Acuerdo de procesamiento de datos
Última modificación: 16 de febrero de 2023
Este Acuerdo de procesamiento de datos y sus anexos reflejan el acuerdo de las partes con respecto al procesamiento de datos personales por parte de Alumio en relación con los Servicios en virtud de Términos y condiciones generales de Alumio y el contrato de licencia (también denominado el «Acuerdo»).
Este DPA complementa y forma parte integral del Acuerdo y entra en vigor a partir de su incorporación al Acuerdo, lo que puede especificarse en el Acuerdo. En caso de conflicto o incompatibilidad con los términos del Acuerdo, este DPA prevalecerá sobre los términos del Acuerdo en la medida en que surja dicho conflicto o incoherencia.
Este acuerdo de procesamiento de datos entra en vigor entre Alumio B.V. como»Procesador» y el cliente como»Controlador», en lo sucesivo denominadas colectivamente «Partes».
MIENTRAS QUE:
Processor ofrece una plataforma de integración basada en la nube para el intercambio de datos entre el software de terceros (los «Servicios»);
Las partes firmaron un acuerdo con respecto a los Servicios proporcionados por el Procesador (en adelante, el «Acuerdo»).
El procesador procesará los datos personales del Controlador (en adelante, «Datos personales») de acuerdo con el Reglamento General de Protección de Datos (GDPR);
De conformidad con el artículo 28 del RGPD, las Partes desean definir una serie de condiciones en este Acuerdo de procesamiento de datos, que se aplican a su relación en relación con las actividades antes mencionadas en nombre y en beneficio del Controlador.
SE ACUERDA LO SIGUIENTE:
Artículo 1. Objeto del acuerdo de procesamiento de datos
El controlador es responsable del procesamiento de los datos personales en el contexto de la implementación del Acuerdo. El procesador no tiene un control independiente sobre los datos personales.
El Procesador procesa los Datos personales únicamente siguiendo las instrucciones del Controlador en el contexto de la ejecución del Acuerdo, de acuerdo con los objetivos determinados por el Controlador y los recursos y los períodos de retención acordados en las tareas, así como de acuerdo con cualquier otra instrucción proporcionada por el Controlador.
El Controlador garantizará que sus instrucciones al Procesador den como resultado un procesamiento por parte del Procesador que cumpla con las regulaciones aplicables, incluido, entre otros, el GDPR y no infrinja ningún derecho de terceros.
El procesamiento se refiere a las categorías de datos personales, la naturaleza y el tipo de datos personales enviados por el controlador.
Las operaciones de procesamiento las especifica el Procesador en Apéndice 1 de este Acuerdo de procesamiento de datos.
El Procesador solo brinda acceso a aquellos Empleados para quienes este acceso a los Datos personales es necesario para la ejecución del Acuerdo.
Las obligaciones del Procesador de este Acuerdo de procesamiento de datos también se aplican a quienes procesan datos personales bajo la autoridad del Procesador, incluidos, entre otros, los empleados en el sentido más amplio de la palabra.
En relación con el procesamiento, el Procesador apoyará al Controlador en la medida necesaria para cumplir con sus obligaciones de protección de datos, compilar y actualizar los registros de las actividades de procesamiento, llevar a cabo la evaluación de impacto de la protección de datos y cualquier consulta necesaria con la autoridad supervisora. La información y la documentación necesarias se mantendrán disponibles y se enviarán sin demora al Controlador si así lo solicita.
Artículo 2. Técnico y organizativo (instalaciones de seguridad)
El procesador se aseguró de que se han tomado las medidas de seguridad requeridas, que garantizan un nivel de protección adecuado, teniendo en cuenta el estado actual del desarrollo de la TI y los costos de la implementación, en vista de los riesgos que implica el procesamiento y la naturaleza de los datos que deben protegerse.
En este contexto, el Procesador ha implementado las medidas mencionadas en Apéndice 2.
