Ir al contenido principal

Acuerdo de procesamiento de datos - Metal

El presente Acuerdo de Procesamiento de Datos ("APD") complementa y forma parte del acuerdo de servicios entre el Cliente y Equinix que rige el uso de Equinix Metal por parte del Cliente (el "Acuerdo"), en la medida en que las Leyes de Protección de Datos sean de aplicación al Procesamiento por parte de Equinix de los Datos Personales del Cliente.

El Cliente es responsable de eliminar todos los Datos del cliente de los servidores Equinix Metal antes de que finalice la vigencia del Contrato. Si el Cliente no elimina los Datos del cliente de los servidores Equinix Metal, Equinix eliminará los Datos del cliente como parte de sus actividades de desaprovisionamiento. Si el desaprovisionamiento por parte de Equinix de los servidores Equinix Metal tiene como resultado la eliminación de los Datos personales del cliente, dicha acción podrá considerarse un acto de Procesamiento.

En consecuencia, las Partes han acordado y suscrito el presente APD para regular dicha actividad de Tratamiento.

1. DEFINICIONES

Los términos en mayúsculas no definidos a continuación tendrán el significado que se les atribuye en el Acuerdo.

1.1 Por "Responsable del Tratamiento" se entiende la entidad que determina los fines y medios del Tratamiento de Datos Personales.

1.2 "Datos del cliente" hace referencia a todos los datos cargados, almacenados, recibidos, recuperados, transmitidos a través de, o procesados de otro modo por el Cliente como parte de su uso de Equinix Metal.

1.3 "Datos Personales del Cliente" significa todos los Datos Personales que forman parte de los Datos del Cliente.

1.4 "Leyes de protección de datos" hace referencia a todas las leyes de la jurisdicción correspondiente, incluido el Estado de California, la Unión Europea, el Espacio Económico Europeo y/o sus estados miembros, Suiza y/o el Reino Unido, que regulan el Procesamiento de Datos Personales y que son aplicables al Procesamiento de Datos Personales del Cliente por parte de Equinix en relación con los Servicios Digitales.

1.5 "Equinix Metal" hace referencia a los Servicios digitales que comprenden el suministro de servidores Bare Metal (conocidos como Equinix Metal), proporcionados por Equinix bajo demanda o como parte de una suscripción, en virtud del Acuerdo.

1.6 Por "Datos Personales" se entiende cualquier información relativa a una persona física identificada o identificable y cuya recogida, uso, divulgación, almacenamiento o cualquier otro tipo de tratamiento esté regulado por las Leyes de Protección de Datos.

1.7 Por "violación de los datos personales" se entenderá una violación de la seguridad que provoque la destrucción accidental o ilegal, la pérdida, la alteración, la divulgación no autorizada o el acceso a los datos personales del cliente transmitidos, almacenados o tratados de otro modo.

1.8 "Tratamiento", "Procesado", "Proceso" significa cualquier operación o conjunto de operaciones realizadas sobre Datos Personales, tales como el acceso, recogida, registro, organización, almacenamiento, recuperación, consulta, uso, y tal y como este término pueda definirse con mayor detalle en las Leyes de Protección de Datos.

1.9 "Encargado del tratamiento": la entidad que trata Datos Personales por cuenta del Responsable del tratamiento.

1.10 "Modelo de responsabilidad compartida" hace referencia a la división de responsabilidades entre un Cliente y Equinix para varios servicios de Equinix, que puede revisarse en: Modelo de Responsabilidad Compartida

2. TRATAMIENTO DE DATOS

2.1 Si Equinix procesa Datos personales como resultado del desaprovisionamiento de Equinix Metal, el Cliente actuará como Controlador y Equinix como Procesador, y se aplicará la presente DPA. Las Partes cumplirán con sus respectivas obligaciones en virtud de las Leyes de Protección de Datos. El alcance y la naturaleza del Tratamiento por parte de Equinix de los Datos Personales del Cliente se establecen en el Anexo 1 del presente APD.

