Descarregar PDF-ESP
Download PDF-ENG
Darrera actualització v3.6.4 Novembre 2025
Primera: Definicions
Acord de Nivell de Servei: Clàusules o particularitats del contracte subscrit entre les parts o recollides a les presents Condicions Generals que desenvolupin i estipulin els serveis de manera objectiva quant a nivell i qualitat que seran aplicables.
Aplicacions alienes / programari de tercers: Aplicacions de tercers que poden interactuar amb el programari de VÍNTEGRIS.
Client: Persona física o jurídica, degudament representada, que contracta els serveis de nebulaSUITE prestats per VÍNTEGRIS. El Client manifesta, llevat de pacte en contra, que és el propietari dels equips on s’utilitza l’aplicació o té autorització per utilitzar-los. Així mateix, manifesta que compta amb les facultats suficients per vincular l’entitat jurídica que representa per vincular-la a la documentació de VÍNTEGRIS i aquestes Condicions Generals, de manera que l’ús i el pagament d’aquests serveis seran prova suficient del perfeccionament dels contractes i d’actuar amb la representació suficient per vincular l’empresa que representa.
Partner: Empresa que compleix els requisits per participar com a revenedor de solucions de VÍNTEGRIS, qui actua en nom propi, amb la seva pròpia organització i en relació directa amb els clients que consumeixen les solucions i serveis de VÍNTEGRIS.
Condicions Generals: Es refereix a aquestes condicions generals, aplicables en tot cas al Servei, i als seus annexos.
Condicions particulars: Es refereix a les condicions particulars que estipulen, si escau, els detalls personalitzats del Servei i els serveis auxiliars acordats entre VÍNTEGRIS i el Client.
Dades del client: Aquelles Dades introduïdes pel Client que seran recopilades de manera sistemàtica i accessible de manera individual per VÍNTEGRIS.
Equips: Ordinadors, tablets, smartphones, i qualssevol altres màquines electròniques capaces d’emmagatzemar informació i tractar-la per al desenvolupament correcte del programari o aquells equips que interaccionen amb el servei de VÍNTEGRIS.
Llicència: Drets concedits per VÍNTEGRIS al Client en els termes i condicions recollits al contracte pertinent i que engloben, entre altres, els límits a copiar, instal·lar, utilitzar, mostrar i executar el programari.
Programa Complementari: És qualsevol eina o component de programari que pertanyi o sigui llicenciat per VÍNTEGRIS, i que VÍNTEGRIS posi a la vostra disposició per a la descàrrega com a part dels serveis al núvol a efectes de facilitar-ne l’accés, l’operació i/o l’ús amb l’entorn de serveis. No inclou Tecnologia de Tercers amb Llicència per Separat.
Proposta econòmica: S’hi inclouen les especificacions del servei contractat pel Client, incloent-hi el nombre d’usuaris que poden accedir als Serveis contractats.
Servei SaaS: Programari com a servei (Software as a Service). Són serveis prestats a través d’internet per VÍNTEGRIS a favor del Client, en relació amb l’ús del servei contractat, a través de la plataforma de Serveis SaaS i dins de la infraestructura de computació al núvol.
Sol·licitant: Persona física que als efectes d’aquestes Condicions Generals actua en nom i representació del Client, i que SOL·LICITA a VÍNTEGRIS, la prestació del servei nebulaSUITE.
Usuari: Persona autoritzada pel Client per utilitzar el Programari de VÍNTEGRIS.
VÍNTEGRIS : És l’empresa VÍNTEGRIS, SLU, amb domicili al Carrer Pallars 99, planta 3, oficina 33, 08018 Barcelona, Espanya, i CIF B-62913926, i inscrita al Registre Mercantil de Barcelona.
El Sol·licitant, persona física que als efectes d’aquestes Condicions Generals actua en nom i representació del Client, SOL·LICITA a VÍNTEGRIS, la prestació del servei nebulaSUITE. nebulaSUITE inclou els serveis següents:
Nom del servei | Descripció | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|
nebulaUSERS | Servei de gestió d’usuaris | |||||||||
nebulaID | Servei d’emissió d’identificació | |||||||||
nebulaCERT | Servei de gestió centralitzada de certificats | |||||||||
nebulaACCESS | Servei d’autenticació dinàmica multifactor | |||||||||
nebulaSIGN | Servei portafirmes
| |||||||||
nebulaSNE | Servei de gestió de notificacions electròniques | |||||||||
nebulaDISCOVER | Servei de descobriment de certificats digitals
| |||||||||
Els serveis indicats són prestats per VÍNTEGRIS en modalitat SaaS després de ser seleccionats pel Client o llicenciatari, utilitzant diverses aplicacions informàtiques propietat de VÍNTEGRIS ubicades en una plataforma tecnològica a la qual el Client tindrà accés, una vegada concedides les llicències d’ús pertinents.
Aquestes Condicions Generals de la Contractació de Serveis (“Condicions Generals”), sense perjudici dels documents llistats a la Clàusula Sisena, regulen l’ús de la totalitat dels serveis nebulaSUITE.
Les “Condicions Generals” aplicables en cada cas per a cada Client corresponen a la darrera versió que el Client accepta i signa en el moment de la contractació inicial/renovació de la subscripció al servei. Si no, aplicaran les Condicions Generals publicades a la web, vigents en el moment de la contractació/renovació.
Aquesta versió de les “Condicions Generals” serà aplicable i vigent durant el temps de subscripció contractat o renovat (12 mesos per defecte).
VÍNTEGRIS es reserva el dret a modificar, de forma periòdica ia la seva sola discreció les Condicions Generals, sent aquestes noves Condicions actualitzades d’aplicació en la propera renovació de la subscripció del Client, tenint en compte el que indica el paràgraf anterior i amb excepció de les indicacions descrites a la clàusula Décima Vuitena.
El Client accepta i s’obliga a fer un ús correcte dels serveis nebulaSUITE, d’acord amb totes les lleis aplicables de la Unió Europea i d’Espanya, així com amb les corresponents reglamentacions, regles, avisos, criteris, informes i normes tècniques que resultin procedents (denominades de forma col·lectiva “Lleis”), i conforme a les regles de la bona fe, d’ordre públic i d’ordre públic clàusula Vintena Sisena.
Aquestes Condicions Generals s’instrumenten amb subjecció a les lleis, als seus propis pactes, ia la declaració de pràctiques de confiança (DPC) vigent en el moment de la prestació de cada servei, i que es pot trobar actualitzada a l’adreça internet https://www.vincasign.net/
Per a la contractació del Servei, el Sol·licitant haurà de signar el full d’acceptació inclòs a la proposta econòmica, on es declara l’acceptació de les Condicions Particulars i Condicions Generals adjuntes a la proposta econòmica.
Un cop signada la documentació corresponent, VÍNTEGRIS li donarà al Client accés a la Plataforma.
La conclusió del procés de contractació se subjecta a la comprovació de les dades facilitades per part de VÍNTEGRIS. Un cop perfeccionada la contractació, VÍNTEGRIS enviarà al client una Carta de Confirmació de Compra per correu electrònic que contindrà les dades de contractació de la subscripció. A més, excepte en el cas de les renovacions, VÍNTEGRIS us enviarà al client per correu electrònic un document anomenat «Welcome Info (WI)», que inclourà les instruccions d’accés a la plataforma, el període de vigència de la subscripció, l’identificador d’Usuari per accedir-hi i l’adreça de correu electrònic del Client on se us farà arribar el link per al restabliment de la contras.
Cal destacar que les dates d’inici i fi de la subscripció (període de vigència) seran les indicades al document “Welcome Info (WI)”, la data d’inici coincidirà amb la data d’activació de l’entorn i la data a partir de la qual la subscripció queda contractada, fins a la data fi, que és la data màxima contractada. Aquestes dates seran les que es prendran com a referència per tenir en compte la caducitat de la subscripció i la renovació d’aquesta.
La contrasenya que estableixi lusuari és única, personal i intransferible. Serà obligació del Client fer un ús diligent i mantenir en secret les contrasenyes o altres credencials. En conseqüència, el Client és responsable de l’adequada custòdia i confidencialitat de qualsevol identificador i/o contrasenyes i es compromet a no cedir-ne l’ús a tercers, ja sigui temporal o permanent, ni a permetre’n l’accés a persones alienes. Serà responsabilitat del Client la utilització dels Serveis per qualsevol tercer il·legítim que faci servir a aquest efecte una contrasenya a causa d’una utilització no diligent o de la pèrdua d’aquesta per l’Usuari. En virtut de l’anterior, és obligació del Client notificar de manera immediata a VÍNTEGRIS qualsevol fet que permeti l’ús indegut dels identificadors i/o contrasenyes, com ara el robatori, la pèrdua, o l’accés no autoritzat a aquests, a fi de procedir a cancel·lar-la immediatament. Mentre no es comuniquin aquests fets, VÍNTEGRIS queda eximida de qualsevol responsabilitat que es pugui derivar de l’ús indegut dels identificadors o les contrasenyes per tercers no autoritzats.
És recomanable modificar aquesta contrasenya de forma periòdica i no utilitzar-la per a diversos serveis.
El sol·licitant, en el moment de sol·licitar els serveis nebulaSUITE i de conformitat amb la legislació vigent, ha estat informat de les instruccions precises per a la utilització dels serveis, de les limitacions d’ús i de la manera com limita la seva possible responsabilitat VÍNTEGRIS, així com de l’habilitació suficient de VÍNTEGRIS, i dels procediments de resolució de les indicacions dels indicats i sense articles 5 i 7 de la Llei 7/1998, de 13 dabril, sobre condicions generals de la contractació.
Els serveis nebulaSUITE es troben regulats específicament per la següent documentació del servei, que s’incorpora plenament al contracte: 1r) Proposta Econòmica i les Condicions Particulars que incorpori aquesta. 2º) Les presents Condicions Generals. 3r) L’Annex I “Termes Específics dels Serveis nebulaSUITE”. 4t) Annex II “Acords de Nivell de Serveis (SLA)”. 5º) Annex III “DPA, Acord de Tractament de Dades”.
El Client abonarà l’import corresponent als serveis a què es refereixen aquestes Condicions Generals d’acord amb el llistat de tarifes aprovat per VÍNTEGRIS a cada moment, i el valor actual del qual s’indica a la Proposta Econòmica aprovada per ambdues parts amb anterioritat a l’inici de la prestació dels serveis nebulaSUITE. Sense perjudici del que pot aparèixer al llistat de tarifes, el preu que haurà de pagar el Client és el que aparegui a la Proposta Econòmica.
Els preus dels serveis contractats pel Client es troben a la Proposta Econòmica, així com els detalls dels serveis i tecnologies contractades pel Client.
En cas que el Client realitzi la contractació dels serveis mitjançant un partner de VÍNTEGRIS, VÍNTEGRIS facturarà al partner l’import corresponent indicat a la Proposta Econòmica aprovada per ambdues parts amb anterioritat a l’inici de la prestació dels serveis nebulaSUITE.
