Este Anexo sobre Procesamiento de Datos en la Nube (incluidos sus apéndices, el “Apéndice") se incorpora al/los Acuerdo(s) (como se define a continuación) entre Google y el Cliente. Este Anexo se conocía anteriormente como "Términos de Procesamiento de Datos y Seguridad" en el marco de un Acuerdo para Google Cloud Platform, Looker (original) o Google SecOps Services, o como "Enmienda de Procesamiento de Datos" en el marco de un Acuerdo para Google Workspace o Cloud Identity.
Condiciones generales
1. Descripción general
2. Definiciones
3. Duración
4. Roles; Cumplimiento legal
5. Tratamiento de datos
6. Eliminación de datos
7. Seguridad de los datos
8. Evaluaciones de impacto y consultas
9. Acceso; Derechos del titular de los datos; Exportación de datos
10. Ubicaciones de procesamiento de datos
11. Subprocesadores
12. Equipo de Protección de Datos en la Nube; Procesamiento de registros
13. Avisos
14. Interpretación
Apéndice 1: Objeto y detalles del tratamiento de datos
Apéndice 2: Medidas de seguridad
Apéndice 3: Leyes específicas de privacidad
Ley Europea de Protección de Datos
Ley de Privacidad del Consumidor de California (CCPA)
Pavo
Israel
Apéndice 4: Productos específicos
Plataforma de Google Cloud
Solución Bare Metal (Google Cloud Platform)
Google Distributed Cloud Edge (Google Cloud Platform)
Nube múltiple administrada por Google (Google Cloud Platform)
Google Cloud VMware Engine (Plataforma de Google Cloud)
Volúmenes de NetApp (Google Cloud Platform)
Google Workspace y Cloud Identity
Hoja de aplicación (Google Workspace)
Mirador (original)
Servicios de SecOps
Condiciones generales
Este Anexo describe las obligaciones de las partes, incluidas las leyes aplicables de privacidad, seguridad de datos y protección de datos, con respecto al procesamiento y la seguridad de los Datos del Cliente (como se define a continuación). Esta Adenda entrará en vigencia en la Fecha de entrada en vigencia de la Adenda (como se define a continuación) y reemplazará cualquier término previamente aplicable al procesamiento y seguridad de los Datos del Cliente. Los términos en mayúscula utilizados pero no definidos en este Addendum tienen el significado que se les da en el Acuerdo.
2.1 En esta Adenda:
2.2 Los términos “datos personales”, “titular de los datos”, “procesamiento”, “controlador” y “procesador” tal como se utilizan en este Anexo tienen los significados que les da la Ley de Privacidad Aplicable o, en ausencia de dicho significado o ley, el RGPD de la UE.
2.3 Los términos “titular de los datos”, “controlador” y “procesador” incluyen “consumidor”, “empresa” y “proveedor de servicios”, respectivamente, según lo exige la Ley de Privacidad Aplicable.
Independientemente de si el Acuerdo aplicable ha finalizado o vencido, este Anexo permanecerá en vigor hasta que Google elimine todos los Datos del Cliente según lo descrito en este Anexo y vencerá automáticamente cuando lo haga.
4.1 Roles de las partes. Google es un procesador y el Cliente es un controlador o procesador, según corresponda, de los Datos Personales del Cliente.
4.2 Resumen de procesamiento. El objeto y los detalles del procesamiento de los Datos Personales del Cliente se describen en el Apéndice 1 (Objeto y detalles del procesamiento).
4.3 Cumplimiento de la ley. Cada parte cumplirá con sus obligaciones relacionadas con el procesamiento de los Datos Personales del Cliente según la Ley de Privacidad Aplicable.
4.4 Términos legales adicionales. En la medida en que el procesamiento de Datos Personales del Cliente esté sujeto a una Ley de Privacidad Aplicable descrita en el Apéndice 3 (Leyes de Privacidad Específicas), los términos correspondientes en el Apéndice 3 se aplicarán además de estos Términos Generales y prevalecerán como se describe en la Sección 14.1 (Precedencia).
