Acuerdo de Procesamiento de Datos - Soluciones Gestionadas
Este Acuerdo de Procesamiento de Datos ("DPA") complementa y forma parte del acuerdo entre el Cliente y Equinix ("Acuerdo") que rige la provisión de las Soluciones Gestionadas al Cliente ("Servicios"), en la medida en que las Leyes de Protección de Datos se apliquen al procesamiento de Datos Personales del Cliente por parte de Equinix.
En consecuencia, las Partes han acordado y entrado en este DPA para gobernar dicha actividad de procesamiento.
Los términos no definidos en el presente documento tendrán el significado que se les da en el Acuerdo.
"CCPA" significa la Ley de Privacidad del Consumidor de California de 2018, Código Civil sección 1798,100 y siguientes.
"Controlador" significa la entidad que determina los propósitos y medios del procesamiento de Datos Personales.
"Publicidad comportamental transversal" tiene el significado que le da la CCPA.
Los «Datos del cliente» son todos los datos cargados, almacenados, recibidos, obtenidos, transmitidos o usados de cualquier otra forma por el Cliente al utilizar el Espacio autorizado y/o los Servicios.
"Datos personales del cliente" significa todos los datos personales que forman parte de los datos del cliente.
"Acuerdo de SCC del Cliente" significa el acuerdo entre el Cliente y Equinix, que incorpora las Cláusulas Contractuales Estándar, que forma parte de este DPA, que entra en vigor al comienzo de cualquier Transferencia Restringida y que se establece en Equinix – Acuerdo de SCC del Cliente.
"Leyes de protección de datos" se refiere a todas las leyes que regulan el procesamiento de datos personales que son aplicables al procesamiento de datos del cliente por parte de Equinix en relación con los Servicios.
"Sujeto de datos" significa la persona física viva identificada o identificable a la que se refieren los datos personales.
"GDPR" significa el Reglamento General de Protección de Datos, Reglamento (UE) 2016/679.
"Datos personales" significa cualquier información relacionada con una persona física identificada o identificable y cuya recopilación, uso, divulgación, almacenamiento o procesamiento de otro modo está regulado por las Leyes de Protección de Datos.
"Violación de datos personales" significa una violación de la seguridad que conduce a la destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o acceso a, datos personales transmitidos, almacenados o procesados de otro modo.
"Procesador" significa la entidad que procesa Datos Personales en nombre del Controlador.
“Procesamiento” (incluyendo “Procesado” y “Procesamiento”) significa cualquier operación o conjunto de operaciones realizadas sobre los Datos Personales, como el acceso, la recopilación, el registro, la organización, la gestión y la gestión de datos personales. almacenamiento, recuperación, consulta, uso, y como este término puede definirse en las leyes de protección de datos.
"Transferencia restringida" significa cualquier transferencia internacional o transfronteriza de Datos Personales del Cliente que, en ausencia de las Cláusulas Contractuales Estándar u otro mecanismo legal aplicable, sería ilegal según las Leyes de Protección de Datos.
"Incidente de seguridad" Un evento que tiene el potencial de violar las políticas de seguridad o confidencialidad de Equinix o de otra manera amenaza la capacidad de Equinix para mantener la seguridad, confidencialidad o disponibilidad adecuadas relacionadas con los datos, el personal u otros recursos de Equinix.
"Vender" tiene el significado que le da la CCPA.
"Cláusulas contractuales estándar" o "SCC" significa, según sea aplicable a cualquier transferencia restringida entre las partes, las cláusulas contractuales estándar pertinentes para la transferencia internacional de datos personales (i) establecidas en la Decisión de Ejecución Europea (UE) 2021/914 ("SCC de la UE"); (ii) establecidas en el Anexo del Reino Unido; o (iii) emitidas por una autoridad competente en virtud de cualquier otra ley de protección de datos aplicable.
"Publicidad dirigida" tiene el significado que le da la CCPA.
