Ir al contenido principal

Acuerdo de Procesamiento de Datos - Metal

Este Acuerdo de Procesamiento de Datos ("DPA") complementa y forma parte del acuerdo de servicios entre el Cliente y Equinix que rige el uso por parte del Cliente de Equinix Metal (el "Acuerdo"), en la medida en que las leyes de protección de datos se apliquen al procesamiento de Datos Personales del Cliente por parte de Equinix.

El Cliente es responsable de eliminar todos los Datos del Cliente del servidor(s) de Equinix Metal en o antes de que finalice el plazo del Acuerdo. Si los Datos del Cliente no son eliminados del servidor de Equinix Metal por el Cliente, Equinix eliminará los Datos del Cliente como parte de sus actividades de desaprovisionamiento. Si el desaprovisionamiento por parte de Equinix de los servidores de Equinix Metal resulta en la eliminación de los Datos Personales del Cliente, dicha acción puede considerarse un acto de procesamiento.

En consecuencia, las Partes han acordado y entrado en este DPA para gobernar dicha actividad de procesamiento.

1. DEFINICIONES

Los términos no definidos en el presente documento tendrán el significado que se les da en el Acuerdo.

1,1 "Controlador" se refiere a la entidad que determina los propósitos y medios del procesamiento de Datos Personales.

1,2 "Datos del Cliente" significa todos los datos cargados, almacenados, recibidos, recuperados, transmitidos a través de, o procesado de otro modo por el Cliente como parte de su uso de Equinix Metal.

1,3 "Datos Personales del Cliente" significa todos los Datos Personales que forman parte de los Datos del Cliente.

1,4 "Leyes de protección de datos" se refiere a todas las leyes en la jurisdicción apropiada, incluyendo el Estado de California, la Unión Europea, el Espacio Económico Europeo y/o sus estados miembros, Suiza y/o el Reino Unido que regulan el procesamiento de Datos personales que son aplicables al procesamiento de Datos personales del cliente por Equinix en relación con los Servicios digitales.

1,5 "Equinix Metal" significa los Servicios Digitales que comprenden la provisión de servidores bare metal (conocidos como Equinix Metal), proporcionados a pedido o como parte de una suscripción, por Equinix en virtud del Acuerdo.

1,6 "Datos personales" significa cualquier información relacionada con una persona física identificada o identificable y cuya recopilación, uso, divulgación, almacenamiento o procesamiento de otro modo está regulado por las Leyes de Protección de Datos.

1,7 "Violación de datos personales" significa una violación de la seguridad que conduce a la destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o acceso a, datos personales del cliente transmitidos, almacenados o procesados de otro modo.

1,8 "Procesamiento", "Procesado", "Procesamiento" significa cualquier operación o conjunto de operaciones realizadas sobre los Datos Personales, tales como acceso, recopilación, registro, organización, etc. almacenamiento, recuperación, consulta, uso, y como este término puede definirse en las leyes de protección de datos.

1,9 "Encargado del Tratamiento" significa la entidad que procesa los Datos Personales en nombre del Responsable del Tratamiento.

1,10 "Modelo de Responsabilidad Compartida" significa la división de responsabilidad entre un Cliente y Equinix para varios servicios de Equinix que pueden revisarse en: Modelo de Responsabilidad Compartida

2. TRATAMIENTO DE DATOS

2,1 Si Equinix procesa Datos Personales como resultado de la desprovisión de Equinix Metal, el Cliente actúa como Controlador y Equinix actúa como Procesador, y este DPA se aplicará. Las Partes cumplirán con sus respectivas obligaciones en virtud de las Leyes de Protección de Datos. El alcance y la naturaleza del procesamiento de los Datos Personales del Cliente por parte de Equinix se establecen en el Anexo 1 de este DPA.

