Información del producto
Todo lo que necesita saber sobre los productos Nitro, desde actualizaciones y descargas hasta manuales del usuario y notas de publicación.

ANEXO SOBRE PROCESAMIENTO DE DATOS

Este Apéndice de procesamiento de datos ("DPA") forma parte de los Términos de servicio de Nitro Business y los Términos de servicio de Nitro que rigen el uso de los servicios de Nitro. ("Acuerdo") celebrado entre usted, el Cliente (colectivamente, "Indiapapo", "Entidad", "Licenciatario") y Nitro Software Inc. ("Nitro") para reflejar el acuerdo de las partes con respecto al Procesamiento de Datos personales por Nitro únicamente en nombre del Cliente. Ambas Partes se denominarán las "Partes" y cada una, una "Parte".

1 . Definiciones

A los efectos de este DPA, los siguientes términos tienen los significados que se establecen a continuación. Los términos en mayúscula que se usan pero no se definen en este DPA tienen los significados que se les otorgan en el Acuerdo.

(a) Filial significa cualquier entidad que directa o indirectamente controle, sea controlada por, o esté bajo control común con la entidad sujeta, donde “control” se refiere al poder de dirigir o hacer que la dirección de la entidad sujeta, ya sea a través de la propiedad de valores con derecho a voto, por contrato o de otro modo.

(b) Leyes de Protección de Datos Aplicables significa las leyes y regulaciones de privacidad, protección de datos y seguridad de datos de cualquier jurisdicción aplicable al Procesamiento de Datos Personales bajo el Acuerdo, incluidas, entre otras, las Leyes Europeas de Protección de Datos y la CCPA.

(c) CCPA significa la Ley de Privacidad del Consumidor de California de 2018 y cualquier regulación promulgada en virtud de la misma.

(d) Datos del Cliente se refiere a la información proporcionada o puesta a disposición de Nitro para su Procesamiento en nombre del Cliente para prestar los Servicios.

(e) EEE significa el Espacio Económico Europeo.

(f) Leyes Europeas de Protección de Datos significa el RGPD y otras leyes y reglamentos de protección de datos de la Unión Europea, sus Estados miembros, Suiza, Islandia, Liechtenstein, Noruega y el Reino Unido, en cada caso, en la medida aplicable al Procesamiento de Datos personales en virtud del Acuerdo.

(g) RGPD significa el Reglamento (UE) 2016 / 679 del Parlamento Europeo y del Consejo del 27 abril 2016 , con sus modificaciones periódicas.

(h) Incidente de seguridad de la información significa una violación de la seguridad de Nitro que conduce a la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilegal a los Datos personales en posesión, custodia o control de Nitro. Los incidentes de seguridad de la información no incluyen intentos fallidos o actividades que no comprometan la seguridad de los datos personales, incluidos intentos fallidos de inicios de sesión, ping, escaneos de puertos, ataques de denegación de servicio u otros ataques de red contra firewalls o sistemas en red.

(i) Datos personales se refiere a los Datos del Cliente que constituyen "datos personales", "información personal" o "información de identificación personal" definida en la Ley de protección de datos aplicable, o información de carácter similar regulada por la misma, excepto que los Datos personales no incluyen tales información relativa al personal o representantes del Cliente que son contactos comerciales de Nitro, donde Nitro actúa como controlador de dicha información.

(j) Procesamiento significa cualquier operación o conjunto de operaciones que se realiza sobre Datos Personales o sobre conjuntos de Datos Personales, ya sea por medios automatizados o no, tales como recolección, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta , uso, divulgación por transmisión, difusión o puesta a disposición de otro modo, alineación o combinación, restricción, borrado o destrucción.

(k) Medidas de Seguridad tiene el significado dado en la Sección 5 (a) (Medidas de Seguridad del Proveedor).

(l) Cláusulas contractuales estándar significa las disposiciones obligatorias de las cláusulas contractuales estándar para la transferencia de datos personales a procesadores establecidos en terceros países en la forma establecida por la Decisión de la Comisión Europea 2010 / 87 /UE.

(m) Subprocesadores significa terceros que Nitro contrata para Procesar Datos Personales en relación con los Servicios.

(n) Subprocesadores de terceros tiene el significado dado en la Sección 5 (Subprocesadores) del Anexo 1 .

(o) Los términos controlador, titular de los datos, procesador y autoridad de control, tal como se utilizan en este DPA, tienen los significados que se dan en el RGPD.

2 . Duración y Alcance de DPA

(a) Este DPA permanecerá vigente mientras Nitro Procese Datos Personales, sin perjuicio de la expiración o rescisión del Acuerdo.

(b) El Anexo 1 (Anexo de la UE) de este DPA se aplica únicamente al Procesamiento sujeto a las Leyes europeas de protección de datos. El Anexo 2 (Anexo de California) de este DPA se aplica únicamente al Procesamiento sujeto a la CCPA si el Cliente es una "empresa" o un "proveedor de servicios" (como se define en la CCPA) con respecto a dicho Procesamiento.