"Anexo del Reino Unido" significa el Anexo Internacional de Transferencia de Datos a las Cláusulas Contractuales Estándar emitido por el Comisionado de Información del Reino Unido bajo la sección 119A(1) de la Ley de Protección de Datos de 2018.
Ejecución del tratamiento
1,1 Si Equinix procesa Datos Personales del Cliente como resultado de la prestación de Servicios, el Cliente actúa como Controlador y Equinix actúa como Procesador, y las disposiciones de este DPA se aplicarán y se leerán de acuerdo con, y complementarán con, los términos de las Políticas de Producto para los Servicios y el Modelo de Responsabilidad Compartida que describen las Responsabilidades de las Partes y se pueden encontrar aquí: Modelo de Responsabilidad Compartida
1,2 Cada Parte cumplirá con sus respectivas obligaciones en virtud de las Leyes de Protección de Datos y proporcionará al menos el nivel de protección de los Datos Personales del Cliente según lo exigido por las Leyes de Protección de Datos.
1,3 El alcance y la naturaleza del procesamiento de los Datos Personales del Cliente por parte de Equinix se establecen en el Anexo 1 de este DPA.
1,4 El Cliente determinará los propósitos y medios del procesamiento de los Datos Personales del Cliente. El Cliente, sin perjuicio de las obligaciones de Equinix en virtud del Acuerdo y este DPA, y sin limitación a sus obligaciones en virtud de las Leyes de Protección de Datos, tomará todas las medidas necesarias para garantizar que los Datos Personales del Cliente puedan estar legalmente disponibles y procesados por Equinix para los fines indicados por el Cliente en virtud del Acuerdo y este DPA.
1,5 Equinix solo procesará los Datos Personales del Cliente para el propósito comercial específico de cumplir con sus obligaciones en virtud del Acuerdo y este DPA. El Acuerdo y este DPA forman las instrucciones escritas completas del Cliente a Equinix con respecto al procesamiento de los Datos Personales del Cliente. Sin perjuicio de lo anterior, Equinix puede procesar los Datos Personales del Cliente para cumplir con las Leyes de Protección de Datos aplicables, pero informará al Cliente de ese requisito legal antes de procesarlos, a menos que dicha ley prohíba dicha información. El Cliente tiene el derecho, previa notificación, de tomar medidas razonables y apropiadas para detener y remediar el uso no autorizado de los Datos Personales del Cliente por parte de Equinix.
1,6 Salvo que las leyes de protección de datos lo permitan expresamente, Equinix no venderá, conservará, utilizará, compartirá, divulgará o procesará de otro modo los Datos personales del cliente, ya sea de forma agregada o individual:
-
1.6.1 para cualquier propósito comercial o cualquier otro propósito, incluyendo el servicio de un negocio diferente que no sea el propósito específico descrito en la Sección 1,5
-
1.6.2 fuera de la relación comercial directa entre Equinix y el Cliente; o
-
1.6.3 para publicidad conductual intercontextual o publicidad dirigida.
1,7 Equinix acepta que cualquier Datos Personales del Cliente agregados, anónimos, desidentificados o seudónimos que reciba del Cliente o en nombre del Cliente o que genere a través de la prestación de los Servicios no puede volver a asociarse o volver a identificarse con un individuo. Equinix se compromete públicamente a no intentar volver a identificar dicha información. Equinix no combinará los Datos Personales del Cliente con los Datos Personales que reciba de, o en nombre de, otra persona o personas, o que recopile de sus propias interacciones con los interesados, excepto en los casos permitidos por las leyes de protección de datos.