5.1 Clientes de procesadores. Si el Cliente es un procesador:
a. El cliente garantiza de forma continua que el responsable del tratamiento pertinente ha autorizado:
i. las instrucciones;
ii. Contratación por parte del cliente de Google como otro procesador; y.
iii. Contratación de subprocesadores por parte de Google según se describe en la Sección 11 (Subprocesadores);
b. El Cliente remitirá al responsable del tratamiento pertinente de forma inmediata y sin demoras indebidas cualquier notificación proporcionada por Google en virtud de la Sección 7.2.1 (Notificación de incidentes), 9.2.1 (Responsabilidad por las solicitudes) o 11.4 (Oportunidad de objetar a los subprocesadores); y
do. El Cliente podrá poner a disposición del responsable del tratamiento correspondiente cualquier otra información puesta a disposición por Google en virtud de este Anexo sobre las ubicaciones de los centros de datos de Google o los nombres, ubicaciones y actividades de los Subprocesadores.
5.2 Cumplimiento de las instrucciones del cliente. El Cliente ordena a Google que procese los Datos del Cliente de conformidad con el Acuerdo aplicable (incluido este Anexo) y la legislación aplicable únicamente de la siguiente manera:
a. para proporcionar, proteger y supervisar los Servicios y TSS; y
b. como se especifica más adelante mediante:
i. Uso de los Servicios por parte del Cliente (incluso a través de la Consola de administración) y TSS; y
ii. cualquier otra instrucción escrita proporcionada por el Cliente y reconocida por Google como instrucciones en virtud de este Anexo
(en conjunto, las “Instrucciones”).
Google cumplirá con las Instrucciones a menos que lo prohíba la legislación europea, donde se aplique la legislación europea de protección de datos, o lo prohíba la legislación aplicable, donde se aplique cualquier otra legislación de privacidad aplicable.
6.1 Eliminación por parte del cliente. Google permitirá al Cliente eliminar Datos del Cliente durante el Plazo de una manera coherente con la funcionalidad de los Servicios. Si el Cliente utiliza los Servicios para eliminar cualquier Dato del Cliente durante el Plazo y el Cliente no puede recuperar dichos Datos, este uso constituirá una Instrucción a Google para eliminar los Datos del Cliente relevantes de los sistemas de Google de conformidad con la ley aplicable. Google cumplirá con esta Instrucción tan pronto como sea razonablemente posible y dentro de un período máximo de 180 días, a menos que la Ley Europea requiera almacenamiento, donde se aplique la Ley de Protección de Datos Europea, o la ley aplicable requiera almacenamiento, donde se aplique cualquier otra Ley de Privacidad Aplicable.
6.2 Devolver o eliminar cuando finalice el plazo. Si el Cliente desea conservar algún Dato del Cliente después de finalizado el Plazo, puede indicarle a Google, de conformidad con la Sección 9.1 (Acceso; Rectificación; Procesamiento Restringido; Portabilidad), que devuelva dichos datos durante el Plazo. Sujeto a la Sección 6.3 (Instrucción de eliminación diferida), el Cliente instruye a Google a eliminar todos los Datos del Cliente restantes (incluidas las copias existentes) de los sistemas de Google al final del Plazo de conformidad con la ley aplicable. Después de un período de recuperación de hasta 30 días a partir de esa fecha, Google cumplirá con esta Instrucción tan pronto como sea razonablemente posible y dentro de un período máximo de 180 días, a menos que la Ley Europea requiera almacenamiento, donde se aplique la Ley Europea de Protección de Datos, o la ley aplicable requiera almacenamiento, donde se aplique cualquier otra Ley de Privacidad Aplicable.
6.3. Instrucciones de eliminación diferida. En la medida en que cualquier Dato del Cliente cubierto por la instrucción de eliminación descrita en la Sección 6.2 (Devolución o Eliminación cuando finaliza el Plazo) también se procese, cuando expire el Plazo aplicable según la Sección 6.2, en relación con un Acuerdo con un Plazo continuo, dicha instrucción de eliminación entrará en vigor con respecto a dichos Datos del Cliente solo cuando expire el Plazo continuo. Para mayor claridad, este Anexo seguirá aplicándose a dichos Datos del Cliente hasta que Google los elimine.
7.1 Medidas de seguridad, controles y asistencia de Google.
7.1.1 Medidas de seguridad de Google. Google implementará y mantendrá medidas técnicas, organizativas y físicas para proteger los Datos del Cliente contra la destrucción, pérdida, alteración, divulgación o acceso no autorizado accidental o ilegal, tal como se describe en el Apéndice 2 (Medidas de seguridad) (el "Medidas de seguridad").