3 . Instrucciones para el cliente

Nitro procesará los Datos personales solo de acuerdo con las instrucciones del Cliente a Nitro. Este DPA es una expresión completa de dichas instrucciones, y las instrucciones adicionales del Cliente serán vinculantes para Nitro únicamente de conformidad con una enmienda a este DPA firmada por ambas partes. El Cliente le indica a Nitro que procese los Datos personales para proporcionar los Servicios según lo contemplado en este Acuerdo.

4 . Analítica

El Cliente reconoce y acepta que, como parte de los Servicios, Nitro puede crear y derivar del Procesamiento relacionado con los Servicios datos agregados o anónimos que no identifiquen al Cliente ni a ninguna persona física, y usar, publicitar o compartir con terceros tales datos para mejorar los productos y servicios de Nitro y para sus otros fines comerciales legítimos.

5 . Seguridad

(a) Medidas de seguridad del proveedor . Nitro implementará y mantendrá medidas técnicas y organizativas diseñadas para proteger los Datos personales contra la destrucción, pérdida, alteración, divulgación o acceso no autorizados accidentales o ilegales a los Datos personales (las " Medidas de seguridad ") como se describe en el Anexo 3 (Medidas de seguridad) . Nitro puede actualizar las Medidas de seguridad de vez en cuando, siempre que las medidas actualizadas no reduzcan la protección general de los Datos personales.

(b) Incidentes de seguridad de la información. Nitro notificará al Cliente sin demoras indebidas sobre cualquier Incidente de seguridad de la información del que el Cliente tenga conocimiento. Dichas notificaciones describen los detalles disponibles del Incidente de seguridad de la información, incluidos los pasos tomados para mitigar los riesgos potenciales y los pasos que Nitro recomienda que el Cliente tome para abordar el Incidente de seguridad de la información. La notificación o respuesta de Nitro a un Incidente de seguridad de la información no se interpretará como el reconocimiento por parte de Nitro de ningún fallo o responsabilidad con respecto al Incidente de seguridad de la información.

(c) Responsabilidades de seguridad del cliente y evaluación (i) Responsabilidades de seguridad del cliente . El Cliente acepta que, sin limitación de las obligaciones de Nitro en virtud de la Sección 5 (Seguridad), el Cliente es el único responsable de su uso de los Servicios, incluido (a) hacer un uso adecuado de los Servicios para garantizar un nivel de seguridad adecuado al riesgo en respecto de los Datos Personales; (b) proteger las credenciales de autenticación de la cuenta, los sistemas y los dispositivos que el Cliente utiliza para acceder a los Servicios; (c) proteger los sistemas y dispositivos del Cliente que Nitro utiliza para prestar los Servicios; y (d) realizar copias de seguridad de los Datos personales. (ii) Evaluación de seguridad del cliente . El Cliente acepta que los Servicios, las Medidas de seguridad y los compromisos de Nitro en virtud de este DPA son adecuados para satisfacer las necesidades del Cliente, incluso con respecto a las obligaciones de seguridad del Cliente en virtud de las Leyes de protección de datos aplicables, y proporcionan un nivel de seguridad adecuado al riesgo con respecto a los Datos Personales.

6 . Derechos de los sujetos de datos

(a) Solicitud de asistencia del titular de los datos de Nitro . Nitro (teniendo en cuenta la naturaleza del Procesamiento de Datos personales) proporcionará al Cliente la asistencia razonablemente necesaria para que el Cliente cumpla con sus obligaciones en virtud de las Leyes de protección de datos aplicables para cumplir con las solicitudes de los interesados para ejercer sus derechos en virtud de las Leyes de protección de datos aplicables (" Datos Solicitudes de asunto ”) con respecto a los Datos personales en posesión o control de Nitro. El Cliente compensará a Nitro por dicha asistencia a las tarifas de servicios profesionales vigentes en ese momento de Nitro, que se pondrán a disposición del Cliente a pedido.

(b) Responsabilidad del cliente por las solicitudes . Si Nitro recibe una Solicitud del Interesado, Nitro aconsejará al Interesado que envíe la solicitud al Cliente y el Cliente será responsable de responder a la solicitud.

7 . Responsabilidades del cliente

(a) Cumplimiento del cliente . El Cliente deberá cumplir con sus obligaciones bajo las Leyes de Protección de Datos Aplicables. El Cliente se asegurará (y es el único responsable de garantizar) de que sus instrucciones en la Sección 3 cumplan con las Leyes de protección de datos aplicables, y que el Cliente haya enviado todos los avisos a las personas a las que pertenecen los Datos personales y los haya obtenido. todas las demás partes según lo requieran las leyes o regulaciones aplicables para que el Cliente Procese Datos Personales según lo contemplado en el Acuerdo.