El Partner abonarà l’import corresponent segons condicions de pagament establertes a la Proposta Econòmica.
En aquests casos, VÍNTEGRIS no serà responsable dels compromisos que el Partner hagi adquirit directament amb el Client, només respondrà segons els serveis acordats i contractats pel Partner per al Client.
VÍNTEGRIS es reserva el dret d’augmentar els preus de les subscripcions dels seus productes, que pot ser degut, inter alia , a augments de costos per compensar per noves funcionalitats afegides, costos de nous procediments i certificacions imposats per normativa oa ampliació de nous serveis afegits a les subscripcions. Si VÍNTEGRIS albira aquest augment, VÍNTEGRIS notificarà al client amb 60 dies d’antelació a la data de renovació de les subscripcions afectades i el client podrà decidir si renova o acaba les subscripcions.
La forma de pagament i les fites de facturació es recullen a la Proposta Econòmica.
Tots els pagaments es faran en euros (€), tret que s’indiqui el contrari a la Proposta Econòmica.
VÍNTEGRIS facturarà al Client d’acord amb el següent:
En cas que el Client realitzi la contractació dels serveis mitjançant un Partner de VÍNTEGRIS, les polítiques relatives a facturació i pagament indicades anteriorment aplicaran directament al Partner.
Si el Client no atén el pagament total o parcial de les quantitats degudes transcorregut el termini d’un mes des de la data de venciment de factura acordat, VÍNTEGRIS podrà avís previ al Client suspendre-li temporalment el servei. La restricció del servei afectarà els serveis respecte al pagament dels quals s’hagi incorregut en mora, podent arribar a afectar altres serveis dependents. La suspensió temporal no eximeix el Client de l’obligació de continuar amb el pagament de les quotes periòdiques fixes corresponents.
VÍNTEGRIS podrà igualment suspendre o cancel·lar la prestació del Servei en el cas que:
El retard en el pagament per un període superior a 2 mesos o la suspensió temporal del contracte en dues ocasions per mora en el pagament de qualsevol dels serveis contractats, donaran dret a VÍNTEGRIS a la interrupció definitiva de tots els serveis contractats ia la corresponent resolució del contracte, prèvia notificació al Client amb 10 dies hàbils d’antelació, indicant la data en què.
Les polítiques relatives a la suspensió i la cancel·lació dels serveis per falta de pagament s’apliquen igualment per als supòsits que la seva contractació s’hagi realitzat a través de partners de VÍNTEGRIS, i s’hi hagués delegat tant la facturació com el pagament, i aquest no atengués el pagament.
El Partner podrà sol·licitar a VÍNTEGRIS la desactivació per separat de cada subscripció activa i depenent de la solució, el client tindrà un accés limitat o nul a la solució. VÍNTEGRIS no serà responsable de cap manera davant el Client per la desactivació de la Subscripció del Client per part del Partner.
Excepte pel que fa a les clàusules 9, 10, 11, 12 i 19, la vigència d’aquestes Condicions Generals serà la corresponent al servei prestat i aquesta figurarà al document WI o si no n’hi ha a la confirmació de compra. Les clàusules restants mantindran la seva vigència mentre no expirin els terminis legalment establerts en cada cas, o, en cas de no estar establerts, mentre no prescriguin o caduquin les accions legals que pugui exercir VÍNTEGRIS davant de Client o tercers.
Els Serveis en virtut del present Contracte seran prestats durant el Període de Serveis definit en el document WI o en defecte d’això en la confirmació de compra, excepte suspensió o terminació anticipada de conformitat amb aquestes Condicions Generals o la Proposta Econòmica.
Terminació anticipada sense causa justificada. El Client pot triar cancel·lar la seva subscripció de manera anticipada, en el moment que vulgui, però no rebrà cap devolució de tarifes pagades anteriorment i haurà d’abonar immediatament totes les tarifes impagades que degui fins a finalitzar el Termini de subscripció. En aquest cas, el servei quedarà actiu fins a la data de venciment inicialment definida, llevat que el Client ens indiqui expressament la desactivació del compte.
Terminació anticipada per causa justificada. Qualsevol de les parts pot posar fi a la prestació dels serveis per causa justificada de la manera següent: (i) amb avís previ de trenta (30) dies a l’altra part que s’ha comès una infracció important, sempre que aquesta infracció no s’hagi solucionat en finalitzar el període. En aquest cas, VÍNTEGRIS es reserva el dret de accedir al servei, es desactivarà immediatament el Servei SaaS al Client i acabar la llicència d’ús del programari relacionat amb els Serveis acabarà; tot això sense perjudici de qualsevol dret daccés en relació amb les dades de caràcter personal, conforme disposa la clàusula 17 daquestes Condicions Generals.
També VÍNTEGRIS pot acabar la prestació dels serveis per causa justificada amb avís previ de trenta (30) dies si VÍNTEGRIS determina que el Client està actuant (o ha actuat) d’una manera que es reflecteixi negativament sobre VÍNTEGRIS o afecti VÍNTEGRIS o els seus prospectes o clients.
En qualsevol dels casos anteriorment esmentats, si és VÍNTEGRIS qui declara la finalització dels serveis per infracció o actuació indeguda per part del Client, aquest no rebrà cap devolució de tarifes pagades anteriorment i haurà d’abonar immediatament totes les tarifes impagades que degui fins a finalitzar el Termini de subscripció.
A excepció daquests motius, el Servei no podrà acabar abans de la finalització del Termini de subscripció.
Terminació dins el termini de subscripció. En cas que el Client vulgui la no renovació del servei de subscripció, aquest ho ha de notificar mínim amb un mes d’antelació a la data de subscripció actual, en cas contrari el client pot estar obligat al pagament de càrrecs per cancel·lació i la resta de condicions que s’especifiquen en aquest apartat cancel·lació.
Si cancel·leu els Serveis, aquests acabaran en la data final del període de Servei actual o, si VÍNTEGRIS carrega factures al vostre compte de manera periòdica, al final del període en què va realitzar la cancel·lació.
Per cancel·lar els Serveis heu de posar-vos en contacte amb el vostre gestor Comercial o comunicar-ho a l’adreça customercare@vintegris.com .
Heu de tenir en compte que estarà obligat a pagar tots els càrrecs efectuats al vostre compte de facturació pels Serveis fins a la data de finalització de la subscripció.
A menys que vagi acompanyat d’un contracte de llicència independent entre VÍNTEGRIS i el client, tot programari que li proporcioni VÍNTEGRIS com a part dels Serveis està subjecte a aquests Termes:
Només es permet l’accés al Servei a aquelles persones que disposin de la contrasenya, sota la responsabilitat del Client, i el Servei estarà limitat al nombre d’usuaris que correspongui segons els Serveis contractats pel Client i d’acord amb allò descrit a la Proposta Econòmica.
Els serveis SaaS estan compostos per elements de diferents causes contractuals, d’una banda, la derivada de la llicència de programari i de l’altra, la derivada del seu desplegament en infraestructura cloud.
Respecte dels compliments defectuosos derivats del programari de VÍNTEGRIS:
VÍNTEGRIS garanteix que: (i) prestarà els Serveis en tots els aspectes substancials tal com es descriu en les presents Condicions i les Condicions Particulars; (ii) prestarà els serveis de manera professional de conformitat amb les presents condicions i les condicions particulars; i (iii) no introduirà deliberadament cap virus ni altres formes de codi maliciós al servei.
En la mesura que la llei ho permeti, els serveis de VÍNTEGRIS se subministren «tal com estan» sense cap tipus de garantia o condició addicional a l’establerta al paràgraf anterior.
Si els serveis prestats al client no són prestats d’acord amb la garantia anterior, el client ha de notificar per escrit a VÍNTEGRIS descrivint-ne la deficiència en els serveis.
En els primers 5 dies es farà un diagnòstic per part de VÍNTEGRIS de les raons tècniques del compliment defectuós en la prestació dels seus serveis d’acord amb aquestes Condicions Generals i amb les Condicions Particulars.
En cas que el restabliment del servei es pogués fer en menys de 10 dies, VÍNTEGRIS farà tots els esforços comercialment raonables per corregir la situació, i proposarà les mesures tècniques alternatives al client per minimitzar els possibles danys que puguin afectar el client.
Si no és possible prestar els serveis conforme a la garantia anterior dins dels 15 dies des de la notificació del compliment defectuós, VÍNTEGRIS proposarà les mesures tècniques alternatives al Client per minimitzar els possibles danys que puguin afectar el Client. Dins dels seixanta (60) dies a partir de la data de notificació d’incompliment, qualsevol de les parts pot posar fi als serveis enviant un avís per escrit a l’altra.
La devolució de les quantitats prepagades des del moment de l’incompliment de la garantia serà la RESPONSABILITAT DE VÍNTEGRIS convertint aquesta quantitat en la indemnització màxima per danys i perjudicis que el Client pugui reclamar i exigir de VÍNTEGRIS, sempre que no sigui atribuïble a negligència greu o dol de VÍNTEGRIS.
Pel que fa als compliments defectuosos derivats de la disponibilitat de la infraestructura cloud.
En aquest sentit forma part indissoluble d‟aquest contracte l‟Annex II on es desenvolupen els termes dels acords de nivell de Servei (SLA) que ofereix VÍNTEGRIS als seus clients.
Qualsevol responsabilitat per part de VÍNTEGRIS per l’incompliment amb el nivell de servei d’acord amb allò establert a l’ANNEX II només serà concedida si VÍNTEGRIS va ser responsable de l’incompliment.
En particular, VÍNTEGRIS no es fa responsable de:
VÍNTEGRIS només serà responsable si s’infringeixen dolosament les obligacions materials del Contracte o quan ho exigeixi la legislació aplicable.
Addicionalment, llevat que així ho acordi per escrit, VÍNTEGRIS no estarà obligada a realitzar cap modificació als seus sistemes o serveis per adequar-los a requisits operatius exigits per cap necessitat regulatòria o de negoci del Client.
Cap de les parts serà responsable per qualsevol dany indirecte, incidental, especial, punitiu o conseqüència, o per qualsevol pèrdua de beneficis, ingressos (excloent-ne les tarifes degudes en virtut del present Acord), dades o ús de dades.
La responsabilitat total de VÍNTEGRIS per qualsevol dany derivat de, o de qualsevol altra forma relacionat amb aquest Acord, tant contractual com extracontractual o d’una altra naturalesa, quedarà limitada a l’import de les tarifes que s’hagin satisfet a VÍNTEGRIS pels serveis regulats en el contracte que dóna origen a la responsabilitat durant el període de dotze (12) mesos immediatament anterior crèdits que s’hagin rebut de VÍNTEGRIS en virtut del contracte, sempre que no sigui atribuïble a negligència greu o dol de VÍNTEGRIS.