2,2 En la medida en que el Cliente no utilice por sí mismo los controles disponibles para eliminar los Datos del Cliente de un servidor de Equinix Metal antes de la expiración o terminación de un Pedido aplicable, el Cliente como Controlador ordena a Equinix como Procesador que elimine todos los Datos del Cliente, incluidos los Datos Personales del Cliente, de Equinix Metal al vencimiento o terminación del Pedido aplicable de conformidad con la Sección 5,1 de este DPA. El Cliente tomará todas las medidas necesarias para garantizar que los Datos Personales del Cliente estén legalmente disponibles y procesados por Equinix para los fines indicados por el Cliente en virtud de este DPA.

2,3 Equinix solo procesará los Datos Personales del Cliente establecidos en la Sección 2,2 de este DPA, que constituyen las instrucciones escritas completas del Cliente a Equinix con respecto al procesamiento de los Datos Personales del Cliente.

2,4 Como Controlador, el Cliente es responsable de informar a los interesados sobre el procesamiento de los Datos Personales del Cliente y de responder a las solicitudes de ejercer los derechos de los interesados en virtud de las Leyes de Protección de Datos. El Cliente también reconoce que Equinix ha configurado Equinix Metal e implementado medidas técnicas y organizativas apropiadas diseñadas para permitir al Cliente acceder, modificar y eliminar Datos del Cliente sin necesidad de asistencia adicional de Equinix, y que impiden que Equinix acceda, modifique o elimine Datos del Cliente durante la vigencia de un pedido. Dado lo anterior, así como la naturaleza del procesamiento y el alcance limitado del procesamiento de los Datos Personales del Cliente por parte de Equinix, Equinix no puede proporcionar al Cliente ninguna asistencia adicional razonablemente necesaria para permitir al Cliente cumplir con los derechos del interesado.

2,5 Equinix no utiliza subprocesadores para el procesamiento descrito aquí. Si esta posición cambia, Equinix notificará al Cliente.

3. SEGURIDAD

3,1 Teniendo en cuenta el estado de la técnica, los costos de implementación y la naturaleza, alcance, contexto y propósitos del procesamiento, así como el riesgo de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, Equinix tomará las medidas de seguridad técnicas y organizativas apropiadas que Equinix, a su sola discreción, considere razonablemente necesarias para proteger la infraestructura de Equinix Metal y el entorno físico en el que se encuentra. Los controles de seguridad de Equinix a la fecha del DPA se describen en el Anexo 2.

3,2 El Cliente es responsable de desarrollar, implementar, mantener y emplear las salvaguardias administrativas y técnicas apropiadas que, a su entera discreción, están razonablemente diseñadas para proteger la seguridad de los Datos del Cliente, incluyendo, sin limitación: (i) cifrar los Datos del Cliente que se almacenan y procesan en Equinix Metal; (ii) utilizar la detección y monitoreo de intrusos, firewalls y software de protección antivirus; y otras medidas de seguridad relacionadas consistentes con los estándares vigentes de la industria; (iii) hacer copias de seguridad regularmente y almacenar copias de los Datos del Cliente; (iv) implementar las medidas correctivas adecuadas para mitigar la pérdida, interrupción, eliminación, corrupción o modificación de los Datos del Cliente; y (v) eliminar los Datos del Cliente de Equinix Metal antes de la expiración o terminación de un pedido.

3,3 Equinix notificará al Cliente sin demora indebida al darse cuenta de cualquier violación de datos personales. En la medida en que la información esté disponible para Equinix, proporcionar al Cliente información sobre la naturaleza y la posible consecuencia de las medidas de violación de datos personales que se tomaron o se tomarán para abordar la violación de datos personales, y cualquier otra información que el Cliente requiera en virtud de las leyes de protección de datos.

3,4 Equinix se asegurará de que las personas autorizadas por ella para procesar Datos Personales del Cliente como parte de Equinix Metal se hayan comprometido a mantener la confidencialidad o estén bajo una obligación legal de confidencialidad adecuada.

3,5 Las Partes acuerdan que su procesamiento de los Datos Personales del Cliente, incluidas sus respectivas obligaciones de implementar medidas técnicas y organizativas apropiadas para garantizar la seguridad de los Datos Personales del Cliente, se alineará en todo momento con el Modelo de Responsabilidad Compartida de Equinix, tal como se aplica a Equinix Metal.