(b) Datos prohibidos . El Cliente declara y garantiza a Nitro que los Datos del Cliente no contienen ni contendrán, sin el consentimiento previo por escrito de Nitro, números de seguridad social u otros números de identificación emitidos por el gobierno; información biométrica; contraseñas para cuentas en línea; credenciales de cualquier cuenta financiera; datos de declaración de impuestos; informes de crédito o informes de consumo; cualquier información de tarjeta de pago sujeta al Estándar de seguridad de datos de la industria de tarjetas de pago; información sujeta a la Ley Gramm-Leach-Bliley, la Ley de Informes Justos de Crédito o las regulaciones promulgadas bajo cualquiera de dichas leyes; información sujeta a restricciones en virtud de las leyes de protección de datos aplicables que rigen los datos personales de niños, incluida, entre otras, toda la información sobre niños menores de 13 años; o cualquier información que se encuentre dentro de categorías especiales de datos (según se define en el RGPD). El Cliente declara además que los Datos del Cliente no contienen ni contendrán información médica protegida sujeta a la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA) o cualquier legislación similar en otra jurisdicción; otra información relacionada con el historial médico, la condición mental o física de una persona, o el tratamiento o diagnóstico médico realizado por un profesional de la salud; o información del seguro de salud, a menos que el Cliente y Nitro hayan celebrado por separado un Acuerdo de socio comercial de HIPAA.

8 . Misceláneas

Salvo que se modifique expresamente por el DPA, los términos del Acuerdo permanecen en pleno vigor y efecto. En caso de conflicto o inconsistencia entre este DPA y los demás términos del Acuerdo, prevalecerá este DPA. Sin perjuicio de cualquier disposición en contrario en el Acuerdo o cualquier formulario de pedido ingresado en relación con el mismo, las partes reconocen y aceptan que el acceso de Nitro a los Datos personales no constituye parte de la contraprestación intercambiada por las partes con respecto al Acuerdo. Sin perjuicio de cualquier disposición en contrario en el Acuerdo, cualquier aviso que Nitro requiera o permita que se entregue al Cliente en virtud de este DPA se puede dar (a) de conformidad con cualquier cláusula de notificación del Acuerdo; (b) a los principales puntos de contacto de Nitro con el Cliente; o (c) a cualquier correo electrónico proporcionado por el Cliente con el fin de proporcionarle comunicaciones o alertas relacionadas con los Servicios. El cliente es el único responsable de garantizar que dichas direcciones de correo electrónico sean válidas.

ANEXO 1 DEL DPA
ANEXO UE

1 . Tratamiento de datos

(a) Objeto y detalles del procesamiento . Las partes reconocen y aceptan que (i) el objeto del Procesamiento en virtud del Acuerdo es la prestación de los Servicios por parte de Nitro; (ii) la duración del Procesamiento es desde la recepción de los Datos personales por parte de Nitro hasta la eliminación de todos los Datos personales por parte de Nitro de conformidad con el Acuerdo; (iii) la naturaleza y el propósito del Procesamiento es proporcionar los Servicios; (iv) los interesados a los que pertenecen los Datos personales son el Cliente (en la medida en que el Cliente sea un individuo), los usuarios de los Servicios o el software de Nitro y los interesados, cuyos datos personales han sido generados, compartidos o cargados por Cliente y/o usuarios de los Servicios y/o software de Nitro; y (v) las categorías de datos personales son los datos personales generados, compartidos, cargados o solicitados por el Cliente o los usuarios de los Servicios y/o el software de Nitro (que pueden incluir datos personales contenidos en documentos, imágenes y otros medios y usuarios). contenido generado, como documentos, texto, imágenes y otros contenidos).

(b) Roles y Cumplimiento Normativo; autorización Las partes reconocen y aceptan que (i) Nitro es un procesador de esos Datos personales según las Leyes europeas de protección de datos; (ii) el Cliente es un controlador (o un procesador que actúa siguiendo las instrucciones de un controlador) de esos Datos personales según las Leyes europeas de protección de datos; y (iii) cada una de las partes cumplirá con las obligaciones que le correspondan en dicha función en virtud de las leyes europeas de protección de datos con respecto al procesamiento de esos datos personales. Si el Cliente es un procesador, el Cliente declara y garantiza a Nitro que las instrucciones y acciones del Cliente con respecto a los Datos personales, incluida la designación de Nitro como otro procesador, han sido autorizadas por el controlador correspondiente.

(c) Cumplimiento de las instrucciones por parte de Nitro. Nitro procesará los Datos personales solo de acuerdo con las instrucciones del Cliente establecidas en este DPA, a menos que las Leyes europeas de protección de datos aplicables exijan lo contrario, en cuyo caso Nitro notificará al Cliente (a menos que la ley nociba a Nitro hacerlo por motivos importantes de interés público).