El Client haurà de:
Sense perjudici del que estableix la clàusula NOVENA, qualsevol programa informàtic (Software) subministrat, així com tota la seva documentació i/o informació relativa a aquest, és propietat exclusiva de VÍNTEGRIS o, si escau, dels Proveïdors de Programari de VÍNTEGRIS.
Corresponen a VÍNTEGRIS o als seus Proveïdors de Programari tots els drets de propietat intel·lectual i de copyright sobre el Programa, la documentació, així com sobre qualsevol altre treball, programa i/o producte que resulti lliurat per VÍNTEGRIS al Client en compliment dels acords aplicables segons la Clàusula Sisena.
El Client s’abstindrà d’esborrar, modificar o alterar de qualsevol altra forma les mencions de reserva de drets a favor del llicenciant, així com, entre d’altres, el nom, el logotip o la marca que identifiqui aquesta última entitat en tota aquella documentació que es faciliti en qualsevol suport en el context dels acords aplicables segons la Clàusula Sisena.
Mitjançant l’acceptació de les presents Condicions Generals, el Client autoritza a VÍNTEGRIS l’ús del seu/s marca/si logo/s (d’ara endavant, les “Marques”) amb l’única finalitat d’utilitzar-lo a les presentacions comercials per fer referència a què és Client de VÍNTEGRIS.
A aquest efecte, el Client faculta VÍNTEGRIS perquè pugui inserir i comunicar les seves Marques en tot suport i material publicitari i de suport d’acord amb allò previst.
El Client autoritza la disposició i configuració de les Marques perquè apareguin en la forma i el lloc adequats a la seva imatge, sense que es puguin alterar colors, formes, símbols o gràfics.
Així, VÍNTEGRIS es compromet a (i) no alterar, desfigurar o mutilar de cap manera la/les Marca/es; (ii) no utilitzar la/les Marca/es de manera que perjudiqui/en el prestigi o la imatge del Client; (iii) respectar aquelles indicacions raonables que li transmeti el Client en relació amb l’ús de la/les Marca/es per a la protecció i el manteniment de la seva força distintiva, renom i homogeneïtat.
L’ús que VÍNTEGRIS realitzi de la/les Marca/es durant l’execució de l’acord comercial entre ambdues parts no significa en cap cas que VÍNTEGRIS, adquireixi cap dret sobre ella/es.
El Client sempre tindrà l’opció de prohibir a VÍNTEGRIS l’ús de les marques com indica aquesta clàusula. D’optar per aquesta opció haureu de comunicar a VÍNTEGRIS el no ús de les vostres marques, tal com aquí estipulat per escrit en format físic o electrònic.
A la terminació de la relació comercial entre el Client i VÍNTEGRIS, aquest cessarà immediatament en la utilització la/les Marca/es.
VÍNTEGRIS com a Responsable del Tractament, en compliment de la normativa vigent en matèria de protecció de dades us informa de la recollida i tractament de les dades personals que pugui tractar com a conseqüència de la contractació dels serveis recollits en aquestes Condicions Generals:
Les dades identificatives i de contacte que es puguin facilitar a la fase precontractual i contractual d’aquesta relació seran tractades amb la finalitat de gestionar el servei contractat: facilitar la informació requerida, gestió d’incidències, gestió administrativa, facturació, tramesa d’informació relacionada amb els serveis prestats per VINTEGRIS. La base de legitimació d’aquests tractaments és la relació precontractual/contractual existent entre ambdues parts i l’interès legítim de VINTEGRIS per mantenir relacions de qualsevol índole amb la persona jurídica on l’afectat presti els seus serveis.
Es poden comunicar dades a organismes públics en compliment de les obligacions legals.
El període de retenció de les dades serà l’establert a la normativa vigent aplicable i, si escau, les dades es mantindran el temps necessari per acreditar la correcta execució del contracte. També es poden conservar indefinidament les dades de contacte bàsiques per a futures accions comercials basades en l’interès legítim de VINTEGRIS
L’interessat comunicarà a VINTEGRIS qualsevol modificació que es produeixi a les dades facilitades, de manera que puguin mantenir-se actualitzades.
Si dins dels serveis contractats amb VINTEGRIS, es troba l’emissió de certificats de VINTEGRIS com a prestador de serveis de confiança qualificat, s’efectuarà el tractament de les dades personals facilitades amb la finalitat d’emissió i, si escau, la revocació del certificat. Les dades personals tractades es corresponen amb les dades identificatives dels titulars dels certificats i els documents aportats per aquest que acreditin la seva identitat, així com els atributs que es puguin recollir si escau al certificat. En aquells casos en què el certificat així ho requereixi, es tractaran les dades relacionades amb el càrrec que ostenta a l’empresa i/o la seva condició de representant o apoderat. A més, es tractaran les dades de contacte facilitades pel signant (correu electrònic i número de telèfon mòbil), necessàries en el procés d’emissió del certificat.
Les dades podran ser comunicades a organismes competents i auditors en compliment de la normativa vigent
La base de legitimació daquest tractament són la relació contractual existent entre ambdues parts i el compliment de la normativa vigent aplicable a la prestació de serveis de confiança.
El període de retenció de les dades serà de 15 anys des de la data en què s’extingeixi el certificat d’acord amb allò establert a la normativa aplicable.
A més, basat en l’interès legítim de Víntegris i en el compliment de requisits establerts a la normativa aplicable als prestadors de serveis de confiança, les dades recollides per a l’emissió del certificat podran ser tractades amb les finalitats d’efectuar auditories internes per verificar el funcionament correcte dels nostres processos i monitoritzar que les actuacions realitzades són correctes. Les dades es poden tractar amb aquestes finalitats el temps necessari per complir els requeriments d’auditoria. Així mateix, es poden tractar les dades personals que siguin necessàries amb fins de gestió interna de facturació dels certificats emesos, la base de legitimació és l’interès legítim del responsable del tractament a emetre la facturació dels certificats contractats, el període de retenció de les dades serà l’establert a la normativa aplicable a efectes comptables i fiscals i per atendre reclamacions derivades de la factura. Les dades podran ser tractades amb finalitats estadístiques basada en l’interès legítim del responsable del tractament.
Dades relacionades amb nebulaID (Video identificació)
Quan en l’emissió dels certificats, el procés de validació d’identitat s’efectuï emprant nebula ID, les dades personals demanades en aquest procés seran tractades amb la finalitat d’identificar i validar la identitat del sol·licitant. Les dades personals tractades són: dades de caràcter identificatiu, imatge de documents d’identitat, resultats del processat OCR dels documents d’identitat aportats, imatge gravada de vídeo com a prova de vida, incloent-hi registre de veu, registre d’auditoria del procés de verificació i dades relacionades amb les circumstàncies del sol·licitant i que tinguin relació amb el certificat (nacionalitat, càrrec o representació a l’empresa…)
Tot i que es realitza un procés de reconeixement facial aplicant tècniques biomètriques, no s’emmagatzemen dades biomètriques.
El procés de vídeo identificació i les dades personals recollides són les establertes a la normativa vigent i aquesta és la base de legitimació del tractament juntament amb el consentiment de l’interessat demanat abans de començar el procés. Linteressat és informat de la possibilitat de validar la seva identitat per altres mitjans com la validació didentitat presencial.
Aquestes dades poden ser comunicades a organismes competents i auditors en compliment de la normativa aplicable.
El període de retenció de les dades és de quinze anys des de la data d’expiració del certificat emès i cinc anys quan el procés de validació hagi estat fallit i es consideri que hi pot haver un intent de frau, i es computa des de la data de la realització, d’acord amb el que estableix la normativa vigent.
A més, basat en l’interès legítim de Víntegris i en el compliment de requisits establerts a la normativa aplicable als prestadors de serveis de confiança, les dades recollides per a l’emissió del certificat podran ser tractades amb les finalitats d’efectuar auditories internes per verificar el funcionament correcte dels nostres processos i monitoritzar que les actuacions realitzades són correctes. Les dades es poden tractar amb aquestes finalitats el temps necessari per complir els requeriments d’auditoria. Així mateix, es poden tractar les dades personals que siguin necessàries amb fins de gestió interna de facturació dels certificats emesos, la base de legitimació és l’interès legítim del responsable del tractament a emetre la facturació dels certificats contractats, el període de retenció de les dades serà l’establert a la normativa aplicable a efectes comptables i fiscals i per atendre reclamacions derivades de la factura. Les dades podran ser tractades amb finalitats estadístiques basada en l’interès legítim del responsable del tractament.
Quan en qualsevol dels tractaments de dades indicats en aquesta clàusula, es proporcionin dades de tercers, el client haurà d’informar prèviament el titular d’aquestes dades dels termes recollits a aquesta.
En qualsevol moment l’interessat pot fer una sol·licitud per exercir els seus drets reconeguts a la normativa en matèria de protecció de dades personals, mitjançant sol·licitud escrita i signada, acompanyada de còpia del seu DNI o document equivalent que acrediti la seva identitat, igualment, quan s’actuï mitjançant representació, cal acreditar-ne l’existència. Les sol·licituds aniran dirigides a VÍNTEGRIS:
VÍNTEGRIS també recorda l’interessat que té dret a presentar una reclamació davant de l’autoritat de control pertinent (Agència Espanyola de Protecció de Dades).
de Versió | Data d’entrada en vigor | Aprovat per (Nom i càrrec) | Data d’aprovació | Descripció | Autor (Nom i càrrec) | 1 | 28/02/2024 | Matthew Walsh, Conseller Delegat | 28/02/2024 | Estratègia del sistema intern d’informació i protecció de l’informant de Vintegris | Noemí Cruz, Responsable del Sistema Intern d’Informació |
|---|
En tot moment, durant el període de vigència de la subscripció, el Client tindrà la capacitat d’accedir a les Dades del Client emmagatzemades al Servei nebulaSUITE, així com també tindrà la capacitat d’extreure’ls i eliminar-les.
El client tindrà accés als registres d’auditoria de l’aplicació durant un període de 12 mesos. VÍNTEGRIS continuarà custodiant aquests registres durant més temps en aquells casos en què la legislació vigent així ho determini, però deixaran de ser accessibles pel Client a través de la plataforma.
VÍNTEGRIS conservarà les Dades del Client que segueixin emmagatzemades als Serveis nebulaSUITE en un compte amb funcionalitat limitada durant els seixanta (60) dies següents a l’expiració o terminació de la subscripció del Client, de manera que el Client pugui extreure’n les dades. Després del termini del període de retenció de seixanta (60) dies, VÍNTEGRIS desactivarà el compte del Client i eliminarà les Dades del Client i Dades Personals dins d’un període de noranta (90) dies addicionals, llevat que la legislació aplicable obligui VÍNTEGRIS a retenir aquestes dades.
En els casos que per alguna raó el Client no disposi de cap accés al vostre compte, VÍNTEGRIS posarà a la vostra disposició mecanismes alternatius perquè es pugui efectuar l’extracció de les Dades del Client.