2.2 En la medida en que el Cliente no utilice por sí mismo los controles a su disposición para eliminar los Datos del cliente de un servidor de Equinix Metal antes de la expiración o resolución de un Pedido aplicable, el Cliente, en calidad de Responsable del tratamiento, da instrucciones a Equinix, en calidad de Encargado del tratamiento, para que elimine todos los Datos del cliente, incluidos los Datos personales del cliente, de Equinix Metal tras la expiración o resolución del Pedido aplicable de conformidad con la Sección 5.1 del presente APD. El Cliente tomará todas las medidas necesarias para garantizar que los Datos Personales del Cliente se pongan legalmente a disposición de Equinix y sean procesados por Equinix para los fines indicados por el Cliente en virtud del presente APD.

2.3 Equinix únicamente procesará los Datos personales del cliente establecidos en la Sección 2.2 del presente Acuerdo de colaboración en materia de datos, que constituyen las instrucciones completas por escrito del Cliente a Equinix en relación con el Procesamiento de los Datos personales del Cliente.

2.4 Como Responsable del tratamiento, el Cliente es responsable de informar a los interesados sobre el Tratamiento de los Datos personales del Cliente y de responder a las solicitudes de ejercicio de los derechos de los interesados en virtud de las Leyes de protección de datos. Asimismo, el Cliente reconoce que Equinix ha configurado Equinix Metal y ha implementado las medidas técnicas y organizativas adecuadas que están diseñadas para permitir al Cliente acceder, modificar y eliminar los Datos del cliente sin asistencia adicional por parte de Equinix, y que impiden que Equinix acceda, modifique o elimine los Datos del cliente durante la vigencia de un Pedido. Teniendo en cuenta lo anterior, así como la naturaleza del Tratamiento y el alcance limitado del Tratamiento por parte de Equinix de los Datos personales del Cliente, Equinix no puede proporcionar al Cliente ninguna otra asistencia razonablemente necesaria para permitirle cumplir con los derechos del interesado.

2.5 Equinix no utiliza subprocesadores para el Procesamiento aquí descrito. Si esta posición cambia, Equinix lo notificará al Cliente.

3. SEGURIDAD

3.1 Teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del Tratamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, Equinix adoptará las medidas de seguridad técnicas y organizativas adecuadas que Equinix, a su entera discreción, considere razonablemente necesarias para proteger la infraestructura de Equinix Metal y el entorno físico en el que se encuentra. Los controles de seguridad de Equinix en la fecha del APD se describen en el Anexo 2.

3.2 El Cliente es responsable de desarrollar, implementar, mantener y emplear las salvaguardas administrativas y técnicas apropiadas que, a su entera discreción, estén diseñadas de forma razonable y adecuada para proteger la seguridad de los Datos del cliente, incluyendo, sin limitación: (i) el cifrado de los Datos del cliente que se almacenen y procesen en Equinix Metal; (ii) la utilización de software de detección y supervisión de intrusiones, cortafuegos y protección antivirus; y otras medidas de seguridad relacionadas acordes con los estándares actuales del sector; (iii) la realización y el almacenamiento periódicos de copias de seguridad de los Datos del cliente; (iv) la aplicación de medidas de corrección adecuadas para mitigar la pérdida, la alteración, la eliminación, la corrupción o la modificación de los Datos del cliente; y (v) la eliminación de los Datos del cliente de Equinix Metal antes del vencimiento o la finalización de un Pedido.

3.3 Equinix notificará al Cliente sin demoras indebidas cuando tenga conocimiento de cualquier Vulneración de datos personales. En la medida en que Equinix disponga de la información, facilitará al Cliente información sobre la naturaleza y las posibles consecuencias de la Vulneración de Datos Personales, las medidas que se hayan tomado o se vayan a tomar para hacer frente a la Vulneración de Datos Personales, y cualquier otra información que el Cliente requiera en virtud de las Leyes de Protección de Datos.

3.4 Equinix se asegurará de que las personas autorizadas por ella a procesar los Datos personales del cliente como parte de Equinix Metal se hayan comprometido a mantener la confidencialidad o estén sujetas a una obligación legal de confidencialidad adecuada.