(d) Eliminación de datos . Nitro eliminará todos los Datos personales en los sistemas de Nitro a pedido del Cliente y después de finalizar la prestación de los Servicios, y eliminará las copias existentes a menos que (i) las leyes aplicables de la Unión Europea o sus miembros exijan el almacenamiento continuo de los Datos personales. Unidos, con respecto a los Datos personales sujetos a las Leyes europeas de protección de datos o (ii) Leyes de protección de datos aplicables, con respecto a todos los demás Datos personales. Nitro cumplirá con dicha instrucción tan pronto como sea razonablemente posible y a más tardar 180 días después de dicho vencimiento o terminación, a menos que las leyes de protección de datos aplicables requieran almacenamiento. El Cliente puede optar por solicitar una copia de dichos Datos personales de Nitro por un cargo adicional solicitándolo por escrito al menos 30 días antes del vencimiento o la rescisión del Acuerdo. Una vez que las partes estén de acuerdo con dicho cargo de conformidad con una orden de trabajo u otra enmienda al Acuerdo, Nitro proporcionará dicha copia de dichos Datos personales antes de que se eliminen de acuerdo con esta cláusula.

2 . Seguridad de datos

(a) Medidas, controles y Nitro de seguridad de Nitro (i)Asistencia de seguridad de Nitro. Disponible para Nitro) proporcionar al Cliente la asistencia razonable necesaria para que el Cliente cumpla con sus obligaciones con respecto a los Datos personales en virtud de las Leyes europeas de protección de datos, incluidos los artículos 32 a 34 (inclusive) del RGPD, al (a) implementar y mantenimiento de las Medidas de Seguridad; (b) cumplir con los términos de la Sección 5(b) (Incidentes de seguridad de la información) del DPA; y (c) cumplir con este Anexo 1. El Cliente reconoce y acepta que tales medidas son suficientes para permitirle cumplir con estas obligaciones. (ii) Cumplimiento de seguridad por parte del personal de Nitro. Nitro se asegurará de que su personal autorizado para acceder a los Datos personales esté sujeto a las obligaciones de confidencialidad correspondientes.

(b) Revisiones y Auditorías de Cumplimiento
El Cliente puede auditar el cumplimiento por parte de Nitro de sus obligaciones en virtud de este DPA hasta una vez al año y en otras ocasiones según lo exijan las Leyes europeas de protección de datos, incluso cuando así lo exija la autoridad supervisora del Cliente. Nitro contribuirá a dichas auditorías proporcionando al Cliente oa la autoridad supervisora del Cliente la información y la asistencia razonablemente necesarias para realizar la auditoría. Si un tercero va a realizar la auditoría, Nitro puede objetar al auditor si el auditor, en la opinión razonable de Nitro, no es independiente, es un competidor de Nitro o es manifiestamente inadecuado de otro modo. Dicha objeción por parte de Nitro requerirá que el Cliente designe a otro auditor o realice la auditoría por sí mismo. Para solicitar una auditoría, el Cliente debe enviar una propuesta de plan de auditoría a Nitro al menos dos semanas antes de la fecha de la auditoría propuesta y cualquier auditor externo debe firmar un acuerdo de confidencialidad habitual aceptable para las partes (dicha aceptación no debe ser irrazonablemente retenido) previendo el tratamiento confidencial de toda la información intercambiada en relación con la auditoría y cualquier informe sobre los resultados o hallazgos de la misma. El plan de auditoría propuesto debe describir el alcance propuesto, la duración y la fecha de inicio de la auditoría. Nitro revisará el plan de auditoría propuesto y le proporcionará al Cliente cualquier inquietud o pregunta (por ejemplo, cualquier solicitud de información que pueda comprometer la seguridad, la privacidad, el empleo u otras políticas relevantes de Nitro). Nitro trabajará en colaboración con el Cliente para acordar un plan de auditoría final. Nada en esta Sección 2 (b) obligará a Nitro a incumplir ningún deber de confidencialidad. Si los controles o medidas que se evaluarán en la auditoría solicitada se abordan en un informe de auditoría SOC 2 Tipo 2 , ISO, NIST o similar realizado por un auditor externo calificado dentro de los doce ( 12 ) meses posteriores a la auditoría del Cliente y Nitro ha confirmado que no ha habido cambios materiales conocidos en los controles auditados desde la fecha de dicho informe, el Cliente acepta aceptar dicho informe en lugar de solicitar una auditoría de dichos controles o medidas. La auditoría debe llevarse a cabo durante el horario comercial normal, sujeto al plan de auditoría final acordado y la seguridad de Nitro, u otras políticas relevantes, y no puede interferir de manera irrazonable con las actividades comerciales de Nitro. El Cliente notificará de inmediato a Nitro sobre cualquier incumplimiento descubierto durante el curso de una auditoría y proporcionará a Nitro los informes de auditoría generados en relación con cualquier auditoría en virtud de esta Sección 2 (b), a menos que lo prohíban las Leyes europeas de protección de datos o lo indiquen de otro modo. una autoridad de control. El Cliente puede utilizar los informes de auditoría solo con el fin de cumplir con los requisitos reglamentarios de auditoría del Cliente y/o confirmar el cumplimiento de los requisitos de este DPA. Cualquier auditoría corre por cuenta exclusiva del Cliente. El Cliente reembolsará a Nitro el tiempo invertido por Nitro y cualquier tercero en relación con auditorías o inspecciones en virtud de esta Sección 2 (b) a las tarifas de servicios profesionales de Nitro vigentes en ese momento, que se pondrán a disposición del Cliente previa solicitud. El Cliente será responsable de los honorarios cobrados por cualquier auditor designado por el Cliente para ejecutar dicha auditoría.