4. AUDITORÍAS

4,1 Programa de Auditoría de Equinix. Equinix utiliza auditores externos para verificar la adecuación de sus medidas de seguridad con respecto al procesamiento de los Datos Personales del Cliente. Estas auditorías se realizan al menos una vez al año a expensas de Equinix por profesionales de seguridad independientes de terceros a selección de Equinix y resultan en la generación de un resumen de auditoría confidencial ("Informe de Auditoría"). Equinix pondrá a disposición del Cliente el Informe de Auditoría y toda la información adicional que sea razonablemente necesaria para demostrar el cumplimiento de Equinix con sus obligaciones establecidas en este DPA. En la medida en que el Cliente pueda demostrar que el Informe de Auditoría no proporciona información suficiente para verificar el cumplimiento de Equinix con este Anexo, o cuando el Cliente esté obligado a organizar una auditoría adicional por parte de cualquier autoridad supervisora, las partes acordarán mutuamente un plan y alcance de auditoría.

5. DEVOLUCIÓN O ELIMINACIÓN DEL CONTENIDO DEL CLIENTE

5,1 Equinix proporcionará al Cliente las herramientas técnicas adecuadas que le permitirán eliminar o recuperar cualquier Información Personal del Cliente que esté almacenada en Equinix Metal. El Cliente eliminará todos los Datos del Cliente de conformidad con la Sección 3,2. Antes de reutilizar los servidores Equinix Metal para otro cliente, Equinix tomará medidas para retirar el aprovisionamiento de los servidores Equinix Metal, que limpia el hardware y lo devuelve a un estado conocido y desinfectar los medios de almacenamiento, lo que resulta en el borrado de todos los datos que anteriormente permanecieron en los servidores Equinix Metal, pero para evitar dudas, Equinix no acepta ninguna responsabilidad por el hecho de que el Cliente no haya borrado o eliminado los Datos del Cliente de Equinix Metal.

6. TRANSFERENCIAS INTERNACIONALES

6,1 En el tratamiento previsto por la desprovisión de un servidor de Equinix Metal, las Partes reconocen y acuerdan que no habrá ninguna forma de transferencia internacional de Datos Personales del Cliente. Si las Partes acuerdan que esta posición cambia, las partes acordarán establecer salvaguardias adicionales para dicha transferencia según lo exija la legislación aplicable, como el módulo apropiado de las Cláusulas Contractuales Estándar de la UE.

7. SOLICITUDES DE INFORMACIÓN

7,1 Equinix, previa solicitud, y teniendo en cuenta la naturaleza del procesamiento y la información disponible para Equinix, ayudará al Cliente a garantizar el cumplimiento de sus obligaciones con respecto a la protección de datos o las evaluaciones de impacto en la privacidad bajo las Leyes de Protección de Datos.

8. VARIOS

8,1 Sujeto a lo dispuesto en la Sección 8,2, cualquier enmienda a este DPA será acordada por las Partes por escrito.

8,2 Equinix podrá, previa notificación, realizar cualquier modificación a este DPA que, en su opinión razonable, sea necesaria para garantizar el cumplimiento continuo de las leyes de protección de datos por parte de las partes.

8,3 Este DPA: (A) forma parte de, y es complementario a, los términos del Acuerdo y (b) prevalece sobre cualesquiera términos contradictorios del Acuerdo. Este DPA reemplaza cualquier otro acuerdo celebrado por Equinix en su calidad de Procesador de Datos Personales del Cliente.