1,8 Como Controlador, el Cliente es responsable de informar a los interesados sobre el procesamiento de los Datos Personales del Cliente y de responder a las solicitudes de ejercer los derechos de los interesados en virtud de las Leyes de Protección de Datos. El Cliente reconoce que Equinix ha configurado los Servicios e implementado las medidas técnicas y organizativas apropiadas diseñadas para permitir al Cliente acceder, modificar y eliminar los Datos Personales del Cliente sin necesidad de ayuda adicional de Equinix. Teniendo en cuenta la naturaleza del procesamiento y el alcance limitado del acceso de Equinix a los Datos Personales del Cliente, Equinix proporcionará al Cliente, previa solicitud, cualquier asistencia adicional razonablemente necesaria para permitir al Cliente cumplir con los derechos del interesado.
1,9 El Cliente autoriza a Equinix a contratar a cualquier Afiliado o Tercero como un Procesador adicional ("Sub-Procesador"), sujeto a Equinix:
-
1.9.1 celebrar un acuerdo de procesamiento de datos con el Cliente que cumpla con las Leyes de Protección de Datos;
-
1.9.2 Notificar al Cliente con antelación de cualquier cambio en su uso de los Subprocesadores, dando así al Cliente la oportunidad de oponerse; y
-
1.9.3 Seguir siendo responsable ante el Cliente por cualquier incumplimiento por parte de un Subprocesador de sus obligaciones en relación con el procesamiento de Datos Personales del Cliente.
Los Subprocesadores contratados por Equinix a la fecha del Acuerdo son los establecidos en el Anexo 2 de este DPA.
2. SEGURIDAD
2,1 En su calidad de Procesador de Datos Personales del Cliente, y teniendo en cuenta el estado de la técnica, los costos de implementación y la naturaleza, alcance, contexto y propósitos del procesamiento, así como el riesgo de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, Equinix tomará las medidas de seguridad técnicas y organizativas apropiadas que considere razonablemente necesarias para proteger los Datos Personales del Cliente, y ayudará al Cliente, en la medida en que esto sea razonablemente factible, con las obligaciones de seguridad del Cliente en virtud de las Leyes de Protección de Datos. Las Partes reconocen que, en ciertos casos, Equinix puede ofrecer medidas de seguridad técnicas y organizativas adicionales como productos y servicios comerciales separados, cuya elección recae enteramente en el Cliente. Los controles de seguridad de Equinix, que junto con el compromiso dado en esta Sección 2,1, constituyen la única responsabilidad de Equinix con respecto a la seguridad de los Datos del Cliente. Los controles de seguridad de Equinix se describen en el Anexo 3. Además, estas medidas también cumplen con los requisitos establecidos en la norma ISO 27001. Una descripción de los controles de seguridad para estos requisitos está disponible para el Cliente, previa solicitud.
2,2 Equinix notificará al Cliente sin demora indebida al darse cuenta de cualquier violación de datos personales. En la medida en que la información esté disponible para Equinix, proporcionará al Cliente información sobre la naturaleza y la posible consecuencia de la violación de datos personales y sobre las medidas que se tomaron o se tomarán para abordar la violación de datos personales, y cualquier otra información a la que el Cliente tenga derecho en virtud de las leyes de protección de datos.
2,3 Equinix se asegurará de que las personas autorizadas para procesar Datos Personales del Cliente se hayan comprometido a mantener la confidencialidad o estén bajo una obligación legal de confidencialidad adecuada.
3. AUDITORÍAS
3,1 Programa de Auditoría de Equinix. Equinix contrata auditores externos para evaluar la adecuación de sus medidas de seguridad con respecto al procesamiento de Datos Personales del Cliente. Estas auditorías se realizan al menos una vez al año a expensas de Equinix. Las auditorías son realizadas por profesionales de seguridad de terceros calificados e independientes en la selección de Equinix y resultan en la generación de un resumen de auditoría confidencial ("Informe de Auditoría"). Equinix, previa solicitud por escrito del Cliente y a intervalos razonables, proporcionará al Cliente una copia de su Informe de Auditoría más reciente. Todos estos Informes de Auditoría son Información Confidencial de Equinix y se proporcionan para el uso exclusivo del Cliente.