VÍNTEGRIS no incorrerà en cap responsabilitat per eliminar les Dades del Client o Dades Personals, segons es descriu en aquesta secció.
VINTEGRIS garanteix en la prestació dels seus serveis el compliment de les mesures de seguretat establertes a la normativa eIDAS, NIS 2, ENS (Alta) i als estàndards ISO 27001, ISO 27017, ISO 27018 i ISO 27701 com acrediten les nostres certificacions en aquestes normatives i estàndards de seguretat.
Si bé, l’aplicació de les mesures de seguretat són competència de VINTEGRIS, determinades mesures de seguretat depenen de la gestió que el Client efectuï. Per garantir la seguretat de la informació el Client es compromet a:
El Client es compromet a fer una revisió periòdica dels usuaris amb accés al tenant i dels seus drets d’accés.
L’usuari serà responsable de les accions que es duguin a terme amb el vostre identificador, per la qual cosa no haurà de facilitar la utilització del seu usuari per tercers.
Els usuaris hauran de vetllar per la confidencialitat de les contrasenyes. Quan considerin que aquesta s’ha vist compromesa, hauran de procedir, al més aviat possible, al canvi de contrasenya i notificar, si escau, el possible ús no autoritzat del seu usuari.
VINTEGRIS no serà responsable de cap incident de seguretat que afecti la informació continguda al tenant del Client quan la causa d’aquest tingui l’origen en un incompliment de les obligacions establertes en aquesta clàusula
VÍNTEGRIS es reserva el dret de modificar en qualsevol moment els termes i les condicions d’aquestes Condicions Generals i/o els Annexos inclosos relacionats amb el Servei, i és aplicable en la propera renovació de la subscripció de cada Client. Si el Client no accepta aquestes noves Condicions Generals, haurà de comunicar la no renovació de la subscripció.
En cas que es requereixi un canvi d’aquestes Condicions Generals, per motius reguladors i/o legals i aquests canvis afectaran l’ús dels serveis nebulaSUITE o els drets legals al Client dels nostres Serveis, VÍNTEGRIS us enviarà al Client una notificació abans de la data d’entrada en vigor a través d’un missatge de correu electrònic a l’adreça associada al vostre compte. Aquestes Condicions actualitzades entraran en vigor en un termini no inferior a 30 dies a partir del moment en què us enviem la notificació.
Si el Client no accepta els canvis que VÍNTEGRIS hagi implementat, VÍNTEGRIS entrarà en un procés de negociació i interlocució amb el Client per intentar esmenar la disputa. En cas que el Client declini finalment aquests canvis es procedirà a cancel·lar el compte. En els casos en què aquesta mesura sigui aplicable, VÍNTEGRIS us oferirà al Client un reemborsament prorratejat en funció dels imports que ja hagi pagat pels Serveis i la data de cancel·lació del vostre compte.
Les clàusules de les presents Condicions Generals són independents entre si, motiu pel qual, si qualsevol clàusula és considerada invàlida o inaplicable, la resta de clàusules continuaran sent aplicables, excepte acord exprés en contra de les parts.
Es fa constar expressament que se n’ha lliurat còpia en suport electrònic (mitjançant posada a disposició a la pàgina web), de tota la documentació a què es refereixen aquestes Condicions Generals, així com còpia de les mateixes juntament amb la Proposta Econòmica.
Tota notificació que s’efectuï entre les parts es farà per escrit i serà lliurada personalment o de qualsevol altra manera que certifiqui la recepció per la part notificada. VÍNTEGRIS estableix a efectes de notificacions la següent adreça: administracion@vintegris.com
Qualsevol canvi de domicili d’una de les parts s’ha de notificar a l’altra de manera immediata i per un mitjà que garanteixi la recepció del missatge.
En tot allò no previst a les presents condicions generals, l’acord es regularà per la legislació espanyola civil i mercantil. La jurisdicció competent és la que s’indica a la Llei 1/2000, de 7 de gener, d’enjudiciament civil. En cas de discrepància entre les parts en relació amb la interpretació o el compliment de les presents Condicions Generals, les parts intentaran la prèvia resolució amistosa, conforme al procediment establert per VÍNTEGRIS sobre això.
Si les parts no arriben a un acord sobre això, qualsevol pot sotmetre el conflicte a la jurisdicció civil, amb subjecció als Tribunals del domicili social de VÍNTEGRIS, excepte quan la Legislació aplicable estableixi normes imperatives diferents.
En cas que VÍNTEGRIS decideixi cessar les operacions, es faran tots els esforços raonables per avisar el Client amb el màxim temps d’antelació i posar a la seva disposició mecanismes per a la recuperació de les dades personals i registres d’auditoria.
VÍNTEGRIS no incorrerà en incompliment o demora de les seves obligacions en la mesura de si el seu rendiment es retarda o es veu impedit per causes fora del control, incloent-hi, sense limitació, actes aliens a la seva voluntat, com ara: actes del Client; restriccions governamentals (inclosa la denegació o cancel·lació de qualsevol llicència d’exportació, importació o d’un altre tipus; actes de tercers que no estan sota el control de VÍNTEGRIS; actes de qualsevol òrgan governamental; pandèmies; guerra, hostilitat, insurrecció, sabotatge o conflictes armats; qualsevol embargament, incendi, inund; retard en el transport, la manca de disponibilitat o interrupció o retard en telecomunicacions o serveis de tercers; atacs de virus o hackers;
VÍNTEGRIS farà servir esforços raonables per atenuar els efectes d’un esdeveniment de força major.
Si aquest esdeveniment persisteix durant més de 30 dies, qualsevol de les parts podrà cancel·lar els Serveis pendents de prestació mitjançant notificació per escrit.
Aquesta clàusula no eximeix les parts de l’obligació d’adoptar mesures raonables per seguir els procediments normals de recuperació de desastres ni de l’obligació de pagar pels serveis.
Termes Específics dels Serveis nebulaSUITE
1.1. Recollida de dades personals. La creació de nous usuaris comporta la recollida de la informació de caràcter personal següent: nom, cognoms, identificador d’usuari, correu electrònic i telèfon (opcional). Aquesta informació es tracta d’acord amb el que especifica la clàusula desena sisena de les Condicions Generals de nebulaSUITE.
1.2. Integració amb repositori dusuaris corporatiu. La informació de caràcter personal importada a nebulaUSERS des dels repositoris corporatius s’utilitza i s’emmagatzema de la mateixa manera que la informació recollida directament. En cap cas no es recupera dels sistemes corporatius del client informació que pogués posar en risc la seguretat de l’usuari tal com la contrasenya.
1.3. Distribució de programari propietari. Tot el programari client i/o documentació publicada al portal nebulaUSERS segueix el model de llicenciament i ús detallat a la clàusula vuitena de les Condicions Generals de nebulaSUITE.
N/A
3.1. Emissió de certificats qualificats. Per a la configuració i l’activació de la funcionalitat d’emissió de certificats qualificats de l’entitat de certificació de VÍNTEGRIS en qualsevol de les seves modalitats es requereix la formalització d’un contracte específic entre VÍNTEGRIS i el client.
3.2. Modalitats del servei. nebulaID és un producte que permet crear identitats digitals verificades a partir de processos de validació de la identitat que gaudeixen del mateix reconeixement legal que la personificació. En funció de la naturalesa d’aquests processos de validació, el producte es pot consumir en les modalitats següents.
La modalitat de videoidentificació remota desatesa s’ofereix seguint els requisits establerts per la legislació vigent en matèria d’identificació digital, tal com estableix l’Ordre ETD/465/2021, de 6 de maig, per la qual es regulen els mètodes d’identificació remota per vídeo per expedir certificats electrònics qualificats.
En aquesta modalitat internament es fa ús tant de la tecnologia pròpia de VÍNTEGRIS com d’altres proveïdors tecnològics.
3.3. Definició d’estats del procés d’identificació i de mètriques de consum. A continuació, es detallen els diferents estats dels processos didentificació en la modalitat de Videoidentificació remota desatesa.
A continuació, es descriuen les diferents mètriques de consum associades als processos didentificació realitzats en la modalitat de Videoidentificació tal com shan descrit en aquest apartat.
Els processos contractats pel client es comptabilitzaran per tant de la següent manera:
Si VÍNTEGRIS i el client no acorden un PCMA específic, aquest s’assumirà d’un 20%.
3.4. Acords de Nivell de Servei (SLA) del servei d’Operadors de Registre de VÍNTEGRIS.
L’ús de nebulaID en la seva modalitat de videoidentificació remota desatesa requereix la revisió manual de les evidències biomètriques per part d’un operador de registre, la disponibilitat del qual condiciona de manera directa el temps de resposta entre la realització del procés per part de l’usuari sol·licitant i el moment en què es valida la identitat de l’usuari i es pot prosseguir amb l’emissió del certificat electrònic qualificat.
Aquest temps de resposta està regulat mitjançant un Acord de Nivell de Servei o SLA entre el client i VÍNTEGRIS, que regula les condicions límit en què es gestiona cada petició. Aquest SLA es defineix de la manera següent.
VÍNTEGRIS no garanteix cap SLA que no hagi quedat clarament reflectit prèviament en un acord entre les dues parts. Això inclou tant els temps de resposta per part de loficina de registre, com els percentatges de conversió del procés de videoidentificació o disponibilitat del servei de videoidentificació.
4.1. Ús de certificats qualificats. És responsabilitat del client fer un ús dels seus certificats digitals qualificats d’acord amb allò estipulat pel prestador de serveis de confiança emissor dels mateixos. Les condicions d’ús dels certificats es detallen al full d’acceptació o contracte que signa el titular del certificat en el moment del seu lliurament, i aquest ús ha de ser conforme amb la Llei aplicable, incloent-hi qualsevol llei que reguli l’autenticació de signatura i la delegació de signatura. VÍNTEGRIS no es responsabilitzarà de les conseqüències de l’incompliment del contracte entre el titular del certificat i l’entitat de certificació emissora, o de qualsevol ús indegut d’un certificat, i la clau privada associada, per part del titular.
5.1. Formats de signatura. nebulaSIGN permet generar els formats de signatura més comuns, entre els quals es troben els formats CAdES, PAdES i XAdES en les diferents modalitats. Informació detallada sobre els diferents formats de signatura reconeguts es pot consultar al portal de l’administració electrònica: http://firmaelectronica.gob.es/Home/Ciudadanos/Formatos-Firma.html
N/A
7.1 Recollida de dades personals. Durant el procés d’alta es fa la recollida de la informació de caràcter personal següent: nom, cognoms, companyia i correu electrònic. Aquesta informació es tracta d’acord amb el que especifica la clàusula setzena de les Condicions Generals de nebulaSUITE.