3 . Evaluaciones de impacto y consultas

Nitro (teniendo en cuenta la naturaleza del Procesamiento y la información disponible para Nitro) ayudará razonablemente al Cliente a cumplir con sus obligaciones en virtud de los Artículos 35 y 36 del RGPD, (a) poniendo a disposición documentación que describa aspectos relevantes de los programas de seguridad de la información de Nitro y las medidas de seguridad aplicadas en relación con el mismo y (b) proporcionar la otra información contenida en el Acuerdo, incluido este DPA.

4 . Transferencias de datos

(a) Instalaciones de procesamiento de datos . El Proveedor puede, sujeto a la Sección 4 (b) (Transferencias fuera del EEE), almacenar y Procesar Datos personales en los Estados Unidos o en cualquier lugar donde el Proveedor o sus Subprocesadores tengan instalaciones.

(b) Transferencias fuera del EEE . Si el Cliente transfiere Datos personales fuera del EEE a Nitro en un país que la Comisión Europea no considere que tenga una protección de datos adecuada, dicha transferencia se regirá por las Cláusulas contractuales estándar, cuyos términos se incorporan por el presente a este DPA. Además de lo anterior, las partes acuerdan que (i) el Cliente actuará como exportador de datos y Nitro actuará como importador de datos en virtud de las Cláusulas contractuales estándar; (ii) a efectos del Apéndice 1 de las Cláusulas contractuales estándar, las categorías de interesados, datos, categorías especiales de datos (si corresponde) y las operaciones de procesamiento serán las establecidas en la Sección 1 (a) de este Anexo 1 (Materia y detalles del procesamiento); ( iii) para efectos del Apéndice 2 de las Cláusulas Contractuales Tipo, las medidas técnicas y organizativas serán las Medidas de Seguridad; (iv) el importador de datos proporcionará las copias de los acuerdos de subprocesador que debe enviar el importador de datos a los datos exportador de conformidad con la Cláusula 5 (j) de las Cláusulas contractuales estándar a pedido del exportador de datos, y que el importador de datos puede eliminar o redactar toda la información comercial o las cláusulas no relacionadas con las Cláusulas contractuales estándar o su equivalente de antemano; (v) la au Los puntos descritos en la Cláusula 5 (f) y la Cláusula 12 ( 2 ) de las Cláusulas contractuales estándar se realizarán de conformidad con la Sección 2 (b) de este Anexo 1 (Revisiones y auditorías de cumplimiento ); (vi) las autorizaciones del Cliente en la Sección 5 (Subprocesadores) de este Anexo 1 constituirán el consentimiento previo por escrito del Cliente para la subcontratación por parte de Nitro del Procesamiento de Datos Personales si dicho consentimiento es requerido bajo la Cláusula 5 (h ) de las Cláusulas Contractuales Tipo; y (vii) la certificación de eliminación de Datos Personales como se describe en la Cláusula 12 ( 1 ) de las Cláusulas Contractuales Tipo se proporcionará a solicitud del importador de datos.

Sin perjuicio de lo anterior, las Cláusulas contractuales estándar (u obligaciones iguales a las estipuladas en las Cláusulas contractuales estándar) no se aplicarán en la medida en que se aplique un estándar de cumplimiento alternativo reconocido para la transferencia de Datos personales fuera del EEE de conformidad con las Leyes europeas de protección de datos. la transferencia. En caso de conflicto o inconsistencia entre (a) este Anexo 1 y cualquier otra disposición de este DPA, este Anexo 1 regirá o (b) las Cláusulas contractuales estándar y cualquier otra disposición de este Acuerdo, el Estándar Las Cláusulas Contractuales regirán.

5 . subprocesadores

(a) Consentimiento para la participación del subprocesador . El Cliente autoriza específicamente la contratación de Filiales de Nitro como Subprocesadores y, en general, autoriza la contratación de otros terceros como Subprocesadores ("Subprocesadores de terceros ").

(b) Información sobre Subprocesadores . La información sobre los Subprocesadores, incluidas sus funciones y ubicaciones, está disponible en: www.gonitro.com/legal/subprocessors (que Nitro puede actualizar ocasionalmente) o cualquier otra dirección de sitio web que Nitro pueda proporcionar al Cliente de vez en cuando ( el “ Sitio del subprocesador ”).

(c) Requisitos para la participación del subprocesador. Al contratar a cualquier Subprocesador, Nitro celebrará un contrato por escrito con dicho Subprocesador que contenga obligaciones de protección de datos no menos protectoras que las de este DPA con respecto a los Datos personales en la medida aplicable a la naturaleza de los servicios proporcionados por dicho Subprocesador. Nitro será responsable de todas las obligaciones en virtud del Acuerdo subcontratado con el Subprocesador o sus acciones y omisiones relacionadas con el mismo.