Artículo 3. Responsabilidad
Si el Procesador es responsable ante el Controlador por los daños directos que sufra el Controlador como resultado de una falta culposa y/o un acto ilícito atribuible al Procesador. La responsabilidad total en virtud del Acuerdo, incluido este Acuerdo de procesamiento de datos, o la violación del RGPD por parte del Procesador y/o Subprocesador (es) nunca superará los 50 000 euros al año. Si el interesado responsabiliza al procesador por los daños que haya sufrido como resultado de una infracción de sus datos personales, el procesador presentará esta reclamación al controlador para que pueda tramitar la situación.
El procesador nunca será responsable de los daños consecuentes, incluidas las pérdidas financieras puras, la pérdida de beneficios y los daños inmateriales. En particular, el Procesador no es responsable de ningún daño relacionado con o debido a: i) la terminación o modificación del servicio prestado; ii) las fallas de comunicación relacionadas con el hardware, el software, la red u otros problemas informáticos; iii) el uso de datos o archivos de datos prescritos por el Controlador; iv) la pérdida, mutilación o destrucción de datos o archivos de datos; y/o v) la inaccesibilidad del servicio del Procesador.
En la medida en que el cumplimiento no sea permanentemente imposible, la responsabilidad del Procesador por incumplimiento culposo del Acuerdo de procesamiento de datos solo surgirá si el Controlador notifica el incumplimiento de forma expresa y por escrito a su debido tiempo, si se establece un período razonable para subsanar la deficiencia y, una vez transcurrido ese plazo, el Procesador no cumple con sus obligaciones. La carta de notificación formal debe contener una descripción lo más completa y detallada posible de la deficiencia, para que el Procesador pueda responder adecuadamente.
Una condición para la existencia de cualquier derecho a compensación es siempre que el Controlador informe por escrito del daño al Procesador tan pronto como sea posible después de que se haya producido el daño. Cualquier reclamación por daños y perjuicios contra el Procesador caduca al cabo de doce (12) meses desde el momento en que se presentó la reclamación.
Una multa (administrativa) impuesta por la autoridad supervisora competente al controlador nunca podrá recuperarse del procesador si la autoridad supervisora competente no ha incluido en qué medida el procesador es responsable de la imposición de la multa (administrativa).
Artículo 4. Auditorías en el contexto del GDPR
El Controlador tiene derecho a que se realicen auditorías con el objetivo de verificar si las medidas y disposiciones adoptadas por el Procesador cumplen con las disposiciones de este Acuerdo de procesamiento de datos.
El Procesador cooperará y proporcionará toda la información relevante para la auditoría de manera oportuna.
Las personas que realicen una auditoría se ajustarán a los procedimientos de seguridad que se apliquen al Procesador que estén en vigor, en la medida en que estos procedimientos de seguridad hayan sido puestos en conocimiento del Controlador.
Los costos razonables para el despliegue de los auditores y el personal propio del Controlador y/o de un Supervisor y Procesador corren a cargo del Controlador.
Si se encuentran irregularidades sustanciales durante una auditoría inicial, el Controlador y/o un supervisor, o un tercero contratado por el Controlador y/o un supervisor, pueden realizar una segunda auditoría. Si durante esta segunda auditoría se comprueba que siguen produciéndose las irregularidades observadas anteriormente, todos los costes de la segunda auditoría y de cualquier auditoría posterior correrán a cargo del Procesador.