3.5 Las Partes acuerdan que su Tratamiento de los Datos Personales del Cliente, incluidas sus respectivas obligaciones de aplicar las medidas técnicas y organizativas adecuadas para garantizar la seguridad de los Datos Personales del Cliente, se ajustará en todo momento al Modelo de Responsabilidad Compartida de Equinix, tal y como se aplica a Equinix Metal.

4. AUDITORÍAS

4.1 Programa de auditoría de Equinix. Equinix utiliza auditores externos para verificar la idoneidad de sus medidas de seguridad con respecto al tratamiento de los Datos Personales del Cliente. Dichas auditorías se llevan a cabo al menos una vez al año, a expensas de Equinix, por profesionales de seguridad externos independientes seleccionados por Equinix y dan lugar a la generación de un resumen de auditoría confidencial ("Informe de auditoría"). Equinix pondrá a disposición del Cliente el Informe de auditoría y toda la información adicional que sea razonablemente necesaria para demostrar el cumplimiento por parte de Equinix de sus obligaciones establecidas en el presente Acuerdo de colaboración en materia de desarrollo. En la medida en que el Cliente pueda demostrar que el Informe de Auditoría no proporciona información suficiente para verificar el cumplimiento del presente Anexo por parte de Equinix, o en caso de que el Cliente deba organizar una nueva auditoría por parte de cualquier autoridad supervisora, las partes acordarán mutuamente un plan y un alcance de auditoría.

5. DEVOLUCIÓN O SUPRESIÓN DE CONTENIDOS DEL CLIENTE

5.1 Equinix proporcionará al Cliente las herramientas técnicas adecuadas que le permitirán eliminar o recuperar los Datos Personales del Cliente almacenados en Equinix Metal. El Cliente eliminará todos los Datos del cliente de conformidad con la Sección 3.2. Antes de volver a utilizar los servidores Equinix Metal para otro cliente, Equinix tomará las medidas necesarias para desprovisionar los servidores Equinix Metal, lo que limpiará el hardware y lo devolverá a un estado conocido, y desinfectará los medios de almacenamiento, lo que dará como resultado el borrado de todos los datos que permanecían previamente en los servidores Equinix Metal, pero, para evitar cualquier duda, Equinix no acepta ninguna responsabilidad por el hecho de que el Cliente no borre o elimine los Datos del cliente de Equinix Metal.

6. TRANSFERENCIAS INTERNACIONALES

6.1 En el Tratamiento previsto por el desaprovisionamiento de un servidor de Equinix Metal, las Partes reconocen y acuerdan que no habrá ninguna forma de transferencia internacional de ningún Dato Personal del Cliente. Si las Partes acuerdan que esta posición cambie, las partes acordarán suscribir salvaguardas adicionales para dicha transferencia según lo dispuesto por la legislación aplicable, como el módulo correspondiente de las Cláusulas Contractuales Tipo de la UE.

7. SOLICITUDES DE INFORMACIÓN

7.1 Equinix, previa solicitud y teniendo en cuenta la naturaleza del Tratamiento y la información de que disponga Equinix, ayudará al Cliente a garantizar el cumplimiento de sus obligaciones con respecto a la protección de datos o las evaluaciones de impacto sobre la privacidad en virtud de las Leyes de protección de datos.

8. VARIOS

8.1 Sin perjuicio de lo dispuesto en el apartado 8.2, las Partes acordarán por escrito cualquier modificación del presente APD.

8.2 Equinix podrá, previo aviso, realizar cualquier modificación del presente Acuerdo que, en su opinión razonable, sea necesaria para garantizar el cumplimiento continuado por las partes de las leyes de protección de datos.

8.3 El presente APD: (a) forma parte y complementa los términos del Acuerdo y (b) prevalece sobre cualquier término contradictorio del Acuerdo. El presente APD sustituye a cualquier otro acuerdo suscrito por Equinix en su calidad de Procesador de Datos Personales del Cliente.