(d) Oportunidad de objetar los cambios del subprocesador . Cuando Nitro contrate a un nuevo Subprocesador externo después de la fecha de entrada en vigencia del Acuerdo, Nitro notificará al Cliente sobre el compromiso (incluidos el nombre y la ubicación del Subprocesador correspondiente y las actividades que realizará) actualizando el Sitio del Subprocesador o por otros medios escritos. . Si el Cliente se opone a dicho compromiso en un aviso por escrito a Nitro dentro de 15 días después de haber sido informado del compromiso por motivos razonables relacionados con la protección de Datos personales, el Cliente y Nitro trabajarán juntos de buena fe para encontrar una resolución mutuamente aceptable para abordar tal objeción. Si las partes no pueden llegar a una resolución mutuamente aceptable dentro de un plazo razonable, el Cliente puede, como único y exclusivo recurso, rescindir el Acuerdo y cancelar los Servicios mediante notificación por escrito a Nitro y pagar a Nitro todos los montos vencidos y adeudados en virtud del Acuerdo a partir de la fecha de dicha terminación.

(e) Suficiencia del Consentimiento . Por la presente, el Cliente reconoce y acepta que los procedimientos anteriores son suficientes para obtener el consentimiento previo por escrito del Cliente para el subprocesamiento en virtud del Artículo 28 del RGPD, y en la medida requerida por la Cláusula 5 (h) de las Cláusulas contractuales tipo.

ANEXO 2 DEL DPA
ANEXO DE CALIFORNIA

  1. Para los fines de este Anexo 2 , los términos "negocio", "fines comerciales", "vender" y "proveedor de servicios" tendrán los significados respectivos que se les otorgan en la CCPA, y "información personal" significará Datos personales que constituyen información personal regida por la CCPA.
  2. La intención de las partes es que, con respecto a cualquier información personal, Nitro sea un proveedor de servicios. Nitro no (a) venderá ninguna información personal; (b) retener, usar o divulgar cualquier información personal para cualquier propósito que no sea el propósito específico de brindar los Servicios, incluida la retención, el uso o la divulgación de la información personal para un propósito comercial que no sea la provisión de los Servicios; o (c) retener, usar o divulgar la información personal fuera de la relación comercial directa entre Nitro y el Cliente. Por la presente, Nitro certifica que comprende sus obligaciones en virtud de esta Sección 2 y que las cumplirá.
  3. Las partes reconocen que la retención, el uso y la divulgación por parte de Nitro de la información personal autorizada por las instrucciones del Cliente documentadas en el DPA son parte integral de la prestación de los Servicios por parte de Nitro y de la relación comercial entre las partes.

ANEXO 3 DEL DPA
MEDIDAS DE SEGURIDAD

Técnico y Seguridad
Descripción general de Nitro Sign

Seguridad de aplicaciones, cumplimiento, autenticación de usuarios,
integridad de documentos y recuperación ante desastres

Resumen ejecutivo
Las soluciones de software de Nitro están diseñadas para mejorar la productividad y reducir el consumo de papel de todos los trabajadores del conocimiento. Al habilitar flujos de trabajo de documentos digitales de un extremo a otro, Nitro ayuda a las organizaciones a avanzar en la seguridad de los documentos y en las iniciativas de sostenibilidad corporativa, factores esenciales para construir la base para una transformación digital exitosa.

Nitro Sign, una parte de Nitro Productivity Suite, es una aplicación basada en navegador que ofrece flujos de trabajo eSigning electrónicos rápidos, seguros y legalmente vinculantes. Diseñado para proporcionar una eSigning simple y agradable para todos, Nitro Sign ofrece una interfaz intuitiva y una rica funcionalidad respaldada por sólidos fundamentos de seguridad, para una verdadera experiencia de nivel empresarial. Con nuestra solución de eSigning electrónica, los clientes de Nitro están transformando procesos heredados desconectados y que consumen mucho tiempo en flujos de trabajo digitales modernos que se pueden ejecutar en minutos.

Nitro Sign proporciona toda la funcionalidad necesaria para lograr firmas electrónicas rápidas, seguras y legalmente vinculantes:

  • Orden secuencial de firmantes
  • Notificaciones en tiempo real
  • Visualización de análisis
  • Autenticación de múltiples factores para la verificación de la identidad del firmante
  • Documentos firmados a prueba de manipulaciones
  • Pista de auditoría completa para cada documento
  • Plantillas reutilizables
  • Cumplimiento con el más alto nivel de regulaciones y estándares globales

El propósito de este documento es proporcionar una descripción general de alto nivel del marco de seguridad general de Nitro Sign, que incluye, entre otros: seguridad de aplicaciones, cumplimiento, seguridad organizacional, seguridad de red, seguridad de datos y recuperación ante desastres.