Acords de Nivell de Serveis (SLA)
Aquest Contracte de Nivell de Servei (SLA) dels Serveis de nebulaSUITE és una política que regeix l’ús de nebulaSUITE i s’aplica de manera independent a cada servei. En cas de conflicte entre els termes d’aquest SLA i les Condicions Generals, s’apliquen els termes i les condicions d’aquest SLA, però només en la mesura d’aquest conflicte. Els termes utilitzats en el present i no definits aquí tindran els significats establerts a les Condicions Generals.
VÍNTEGRIS posa a disposició del CLIENT un equip de suport tècnic compost per enginyers amb àmplia experiència en l’àmbit de la seguretat dels sistemes d’informació, certificats digitals i signatura electrònica amb prou experiència i capacitació per oferir un servei de suport personalitzat i de qualitat.
El servei de suport està disponible mitjançant diferents modalitats d’utilització per part del CLIENT: Suport Estàndard, Suport Plus i Suport Plus 24×7.
SUPORT ESTÀNDARD
Inclòs per defecte i sense cost addicional amb totes les subscripcions del servei de nebulaSUITE.
El Suport Estàndard està disponible durant el període de subscripció actiu, sempre que aquest estigui al corrent de pagament.
El Suport Estàndard no inclou, en cap cas:
Procés a seguir per comunicar una incidència:
En notificar una nova incidència, el client haurà de proporcionar a VÍNTEGRIS les dades següents a través del Portal de Suport ( https://vintegris.zendesk.com/ ):
L’usuari del CLIENT responsable de crear una incidència estarà disponible per atendre les sol·licituds d’informació, proves o col·laboració directa que els enginyers de suport puguin necessitar per al diagnòstic de la incidència.
Si en un període de 5 dies laborables el CLIENT no proporcionés les dades o els resultats de proves requerits pels enginyers de suport, o no respongués a algun altre requeriment, l’incident passarà a estat finalitzat, encara que es donarà opció de la seva reobertura si fos necessari.
El temps de resposta, segons la severitat de la incidència oberta al Suport Estàndard, és el següent:
Severitat | Tipus Incidents (1) | Temps Màx. Resposta (2) | Mètode Contacte | Severitat 3 | Incidències aïllades amb afectació baixa.
Incidències del producte que afecten entorns de Test, Proves o Pre-Producció. | 2 dies laborables | Portal de suport amb seguiment a través del portal i correu electrònic.
|
|---|---|---|---|
Severitat 2 | Incidències del producte que no afecten un entorn Productiu o que no tenen gran impacte ni urgència.
Incidències del producte que n’impedeixen l’ús de manera esporàdica o individual als usuaris. | 1 dia laborable | Portal de suport amb seguiment a través del portal i correu electrònic. |
Severitat 1 | Incidències Crítiques, que afecten entorn Productiu amb gran impacte o urgència.
Incidència del producte que impedeix dur a terme les funcions principals del producte a totes les estacions de treball o usuaris (gran impacte). | 4 hores laborables | Portal de suport amb seguiment a través del portal i correu electrònic. |
(1) Tipus d’incident: Quan les incidències creades pel CLIENT no s’adaptin a la descripció corresponent a la seva severitat segons aquesta taula, l’equip de suport podrà canviar el nivell de severitat d’acord amb aquesta a la seva discreció.
(2) Temps màxim de resposta: És el temps màxim establert durant el qual el personal de suport de VÍNTEGRIS es posarà en contacte amb el CLIENT, per fer la presa de dades referent a la incidència de producte i assignació de personal per a la seva anàlisi i resolució.
SUPORT PLUS
Disponible només mitjançant contractació específica per part del CLIENT. És possible contractar el Suport Plus sempre que hi hagi una subscripció a nebulaSUITE activa i al corrent de pagament.
SUPORT PLUS és un servei per oferta específica de Víntegris a determinats CLIENTS sota el criteri de Víntegris. El servei de Suport Plus contractat haurà d’estar sempre dins del període de subscripció nebulaSUITE contractat.
Per contractar aquest servei cal contactar amb Víntegris
(3) Les sol·licituds de Suport Plus s’atendran sota el mateix SLA del suport estàndard. El termini de resolució daquestes peticions serà variable en funció de la seva naturalesa i es gestionarà a través del tiquet. El procediment que cal seguir per donar d’alta una incidència coberta pel suport estàndard és el mateix que s’indica més amunt per a aquesta modalitat de suport.
(4) Consultar l’apartat corresponent per a informació detallada de tasques i serveis inclosos i exclosos a cadascuna de les categories enumerades
Disponible només mitjançant contractació específica per part del CLIENT. És possible contractar el Suport Plus 24×7 sempre que hi hagi una subscripció a nebulaSUITE activa i al corrent de pagament.
SUPORT PLUS és un servei per oferta específica de Víntegris a determinats CLIENTS sota el criteri de Víntegris. El servei de Suport Plus 24×7 contractat haurà d’estar sempre dins del període de subscripció nebulaSUITE contractat.
Severitat | Tipus Incidents (1) | Temps Màx. Resposta (2) | Mètode Contacte |
|---|---|---|---|
Severitat 1 | Incidències Crítiques, que afecten entorn productiu amb gran impacte o urgència.
Incidències del producte que impedeixen dur a terme les funcions principals del producte a totes les estacions de treball o usuaris (gran impacte). | 2 hores | Per telèfon mitjançant interlocutor del CLIENT designat prèviament. |
(5) Es recomana l’ús de la Hotline telefònica únicament fora de l’horari laboral normal, ja que els canals habituals permeten la gestió d’incidències crítiques en aquest període.
Per contractar aquest servei cal contactar amb Víntegris.
Mitjançant el servei de Suport Plus, VÍNTEGRIS presta un servei d’ajuda i col·laboració als seus clients que va més enllà del Suport Estàndard inclòs per defecte amb cada subscripció nebulaSUITE o algun dels seus components.
Està dirigit a aquells clients que en fan un ús intens, funcional o freqüent, de nebulaSUITE a les organitzacions, principalment a través de:
Administradors de nebulaSUITE
Aquest servei no pretén ser un servei gestionat que substitueixi la tasca que cada un dels col·lectius anteriors exerceix a l’organització del CLIENT, sinó una eina d’assistència per poder resoldre dubtes o dur a terme accions per a les quals, pel seu caràcter especialitzat o, senzillament, desconeixement, no estan inicialment capacitats.
Per això, llevat que l’equip de suport determini el contrari, totes les accions de servei que es prestin a través del Suport Plus necessitaran la col·laboració activa d’almenys la persona sol·licitant de la mateixa i les tasques necessàries per a la seva execució es duran a terme mitjançant la interacció directa entre el personal de suport i aquesta persona.
Igualment, encara que les accions que es duguin a terme amb els sol·licitants tindran, en la mesura del possible, caràcter didàctic perquè l’usuari sol·licitant pugui millorar la seva capacitació en l’ús de la nostra tecnologia, Suport Plus no és un servei de formació, així com tampoc és una eina per crear documentació específica per als usuaris del CLIENT.
Totes les accions de servei en el marc de Suport Plus estaran limitades per les capacitats tècniques de nebulaSUITE a l’hora de prestar el servei específic. S’indicarà oportunament si la sol·licitud no pot ésser atesa per excedir-les o estar fora de l’abast funcional de la nostra solució.
Els components on-premise sobre els quals es requereixin accions específiques han d’utilitzar versions oficialment suportades; en cas de no ser-ho, es coordinarà amb el CLIENT l’actualització d’aquestes.
Resolució de dubtes d’ús o funcionament estesos que no queden coberts pel suport estàndard.
Donar suport directament al CLIENT en tasques específiques d’operació del servei als seus entorns corporatius, encara que no estiguin causades per unes incidències o mal funcionament de nebulaSUITE o algun dels seus components.
Entre altres, s’inclouen la tipologia d’accions següent:
Proveir suport directe per a l’actualització i configuració de components on-premise del servei:
Proveir suport al desenvolupament d’aplicacions integrades mitjançant l’API-REST de nebulaSUITE
Ajuda a usuaris i operadors en processos de sol·licitud, aprovació i emissió de certificats de Víntegris
Amb l’objectiu de garantir la disponibilitat del servei de Suport Plus per a tots els clients, hi ha límits lògics a l’ús d’aquest servei. Aquestes limitacions figuren a les condicions de contractació particulars del CLIENT.
VÍNTEGRIS proporciona serveis de manteniment i actualització del programari, consistent en una nova versió del programari amb què s’eliminen els errors existents de la versió actual del mateix o en millores del programari.
VÍNTEGRIS es reserva el dret a suspendre, totalment o parcialment, el servei contractat en el cas que adverteixi, detecti i/o comprovi en les tasques de manteniment qualsevol alteració que alenteixi o comporti un menyscapte en la prestació del servei o dels drets dels clients o tercers; també si es detectés un risc o vulnerabilitat per a la seguretat del Servei.
VÍNTEGRIS es reserva el dret de procedir a realitzar de forma unilateral l’Actualització o millora de les seves solucions, sense repercutir cap cost addicional a la subscripció vigent, sense perjudici de la negociació en la renovació de la subscripció.
El Client es compromet a facilitar a VÍNTEGRIS, sense que li sigui sol·licitat, tota la informació necessària per a la correcta avaluació i execució de la corresponent sol·licitud de servei per comprovar i conèixer les possibles causes relatives a les condicions del sistema operatiu i altres elements que puguin afectar la navegació.
A més, el Client està obligat a instal·lar les actualitzacions posades a disposició per VÍNTEGRIS ia utilitzar únicament la versió més actual del programari o la immediatament anterior.
VÍNTEGRIS no serà responsable d’accions derivades o perjudicis produïts pel funcionament de la Plataforma per no complir aquesta amb les expectatives del CLIENT o quan es puguin deure a problemes que portin causa als propis sistemes i actius del CLIENT.
Tret que s’especifiqui el contrari a les clàusules particulars de cada servei, els serveis de VÍNTEGRIS a Cloud estan disponibles les 24 hores del dia, 7 dies a la setmana.
VÍNTEGRIS farà tots els esforços comercialment raonables per garantir la disponibilitat dels serveis amb un percentatge de disponibilitat de servei mitjà o PDSM almenys del 99,5%, sense incloure el temps d’inactivitat justificat. VÍNTEGRIS supervisarà la disponibilitat del Servei de manera automatitzada les 24 hores del dia, 7 dies a la setmana.
Davant una indisponibilitat del servei planificada per actualització de la plataforma, VÍNTEGRIS ho comunicarà amb antelació als seus clients, indicant el motiu del tall de servei, dia, franja horària i serveis afectats. Per això, és responsabilitat del client mantenir actualitzada la vostra informació de contacte per a notificacions durant tota la vigència dels Serveis.
Les actualitzacions de producte no tenen una periodicitat concreta. En cas que arribés a afectar la disponibilitat del Servei, us notificarem, d’acord amb l’apartat anterior.