7.1.2 Acceso y cumplimiento. Google quiere:
a. autorizar a sus empleados, contratistas y Subprocesadores a acceder a los Datos del Cliente sólo cuando sea estrictamente necesario para cumplir con las Instrucciones;
b. tomar las medidas adecuadas para garantizar el cumplimiento de las Medidas de Seguridad por parte de sus empleados, contratistas y Subprocesadores en la medida que sea aplicable a su ámbito de desempeño; y
do. garantizar que todas las personas autorizadas a procesar Datos del Cliente estén obligadas a mantener la confidencialidad.
7.1.3 Controles de seguridad adicionales. Google pondrá a disposición controles de seguridad adicionales para:
a. permitir al Cliente tomar medidas para proteger sus Datos; y
b. Proporcionar al Cliente información sobre cómo proteger, acceder y utilizar los Datos del Cliente.
7.1.4 Asistencia de seguridad de Google. Google (teniendo en cuenta la naturaleza del procesamiento de los Datos Personales del Cliente y la información disponible para Google) ayudará al Cliente a garantizar el cumplimiento de sus obligaciones (o, cuando el Cliente sea un procesador, las del controlador pertinente) relacionadas con la seguridad y las violaciones de datos personales según la Ley de Privacidad Aplicable, mediante:
a. implementar y mantener las Medidas de Seguridad de acuerdo con la Sección 7.1.1 (Medidas de Seguridad de Google);
b. poner a disposición controles de seguridad adicionales de conformidad con la Sección 7.1.3 (Controles de seguridad adicionales);
do. cumplir con los términos de la Sección 7.2 (Incidentes de Datos);
d. poner a disposición la Documentación de Seguridad de conformidad con la Sección 7.5.1 (Revisiones de la Documentación de Seguridad) y proporcionar la información contenida en el Acuerdo aplicable (incluido este Anexo); y
mi. si las subsecciones (a) a (d) anteriores son insuficientes para que el Cliente (o el controlador pertinente) cumpla con dichas obligaciones, a solicitud del Cliente, brindarle cooperación y asistencia razonables adicionales.
7.2 Incidentes de datos.
7.2.1 Notificación de incidentes. Google notificará al Cliente de inmediato y sin demoras indebidas después de tener conocimiento de un Incidente de Datos y tomará rápidamente medidas razonables para minimizar el daño y proteger los Datos del Cliente.
7.2.2 Detalles del incidente de datos. La notificación de Google sobre un incidente de datos describirá: la naturaleza del incidente de datos, incluidos los recursos del cliente afectados; las medidas que Google ha tomado o planea tomar para abordar el incidente de datos y mitigar su riesgo potencial; las medidas, si las hubiera, que Google recomienda que el Cliente adopte para abordar el Incidente de Datos; y detalles de un punto de contacto donde se puede obtener más información. Si no es posible proporcionar toda esa información al mismo tiempo, la notificación inicial de Google contendrá la información disponible en ese momento y se proporcionará información adicional sin demora indebida a medida que esté disponible.
7.2.3 Google no evalúa los datos de los clientes. Google no tiene la obligación de evaluar los Datos del cliente para identificar información sujeta a requisitos legales específicos.
7.2.4 Sin reconocimiento de culpa por parte de Google. La notificación o respuesta de Google a un Incidente de Datos según esta Sección 7.2 (Incidentes de Datos) no se interpretará como un reconocimiento por parte de Google de cualquier falla o responsabilidad con respecto al Incidente de Datos.
7.3 Responsabilidades y evaluación de seguridad del cliente.
7.3.1 Responsabilidades de seguridad del cliente. Sin perjuicio de las obligaciones de Google en virtud de las Secciones 7.1 (Medidas de seguridad, controles y asistencia de Google) y 7.2 (Incidentes de datos), y en otras partes del Acuerdo aplicable, el Cliente es responsable de su uso de los Servicios y del almacenamiento de cualquier copia de los Datos del Cliente fuera de los sistemas de Google o de los Subprocesadores de Google, incluyendo:
a. utilizando los Servicios y Controles de Seguridad Adicionales para garantizar un nivel de seguridad apropiado al riesgo de los Datos del Cliente;
b. proteger las credenciales de autenticación de la cuenta, los sistemas y los dispositivos que el Cliente utiliza para acceder a los Servicios; y
do. realizar copias de seguridad o conservar copias de sus Datos de Cliente según corresponda.