3,2 Auditoría de clientes. El Cliente acepta que cualquier derecho de auditoría otorgado por las Leyes de Protección de Datos será satisfecho mediante la producción de este Informe de Auditoría. En la medida en que el Cliente pueda demostrar que el Informe de Auditoría no proporciona información suficiente para verificar el cumplimiento de Equinix con este DPA, o cuando el Cliente esté obligado a organizar una auditoría adicional por cualquier autoridad supervisora, las Partes acordarán mutuamente el alcance del plan de auditoría del Cliente que: (A) asegure el uso de un tercero independiente; (b) proporcione a Equinix un aviso razonable por escrito del inicio de la auditoría; (c) requiere acceso al personal y la infraestructura de Equinix solo durante el horario laboral normal; (d) acepta facturar al Cliente a las tarifas vigentes en ese momento de Equinix por el tiempo dedicado por el personal de Equinix a la auditoría; (e) no ocurre más de una vez al año; (f) restringe sus conclusiones a solo datos relevantes para el Cliente; y (g) obliga al Cliente y a su auditor externo, en la medida permitida por la ley o el reglamento, a mantener la confidencialidad de cualquier información divulgada o recopilada de otro modo durante el transcurso de la auditoría del Cliente.
4. DEVOLUCIÓN O ELIMINACIÓN DEL CONTENIDO DEL CLIENTE
4,1 Equinix proporcionará al Cliente, previa solicitud por escrito del Cliente, cualquier asistencia adicional razonablemente necesaria para permitir al Cliente eliminar o devolver los Datos Personales del Cliente, a su costo y costo.
4,2 Retención requerida por la Ley. Sin perjuicio de lo contrario en esta Sección 4, Equinix puede retener los Datos Personales del Cliente, o cualquier parte de los mismos, si así lo requiere la ley o regulación aplicable, incluida la Ley de Protección de Datos, siempre que dichos Datos Personales del Cliente permanezcan protegidos de acuerdo con los términos del Acuerdo, este DPA y la Ley de Protección de Datos.
5. TRANSFERENCIAS INTERNACIONALES
5,1 Si hay una Transferencia Restringida entre las partes, las partes acuerdan celebrar las Cláusulas Contractuales Estándar en el formulario establecido en el Acuerdo SCC del Cliente de Equinix, disponible en: Equinix – Acuerdo SCC del Cliente, u otro mecanismo legal aplicable. El Acuerdo de SCC del Cliente se incorpora y forma parte de este DPA y surte efecto al comienzo de una Transferencia Restringida entre las partes.
6. SOLICITUDES DE INFORMACIÓN
6,1 Equinix, previa solicitud, y teniendo en cuenta la naturaleza del procesamiento y la información disponible para Equinix, ayudará razonablemente al Cliente con respecto a las obligaciones del Cliente con respecto a la protección de datos o las evaluaciones de impacto en la privacidad requeridas por las Leyes de Protección de Datos.
7. VARIOS
7,1 El Cliente reconoce y acepta que Equinix puede, a su entera discreción, modificar este DPA de vez en cuando, lo que, en su opinión razonable, es necesario para garantizar el cumplimiento continuo de las Partes con las Leyes de Protección de Datos, y que dichos términos modificados de DPA serán efectivos al momento de su publicación.
7,2 Las disposiciones de este DPA forman parte y son complementarias a los términos del Acuerdo, en caso de cualquier ambigüedad, conflicto o incoherencia entre los términos de este DPA y los términos del Acuerdo, prevalecerán los términos del DPA. Este DPA reemplaza cualquier otro acuerdo celebrado por Equinix en su calidad de Procesador de Datos Personales del Cliente con respecto a los Servicios.