Anexo 1 del Acuerdo de Procesamiento de Datos

NivelNombre del nivelEjemplos de productosProcesamiento de una actividadRol en EquinixFunción del clienteCategorías de Datos PersonalesFrecuencia de transferencia
Nivel 1Co-location Bare Metal como servicio [BMaaS]IBX Equinix MetalBorrado de disco duro estándar en el servidorProcesador de datosControlador de datosSegún lo determinado por el clienteSegún lo determinado por el cliente

Anexo 2: Medidas técnicas y organizativas

Descripción de las medidas técnicas y organizativas implementadas por Equinix Metal (incluidas las certificaciones pertinentes) para garantizar un nivel de seguridad adecuado, teniendo en cuenta la naturaleza, el alcance, el contexto y la finalidad del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas.

  1. Medidas de seudonimización y encriptación de datos personales

    Respecto a la actividad de tratamiento realizada por Equinix, esto no es relevante porque la actividad de tratamiento implica la eliminación de cualquier dato, incluidos datos personales, del servidor de Equinix Metal.

    En el contexto de Equinix Metal, las medidas de seudonimización y encriptación de datos personales siguen siendo responsabilidad del cliente, ya que Equinix no puede realizar estas medidas dentro del ámbito de Equinix Metal.

  2. Medidas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento

    Con respecto al procesamiento realizado por Equinix, Equinix Metal instiga una operación basada en software que borra el servidor de Equinix Metal, que no liberará ningún dato restante en el servidor de Equinix Metal, pero eliminará los datos como se describe más adelante en el párrafo 7 a continuación.

  3. Medidas para garantizar la posibilidad de restablecer la disponibilidad y el acceso a los datos personales de manera oportuna en caso de incidente físico o técnico

    Con respecto al procesamiento realizado por Equinix, la intención es eliminar y eliminar cualquier dato residual del cliente del servidor de Equinix Metal, incluidos los datos personales del cliente, y en consecuencia, no habrá capacidad para restaurar y acceder a los datos del cliente una vez que la actividad de procesamiento de Equinix haya comenzado. Diseñar una arquitectura DE TI con resiliencia y replicación adecuada sigue siendo responsabilidad del Cliente. Los servidores Equinix Metal no se venden en una arquitectura redundante.

    Equinix mantiene una página de estado público para Equinix Metal ubicada en https://status.equinixmetal.com/ para comunicar a sus clientes de forma rápida y efectiva las interrupciones del sistema o los incidentes de degradación del servicio. Equinix notifica a cualquier Cliente afectado por una violación de seguridad.

  4. Procesos para probar, evaluar y evaluar regularmente la efectividad de las medidas técnicas y organizativas con el fin de garantizar la seguridad del procesamiento

    Equinix evalúa regularmente la plataforma Equinix Metal a través de auditorías de cumplimiento, por ejemplo SOC-2 o ISO 27001. Estas auditorías cubren evaluar los procesos y el código utilizados para mantener una postura segura con respecto a los controles especificados en cada auditoría.

    Con respecto a Equinix Metal, el escaneo de vulnerabilidades se lleva a cabo en todos los niveles para los productos Equinix. Para reducir el riesgo para la infraestructura de Equinix y complementar las prácticas de seguridad existentes, se realizan análisis de vulnerabilidad de rutina en todos los sistemas de infraestructura crítica. Todos los problemas de seguridad descubiertos se mitigan de conformidad con la política de remediación de Equinix. Los niveles de riesgo se basan en la metodología OWASP Risk Rating.

    El equipo interno de seguridad de productos de Equinix realiza pruebas de penetración contra cada uno de sus productos anualmente. Además, Equinix Metal contrata a un proveedor externo para identificar vulnerabilidades explotables a través de pruebas de penetración contra sus aplicaciones web, API y los servicios de red troncal utilizados para operar los productos Equinix Metal. Las pruebas de penetración externas de terceros se realizan anualmente.

  5. Medidas de identificación y autorización de los usuarios

    El acceso a los servicios de Equinix Metal se gestiona a través de un componente de gestión de identidades y accesos que admite MFA para la autenticación de usuarios, así como federación que permite a los clientes utilizar su propio IDP (proveedor de identidades). Todos los registros de acceso se registran y se conservan de forma segura para la solución de problemas y las necesidades forenses. Las contraseñas nunca se almacenan en texto sin formato y se protegen mediante un mecanismo de hash que cumple con los estándares de la industria.