Seguridad de la aplicación
Nitro Sign se ejecuta en una plataforma de microservicios en contenedores alojada en una VPC (nube privada virtual) dedicada a Nitro en múltiples zonas de disponibilidad dentro de una sola región de la UE: Frankfurt, Alemania. Los clientes de Nitro acceden a la aplicación Nitro Sign a través de sus navegadores web a través del sitio web público cloud.gonitro.com.

El tráfico Internet público hacia y desde cloud.gonitro.com se cifra a través de TLS (Transport Layer Security) protegido mediante un certificado digital de validación extendida de la familia Secure Hash Algorithm (SHA - 2) de DigiCert (www.digicert.com) con ambas huellas dactilares SHA 1 y SHA 256; SHA 256 es el algoritmo hash utilizado y el esquema de firma utilizado es RSA 2048 bits.

Los documentos de Nitro Sign se almacenan en ubicaciones seguras, dedicadas y administradas, utilizando el estándar de cifrado avanzado con un tamaño de clave de 256 bits (AES- 256 ). AES está incluido en ISO/IEC 18033 - 3 : tecnología de la información, técnicas de seguridad, algoritmos de cifrado, parte 3 : estándar de cifrado de bloques. AES se define como Estándar federal de procesamiento de información de EE. UU.: FIPS PUB 197 : Estándar de cifrado avanzado (AES).

Las comunicaciones de datos entre los clientes web y los servidores back-end de Nitro se cifran mediante TLS, que protege los datos en tránsito. Los metadatos del documento se mantienen en un servicio de base de datos relacional que proporciona alta disponibilidad y durabilidad de los datos. El almacenamiento lo proporcionan cubos de Amazon S 3 (Simple Storage Service), dedicados a Nitro, que están cifrados para proteger los datos en reposo.

La información confidencial (credenciales, tokens, certificados, claves API) se administra a través de una base de datos de bóveda cifrada.

descripción-de-los-sistemas.png

Autenticacion de usuario
Nitro Sign admite varios métodos para administrar y autenticar las identidades de los usuarios.

Nitro Admin, nuestro portal de administración de licencias y usuarios dedicado, es utilizado por administradores designados para invitar a nuevos usuarios, administrar usuarios existentes y sus licencias, y suspender o eliminar usuarios, según sea necesario.

Nitro también ofrece integraciones de inicio de sesión único (SSO) como parte de nuestro plan de nivel empresarial. SSO permite a los usuarios acceder a los productos de Nitro mediante la autenticación a través del proveedor de identidad (IdP) de la organización. Nitro admite SSO con cualquier SAML- 2 . 0 IdP compatible.

Puedes encontrar más información sobre cómo habilitar la integración SSO de Nitro aquí https://www.gonitro.com/user-guide/admin/article/single-sign-on-overview

Integridad del documento
Al completar un flujo de trabajo de firma, Nitro firma digitalmente el PDF mediante un certificado emitido para identificar a Nitro como organización. La firma digital verifica la integridad del documento y confirma que el documento no ha sido manipulado desde que se completó. Consulte la siguiente imagen para ver cómo aparece la firma digital en un documento completo que se visualiza en Nitro Pro 13 . La Firma Digital estará presente en la copia del documento recibido por todas las partes de la solicitud.

documento-seguridad.png

Conformidad
Nitro Software Inc. cuenta con las certificaciones HIPAA, SOC2 Tipo 1 y SOC2 Tipo 2, entre otras. Nitro también está autocertificado para Privacy Shield y está totalmente comprometido con el cumplimiento de las Regulaciones generales de protección de datos (GDPR) de la UE.

cumplimiento.png

Dado que consideramos la seguridad de los datos como nuestra prioridad y labor número uno, fomentamos la seguridad en cada una de las etapas del ciclo de vida de desarrollo del sistema para todos los productos de Nitro.

Seguimos las mejores prácticas de la industria para transferir, procesar y almacenar datos de clientes. Todas las funciones habilitadas para la nube de Nitro utilizan instalaciones informáticas de última generación que cumplen con los estándares clave de la industria, como PCI DSS, HIPAA y SOC. Nuestro centro de datos principal se encuentra en la UE en Frankfurt, Alemania.

Nitro protege los documentos en movimiento y en reposo con registros de auditoría digital y cifrado TLS AES. A través de un extenso registro e instrumentación, monitoreamos nuestro entorno de producción para auditar la seguridad, la disponibilidad, el acceso y otras métricas para nuestros servicios.

Usamos una combinación de inspección automática Tool y manual para garantizar una supervisión constante de los eventos de seguridad. Para toda nuestra infraestructura en la nube, usamos Amazon Web Services (AWS)), que proporciona una amplia documentación sobre sus prácticas de seguridad aquí. AWS emplea medidas de seguridad de datos de vanguardia, así como restricciones de acceso físico en las ubicaciones de los servidores.