Anexo 1 del Acuerdo de Procesamiento de Datos
Según la cláusula 1,3, este es el alcance y la naturaleza del procesamiento de Equinix.
| Nombre del nivel | Ejemplos de productos | Finalidad del tratamiento | Rol en Equinix | Función del cliente | Categorías de Datos Personales |
|---|---|---|---|---|---|
| infraestructura como servicio | No translation required | A) Respaldo, apoyo, planificación y facilitación de la migración, el despliegue, y desarrollo de Servicios; encriptación (habilitada por defecto para los datos en reposo en MPC Storage) (b) gestión de infraestructura (prevención, detección, investigación, mitigación y reparación de problemas, incluir incidentes de seguridad y problemas identificados en los Servicios; y (c) mejorar la prestación, eficacia, calidad y seguridad de nuestros Servicios, incluyendo mantener los Servicios actualizados, y mejorar la fiabilidad, eficacia, calidad y seguridad y la corrección de defectos. | Procesador de datos | Controlador de datos | Según lo determinado por el Cliente |
| Plataforma mejorada como servicio | Copia de seguridad privada gestionada | Como se ha indicado anteriormente | Procesador de datos | Controlador de datos | Según lo determinado por el Cliente |
| infraestructura como servicio | Almacenamiento privado gestionado | Como se ha indicado anteriormente | Procesador de datos | Controlador de datos | Según lo determinado por el Cliente |
Anexo 2 del Acuerdo de Procesamiento de Datos
Según la cláusula 1,9, esta es la lista de subprocesadores:
Globalmente: Equinix Services Inc.
Equinix (US) Enterprises Inc.
Equinix (Reino Unido) Enterprises Ltd.
Equinix (Alemania) Enterprises GmbH
Equinix (Países Bajos) Empresas BV
Virtu Secure Webservices BV
Equinix (Italia) Enterprises SRL
Equinix (Japón) Empresas KK
Equinix (Japón) Servicios Tecnológicos KK
Equinix do Brasil Soluciones de Tecnología en Informatica Ltda
Equinix do Brasil Telecommunicacoes Ltda
Equinix MX Services SA de CV
Equinix (Canadá) Enterprises Ltd.
Equinix (Suecia) Empresas AB
Equinix (Francia) Enterprises SAS
Equinix (España) Enterprises, S.L.U.
Equinix (Finlandia) Empresas Oy
Equinix (Irlanda) Enterprises Ltd
ANEXO 3 - MEDIDAS TÉCNICAS Y ORGANIZATIVAS
La siguiente tabla ilustra las medidas técnicas y organizativas implementadas por Equinix para la prestación de servicios:
| Dominio | Prácticas |
|---|---|
| Organización de la Seguridad de la Información Contexto Organizacional Gestión de Riesgos Estrategia Funciones, Responsabilidades y Autoridades Supervisión de Políticas | Equinix ha organizado la gobernanza de la Seguridad de la Información en torno a los siguientes equipos y programas que revisan, evalúan y mejoran las prácticas de seguridad de Equinix: Auditoría y cumplimiento – Equinix cumple formalmente con varios estándares de la industria, como ISO 27001. Los certificados y certificados de auditoría son proporcionados por auditores calificados de terceros. Estos auditores coordinan actividades con varios equipos de negocios y tecnología como Business Assurance Services, Auditoría Interna y Operaciones. Equipo de Seguridad de la Información – Trabajando estrechamente con la organización legal, este equipo está encargado de seguir las directrices globales y de las unidades de negocios para ayudar a garantizar el cumplimiento de las leyes y regulaciones locales y federales. Gestión de Riesgos de Seguridad de la Información - Trabajar estrechamente con representantes de negocios para establecer las prioridades, restricciones, tolerancia al riesgo y declaraciones de apetito de Equinix, y asegurar que las suposiciones se establezcan, se comuniquen y se utilicen para apoyar las decisiones de riesgo operacional. Políticas de seguridad de la información: El equipo de seguridad de la información de Equinix administra y hace cumplir un conjunto completo de políticas de seguridad de la información confidencial que es revisado y respaldado por la alta dirección. Este equipo se asegura de que las políticas internas sean de alcance global, cubriendo leyes, reglamentos y requisitos comerciales específicos de cada país y región. Las áreas cubiertas por estas políticas de seguridad internas incluyen, pero no se limitan a: Uso aceptable de la tecnología, antivirus y malware, copia de seguridad y retención de datos, clasificación de datos, etiquetado y manejo, acceso lógico, contraseñas, etc. gestión de parches, dispositivos móviles, ordenadores personales, acceso remoto y VPN, y redes sociales. |