El Compromís de Servei no s’aplica a cap indisponibilitat, suspensió o terminació de qualsevol dels serveis, o qualsevol altre problema d’acompliment: (i) que resulti d’una suspensió; (ii) causada per factors aliens al control raonable de VÍNTEGRIS, incloent-hi qualsevol esdeveniment de força major o accés a Internet o problemes relacionats més enllà del seu punt de demarcació; (iii) que resulti de qualsevol acció o omissió per part del Client o d’un tercer; (iv) que resulti de personal del Client, programari o qualsevol altra tecnologia i/o equip, programari o tecnologia d’un tercer (diferent d’un equip de tercers que estigui sota el control directe de VÍNTEGRIS); (v) que resulti d’una suspensió i una terminació del dret a utilitzar els serveis per part del Client de conformitat amb el contracte de servei; (vi) que afecti entorns de prova, desenvolupament, preproducció o entorns amb finalitats comercials.
(Data Processing Agreement VÍNTEGRIS 2022-ES.Rev.1.3_rev)
Aquest Acord de Tractament de Dades (ATD) és un acord entre el sol·licitant i l’entitat que representa el (Client) i Víntegris, SL (“VÍNTEGRIS”) i estableix les obligacions d’ambdues parts respecte al tractament i la seguretat de les dades personals de què és responsable el Client en relació amb l’ús dels Serveis de nebulaSUITE.
Aquest ATD complementa Condicions Generals del Servei nebulaSUITE disponible a https://old.vintegris.com/es/nebulasuite-service-terms/ o un altre acord entre el Client i VÍNTEGRIS que regeix l’ús per part del Client de Serveis de nebulaSUITE prestats per VÍNTEGRIS quan en l’ús d’aquests serveis sigui d’aplicació7 Reglament (1) Consell de 27 d’abril de 2016 relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals ia la lliure circulació d’aquestes dades (RGPD).
Queden exceptuats d’aquest acord, els tractaments de dades personals que VÍNTEGRIS pugui realitzar com a Responsable del Tractament, en la contractació de serveis relacionats amb la seva condició de prestador de serveis de confiança i el tractament de dades personals dels quals s’estableix a la clàusula desena sisena.
Per a aquest ATD:
Llei de protecció de dades aplicable significa les lleis i regulacions aplicables on es realitza el tractament de dades, que s’apliquen als termes d’aquest ATD i que poden variar amb el pas del temps. Comprendre tant el Reglament (UE) 2016/679 del Parlament Europeu i del Consell de 27 d’abril de 2016 relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals ia la lliure circulació d’aquestes dades (“RGPD”) com les lleis locals aplicables on es duu a terme el tractament.
Responsable o Responsable del tractament significa la persona física o jurídica, autoritat pública, agència o un altre organisme que, sol o conjuntament amb altres, determina els fins i mitjans del tractament de dades personals; quan els fins i els mitjans d’aquest tractament estiguin determinats per la legislació de la Unió o dels Estats membres, el responsable del tractament o els criteris específics per designar-los poden estar previstos per la legislació de la Unió o dels Estats membres;
“Encarregat” o “Encarregat del tractament” significa una persona física o jurídica, autoritat pública, agència o un altre organisme que processa dades personals en nom del responsable del tractament;
“Interessat” significa una persona que és el subjecte de les dades personals “ATD”, “aquest ATD”, “aquest acord ATD” és aquest Acord de Tractament de Dades;
Dades personals significa tota informació sobre una persona física identificada o identificable (“l’interessat”); es considera persona física identificable tota persona la identitat de la qual es pugui determinar, directament o indirectament, en particular mitjançant un identificador, com ara un nom, un número d’identificació, dades de localització, un identificador en línia o un o diversos elements propis de la identitat física, fisiològica, genètica, psíquica, econòmica, cultural o social d’aquesta persona;
“Autoritat supervisora” significa una autoritat pública independent establerta per un estat membre que s’ocupa de la supervisió del processament de dades personals per tal de protegir els drets i les llibertats fonamentals de les persones físiques pel que fa al tractament de les dades;
“Dades del Client” són totes les dades personals (incloses les dades personals recollides als certificats digitals) que les persones autoritzades del Client incorporen a les bases de dades i sistemes d’allotjament de cada servei, així com aquelles que es puguin generar i conservar mitjançant l’ús dels serveis de nebulaSUITE. El Client és responsable del tractament d’aquestes dades personals.
“Serveis”, “Serveis nebulaSUITE” són els serveis de Programari com a servei (SaaS). Són els serveis prestats a través d’internet per VÍNTEGRIS a favor del Client, en relació amb l’ús del servei contractat, a través de la plataforma de nebulaSUITE i dins de la infraestructura de computació al núvol;
Subencargats , aquella persona física o jurídica, autoritat pública, agència o un altre organisme, contractada per un encarregat del tractament per prestar part o la totalitat dels serveis objecte d’un encàrrec del tractament. Tota subcontractació de serveis derivada d’un encàrrec del tractament és autoritzada pel responsable del tractament. A l’encàrrec del tractament regulat per aquest ATD són subencarregats del tractament els encarregats del tractament que Microsoft utilitza per tractar les Dades del Client, les Dades de Serveis Professionals i les Dades Personals, com es descriu a l’article 28 del RGPD.
En cas de contradicció entre aquest plec de clàusules i les disposicions d’acords connexos entre les parts que estiguin en vigor en el moment en què es pactés o es comencés a aplicar aquest plec de clàusules, prevaldrà aquest plec de clàusules.
A l’annex II s’especifiquen els detalls de les operacions de tractament i, en particular, les categories de dades personals i els fins per als quals es tracten les dades personals per compte del responsable.
6.1. Instruccions
El responsable del tractament instruirà l’encarregat perquè tracti les dades personals de la manera que sigui raonablement necessària perquè l’encarregat dugui a terme el tractament de conformitat amb aquest ATD i de conformitat amb el Reglament (UE) 2016/679.
L’encarregat tractarà les dades personals únicament seguint instruccions documentades del responsable, d’acord amb els termes de servei establerts a les Condicions Generals del Servei nebulaSUITE, llevat que hi estigui obligat en virtut del Dret de la Unió o dels Estats membres que s’apliqui a l’encarregat. En aquest cas, l’encarregat informarà el responsable d’aquesta exigència legal prèvia al tractament, llevat que aquest dret ho prohibeixi per raons importants d’interès públic. El responsable també podrà donar instruccions ulteriors a qualsevol moment del període de tractament de les dades personals. Aquestes instruccions han d’estar sempre documentades.
El responsable del tractament s’abstindrà de proporcionar instruccions que no s’ajustin a les lleis aplicables, inclòs el Reglament (UE) 2016/679 i, en cas que es donin les instruccions esmentades, l’encarregat del tractament té dret a desistir de dur-les a terme.
L’encarregat informarà immediatament el responsable si les instruccions donades pel responsable infringeixen, segons el parer de l’encarregat, el Reglament (UE) 2016/679, el Reglament (UE) 2018/1725 o les disposicions aplicables del Dret de la Unió o dels Estats membres en matèria de protecció de dades.
L’encarregat no ha de divulgar cap dada personal a un tercer en cap circumstància que no sigui per sol·licitud escrita específica del responsable, llevat que aquesta divulgació sigui necessària per complir les obligacions de l’Acord de servei o sigui requerida en virtut del dret de la Unió o dels estats membres que s’apliqui a l’encarregat.
6.2. Limitació de la finalitat
L’encarregat tractarà les dades personals únicament per a les finalitats específiques del tractament indicades a l’annex II, llevat que segueixi instruccions addicionals del responsable.
6.3. Durada del tractament de dades personals
El tractament per part de lencarregat només es realitzarà durant el període especificat a lannex II.
6.4. Seguretat del tractament
a) El sistema d’informació que dóna suport als serveis prestats per Vintegris està certificat a l’Esquema Nacional de Seguretat (categoria ALTA) i als estàndards ISO 27001, 27017, 27018 i 27701. Vintegris ha de posar a disposició del Client els certificats corresponents d’aquestes normes quan aquest ho requereixi.
b) Les mesures de seguretat tècniques i organitzatives aplicades al tractament de dades objecte de la prestació del servei són les establertes als estàndards recollits a l’apartat (a).
c) El responsable del tractament considera adequades les mesures de seguretat implantades per Vintegris.
d) L’encarregat només concedirà accés a les dades personals tractades als membres del personal en la mesura que sigui estrictament necessari per a l’execució, la gestió i el seguiment del contracte.
e) L’encarregat ha de garantir que les persones autoritzades per tractar les dades personals rebudes s’hagin compromès a respectar la confidencialitat o estiguin subjectes a una obligació de confidencialitat de naturalesa estatutària. L’encarregat haurà de mantenir a la disposició del responsable del tractament tots els registres documentats del compliment de l’obligació de confidencialitat.
f) L’encarregat ha d’assegurar-se que totes les persones autoritzades per processar dades personals rebin la formació necessària en protecció de dades personals.
6.5. Dades sensibles
Si el tractament de dades realitzat per Vintegris., en qualitat d’encarregat del tractament, afectés dades sensibles, el responsable del tractament serà l’únic responsable de complir els requeriments establerts a la normativa vigent en matèria de protecció de dades per poder efectuar el tractament d’aquestes dades.
6.6. Documentació i compliment
a) Les parts han de poder demostrar el compliment del plec de clàusules d’aquest ATD.
b) L’encarregat ha de resoldre amb prestesa i de manera adequada les consultes del responsable relacionades amb el tractament d’acord amb aquest plec de clàusules.
c) L’encarregat ha de designar a l’annex I un punt de contacte dins de la seva organització autoritzada per respondre a les consultes relacionades amb el processament de les dades personals i ha de cooperar amb el controlador, l’interessat i l’autoritat de supervisió respecte a totes aquestes consultes dins d’un temps raonable.
d) L’encarregat ha de posar a disposició del responsable tota la informació necessària per demostrar el compliment de les obligacions que preveu aquest plec de clàusules i que derivin directament del Reglament (UE) 2016/679.
e) A instància del responsable, l’encarregat permetrà i contribuirà a la realització d’auditories de les activitats de tractament cobertes pel present plec de clàusules, a intervals raonables o si hi ha indicis d’incompliment. En decidir si es realitza una auditoria, el responsable podrà tenir en compte les certificacions pertinents que obrin en poder de lencarregat i que acrediten el compliment de les seves obligacions verificat per un tercer independent.
Aquestes auditories se sol·licitaran amb un avís raonable i es faran durant l’horari laboral de l’encarregat del tractament. La sol·licitud pot estar subjecta a qualsevol consentiment o aprovació necessaris per una autoritat supervisora dins del país del responsable del tractament.