Para obtener una lista completa de las certificaciones de Nitro, incluidos SOC 2 tipo 2, HIPAA y Privacy Shield, haga clic aquí.

La lista de certificaciones de AWS, incluidos los informes ISO 27001 y SOC 1 , 2 y 3 , está disponible aquí .

Seguridad Organizacional
Nitro Software ha desarrollado y comunicado a sus usuarios procedimientos para restringir el acceso lógico a los sistemas de Nitro Software. Los procedimientos cubren las siguientes áreas clave del ciclo de vida de la seguridad:

  • Política de gestión y comunicación
  • Autorización, cambios y terminación del acceso al sistema de información
  • Autorización, prueba y aprobación de cambios en las aplicaciones del entorno de producción.
  • Supervisión de los controles de seguridad
  • Gestión de accesos y roles
  • Soporte y mantenimiento del sistema de seguridad y copia de seguridad y almacenamiento de soportes necesarios
  • Recuperación ante desastres y respuesta a incidentes
  • Mantenimiento de acceso restringido a configuraciones del sistema, funcionalidad administrativa, contraseñas, poderosas utilidades y dispositivos de seguridad.

Comprobaciones de antecedentes: Nitro hace todo lo posible para asegurarse de que nadie vea o procese sus datos a menos que esté autorizado para hacerlo, y limitamos estrictamente las excepciones. Todos los empleados están sujetos a verificaciones de antecedentes penales y el acceso a los servidores de producción está limitado únicamente a los ingenieros que necesitan trabajar directamente con nuestros sistemas de producción.

Las tarjetas de seguridad de la Información infantil 1.5 existen y están en vigor.

Estos Estándares se desarrollan bajo la autoridad de la Política de seguridad de la información de Nitro.

Estos Estándares se aplican a todos los componentes de Nitro y todas las regiones geográficas donde opera Nitro.

Estos estándares se basan y están alineados con ISO/IEC 27002 : 2013 Tecnología de la información: código de prácticas para los controles de seguridad de la información (con licencia de Nitro).

Estos estándares también están alineados y son compatibles con la publicación especial 800 - 53 del NIST del Departamento de Comercio de EE. UU.

La Política de seguridad de la información de Nitro es propiedad del Líder de seguridad global, quien ha obtenido la aprobación de la gerencia y la responsabilidad de desarrollar, revisar y mantener la política.

Los estándares de seguridad de la información de Nitro respaldan la política de seguridad de la información de Nitro. Los estándares se revisan de forma continua y se aplican actualizaciones cuando es necesario.

Los estándares y la política de seguridad de la información de Nitro se revisan anualmente como parte de nuestras iniciativas de cumplimiento normativo en curso, incluidos SOC 2 e HIPAA.

Concientización y capacitación sobre seguridad
Nitro tiene una política de seguridad de la información para ayudar a garantizar que los empleados entiendan sus roles y responsabilidades individuales con respecto al procesamiento y los controles para garantizar que los eventos importantes se comuniquen de manera oportuna.

Estos incluyen programas de capacitación formales e informales y el uso de correo electrónico, Slack y otros métodos para comunicar información y procesos urgentes con fines de seguridad y disponibilidad del sistema que notifican al personal clave en caso de problemas.

La capacitación general en seguridad de la información se brinda durante el proceso de contratación e incorporación y se actualiza al menos una vez al año a partir de entonces. Se proporciona formación específica en función de los roles en áreas especializadas como el desarrollo de software y la ingeniería de sistemas o plataformas.

Seguridad de datos
Todos los sistemas y aplicaciones están sujetos periódicamente a análisis de evaluación de vulnerabilidades por parte de un tercero independiente y acreditado.

El servicio de la plataforma en línea Nitro es una solución basada en la nube alojada en AWS VPC en varias zonas de disponibilidad en una única región (Fráncfort, Alemania), diseñada para fallas, autorreparación, solidez y alta disponibilidad.

Hay copias de seguridad automatizadas que cubren 20 generaciones de datos.

El cifrado AES- 256 está implementado y cubre los datos en reposo y los datos en tránsito.

Hay múltiples instancias de tecnología Anti-Virus y Anti-Malware, en la capa de escritorio y también en las capas de puerta de enlace de correo electrónico y puerta de enlace de Internet.

Nitro también utiliza un firewall de aplicaciones web y una plataforma de protección DDoS.

Recuperación de desastres
Todos los sistemas Nitro están diseñados para ser altamente resistentes, altamente disponibles y tolerantes a fallas.

Dicho esto, tenemos un Plan de recuperación ante desastres de Nitro y un Plan de continuidad comercial de Nitro, que se revisan y prueban anualmente.

La prueba más reciente del Plan de recuperación ante desastres de Nitro se llevó a cabo en Q 3 2020 .

Futuro del trabajo

Informe de productividad de Nitro para 2022

Descubre cómo la pandemia ha transformado la productividad, los flujos de trabajo y las iniciativas digitales, además de las tendencias y tecnologías que dan forma al trabajo del 2022 y del futuro.