| Protección de la Información Seguridad de los Recursos Humanos | Equinix ha implementado y mantiene programas de capacitación en seguridad de los empleados con respecto a los riesgos y requisitos de seguridad de la información. Los programas de capacitación en materia de seguridad se revisan y actualizan al menos una vez al año. Donde lo permita la ley, y en la medida en que lo permitan las autoridades gubernamentales aplicables, Equinix requiere que cada empleado se someta a una verificación de antecedentes. |
| Gestión de activos | Inventario de activos - Equinix ha implementado procesos que se centran en identificar y catalogar todos los activos utilizados para prestar servicios. Este proceso incluye activos físicos, activos virtuales y activos intangibles como licencias de software. Al mantener un inventario preciso y actualizado, Equinix puede rastrear eficazmente sus activos, monitorear su uso y planificar el mantenimiento. Manejo de activos: Esto implica implementar medidas técnicas y organizativas para proteger los activos de daños, robo o acceso no autorizado. Las medidas técnicas pueden incluir la implantación de sistemas de seguridad para salvaguardar los activos físicos, como cámaras de vigilancia y sistemas de control de acceso. Equinix puede emplear protocolos de cifrado y autenticación para proteger los datos de los clientes almacenados en activos digitales. Las medidas organizativas implican el establecimiento de políticas y procedimientos para el manejo de activos, incluyendo directrices para el mantenimiento, uso y disposición de activos. |
| Seguridad Física y Ambiental | Salvaguardar la seguridad física de cada IBX Center donde se encuentran los sistemas de información que procesan y almacenan los datos de los clientes es una prioridad operativa alta. Cada IBX Center utiliza una serie de equipos de seguridad, técnicas y procedimientos para monitorear la instalación y para controlar y registrar el acceso. Acceso – El subsistema de control de acceso permite a los usuarios autorizados dentro del edificio y dentro de la instalación. Los dispositivos de seguridad biométricos, las tarjetas de proximidad y otras tecnologías identifican a los usuarios en el sistema de control de acceso, y tras la autenticación permiten a los contactos navegar por el IBX según lo permitido. Monitorización de alarmas y detección de intrusiones: El subsistema de monitorización de alarmas y detección de intrusiones supervisa el estado de varios dispositivos asociados con el sistema de seguridad. Los dispositivos de monitoreo incluyen interruptores de posición de puerta, detectores de rotura de vidrio, detectores de movimiento e interruptores de manipulación. Si el estado de cualquier dispositivo cambia de su estado seguro, se activa una alarma, se registra el evento y se toman las medidas adecuadas. CCTV: El subsistema de televisión de circuito cerrado proporciona la visualización, el control, la grabación y la reproducción de vídeo en vivo desde las cámaras en toda la instalación, así como fuera de la instalación donde la ley lo permita. Este sistema está integrado con el subsistema de monitorización de alarmas y detección de intrusos, por lo que en caso de alarma, las cámaras se visualizan automáticamente para ver el evento en tiempo real. |