7.3.2 Evaluación de seguridad del cliente. El Cliente acepta que los Servicios, las Medidas de Seguridad, los Controles de Seguridad Adicionales y los compromisos de Google bajo esta Sección 7 (Seguridad de Datos) brindan un nivel de seguridad apropiado al riesgo de los Datos del Cliente (teniendo en cuenta el estado de la técnica, los costos de implementación y la naturaleza, el alcance, el contexto y los propósitos del procesamiento de los Datos del Cliente, así como los riesgos para las personas).
7.4 Certificaciones de cumplimiento e informes SOC. Google mantendrá al menos lo siguiente para los Servicios Auditados para verificar la eficacia continua de las Medidas de Seguridad:
a. certificados de la norma ISO 27001 y cualquier certificación adicional descrita en el Apéndice 4 (Productos específicos) (las “Certificaciones de cumplimiento”); y
b. Informes SOC 2 y SOC 3 elaborados por el auditor externo de Google y actualizados anualmente en función de una auditoría realizada al menos una vez cada 12 meses (los “Informes SOC”).
Google puede agregar estándares en cualquier momento. Google puede reemplazar una Certificación de Cumplimiento o un Informe SOC con una alternativa equivalente o mejorada.
7.5 Revisiones y Auditorías de Cumplimiento.
7.5.1 Revisiones de documentación de seguridad. Para demostrar el cumplimiento por parte de Google de sus obligaciones bajo este Anexo, Google pondrá la Documentación de Seguridad a disposición del Cliente para su revisión y, si el Cliente es un procesador, le permitirá solicitar acceso a los Informes SOC para el controlador relevante de acuerdo con la Sección 7.5.3 (Términos Comerciales Adicionales para Revisiones y Auditorías).
7.5.2 Derechos de auditoría del cliente.
a. Auditoría de clientes. Google, si así lo exige la Ley de Privacidad Aplicable, permitirá que el Cliente o un auditor independiente designado por el Cliente realice auditorías (incluidas inspecciones) para verificar el cumplimiento por parte de Google de sus obligaciones bajo este Anexo de conformidad con la Sección 7.5.3 (Términos Comerciales Adicionales para Revisiones y Auditorías). Durante una auditoría, Google cooperará razonablemente con el Cliente o su auditor como se describe en esta Sección 7.5 (Revisiones y auditorías de cumplimiento).
b. Revisión independiente del cliente. El Cliente puede realizar una auditoría para verificar el cumplimiento por parte de Google de sus obligaciones bajo este Anexo revisando la Documentación de Seguridad (que refleja el resultado de las auditorías realizadas por el Auditor Externo de Google).
7.5.3 Términos comerciales adicionales para revisiones y auditorías.
a. El cliente debe comunicarse con el Equipo de protección de datos en la nube de Google para solicitar:
i. acceso a los Informes SOC de un responsable del tratamiento pertinente según la Sección 7.5.1 (Revisiones de la documentación de seguridad); o
ii. una auditoría según la Sección 7.5.2(a) (Auditoría del Cliente).
b. Tras una solicitud del Cliente según la Sección 7.5.3(a), Google y el Cliente discutirán y acordarán de antemano lo siguiente:
i. controles de seguridad y confidencialidad aplicables a cualquier acceso a los Informes SOC por parte de un controlador relevante según la Sección 7.5.1 (Revisiones de la Documentación de Seguridad); y
ii. la fecha de inicio razonable, el alcance y la duración de los controles de seguridad y confidencialidad aplicables a cualquier auditoría según la Sección 7.5.2(a) (Auditoría del Cliente).
do. Google puede cobrar una tarifa (basada en los costos razonables de Google) por cualquier auditoría según la Sección 7.5.2(a) (Auditoría del Cliente). Google proporcionará al Cliente detalles adicionales sobre cualquier tarifa aplicable y la base de su cálculo antes de cualquier auditoría. El Cliente será responsable de cualquier honorario cobrado por cualquier auditor designado por el Cliente para ejecutar dicha auditoría.
d. Google podrá oponerse por escrito a un auditor designado por el Cliente para realizar una auditoría según la Sección 7.5.2(a) (Auditoría del Cliente) si, en la opinión razonable de Google, el auditor no está debidamente calificado o no es independiente, es un competidor de Google o, de otro modo, es manifiestamente inadecuado. Cualquier objeción de este tipo por parte de Google requerirá que el Cliente designe otro auditor o realice la auditoría él mismo.
mi. Cualquier solicitud de Cliente según el Apéndice 3 (Leyes de Privacidad Específicas) o el Apéndice 4 (Productos Específicos) para acceder a cualquier informe SOC para un controlador relevante o para auditorías también estará sujeta a esta Sección 7.5.3 (Términos Comerciales Adicionales para Revisiones y Auditorías).