Artículo 5. Requisito de notificación
En caso de una violación real o amenaza o sospecha de violación de la seguridad, que conduzca (o pueda provocar) la destrucción accidental o ilegal, la pérdida, la alteración, la divulgación o el acceso no autorizados a los datos, lo que pueda resultar (a) en un riesgo para los derechos y las libertades de un interesado (como discriminación, robo de identidad o fraude) o (b) en pérdidas financieras, daños a la reputación, pérdida de confidencialidad de los datos o (c) en cualquier otra desventaja económica o social significativa («violación de seguridad»), el Procesador deberá:
sin demora, pero a más tardar dentro de las 48 horas siguientes a su conocimiento, notifique la violación de seguridad al Controlador, incluyendo toda la información que indique los hechos y las circunstancias de la violación de seguridad; y
proporcionar al Controlador toda la información que pueda necesitar o requerir para poder conocer y limitar las (posibles) consecuencias de dicha violación de seguridad en la medida de lo posible; y
actuar de acuerdo con las instrucciones del Controlador y sus obligaciones derivadas de la ley aplicable en relación con dicha violación de datos; y
asegúrese de que cualquier evidencia relacionada con la violación de seguridad esté contenida y almacenada durante la vigencia de este Acuerdo de procesamiento (por ejemplo, archivos de registro, datos de análisis de red, datos de control de acceso).
El procesador proporcionará al Controlador la información sobre:
la naturaleza de la violación de seguridad y los hechos más actualizados, por lo que se sabe o se sospecha; y
los datos personales (posiblemente) afectados; y
las consecuencias comprobadas y anticipadas de la violación de seguridad para el procesamiento de los datos personales y las personas involucradas en la misma; y
las medidas que el Procesador ha tomado y tomará para mitigar o deshacer las consecuencias negativas de la violación de seguridad.
El Procesador, a solicitud del Controlador, prestará la asistencia solicitada que el Controlador considere necesaria para notificar a la Autoridad Holandesa de Protección de Datos (Autoriteit Persoonsgegevens) o a cualquier otra autoridad supervisora competente y/o a los interesados de los datos sobre una violación de seguridad. El procesador no podrá enviar dicha notificación sin el permiso previo explícito del controlador.
El Procesador informará continuamente al Controlador sobre posibles novedades relacionadas con una violación de seguridad, así como sobre las medidas adoptadas para evitar que se repita en el futuro.
Los posibles costos relacionados con las obligaciones del Procesador en virtud de las cláusulas 1, 2 y 3 correrán a cargo del Procesador.
Artículo 6. Confidencialidad
El Procesador está obligado a mantener en secreto todos los datos personales y la información que procese como resultado de este Acuerdo de procesamiento de datos, excepto en la medida en que dichos datos o información personales aparentemente no tengan carácter secreto o confidencial o ya sean de conocimiento general.
Las partes obligarán contractualmente a las personas que trabajen para ellas (incluidos los empleados) involucradas en el procesamiento de datos confidenciales (personales) (por ejemplo, mediante una cláusula en el contrato de trabajo) a mantener la confidencialidad de dichos datos confidenciales (personales) y otra información.
Si el Procesador está obligado a proporcionar datos sobre la base de una obligación legal, verificará la base de la solicitud y la identidad del solicitante e informará al Controlador inmediatamente, si es posible y/o permitido, antes de la provisión.
Artículo 7. Involucrar al (los) subprocesador (es)
El procesador puede hacer uso de subprocesadores en el marco de este acuerdo de procesamiento de datos. Los subprocesadores contratados para la prestación de los servicios incluidos en el ámbito del Acuerdo se mencionan en Apéndice 3.
El Procesador siempre informará al Controlador de cualquier cambio en los Subprocesadores por escrito, notificando con razonable antelación el cambio propuesto (la «Notificación del subprocesador»). El Controlador tiene la posibilidad de oponerse a dichos cambios. Si el Controlador tiene motivos razonables para oponerse al uso de subprocesadores nuevos o adicionales, debe notificárselo inmediatamente por escrito al Procesador en un plazo de 14 días a partir de la recepción de la notificación al subprocesador. Si el Controlador se opone a un Subprocesador nuevo o adicional y esta objeción no es irrazonable, el Procesador hará todos los esfuerzos razonables para realizar cambios en los Servicios disponibles para el Controlador o para recomendar una modificación comercialmente razonable en la configuración del Controlador o en el uso de los Servicios por parte del Controlador a fin de evitar que el Subprocesador nuevo o diferente al que se haya presentado una objeción procese los datos personales, sin que ello suponga una carga excesiva para el Controlador. Si el Procesador no puede hacer que esta modificación esté disponible en un período razonable, es decir, no superior a sesenta (60) días, el Controlador puede rescindir la parte del Acuerdo afectada, aunque únicamente con respecto a aquellos Servicios que el Procesador no pueda prestar sin el uso de un Subprocesador nuevo o diferente contra el que se haya presentado una objeción mediante una notificación por escrito enviada al Procesador.