Anexo 1 del Acuerdo de Procesamiento de Datos

TierTier NameProduct examplesProcessing activityEquinix RoleCustomer RoleCategories of Personal DataFrequency of Transfer
Tier 1Co-location Bare Metal as a Service [BMaaS]IBX Equinix MetalStandard hard disk erasure on the ServerData ProcessorData ControllerAs determined by customerAs determined by customer

Anexo 2: Medidas técnicas y organizativas

Descripción de las medidas técnicas y organizativas aplicadas por Equinix Metal (incluidas las certificaciones pertinentes) para garantizar un nivel adecuado de seguridad, teniendo en cuenta la naturaleza, el alcance, el contexto y la finalidad del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas.

  1. Medidas de seudonimización y cifrado de datos personales

Con respecto a la actividad de tratamiento llevada a cabo por Equinix, esto no es relevante porque la actividad de tratamiento implica la eliminación de cualquier dato, incluidos los datos personales, del servidor de Equinix Metal.

En el contexto de Equinix Metal, las medidas de seudonimización y cifrado de datos personales siguen siendo responsabilidad del cliente, ya que Equinix no puede llevarlas a cabo en el ámbito de Equinix Metal.

  1. Medidas para garantizar la confidencialidad, integridad, disponibilidad y resistencia permanentes de los sistemas y servicios de tratamiento

Con respecto al tratamiento realizado por Equinix, Equinix Metal instiga una operación basada en software que limpia el servidor Equinix Metal, lo que no liberará los datos que permanezcan en el servidor Equinix Metal, pero eliminará los datos tal y como se describe con más detalle en el apartado 7 a continuación.

  1. Medidas para garantizar la capacidad de restablecer oportunamente la disponibilidad y el acceso a los datos personales en caso de incidente físico o técnico.

Con respecto al procesamiento realizado por Equinix, la intención es borrar y eliminar cualquier Dato del Cliente residual del servidor Equinix Metal, incluidos los Datos Personales del Cliente, y en consecuencia, no habrá capacidad para restaurar y acceder a los Datos del Cliente una vez que haya comenzado la actividad de procesamiento de Equinix. El diseño de una arquitectura de TI con capacidad de recuperación y replicación adecuada sigue siendo responsabilidad del Cliente. Los servidores Equinix Metal no se venden en una arquitectura redundante.

Equinix mantiene una página de estado pública para Equinix Metal ubicada en https://status.equinixmetal.com/ para comunicar a sus Clientes las interrupciones del sistema o los incidentes de degradación del servicio de forma rápida y eficaz. Equinix notifica a cualquier Cliente afectado por una brecha de seguridad.

  1. Procesos para comprobar, evaluar y valorar periódicamente la eficacia de las medidas técnicas y organizativas con el fin de garantizar la seguridad del tratamiento.

Equinix evalúa periódicamente la plataforma Equinix Metal mediante auditorías de cumplimiento, por ejemplo SOC-2 o ISO 27001. Estas auditorías cubren la evaluación de los procesos y el código utilizados para mantener una postura segura con respecto a los controles especificados en cada auditoría.

Con respecto a Equinix Metal, se realizan escaneos de vulnerabilidad a todos los niveles para los productos de Equinix. Para reducir el riesgo para la infraestructura de Equinix y complementar las prácticas de seguridad existentes, se realizan análisis rutinarios de vulnerabilidad en todos los sistemas de infraestructura críticos. Todos los problemas de seguridad descubiertos se mitigan de acuerdo con la política de reparación de Equinix. Los niveles de riesgo se basan en la metodología de clasificación de riesgos de OWASP.

El equipo interno de Seguridad de Productos de Equinix lleva a cabo pruebas de penetración contra cada uno de sus productos anualmente. Además, Equinix Metal contrata a un proveedor externo para identificar vulnerabilidades explotables a través de pruebas de penetración contra sus aplicaciones web, API y los servicios de red troncal utilizados para operar los productos de Equinix Metal. Las pruebas de penetración externas de terceros se realizan anualmente.