Google (teniendo en cuenta la naturaleza del procesamiento y la información disponible para Google) ayudará al Cliente a garantizar el cumplimiento de sus obligaciones (o, cuando el Cliente sea un procesador, las del controlador pertinente) relacionadas con las evaluaciones de protección de datos, evaluaciones de riesgo, consultas regulatorias previas o procedimientos equivalentes según la Ley de Privacidad Aplicable, mediante:
a. poner a disposición Controles de Seguridad Adicionales de conformidad con la Sección 7.1.3 (Controles de Seguridad Adicionales) y la Documentación de Seguridad de conformidad con la Sección 7.5.1 (Revisiones de la Documentación de Seguridad);
b. proporcionar la información contenida en el Acuerdo aplicable (incluido este Anexo); y
do. si los apartados (a) y (b) anteriores son insuficientes para que el Cliente (o el responsable del tratamiento pertinente) cumpla con dichas obligaciones, a solicitud del Cliente, proporcionarle cooperación y asistencia razonables adicionales.
9.1 Acceso; Rectificación; Procesamiento restringido; Portabilidad. Durante el Plazo, Google permitirá al Cliente, de una manera coherente con la funcionalidad de los Servicios, acceder, rectificar y restringir el procesamiento de los Datos del Cliente, incluso a través de la funcionalidad de eliminación proporcionada por Google como se describe en la Sección 6.1 (Eliminación por parte del Cliente), y exportar los Datos del Cliente. Si el Cliente toma conocimiento de que algún Dato Personal del Cliente es inexacto o está desactualizado, el Cliente será responsable de utilizar dicha funcionalidad para rectificar o eliminar dichos datos si así lo exige la Ley de Privacidad Aplicable.
9.2 Solicitudes del interesado.
9.2.1 Responsabilidad por las solicitudes. Durante el Plazo, si el Equipo de Protección de Datos de la Nube de Google recibe una solicitud de un titular de datos que se relaciona con Datos Personales del Cliente e identifica al Cliente, Google hará lo siguiente:
a. asesorar al interesado para que presente su solicitud al Cliente;
b. notificar rápidamente al cliente; y
do. no responder de otro modo a la solicitud de dicho titular de datos sin la autorización del Cliente.
El Cliente será responsable de responder a cualquier solicitud de este tipo, incluso, cuando sea necesario, mediante el uso de la funcionalidad de los Servicios.
9.2.2 Solicitud de asistencia del interesado de Google. Google (teniendo en cuenta la naturaleza del procesamiento de los Datos Personales del Cliente) ayudará al Cliente a cumplir con sus obligaciones (o, cuando el Cliente sea un procesador, las del controlador pertinente) según la Ley de Privacidad Aplicable para responder a las solicitudes de ejercicio de los derechos del titular de los datos mediante:
a. poner a disposición controles de seguridad adicionales de conformidad con la Sección 7.1.3 (Controles de seguridad adicionales);
b. cumpliendo con las Secciones 9.1 (Acceso; Rectificación; Tratamiento Restringido; Portabilidad) y 9.2.1 (Responsabilidad por las Solicitudes); y
do. si los apartados (a) y (b) anteriores son insuficientes para que el Cliente (o el responsable del tratamiento pertinente) cumpla con dichas obligaciones, a solicitud del Cliente, proporcionarle cooperación y asistencia razonables adicionales.
10.1 Instalaciones de almacenamiento y procesamiento de datos. Sujeto a los compromisos de ubicación de datos de Google según los Términos específicos del servicio y los compromisos de transferencia de datos según el Apéndice 3 (Leyes de privacidad específicas), si corresponde, los Datos del cliente pueden procesarse en cualquier país donde Google o sus subprocesadores mantengan instalaciones.
10.2 Información del centro de datos. Las ubicaciones de los centros de datos de Google se describen en el Apéndice 4 (Productos específicos).
11.1 Consentimiento para la contratación de un subprocesador. El Cliente autoriza específicamente la participación de Google como subprocesador de aquellas entidades divulgadas según se describe en la Sección 11.2 (Información sobre subprocesadores) a partir de la Fecha de entrada en vigencia del Anexo. Además, sin perjuicio de la Sección 11.4 (Oportunidad de oponerse a los subprocesadores), el Cliente generalmente autoriza la contratación por parte de Google de otros terceros como subprocesadores (“Nuevos subprocesadores”).