El procesador establece contractualmente la misma obligación de protección de datos que la establecida en este DPA para todos los subprocesadores. En particular, el acuerdo entre el procesador y el subprocesador proporciona garantías adecuadas para la implementación de las medidas de seguridad técnicas y organizativas a las que se hace referencia en el apéndice 2, en la medida en que estas medidas de seguridad son importantes para los servicios prestados por el subprocesador.
Artículo 8. Transferencia de datos personales
Los datos personales pueden transferirse a terceros países u organizaciones internacionales solo si existe un nivel de protección adecuado y el controlador ha dado su consentimiento específico por escrito.
El Controlador puede adjuntar condiciones adicionales al consentimiento por escrito, tal como se indica en la Cláusula 8.1, incluida, entre otras, la demostración del cumplimiento de los requisitos incluidos en la Cláusula 8.3.
El Controlador solo puede dar su consentimiento al Procesador para la transferencia de datos personales a terceros países u organizaciones internacionales si:
se haya tomado una decisión de adecuación de conformidad con el artículo 45 (3) del RGPD con respecto al tercer país implicado o a la organización internacional implicada; o
se han adoptado las salvaguardias adecuadas de conformidad con el artículo 46 del RGPD, incluidas las normas vinculantes a que se refiere el artículo 47 del RGPD, con respecto al tercer país implicado o a la organización internacional implicada; o
se ha cumplido una de las condiciones específicas del artículo 49 (1) del RGPD con respecto al tercer país implicado o a la organización internacional implicada.
Artículo 9. Informar al (a los) interesado (s)
El Procesador cooperará plenamente para que el Controlador cumpla con sus obligaciones legales en caso de que un sujeto de datos ejerza sus derechos en virtud de los términos del GDPR u otras regulaciones aplicables en relación con el procesamiento de datos personales.
Si un sujeto de datos contacta directamente con el procesador con respecto a la ejecución de sus derechos en virtud del GDPR, el procesador no responderá, en primera instancia, a la pregunta (a menos que el controlador indique explícitamente lo contrario), pero el procesador informará inmediatamente al controlador al respecto con una solicitud de instrucciones adicionales.
Artículo 10. Plazo y terminación
Este Acuerdo de procesamiento de datos tiene una duración igual a la del Acuerdo. Los artículos que, por su naturaleza, estén destinados a completarse tras la finalización del Acuerdo de procesamiento de datos permanecerán en vigor tras la rescisión del Acuerdo de procesamiento de datos.
En el plazo de un mes a partir de la finalización del Acuerdo, el Procesador, por una tarifa limitada que no supere los costos razonables en los que haya incurrido para este propósito, destruirá y/o devolverá todos los Datos personales y/o el Procesador transferirá los mismos Datos personales a otra parte que el Controlador designará, a su entera discreción. Todas las copias existentes (otras) de los datos personales, estén o no en poder de personas (jurídicas) contratadas por el procesador, incluidos, entre otros, los empleados o subprocesadores, también se eliminarán de forma permanente.
Artículo 11. Otras disposiciones
En caso de conflicto entre (una o más disposiciones de) el Acuerdo de procesamiento de datos y (una o más disposiciones de) otros acuerdos entre el Controlador y el Procesador, prevalecerá el Acuerdo de procesamiento de datos.
La ley holandesa se aplica a este Acuerdo de procesamiento de datos.
Todas y cada una de las disputas o reclamaciones que surjan de este Acuerdo o de su ejecución se resolverán exclusivamente en el tribunal competente de Rotterdam, Países Bajos.