| Gestión de Comunicaciones y Operaciones | Evaluaciones de vulnerabilidad - Equinix realiza evaluaciones de vulnerabilidad internas y externas regulares y pruebas de penetración de los sistemas de información Equinix EMS e investigará los problemas identificados y los rastreará hasta su resolución de manera oportuna. Software malicioso - Equinix tiene controles antimalware para ayudar a evitar que el software malicioso obtenga acceso no autorizado a los datos de los clientes, incluido el software malicioso que se origina en las redes públicas. Gestión de cambios - Equinix mantiene controles diseñados para registrar, autorizar, probar, aprobar y documentar los cambios en los recursos existentes y documentará los detalles de los cambios dentro de sus herramientas de gestión de cambios o implementación. Equinix probará los cambios de acuerdo con sus estándares de gestión de cambios antes de la migración a la producción. Equinix mantendrá procesos diseñados para detectar cambios no autorizados en los sistemas de información de Equinix y rastreará los problemas identificados hasta una resolución. Integridad de datos - Equinix mantiene controles diseñados para proporcionar integridad de datos durante la transmisión, almacenamiento y procesamiento dentro de los sistemas de información de los Servicios Equinix. Registro de eventos - Equinix registra, o permite al Cliente registrar, acceder y utilizar sistemas de información que contienen datos del cliente -específicos de ese cliente- registrando el ID de acceso, la hora, la autorización concedida o denegada, y la actividad relevante. Copia de seguridad/restauración: Los datos del cliente se respaldan cuando corresponda a través de herramientas de copia de seguridad. Los empleados de Equinix que gestionan estas copias de seguridad no tienen acceso a los Datos del Cliente. En caso de que se requiera una restauración, el Cliente puede solicitar esta restauración. |
| Control de acceso | Equinix hace que los Datos del Cliente sean accesibles solo para el personal autorizado, y solo cuando sea necesario para mantener y proporcionar los Servicios de Equinix. Equinix mantiene políticas y controles de acceso para gestionar las autorizaciones de acceso a los datos del cliente desde cada conexión de red y usuario a través del uso de firewalls, conectividad de acceso controlado o tecnología funcional equivalente y controles de autenticación. Segregación de datos: Equinix mantiene controles de acceso diseñados para restringir el acceso no autorizado a los Datos del Cliente y segregar los Datos de cada Cliente de los Datos de otros Clientes. Los controles de acceso de usuarios - relacionados con el acceso a la información de Equinix incluyen, pero no se limitan a: - Principios de privilegios mínimos basados en las funciones de trabajo del personal - revisión y aprobación antes de aprovisionar el acceso - Revisión trimestral de privilegios de acceso - Cuando sea necesario, revocar los privilegios de acceso de manera oportuna - Autenticación de dos factores para el acceso a los datos del cliente - Monitoreo por parte de Equinix (o clientes habilitados) para detectar anomalías en la actividad de acceso, como por ejemplo (pero no limitado a) intentos repetidos para obtener acceso al sistema de información utilizando una contraseña no válida. |
| Seguridad de la información | Gestión de incidentes Proceso de respuesta a incidentes: Equinix mantiene planes de respuesta a incidentes (runbooks) para responder a posibles amenazas de seguridad a los Servicios de Solución Administrada. Los runbooks de Equinix tendrán procesos definidos para detectar, mitigar, investigar e informar de incidentes de seguridad. Los runbooks de Equinix incluyen verificación de incidentes, análisis de ataques, contención, recopilación de datos y remediación de problemas. Para cada violación de seguridad que sea un Incidente de seguridad, Equinix EMS realizará una notificación apropiada de conformidad con las regulaciones locales. Monitoreo de servicio - Equinix supervisa de forma continua, o permite al Cliente monitorear, anomalías relacionadas con eventos de seguridad (por ejemplo, pero no limitado a intentos repetidos de obtener acceso al sistema de información utilizando una contraseña no válida). |
| Gestión de la continuidad del negocio | Planes de emergencia y contingencia - Equinix mantiene planes de emergencia y contingencia para las instalaciones en las que se encuentran los sistemas de información de Equinix que procesan los Datos del Cliente. Estos planes se pondrán a prueba anualmente. Recuperación de datos - El almacenamiento redundante de Equinix y sus procedimientos para recuperar datos están diseñados para intentar reconstruir los datos del cliente en su estado original o último replicado. |