11.2 Información sobre los subencargados del tratamiento. Los nombres, ubicaciones y actividades de los subprocesadores se describen en el Apéndice 4 (Productos específicos).
11.3 Requisitos para la contratación de subencargados del tratamiento. Al contratar a un subprocesador, Google:
a. garantizar mediante un contrato escrito que:
i. el Subprocesador solo accede y utiliza los Datos del Cliente en la medida necesaria para cumplir con las obligaciones subcontratadas y lo hace de conformidad con el Acuerdo aplicable (incluido este Anexo); y
ii. si así lo exigen las Leyes de Privacidad Aplicables, las obligaciones de protección de datos descritas en este Anexo se imponen al Subprocesador (como se puede describir con más detalle en el Apéndice 3 (Leyes de Privacidad Específicas)); y
b. seguirá siendo plenamente responsable de todas las obligaciones subcontratadas y de todos los actos y omisiones del Subprocesador.
11.4 Oportunidad de oponerse a los subprocesadores.
a. Cuando Google contrate a un nuevo subprocesador durante el Plazo, Google notificará al Cliente sobre la contratación (incluido el nombre, la ubicación y las actividades del nuevo subprocesador) al menos 30 días antes de que el nuevo subprocesador comience a procesar los datos del cliente.
b. El Cliente puede, dentro de los 90 días posteriores a ser notificado de la contratación de un Nuevo Subprocesador, objetar rescindiendo inmediatamente el Acuerdo aplicable por conveniencia:
i. de conformidad con la disposición de terminación por conveniencia de dicho Acuerdo; o
ii. si no existe tal previsión, notificándolo a Google.
12.1 Equipo de protección de datos en la nube. El Equipo de Protección de Datos en la Nube de Google brindará asistencia rápida y razonable con cualquier consulta del Cliente relacionada con el procesamiento de los Datos del Cliente según el Acuerdo aplicable y se puede contactar como se describe en la sección Avisos del Acuerdo aplicable o en el Apéndice 4 (Productos específicos).
12.2 Registros de procesamiento de Google. Google mantendrá la documentación adecuada de sus actividades de procesamiento según lo requiera la Ley de Privacidad Aplicable. En la medida en que cualquier Ley de Privacidad Aplicable requiera que Google recopile y mantenga registros de cierta información relacionada con el Cliente, el Cliente utilizará la Consola de administración u otros medios identificados en el Apéndice 4 (Productos específicos) para proporcionar dicha información y mantenerla precisa y actualizada. Google podrá poner dicha información a disposición de los reguladores competentes, incluida una Autoridad de Supervisión, si así lo exige la Ley de Privacidad Aplicable.
12.3 Solicitudes del controlador. Durante el Plazo, si el Equipo de Protección de Datos en la Nube de Google recibe una solicitud o instrucción de un tercero que pretenda ser un controlador de Datos Personales del Cliente, Google le indicará al tercero que se comunique con el Cliente.
Las notificaciones bajo este Anexo (incluidas las notificaciones de cualquier Incidente de Datos) se enviarán a la Dirección de Correo Electrónico de Notificación. El cliente es responsable de utilizar la Consola de administración para garantizar que su dirección de correo electrónico de notificación permanezca actualizada y válida.
14.1 Precedencia. En la medida en que surja cualquier conflicto entre:
a. Apéndice 3 (Leyes de privacidad específicas) y el resto del Anexo (incluido el Apéndice 4 (Productos específicos)), prevalecerá el Apéndice 3; y
b. Apéndice 4 (Productos específicos) y el resto del Addendum (excluyendo el Apéndice 3), prevalecerá el Apéndice 4; y
do. esta Adenda y el resto del Acuerdo, esta Adenda prevalecerá.
Para mayor claridad, si el Cliente tiene más de un Acuerdo, este Anexo modificará cada uno de los Acuerdos por separado.
14.2 Referencias de la sección. A menos que se indique lo contrario, las referencias a secciones en cualquier Apéndice de este Addendum se refieren a secciones de los Términos Generales del Addendum.
Tema
Prestación de los Servicios y TSS por parte de Google al Cliente.
Duración del tratamiento
El Plazo más el período desde el final del Plazo hasta la eliminación de todos los Datos del Cliente por parte de Google de conformidad con este Anexo.