Apéndice 1: Objeto del Acuerdo
Categorías de sujetos de datos cuyos datos personales se transfieren
Alumio ofrece una plataforma de integración basada en la nube para el intercambio de datos entre software de terceros. Esta parte también se describe en el contrato de licencia de Alumio y en la documentación relacionada. El controlador puede enviar datos personales durante el uso de los servicios de Alumio, cuyo alcance es determinado y controlado por el controlador.
Finalidad del tratamiento
Las actividades de procesamiento llevadas a cabo por Alumio como Procesador mediante la prestación de los Servicios se describen en el contrato de licencia de Alumio y en la documentación relacionada. Como procesador, Alumio procesa los datos personales a solicitud del controlador para los siguientes propósitos:
Alojamiento y almacenamiento de datos;
Monitorización y notificación de incidentes de seguridad;
Soporte para pruebas de aplicaciones;
Provisión de acceso seguro a los datos alojados;
Servicios de continuidad y recuperación ante desastres;
Servicios relacionados con la seguridad (incluida la seguridad física y lógica);
Servicios de infraestructura (incluidos el almacenamiento y archivado de datos);
Respaldo y recuperación de datos alojados;
Servicios de integración de software;
Gestión del nivel de servicio y otros informes y mediciones del rendimiento; y
Desarrollo de servicios nuevos o adicionales.
Apéndice 2: Medidas técnicas y organizativas del Procesador
El procesador adoptará las siguientes medidas técnicas y organizativas para la seguridad de los datos de conformidad con el artículo 32 del RGPD.
1. Confidencialidad
1.1. Control de acceso
Acceso de empleados
Una persona puede acceder a la oficina principal de Alumio con un llavero asignado proporcionado por un oficial de seguridad, o mediante el acceso manual otorgado por un gerente de la oficina.
Vigilancia
Las entradas de la oficina están siendo monitoreadas y grabadas por sistemas de videovigilancia.
Sistema de alarma
Hay un sistema de alarma para proteger el edificio fuera del horario laboral.
Acceso de visitantes
Existe una política de acceso de visitantes para garantizar que los visitantes sean rastreados y documentados y que los visitantes tengan acceso a la oficina después de que la persona que los haya invitado los haya verificado.
1.2. Control de acceso al sistema
El acceso explicó:
Control de acceso basado en roles (RBAC)
Nuestros empleados tienen un acceso basado en los roles de usuario con el concepto de mínimo privilegio, por lo que no se otorga acceso a un nivel que no se describa como necesario en el «rol».
Seguridad de acceso remoto
El inicio de sesión en la aplicación Alumio solo se puede lograr mediante un procedimiento de inicio de sesión de autenticación de dos factores.
Listas blancas de IP
El acceso a la base de código y la infraestructura de Alumio solo es posible después de iniciar sesión en la VPN de la empresa. Estas direcciones IP son estáticas y nuestros administradores de sistemas las incluyen en la lista blanca.
Seguimiento de usuarios
Se registran todas las acciones de inicio de sesión de los usuarios, como los ID de inicio de sesión (nombre de usuario Fan ID), la fecha/hora del último inicio de sesión, la ubicación del inicio de sesión (ejemplo: dirección IP) y el identificador del dispositivo (ejemplo: dirección MAC). Los registros se envían a una ubicación con un requisito de acceso especial durante un período de 4 semanas.
Revisiones de acceso periódicas
Alumio cuenta con un proceso establecido, por lo que se realizarán revisiones de acceso periódicas. De este modo, se notificarán a los administradores los problemas relacionados con la baja, lo que permitirá a Alumio actualizar nuestros procesos y corregir cualquier cambio necesario.
Almacenamiento de credenciales de inicio de sesión
El software con autenticación de dos factores se utiliza para almacenar y generar todas las credenciales utilizadas para realizar funciones laborales. El software se suministra al empleado con el acceso mínimo necesario para desempeñar una determinada función laboral.