El cost de l’auditoria, quan sigui realitzada per un tercer designat pel Client, serà assumit totalment per aquest. Si l’auditoria és realitzada per tercers contractats pel Client, no hi pot haver conflicte d’interessos amb Vintegris. Les auditories s’han de limitar exclusivament als serveis i la informació del Client, sense que es pugui accedir a informació de tercers. Els procediments i normatives de l’encarregat són, exclusivament, d’ús intern i confidencial, per la qual cosa no es poden fer còpies d’aquests documents en la realització d’auditories, llevat dels apartats que siguin consensuats amb Vintegris.
6.7. Recurs a subencarregats
6.8. Transferències internacionals
El responsable del tractament garanteix i es compromet que:
a) L’encarregat notificarà amb prestesa al responsable les sol·licituds que rebi de l’interessat. No respondrà a aquesta sol·licitud per si mateix, llevat que el responsable l’hagi autoritzat a fer-ho.
b) L’encarregat col·laborarà amb el responsable en el compliment de les seves obligacions relacionades amb la gestió de les sol·licituds d’exercici de drets dels interessats, traslladant-lo el més aviat possible de les sol·licituds que pogués rebre i, si s’escau, facilitar-li la informació necessària o realitzant, quan el responsable així ho sol·liciti, les accions necessàries per complir l’exercici d’aquests drets.
c) A més de l’obligació de l’encarregat d’ajudar el responsable en virtut de la clàusula 8, lletra b), l’encarregat també ajudarà el responsable a garantir el compliment de les obligacions següents tenint en compte la naturalesa del tractament i la informació de què disposi l’encarregat:
d) Les parts han d’establir a l’annex III mesures tècniques i organitzatives apropiades que obliguin l’encarregat a ajudar el responsable a aplicar aquesta clàusula, així com l’objecte i l’abast de l’ajut requerit.
En cas de violació de la seguretat de les dades personals, l’encarregat comunicarà al responsable en el termini màxim de 36 hores el possible incident de seguretat que afecti les dades personals propietat del responsable i hi col·laborarà en la gestió de l’incident fins a la seva resolució, així com en l’elaboració dels informes necessaris per a l’autoritat de control.
Aquest ATD es regirà i interpretarà en tots els aspectes d’acord amb les lleis i les regulacions del país de la UE on té lloc el tractament de dades. Les parts del present acord se sotmeten a la jurisdicció exclusiva del lloc on es fa el tractament de dades per a tots els fins d’aquest ATD.
Nom: El Client que contracta els serveis de nebulaSUITE sota les Condicions Generals del Servei acordades
Adreça: Segons s’especifica a l’acord o contracte de prestació de serveis de nebulaSUITE subscrit entre ambdues parts
Departament/empleat de referència: Segons s’especifica a l’acord o contracte de prestació de serveis de nebulaSUITE subscrit entre ambdues parts
Nom, càrrec i dades de contacte de la persona de contacte: Segons s’especifica a l’acord o contracte entre ambdues parts
Data d’adhesió: Data d’entrada en vigor el contracte o acord de prestació de serveis de nebulaSUITE subscrit per ambdues parts
Nom: VÍNTEGRIS, SL
Adreça: Carrer Pallars, 99, Planta 3, Oficina 33, 08018 Barcelona, Espanya
Departament/empleat de referència: Segons s’especifica a l’acord o contracte de prestació de serveis de nebulaSUITE subscrit entre ambdues parts.
Dades de contacte de la persona de contacte: incidentsRGPD@old.vintegris.com
Data d’adhesió: Data d’entrada en vigor el contracte o acord de prestació de serveis de nebulaSUITE subscrit per ambdues parts
Les dades personals seran tractades amb la finalitat de prestar els serveis de nebulaSuite descrits a l’ANNEX I dels Termes i Condicions Generals que siguin contractats pel Client.
En queden exclosos els serveis contractats pel Client que estiguin relacionats amb els serveis prestats per Vintegris en la seva condició de prestador de serveis de confiança qualificat.
En relació amb la prestació de serveis de confiança, es considerarà únicament que hi ha un encàrrec del tractament quan el Client sigui un prestador de serveis de confiança qualificat (QTSP) i contracti els serveis de Vintegris com a RA delegada d’aquest.
Categories d’interessats les dades personals de les quals es tracten
Depenent dels serveis contractats:
Depenent dels serveis contractats:
Depenent dels serveis contractats:
Depenent dels serveis contractats:
VINTEGRIS aplica les mesures de seguretat tècniques i organitzatives necessàries per garantir un nivell adequat de seguretat de la informació per tal de protegir la confidencialitat de les dades personals, així com protegir-les contra la destrucció accidental o il·lícita o la pèrdua accidental, alteració, divulgació o accés no autoritzat, tenint en compte la naturalesa, l’abast, el abast, el context i la finalitat físiques.
Aquestes mesures estan implantades sota el marc d’un Sistema de Gestió de la Seguretat de la informació que disposa de la certificació ISO 27001, 27701 i 27018, així com les certificacions de l’Esquema Nacional de Seguretat (ENS), en categoria ALTA i el compliment de la normativa eIDAS i NIS2 com a prestadors de serveis de confiança qualificats
D’altra banda, el Client és responsable de la implantació i el manteniment de les mesures de seguretat i protecció de les dades personals pertinents com a usuari dels Serveis en aquells aspectes que estan sota el seu control.
En conseqüència, VÍNTEGRIS confirma que ha implantat les mesures enumerades a continuació que apliquen als tractaments que duu a terme per compte del responsable.
CONTROLS DE SEGURETAT IMPLANTATS
Polítiques d’organització | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|
Política de seguretat | Hi ha una política de seguretat de la informació i protecció de dades personals publicada i coneguda per tot el personal i col·laboradors
| |||||||||
Responsable de seguretat | VÍNTEGRIS ha designat un Responsable de Seguretat de la Informació (“CIS”) com a responsable de coordinar i supervisar les regles i els procediments de seguretat
| |||||||||
Rols i responsabilitats en matèria de seguretat | Els rols i les responsabilitats en matèria de seguretat de la informació estan definits i assignats apropiadament dins de l’organització.
El personal de VÍNTEGRIS que gestiona els serveis que contenen dades del client està subjecte a obligacions de confidencialitat ia la normativa de seguretat de la informació i protecció de dades personals | |||||||||
Programa de gestió de riscos | En el marc del Sistema de Gestió de la Seguretat de la Informació hi ha un pla d’avaluació i tractament de riscos de seguretat de la informació i es revisa periòdicament
| |||||||||
Avaluació continua | VÍNTEGRIS realitza una verificació i avaluació periòdica de l’eficàcia de les mesures tècniques i organitzatives implantades per protegir la seguretat en la informació als sistemes de tractament, centres de treball i usuaris que els utilitzen.
Aquesta avaluació i revisió es fa sota el criteri dels estàndards de seguretat de la indústria i les pròpies polítiques i procediments determinats pel Sistema de Gestió de la Seguretat de la Informació | |||||||||
Política de seguretat de proveïdors | Hi ha un procés formal que permet valorar el compliment dels requisits de seguretat informació que han de complir els proveïdors que tracten informació i dades personals.
Únicament es dóna accés a la informació als proveïdors quan hi hagi una necessitat legítima que justifiqui aquest accés | |||||||||
Personal i col·laboradors | ||||||||||
Compromís de confidencialitat | Tot el personal i col·laboradors amb accés a la informació i les dades personals ha signat un compromís pel que fa a:
| |||||||||
Normativa interna de seguretat de la informació | Hi ha una normativa de seguretat de la informació, protecció de dades personals i ús dels mitjans informàtics que tot el personal i col·laboradors s’han compromès a complir | |||||||||
Formació en seguretat de la informació | Tot el personal i col·laboradors amb accés a la informació i dades personals ha rebut una formació adequada pel que fa a la seguretat de la informació i la protecció de les dades personals
| |||||||||
Normes dús dels sistemes dinformació | La normativa de seguretat de la informació estableix les normes dús acceptable dels sistemes dinformació i equips que el personal té al seu càrrec
| |||||||||
Prohibició dús per a fins personals dels equips corporatius | S’ha establert que no es permet l’ús per a fins particulars dels ordinadors i dispositius destinats al tractament de la informació corporativa i les dades personals.
Tampoc no es permet l’accés a informació corporativa des d’equips particulars. | |||||||||
Seguretat al lloc de treball | ||||||||||
Equips desatesos | S’ha establert un mecanisme perquè quan un equip quedi desatès es procedeixi al bloqueig de la pantalla o al tancament de la sessió
| |||||||||
Custòdia de documentació | S’ha establert una normativa perquè en cap moment quedi documentació en paper o suports d’informació sense custòdia al lloc de treball
| |||||||||
Destrucció segura de la informació | S’han establert mecanismes per facilitar la destrucció segura de la informació confidencial en paper o altres suports electrònics
| |||||||||
Lloc de teletreball segur | S’ha establert una política perquè el teletreball es pugui fer de manera segura | |||||||||
Seguretat dels dispositius mòbils | S‟ha establert una política per protegir l‟ús dels dispositius mòbils i la informació que puguin contenir | |||||||||
Gestió d’incidents i bretxes de seguretat | ||||||||||
Procediment de gestió d’incidents | S’ha definit un procediment per registrar i resoldre els incidents que afectin la seguretat de la informació i les dades personals | |||||||||
Accés als sistemes | ||||||||||
Política de control d’accessos | VÍNTEGRIS manté una política de control d’accés que determina els privilegis de seguretat de les persones que tenen accés a la informació | |||||||||
Autorització d’accés | Hi ha un procés formal per gestionar l’autorització, l’alta, la baixa i la modificació d’accessos dels usuaris als sistemes | |||||||||
Comptes individuals | Cada persona utilitza un compte d’usuari individual i intransferible | |||||||||
Privilegi mínim | VÍNTEGRIS ha definit i aplica una política de mínim accés per defecte, que garanteix que el personal i col·laborades únicament tenen accés a la informació que requereixen per exercir les tasques del seu lloc de treball | |||||||||
Comptes amb accés privilegiat | Per fer tasques d’administració i configuració dels sistemes s’utilitzen comptes d’accés nominals amb drets privilegiats que són diferents i segregats dels comptes d’ús ordinari dels sistemes | |||||||||
Autenticació | VÍNTEGRIS utilitza pràctiques estàndards del sector per identificar i autenticar els usuaris que intenten accedir als sistemes d’informació.
Per accedir a aquelles xarxes més exposades o administració de sistemes es fan servir sistemes de doble factor d’autenticació. Tots els sistemes inclouen controls per evitar els intents reiterats per aconseguir accés als sistemes d’informació mitjançant una contrasenya invàlida. Ús de MFA. | |||||||||
Seguretat de les contrasenyes | Es garantirà l’existència de polítiques de contrasenyes (o mecanismes equivalents) per a l’accés als sistemes i les aplicacions que compleixen com a mínim el següent:
| |||||||||
Confidencialitat de les contrasenyes | Hi ha una normativa per assegurar la confidencialitat de les contrasenyes, evitant que quedin exposades o siguin compartides amb tercers.