Naturaleza y finalidad del tratamiento
Google procesará los Datos Personales del Cliente con el fin de proporcionar los Servicios y TSS al Cliente de conformidad con este Anexo.
Categorías de datos
Datos relativos a personas físicas proporcionados a Google a través de los Servicios, por (o bajo la dirección de) el Cliente o por sus Usuarios finales.
Titulares de los datos
Los interesados incluyen a las personas sobre las que se proporcionan datos a Google a través de los Servicios por (o bajo la dirección de) el Cliente o por sus Usuarios finales.
A partir de la Fecha de Entrada en Vigencia del Anexo, Google implementará y mantendrá las Medidas de Seguridad descritas en este Apéndice 2.
1. Seguridad del centro de datos y de la red
(a) Centros de Datos.
Infraestructura. Google mantiene centros de datos distribuidos geográficamente. Google almacena todos los datos de producción en centros de datos físicamente seguros.
Redundancia. Los sistemas de infraestructura han sido diseñados para eliminar puntos únicos de falla y minimizar el impacto de los riesgos ambientales previstos. Los circuitos duales, conmutadores, redes u otros dispositivos necesarios ayudan a proporcionar esta redundancia. Los Servicios están diseñados para permitir que Google realice ciertos tipos de mantenimiento preventivo y correctivo sin interrupciones. Todos los equipos e instalaciones ambientales cuentan con procedimientos de mantenimiento preventivo documentados que detallan el proceso y la frecuencia de ejecución de acuerdo con las especificaciones del fabricante o internas. El mantenimiento preventivo y correctivo de los equipos del centro de datos se programa a través de un proceso de cambio estándar de acuerdo a procedimientos documentados.
fuerza. Los sistemas de energía eléctrica del centro de datos están diseñados para ser redundantes y mantenibles sin afectar las operaciones continuas, las 24 horas del día, los 7 días de la semana. En la mayoría de los casos, se proporciona una fuente de energía principal y otra alternativa, cada una con igual capacidad, para los componentes de infraestructura críticos en el centro de datos. La energía de respaldo se proporciona mediante varios mecanismos, como baterías de sistemas de alimentación ininterrumpida (UPS), que brindan protección energética confiable y constante durante caídas de tensión, apagones, sobretensión, subtensión y condiciones de frecuencia fuera de tolerancia. Si se interrumpe el suministro eléctrico, la energía de respaldo está diseñada para proporcionar energía transitoria al centro de datos, a plena capacidad, durante hasta 10 minutos hasta que los sistemas de generador de respaldo tomen el control. Los generadores de respaldo pueden ponerse en marcha automáticamente en cuestión de segundos para proporcionar suficiente energía eléctrica de emergencia para hacer funcionar el centro de datos a plena capacidad, generalmente durante un período de días.
Sistemas operativos de servidor. Los servidores de Google utilizan una implementación basada en Linux personalizada para el entorno de la aplicación. Los datos se almacenan utilizando algoritmos propietarios para aumentar la seguridad y la redundancia de los datos.
Calidad del código. Google emplea un proceso de revisión de código para aumentar la seguridad del código utilizado para proporcionar los Servicios y mejorar la seguridad de los productos en entornos de producción.
Continuidad del negocio. Google ha diseñado y planifica y prueba periódicamente sus programas de planificación de continuidad empresarial/recuperación ante desastres.
(b) Redes y Transmisión.
Transmisión de datos. Los centros de datos generalmente están conectados a través de enlaces privados de alta velocidad para proporcionar una transferencia de datos segura y rápida entre centros de datos. Esto está diseñado para evitar que los datos se lean, copien, alteren o eliminen sin autorización durante la transferencia o el transporte electrónico o mientras se graban en medios de almacenamiento de datos. Google transfiere datos a través de protocolos estándar de Internet.
Superficie de ataque externa. Google emplea múltiples capas de dispositivos de red y detección de intrusiones para proteger su superficie de ataque externa. Google considera los posibles vectores de ataque e incorpora tecnologías apropiadas diseñadas específicamente para sistemas externos.
Detección de intrusiones. La detección de intrusiones tiene como objetivo proporcionar información sobre las actividades de ataque en curso y proporcionar información adecuada para responder a los incidentes. La detección de intrusiones de Google implica: (i) controlar estrictamente el tamaño y la composición de la superficie de ataque de Google mediante medidas preventivas; (ii) emplear controles de detección inteligentes en los puntos de entrada de datos; y (iii) emplear tecnologías que remedien automáticamente ciertas situaciones peligrosas.