Entrenamiento de seguridad
Los empleados de ingeniería con acceso a los sistemas de producción deben someterse a diferentes niveles de formación en seguridad de forma regular.
Desarrollo local
En ningún caso está permitido tener los datos de los clientes en una máquina local, con fines de desarrollo o pruebas. Está obligado a seguir los procedimientos estándar para eliminar o codificar los datos confidenciales con fines locales.
Cifrado de disco duro
Los empleados de Alumio están obligados a aplicar el cifrado del disco duro en sus máquinas locales, tal como se indica en las políticas de incorporación de los empleados.
Configuración de firewall
Los empleados de Alumio están obligados a aplicar la configuración del firewall en sus máquinas locales, tal como se indica en las políticas de incorporación de los empleados.
Control de acceso a datos
Alumio sigue las directrices ISO27001 para garantizar la seguridad general y los controles de autorización. El acceso a las aplicaciones se comprueba todos los meses y las comprobaciones generales de seguridad se realizan cada tres meses.
Las cuentas se aprovisionan desde Microsoft 365 y, siempre que es posible, se utilizan el inicio de sesión único y Azure Active Directory. Las credenciales de usuario se almacenan en un software especializado y el acceso al aprovisionamiento se determina a nivel de grupo. Existen protocolos estándar para garantizar la eliminación o el bloqueo de los usuarios a los que ya no se les permite acceder a determinados sistemas, datos o credenciales.
Separación
Alumio ofrece la posibilidad de crear rutas, que son responsables de realizar una tarea específica relacionada con la transferencia de datos. Los socios de implementación están capacitados para configurar estas rutas de acuerdo con las mejores prácticas. Al configurar estas rutas, se garantiza que, por ejemplo, los datos de los clientes se procesen por separado de los datos del inventario.
Al seguir las mejores prácticas de Alumio, cada objeto de datos que Alumio procesa se aísla en una tarea. Esa tarea contiene datos de un solo cliente.
Alumio ofrece una versión de prueba de aceptación de usuario (UAT) independiente de Alumio y una versión de producción independiente.
1.3. Seudonimización y cifrado
Alumio ofrece la posibilidad de crear variables de entorno para cifrar datos confidenciales. Los datos entrantes (por ejemplo, los datos de los clientes) no se seudonimizan ni cifran de forma predeterminada, ya que el propósito de Alumio es reestructurar los datos lo antes posible y enviarlos a través de un sistema saliente a un tercero.
2. Integridad
2.1. Control de entrada de datos
No es posible editar, actualizar o eliminar manualmente en Alumio, ya que no es una plataforma de gestión de datos. El registro de auditoría de Alumio rastrea los cambios en las configuraciones. De forma predeterminada, Alumio almacena los datos durante 4 semanas. Esto se puede ajustar y adaptar a los requisitos del cliente de Alumio. Los SysOps de Alumio tienen acceso a los registros.
El iPaaS de Alumio tiene tres formas de almacenar datos:
Explotación
Ruta de transformación
Almacenajes
2.2. Control de transmisión
Alumio ofrece una plataforma basada en la nube para procesar datos, que pueden incluir datos personales. La configuración de los datos reales que se procesarán entre sistemas la realiza el cliente de Alumio y/o el integrador de sistemas del cliente de Alumio. Los datos personales no se transfieren activamente entre el procesador y el controlador, ya que Alumio ofrece el software para poder configurar las conexiones entre sistemas de terceros.
Todas las comunicaciones desde y hacia el centro de datos de Amazon Web Services, Elastic Stack y Alumio utilizan un cifrado SSL mínimo de 256 bits y se ejecutan a través de HTTPS, puerto 443.
Configuración predeterminada:
Datos en reposo:
No se aplica ningún cifrado, el acceso a los datos en reposo está limitado a los usuarios autorizados
Datos en tránsito:
Protegido según la situación, normalmente mediante HTTPS, túneles SSH, VPN, etc.
