.I.S.M.] Certificación en Gestión de Seguridad de la Información.
· Certificaciones de Ciberseguridad En Microsoft
EL PRESTADOR también cuenta con técnicos competentes y certificados, que validan su competencia y experiencia en la implementación y gestión de soluciones de seguridad de Microsoft. Entre estas certificaciones se incluyen:
o Microsoft Certified: Security, Compliance, and Identity Fundamentals: Esta certificación valida el conocimiento básico de los conceptos de seguridad, cumplimiento e identidad de Microsoft.
o Competencias: Entendimiento de los conceptos básicos de seguridad, los principios de cumplimiento, y los fundamentos de la identidad.
o Microsoft Certified: Azure Security Engineer Associate: Esta certificación está dirigida a aquellos técnicos que implementan, gestionan y supervisan las soluciones de seguridad en Microsoft Azure así como también de la infraestructura.
o Competencias: Configuración y gestión de la seguridad de identidad. Implementación de controles de seguridad para proteger los datos, aplicaciones y redes, así como la gestión de operaciones de seguridad.
o Microsoft Certified: Security Operations Analyst Associate: Esta certificación valida las habilidades en la organización para asegurar los sistemas de información y responder a las amenazas de seguridad.
o Competencias: Configuración y uso de Microsoft Defender, respuesta a amenazas utilizando Microsoft Sentinel, y realización de investigaciones y análisis de incidentes de seguridad.
o Microsoft Certified: Identity and Access Administrator Associate: Esta certificación valida las habilidades para colaborar en la organización, dirigidas a asegurar los sistemas de información y responder a las amenazas de seguridad.
o Competencias: Configuración y uso de Microsoft Defender, respuesta a amenazas utilizando Microsoft Sentinel, y realización de investigaciones y análisis de incidentes de seguridad.
o Microsoft Certified: Information Protection Administrator Associate: Esta certificación valida la capacidad de planificar e implementar controles que cumplen con las necesidades de cumplimiento de una organización.
o Competencias: Implementación de soluciones de protección de la información, gestión de la gobernanza de datos y evaluación del cumplimiento.
[1] ISO 27001.-Es una norma internacional emitida por la Organización Internacional de Normalización (ISO) que describe cómo gestionar la seguridad de la información en una organización.
[2] ISO 22301.- Es una norma internacional emitida por la Organización Internacional de Normalización (ISO) que establece un marco que permite a las organizaciones identificar sus amenazas y fortalecer su capacidad de respuesta.