  6. Medidas de protección de datos durante la transmisión

    Con respecto al tratamiento realizado por Equinix, Equinix Metal no instigará ninguna transferencia de Datos del Cliente sobre Equinix Metal. El Cliente sigue siendo responsable de garantizar que se implementen medidas en la protección de los Datos del Cliente durante la transmisión.

  7. Medidas de protección de datos durante el almacenamiento

    Equinix Metal utiliza software para proporcionar a los clientes la capacidad de aprovisionar y desaprovisionar su hardware de una manera segura. Cuando se requieren acciones físicas para la reparación y el mantenimiento de los servidores que contienen los Datos del Cliente, se toman varios pasos para rastrear las actividades y su manejo de datos de forma segura.

    Antes de almacenar cualquier actividad del cliente o datos del cliente en los servidores de Equinix Metal, los servidores se procesan en un estado en el que las unidades y la memoria se borran de los datos o formatos almacenados anteriormente. Los Clientes eligen qué sistema operativo instalar y proporcionan sus detalles de configuración que serán aplicados por Equinix y luego se suministra al Cliente con los medios para acceder a su servidor. El cliente es totalmente responsable de asegurar sus datos almacenados en el servidor.

    Una vez que se aprovisiona el servidor, Equinix Metal no tiene acceso ni participa en actividades que puedan acceder a los Datos del Cliente. Si se requiere acceso físico a un dispositivo de almacenamiento de datos en caso de fallo o actualización, la unidad extraída se borra antes de desecharla o reutilizarla. Cuando se desaprovisiona un servidor Equinix Metal, el proceso automatizado ejecuta rutinas de destrucción de datos en los dispositivos de almacenamiento para eliminar todos los Datos del cliente e intenta verificar si aún existe algún dato del cliente después de la destrucción. Si alguno de estos procesos de destrucción automatizada falla, se notifica al Cliente y el proceso se vuelve a ejecutar hasta que se complete o se realice el mantenimiento físico para reemplazar y destruir el dispositivo fallido.

  8. Medidas para garantizar la seguridad física de los lugares en los que se procesan los datos personales

    Equinix utiliza perímetros de seguridad para proteger áreas que contienen información crítica del Cliente, instalaciones de procesamiento de información u otros puntos críticos de entrada de datos para sus sistemas. Las áreas seguras están protegidas por controles de entrada apropiados, como puertas de trampa, perímetros de jaula cerrada y dispositivos de acceso con tarjeta para garantizar que solo se permita el acceso al personal autorizado. Equinix solo proporciona acceso e información a empleados o contratistas que tienen una necesidad comercial legítima para dichos privilegios. Cualquier visitante no empleado que tenga acceso a las instalaciones de Equinix está autorizado y escoltado por un empleado de Equinix. Los visitantes se distinguen claramente de los empleados que usan una insignia de visitante y deben entregar su identificación de visitante al salir de la instalación. Se mantiene un registro de visitantes para registrar el acceso físico a la instalación, así como para salas de computación y centros de datos donde se almacenan o transmiten los datos del cliente. Los registros se conservan durante un mínimo de tres meses. El acceso físico a conectores de red, puntos de acceso inalámbricos, puertas de enlace y dispositivos portátiles está restringido. Los puntos de acceso, como las áreas de entrega y carga, y otros puntos donde personas no autorizadas pueden entrar en las instalaciones están controlados y aislados para evitar el acceso no autorizado a las instalaciones del centro de datos. El subsistema de control de acceso permite a los usuarios autorizados dentro del edificio y a través de las diversas puertas dentro de la instalación. Los lectores biométricos de geometría de manos o de huellas dactilares, las tarjetas de proximidad y otras tecnologías permiten a los usuarios identificarse con el sistema y, tras la autenticación, obtener acceso a áreas específicas.