3. Disponibilidad y resiliencia
3.1. Respaldos
Para evitar la pérdida de datos, es necesario realizar copias de seguridad periódicas. A diferencia de muchos proveedores, Alumio opta por copias de seguridad basadas en tecnología de respaldo basada en LE. Esto le da a Alumio la capacidad de restaurar también un solo archivo. Esto puede reducir significativamente el tiempo de restauración y ofrece más comodidad a los desarrolladores que buscan archivos específicos.
Alumio utiliza R1Soft, que es el líder del mercado del software de respaldo de alta gama. De forma predeterminada, la copia de seguridad supone un punto de restauración, que se complementa con los «cambios» realizados en el momento de la restauración. Estas copias de seguridad se realizan fuera de su entorno de nube y su objetivo principal es acceder rápidamente a una copia completa de su entorno en caso de que se produzca un desastre. La copia de seguridad es una copia de seguridad completa y se escribirá todas las noches en un servidor NAS (almacenamiento conectado a la red) de la red, pero fuera de su entorno de nube. Esta copia de seguridad se puede utilizar si el servidor deja de funcionar inesperadamente. Dentro de los niveles de servicio estándar de Alumio, la copia de seguridad se realiza 1 vez al día y se almacena durante 7 días.
Alumio puede restaurarse todos los días dentro de este período. Además, es posible ampliar e intensificar el programa de copias de seguridad, enviar las copias de seguridad a su ubicación física y crear varios puntos de restauración.
3.2. Recuperación ante desastres
Alumio garantiza que siempre se pueda llevar a cabo una recuperación en caso de averías graves. La recuperación ante desastres lleva tiempo. Como resultado, el tiempo planificado con antelación difiere según la variante del SLA. El SLA predeterminado establece que Alumio necesita entre 1 y 2 horas en horario de oficina para empezar a recuperar los datos. El tiempo necesario para recuperar la aplicación en su totalidad depende del tamaño de la aplicación (número de GB), pero es de +/- 1 hora por cada 10 GB de datos que se van a recuperar. La administración de la infraestructura de Alumio también se basa en las políticas y los procedimientos de Amazon Disaster Recovery y Elastic Disaster Recovery.
3.3. Regiones y estrategia de despliegue
Cuando Alumio implementa su instancia de iPaaS, Alumio elige una región de implementación principal para su empresa. Su región de implementación principal contiene todos sus datos de Alumio y es donde tienen lugar los principales procesos de su organización. Esto se refiere a la infraestructura de alojamiento, que se entrega a través de Amazon Web Services y Elastic Stack.
4. Procedimiento para la revisión, valoración y evaluación periódicas
Alumio revisa periódicamente sus políticas y medidas de seguridad de la información y, cuando es necesario, las mejora.
Alumio prueba y revisa periódicamente sus medidas para garantizar que sigan siendo eficaces y actúa en función de los resultados de esas pruebas en las que destacan las áreas de mejora.
Apéndice 3: Subprocesadores
Para el procesamiento de datos en nombre del Controlador, Alumio utiliza los servicios de terceros que procesan datos en nombre de Alumio («subprocesadores»).
Estas empresas son:
Proveedor de alojamiento en la nube: Amazon Web Services
Amazon Web Services es un proveedor de alojamiento en la nube que suministra hardware y software a sus clientes. Los subprocesadores y las entidades operativas afiliadas de AWS se encuentran aquí: https://aws.amazon.com /compliance/sub-processors/
Proveedor de alojamiento: Youwe Hosting
Youwe Hosting es una empresa con certificación ISO 27001 que se especializa en la prestación de servicios (SysOps, DevOps, administración de TI) para configurar, mantener y monitorear el proveedor de alojamiento en la nube de AWS.
Proveedor de servicios de datos: Elastic Stack
Elastic Stack proporciona Elastic Kibana para almacenar datos con fines de registro y Elastic Search para fines de análisis. Alumio descarga su información de registro para almacenar y analizar datos, y la descarga en la interfaz gráfica de usuario para fines de usuario final.