  1. Medidas de identificación y autorización de los usuarios

El acceso a los servicios de Equinix Metal se gestiona a través de un componente Identity and Access Management que admite MFA para la autenticación de usuarios, así como la federación que permite a los clientes utilizar su propio IDP (proveedor de identidad). Todos los registros de acceso se registran de forma segura y se conservan para la resolución de problemas y las necesidades forenses. Las contraseñas nunca se almacenan en texto plano y se protegen mediante un mecanismo hash que cumple las normas del sector.

  1. Medidas de protección de datos durante la transmisión

Con respecto al tratamiento realizado por Equinix, Equinix Metal no instigará ninguna transferencia de Datos del cliente en Equinix Metal. El Cliente seguirá siendo responsable de garantizar la aplicación de medidas para la protección de los Datos del Cliente durante la transmisión.

  1. Medidas de protección de datos durante el almacenamiento

Equinix Metal utiliza software para proporcionar a los clientes la capacidad de aprovisionar y desaprovisionar su hardware de forma segura. Cuando se requieren acciones físicas para la reparación y el mantenimiento de los servidores que contienen los Datos del Cliente, se toman varias medidas para rastrear las actividades y sus datos de manejo de forma segura.

Antes de que se almacene cualquier actividad o dato del cliente en los servidores Equinix Metal, éstos se procesan hasta un estado en el que las unidades y la memoria se limpian de datos o formatos almacenados en el pasado. Los Clientes eligen qué sistema operativo instalar y proporcionan los detalles de configuración que serán aplicados por Equinix y, a continuación, se proporcionan al Cliente los medios para acceder a su servidor. El cliente es plenamente responsable de la seguridad de los datos almacenados en el servidor.

Una vez aprovisionado el servidor, Equinix Metal no tiene acceso ni participa en actividades que pudieran acceder a los Datos del Cliente. Si es necesario acceder físicamente a un dispositivo de almacenamiento de datos en caso de avería o actualización, la unidad extraída se borra antes de desecharla o reutilizarla. Cuando se desprovisiona un servidor Equinix Metal, el proceso automatizado ejecuta rutinas de destrucción de datos en los dispositivos de almacenamiento para eliminar todos los Datos del cliente e intenta verificar si todavía existe algún Dato del cliente después de la destrucción. Si alguno de estos procesos automatizados de destrucción falla, se notifica al Cliente y el proceso se vuelve a ejecutar hasta su finalización o se realiza un mantenimiento físico para sustituir y destruir el dispositivo que ha fallado.

  1. Medidas para garantizar la seguridad física de los lugares en los que se tratan datos personales

Equinix utiliza perímetros de seguridad para proteger áreas que contienen información crítica de clientes, instalaciones de procesamiento de información u otros puntos de entrada de datos críticos para sus sistemas. Las áreas seguras están protegidas por controles de entrada apropiados, como puertas trampa, perímetros de jaulas cerradas y dispositivos de acceso con tarjeta para garantizar que sólo se permite el acceso al personal autorizado. Equinix sólo proporciona acceso e información a los empleados o contratistas que tienen una necesidad empresarial legítima de tales privilegios. Los visitantes no empleados a los que se permite el acceso a las instalaciones de Equinix están autorizados y acompañados por un empleado de Equinix. Los visitantes se distinguen claramente de los empleados mediante una tarjeta de visitante y deben entregar su identificación de visitante al salir de las instalaciones. Se mantiene un registro de visitantes para registrar el acceso físico a las instalaciones, así como a las salas de ordenadores y centros de datos donde se almacenan o transmiten los datos de los clientes. Los registros se conservan durante un mínimo de tres meses. El acceso físico a las tomas de red, puntos de acceso inalámbricos, pasarelas y dispositivos portátiles está restringido. Los puntos de acceso, como las zonas de entrega y carga, y otros puntos por los que pueden entrar personas no autorizadas, se controlan y aíslan para evitar el acceso no autorizado a las instalaciones del centro de datos. El subsistema de control de acceso permite a los usuarios autorizados entrar en el edificio y atravesar las distintas puertas de las instalaciones. Los lectores biométricos de geometría de la mano o de huellas dactilares, las tarjetas de proximidad y otras tecnologías permiten a los usuarios identificarse ante el sistema y, una vez autenticados, obtener acceso a zonas específicas.