  9. Medidas para garantizar el registro de eventos

    Todos los eventos de deprovisión se rastrean en nuestra base de datos y los registros se administran y conservan de acuerdo con nuestras políticas de Equinix Metal.

    En general, Equinix utiliza un sistema global para monitorear el estado de los servidores y la infraestructura de la empresa. Las alertas se generan automáticamente y se alimentan a un sistema de registro y alerta. Esto incluye registros de acceso, registros de procesamiento, así como registros que indican las operaciones de los servicios críticos necesarios para que los productos funcionen. Los registros se almacenan de manera segura y el acceso está restringido a la persona autorizada.

  10. Medidas para garantizar la configuración del sistema, incluida la configuración predeterminada

    Equinix no es responsable de supervisar el estado o la disponibilidad del hardware implementado o utilizado por el Cliente en los centros de datos IBX de Equinix. En su lugar, Equinix recomienda que los clientes implementen mecanismos de monitoreo adecuados y alerten al personal de Equinix, a través de su correo electrónico de soporte o teléfono, de cualquier problema relacionado con el hardware o los servicios de red compartida. Equinix trabajará con el cliente para resolver el problema.

  11. Medidas para la gobernanza y gestión interna DE LA seguridad de TI y TI

    El entorno de producción utilizado para proporcionar servicios a los clientes de Equinix es independiente del entorno utilizado por los empleados de Equinix para llevar a cabo sus operaciones diarias. El entorno empresarial para llevar a cabo las operaciones diarias está protegido utilizando los siguientes mecanismos.

    Endurecimiento: Las directrices y estándares de endurecimiento de Equinix se documentan y se llevan a cabo durante la construcción del sistema.

    VPN de acceso remoto: Cuando el personal de Equinix Metal accede de forma remota a las redes o sistemas corporativos de Equinix Metal, se requiere que utilicen soluciones VPN y de acceso remoto suministradas por la empresa y se requiere autenticación de dos factores.

  12. Medidas de certificación/garantía de procesos y productos

    El proceso de desaprovisionamiento sigue las directrices del NIST 800-53 y estos procesos son auditados regularmente.

    Equinix mantiene certificaciones y certificaciones de seguridad (SOC2, ISO 27001 y CSA). El estado de estos se enumera y se actualiza periódicamente. Los auditores externos de terceros se aprovechan para llevar a cabo evaluaciones y auditorías anuales para validar la postura de seguridad. La evaluación CSA Star Level 1 de Equinix está disponible públicamente en el sitio web de Cloud Security Alliance y nuestro certificado ISO 27001 y el resumen del informe de evaluación SOC2 Type 2 pueden solicitarse a Equinix bajo NDA. La lista de certificaciones obtenidas para cada uno de nuestros centros de datos se puede encontrar en línea en IBX® Certifications, Standards and Compliance.

  13. Medidas para garantizar la minimización de los datos

    Con respecto al procesamiento realizado por Equinix, Equinix Metal no podrá garantizar la minimización de los datos, ya que el Cliente solo determina los Datos del Cliente colocados en el servidor de Equinix Metal que se eliminarían como parte del procesamiento realizado por Equinix.

  14. Medidas para garantizar una retención limitada de datos

    Con respecto al procesamiento realizado por Equinix, Equinix Metal no retendrá ningún dato del cliente, y el cliente será responsable de garantizar que el cliente retenga todos los datos del cliente necesarios.

  15. Medidas para garantizar la rendición de cuentas

    Con respecto al procesamiento realizado por Equinix, Equinix Metal no será responsable de determinar el acceso a los Datos del Cliente, y el Cliente será responsable de las medidas para garantizar la responsabilidad de los Datos del Cliente en Equinix Metal.

  16. Medidas para permitir la portabilidad de los datos y garantizar la eliminación

    Con respecto al procesamiento realizado por Equinix, Equinix Metal no podrá admitir la portabilidad de los datos y el Cliente sigue siendo responsable de garantizar que pueda extraer cualquier dato del Cliente de Equinix Metal y transferirlo a sistemas alternativos.

¿Fue útil esta página?