Internament, totes les contrasenyes es guarden aplicant algorismes de xifratge irreversibles | |||||||||
Registres d’accessos | Es manté i es supervisa un registre dels accessos i intents d’accés als sistemes. | |||||||||
Actius de tractament de la informació | ||||||||||
Inventari d’actius | Es disposa d’un inventari dels sistemes i equips utilitzats en el tractament de la informació, amb la informació de la persona responsable d’aquest equip | |||||||||
Rebuig i reutilització segura | S’han definit processos formals per a la deixalla i/o reutilització segura dels equips de tractament de la informació | |||||||||
Manteniment dels equips | Els sistemes i equips utilitzats per al tractament de la informació estan degudament mantinguts o actualitzats | |||||||||
Protecció contra codi maliciós (malware) | Els equips en què es processa o emmagatzema informació disposen de protecció antimalware permanentment activa i actualitzada
| |||||||||
Actualització del programari | Tot el programari que es fa servir per al tractament de la informació està degudament actualitzat i sense vulnerabilitats greus conegudes | |||||||||
Bastionat dels sistemes | S’han aplicat mesures de bastionat dels sistemes com, entre d’altres:
| |||||||||
Limitació a la instal·lació de programari per part dels usuaris | Hi ha una normativa o mesures tècniques per impedir que el personal pugui instal·lar programari no autoritzat als seus equips de treball, així com perquè no es pugui utilitzar programari que pugui violar la propietat intel·lectual de tercers | |||||||||
Limitació de privilegis dadministració | S’han implantat mesures tècniques perquè els usuaris no puguin modificar o desactivar les configuracions de seguretat dels equips
| |||||||||
Restricció d’ús per a fins personals | Hi ha una normativa que prohibeix l’ús privat o per a fins personals dels equips corporatius
| |||||||||
Protecció de la informació en trànsit i en repòs | ||||||||||
Protecció perimetral de xarxes | Hi ha protecció perimetral de la xarxa per protegir-la davant d’atacs i accessos indeguts a aquells sistemes en què es faci l’emmagatzematge i/o tractament de la informació i les dades personals | |||||||||
Segregació de xarxes | S’ha configurat la xarxa de manera que hi hagi zones de seguretat segregades d’acord amb els diferents requisits de seguretat establerts. | |||||||||
Protocols assegurances de transmissió d’informació | Tot el trànsit a les xarxes de l’organització, especialment quan discorre totalment o parcialment per xarxes públiques, està xifrat mitjançant protocols segurs i sense vulnerabilitats greus conegudes (per exemple, mínim TLS 1.2) | |||||||||
Accés remot segur | Per a l’accés remot a la xarxa de l’organització, per exemple mitjançant xarxes virtuals (VPN), s’utilitzen protocols segurs i claus d’autenticació dels extrems de la comunicació | |||||||||
Xifratge d’informació en suports trànsit | Hi ha mecanismes per xifrar la informació en suports i equips en trànsit fora de les instal·lacions de tractament habitual | |||||||||
Anàlisi de vulnerabilitats | Periòdicament es fan proves per verificar que les xarxes estan lliures de vulnerabilitats i s’apliquen les mesures correctores necessàries | |||||||||
Segregació de xarxes wifi | Les xarxes wifi per a visitants estan segregades de manera que no és possible accedir a les xarxes internes de l’empresa | |||||||||
Seguretat dels serveis de proveïdors al núvol | En el cas d’utilitzar serveis d’algun proveïdor al núvol (IaaS, PaaS, SaaS,…) per tractar la informació, es garanteix que el proveïdor proporciona o permet aplicar mesures de seguretat com a mínim equivalents a les exigides al mateix encarregat | |||||||||
Registres d’auditoria | Es recullen, conserven i revisen els registres d’auditoria de les operacions realitzades sobre les dades (accés, modificació i eliminació), especialment quan es tracten dades de categoria especial | |||||||||
Segregació de les instàncies dels clients | Segregació dels serveis als diferents clients mitjançant una arquitectura multitenant. Es proporciona segregació lògica dusuaris i dades | |||||||||
Seguretat física dels espais de tractament | ||||||||||
Perímetre de seguretat física | Hi ha un perímetre de seguretat per protegir els recintes i dependències on es processa o emmagatzema informació | |||||||||
Limitació d’accés | S’han implantat controls d’accés físic a les dependències on es fa el tractament de la informació per assegurar que únicament el personal autoritzat té l’accés permès | |||||||||
Control d’accés físic | S’han establert controls d’entrada específics per limitar l’accés al personal estrictament autoritzat a les àrees segures on estan ubicats els servidors, equips de xarxa o fitxers de documents utilitzats per al tractament i emmagatzematge de la informació | |||||||||
Protecció contra les amenaces externes i ambientals | S’han establert les mesures necessàries per protegir les persones, equips i instal·lacions en cas desastres naturals, atacs maliciosos o incidents, com ara incendi, inundacions, fuites d’aigua, errades a l’aire condicionat, etc. | |||||||||
Instal·lacions de subministrament | S’han establert les mesures necessàries per garantir la continuïtat del subministrament elèctric
| |||||||||
Resiliència dels sistemes | ||||||||||
Disponibilitat dels sistemes | VÍNTEGRIS ha establert mesures per garantir la disponibilitat dels sistemes segons els nivells de servei compromesos
| |||||||||
Supervisió i gestió de la capacitat | L’exercici dels sistemes està contínuament monitoritzat, amb sistemes d’alertes per detectar de manera immediata qualsevol incident.
Contínuament es realitza una supervisió de la capacitat dels sistemes per assegurar la disponibilitat de capacitat suficient per als serveis requerits | |||||||||
Redundàncies | Tots els sistemes de VÍNTEGRIS estan redundats, internament en diferents servidors i en diferents centres de dades distants geogràficament. | |||||||||
Còpies de seguretat | VÍNTEGRIS fa una còpia de seguretat emmagatzemada en un suport dissociat dels equips habituals de tractament. Aquesta còpia es fa amb la periodicitat necessària per complir els nivells de servei compromesos.
Addicionalment VÍNTEGRIS manté una còpia de seguretat emmagatzemada en un emplaçament diferent i separat geogràficament de les instal·lacions habituals de tractament de la informació. Aquesta còpia es fa amb la periodicitat necessària per complir els nivells de servei compromesos en cas d’incident greu a les instal·lacions de tractament. | |||||||||
Supervisió de les còpies de seguretat | Se supervisa de manera continuada l’execució correcta de les còpies de seguretat
| |||||||||
Proves de recuperació | Es realitzen proves periòdiques de recuperació i verificació d’informació continguda a les còpies de seguretat | |||||||||
Pla de Continuïtat | S’ha elaborat un Pla de Continuïtat que permeti recuperar la disponibilitat dels sistemes i la integritat de la informació en cas d’incident greu | |||||||||
Procediments de recuperació | Es disposa de procediments específics de protecció i recuperació davant d’amenaces que comprometin la integritat de la informació, tal com els atacs per ransomware | |||||||||
Privadesa per disseny i per defecte | ||||||||||
Minimització de la recollida de dades | Únicament es recullen les dades estrictament necessàries per a la finalitat per a la qual han de ser tractades. | |||||||||
Limitació del termini de conservació de les dades | VÍNTEGRIS ha establert procediments per limitar la retenció de les dades i evitar-ne la conservació més enllà dels terminis establerts. Els fitxers temporals creats com a resultat del tractament són eliminats quan deixen de ser necessaris. | |||||||||
Limitació de finalitat | VÍNTEGRIS ha definit mecanismes per evitar que la informació que es tracta per compte del responsable pugui ser utilitzada per a finalitats diferents de les establertes en aquest Acord de Tractament de Dades (ATD). | |||||||||
Pseudonimització i xifratge de dades | S’apliquen mesures de pseudonimització i xifratge de les dades, especialment quan la informació tractada inclou dades de categoria especial o especialment sensible.
| |||||||||
Segregació d’informació sensible | L’accés a la informació més sensible és segregat de manera que únicament puguin ser consultats i tractats per personal específicament autoritzat.
| |||||||||
Exercici dels drets dels interessats | ||||||||||
Procediment de resposta | VÍNTEGRIS ha definit un procés formal per atendre i assistir el responsable a la resposta a les peticions d’exercici dels drets dels interessats.
| |||||||||
Comunicació de les peticions d’exercici dels drets | VÍNTEGRIS ha definit els canals per comunicar les peticions d‟exercici dels drets dels interessats al responsable del tractament. | |||||||||
Limitació de tractament | Hi ha mecanismes per limitar el tractament de les dades sempre que sigui requerit.
| |||||||||
ANNEX IV: Llista de subencarregats
Llista acordada de subencarregats dacord amb la Clàusula 6.7 (a) Depenent dels serveis contractats.
Nom del subencarregat | Amazon Web Services Inc. |
Descripció del tractament | Proveïdor de serveis IaaS i PaaS |
Localització del tractament | Unió Europea (Irlanda, Frankfurt, Paris) |
Adreça i dades de contacte | Amazon Web Services EMEA SARL
38 Avenue John F. Kennedy, L-1855, Luxembourg
Tel: +352 2789 0057 |
Garanties proporcionades | https://aws.amazon.com/compliance/gdpr-center/ |
– | |
Nom del subencarregat | AE Group S.à rl (AtlasEdge) |
Descripció del tractament | Proveïdor dels centres de dades on s’ubiquen servidors de VÍNTEGRIS. El personal d’AtlasEdge no té accés ni als servidors ni a les dades contingudes en aquests. |
Localització del tractament | Espanya (Barcelona i Madrid)
|
Adreça i dades de contacte | Email: privacy@atlasedge.com
|
Garanties proporcionades | https://atlasedge.com/documents/AtlasEdge%20Procurement%20GTCs%20v01.09.21.pdf
https://atlasedge.com/wp-content/uploads/2021/10/AtlasEdge_Barcelona-DC_DataSheet.pdf
https://atlasedge.com/wp-content/uploads/2021/10/AtlasEdge_Madrid-DC_DataSheet.pdf
|
Quan Vintegris actuï com a encarat del tractament per a un altre prestador de serveis de confiança:
Nom del subencarregat | VERIDES DIGITAL AUTHENTICATION SOLUTIONS, SL
|
Descripció del tractament | Proveïdor de la plataforma tecnològica en què es recolza el procés de reconeixement de la identitat
|
Localització del tractament | Espanya
|
Adreça i dades de contacte | Email: partners@veridas.com |
Garanties proporcionades | Acord d’encarregat de tractament inclòs al Contracte de Llicència d’ús i distribució per a plataformes signat entre Víntegris i Veridas
|
Quan Vintegris actuï com a encarat del tractament per a un altre prestador de serveis de confiança:
Necessites més informació?
Subscriu-te a la nostra newsletter i descobreix les darreres actualitzacions en ciberseguretat, identitat digital i solucions empresarials de confiança.