  1. Medidas para garantizar el registro de eventos

Todos los eventos de desaprovisionamiento se rastrean en nuestra base de datos y los registros se gestionan y conservan de acuerdo con nuestras políticas de Equinix Metal.

En general, Equinix utiliza un sistema global para supervisar la salud de los servidores y la infraestructura de la empresa. Las alertas se generan automáticamente y se introducen en un sistema de registro y alerta. Esto incluye registros de acceso, registros de procesamiento, así como registros que indican las operaciones de los servicios críticos necesarios para el funcionamiento de los productos. Los registros se almacenan de forma segura y su acceso está restringido a las personas autorizadas.

  1. Medidas para garantizar la configuración del sistema, incluida la configuración por defecto

Equinix no es responsable de supervisar el estado o la disponibilidad del hardware desplegado o utilizado por el Cliente en los centros de datos IBX de Equinix. En su lugar, Equinix recomienda a los Clientes que pongan en marcha mecanismos de supervisión adecuados y avisen al personal de Equinix, a través de su correo electrónico o teléfono de asistencia, de cualquier problema relacionado con el hardware o los servicios de red compartidos. Equinix colaborará con el Cliente para resolver el problema.

  1. Medidas para la gobernanza y la gestión internas de la TI y la seguridad informática

El entorno de producción utilizado para prestar servicios a los clientes de Equinix está separado del entorno utilizado por los empleados de Equinix para llevar a cabo sus operaciones cotidianas. El entorno empresarial para llevar a cabo las operaciones cotidianas está protegido mediante los siguientes mecanismos.

Endurecimiento: Las directrices y normas de endurecimiento de Equinix están documentadas y se aplican durante la construcción del sistema.

VPN de acceso remoto: Cuando el personal de Equinix Metal accede de forma remota a redes o sistemas corporativos de Equinix Metal, debe utilizar soluciones de acceso remoto y VPN suministradas por la empresa y se requiere autenticación de dos factores.

  1. Medidas de certificación/garantía de procesos y productos

El proceso de desaprovisionamiento sigue las directrices de NIST 800-53 y estos procesos se auditan periódicamente.

Equinix mantiene certificaciones y atestaciones de seguridad (SOC2, ISO 27001 y CSA). El estado de las mismas se enumera y actualiza periódicamente. Se recurre a auditores externos de terceros para realizar evaluaciones y auditorías anuales que validen la postura de seguridad. La evaluación CSA Star Nivel 1 de Equinix está disponible públicamente en el sitio web de la Cloud Security Alliance y nuestro certificado ISO 27001 y el resumen del informe de evaluación SOC2 Tipo 2 pueden solicitarse a Equinix bajo NDA. La lista de certificaciones obtenidas por cada uno de nuestros centros de datos puede consultarse en línea en IBX® Certifications, Standards and Compliance.

  1. Medidas para garantizar la minimización de los datos

En lo que respecta al tratamiento realizado por Equinix, Equinix Metal no podrá garantizar la minimización de los datos, ya que el Cliente es el único que determina los Datos del Cliente colocados en el servidor de Equinix Metal que se eliminarían como parte del tratamiento realizado por Equinix.

  1. Medidas para garantizar una conservación limitada de los datos

Con respecto al procesamiento realizado por Equinix, Equinix Metal no conservará ningún Dato del Cliente, y el Cliente será responsable de garantizar que conserva cualquier Dato del Cliente necesario.

  1. Medidas para garantizar la rendición de cuentas

Con respecto al procesamiento realizado por Equinix, Equinix Metal no será responsable de determinar el acceso a los Datos del cliente, y el Cliente será responsable de las medidas para garantizar la responsabilidad de cualquier Dato del cliente en Equinix Metal.

  1. Medidas para permitir la portabilidad de los datos y garantizar su supresión

Con respecto al procesamiento realizado por Equinix, Equinix Metal no podrá soportar la portabilidad de datos y el Cliente sigue siendo responsable de garantizar que puede extraer cualquier Dato del Cliente de Equinix Metal y transferirlo a sistemas alternativos.

¿Fue útil esta página?