Respuesta a incidentes. Google monitorea una variedad de canales de comunicación para detectar incidentes de seguridad, y el personal de seguridad de Google responderá rápidamente a los incidentes conocidos.
Tecnologías de cifrado. Google pone a disposición el cifrado HTTPS (también conocido como conexión SSL o TLS). Los servidores de Google admiten el intercambio de claves criptográficas Diffie-Hellman de curva elíptica efímera firmadas con RSA y ECDSA. Estos métodos de secreto directo perfecto (PFS) ayudan a proteger el tráfico y minimizar el impacto de una clave comprometida o un avance criptográfico.
2. Controles de acceso y del sitio
(a) Controles del sitio.
Operación de seguridad del centro de datos en el sitio. Los centros de datos de Google mantienen una operación de seguridad en el sitio responsable de todas las funciones de seguridad del centro de datos físico las 24 horas del día, los 7 días de la semana. El personal de operaciones de seguridad en el lugar monitorea las cámaras de circuito cerrado de televisión (CCTV) y todos los sistemas de alarma. El personal de operaciones de seguridad en el sitio realiza patrullas internas y externas del centro de datos periódicamente.
Procedimientos de acceso al centro de datos. Google mantiene procedimientos de acceso formales para permitir el acceso físico a los centros de datos. Los centros de datos están alojados en instalaciones que requieren acceso con llave de tarjeta electrónica, con alarmas vinculadas a la operación de seguridad del sitio. Todos los que ingresan al centro de datos deben identificarse y mostrar prueba de identidad a las operaciones de seguridad del sitio. Sólo se permite el ingreso a los centros de datos a empleados, contratistas y visitantes autorizados. Sólo los empleados y contratistas autorizados podrán solicitar acceso con tarjeta electrónica a estas instalaciones. Las solicitudes de acceso a la clave de tarjeta electrónica del centro de datos deben realizarse a través de correo electrónico y requieren la aprobación del gerente del solicitante y del director del centro de datos. Todos los demás participantes que requieran acceso temporal al centro de datos deben: (i) obtener la aprobación previa de los administradores del centro de datos para el centro de datos específico y las áreas internas que desean visitar; (ii) registrarse en las operaciones de seguridad del sitio; y (iii) hacer referencia a un registro de acceso al centro de datos aprobado que identifique al individuo como aprobado.
Dispositivos de seguridad del centro de datos en el sitio. Los centros de datos de Google emplean un sistema de control de acceso con autenticación dual que está vinculado a una alarma del sistema. El sistema de control de acceso monitorea y registra la tarjeta electrónica de cada individuo y cuándo accede a puertas perimetrales, de envío y recepción y otras áreas críticas. El sistema de control de acceso registra la actividad no autorizada y los intentos de acceso fallidos y los investiga según corresponda. El acceso autorizado a las operaciones comerciales y a los centros de datos está restringido según las zonas y las responsabilidades laborales del individuo. Las puertas contra incendios de los centros de datos están alarmadas. Las cámaras de CCTV están en funcionamiento tanto dentro como fuera de los centros de datos. La ubicación de las cámaras ha sido diseñada para cubrir áreas estratégicas que incluyen, entre otras, el perímetro, las puertas del edificio del centro de datos y los envíos/recepciones. El personal de operaciones de seguridad en el lugar administra el equipo de monitoreo, grabación y control de CCTV. Los cables seguros en todos los centros de datos conectan los equipos de CCTV. Las cámaras graban en el sitio a través de grabadoras de video digitales las 24 horas del día, los 7 días de la semana. Los registros de vigilancia se conservan hasta 30 días según la actividad.
(b) Control de acceso.
Personal de seguridad de infraestructura. Google tiene y mantiene una política de seguridad para su personal y exige capacitación en seguridad como parte del paquete de capacitación para su personal. El personal de seguridad de la infraestructura de Google es responsable de la supervisión continua de la infraestructura de seguridad de Google, la revisión de los Servicios y la respuesta a los incidentes de seguridad.
Control de acceso y gestión de privilegios. Los administradores y usuarios finales del cliente deben autenticarse a través de un sistema de autenticación central o a través de un sistema de inicio de sesión único para poder utilizar los servicios.
Procesos y políticas de acceso interno a datos – Política de acceso. Los procesos y políticas de acceso a datos internos de Google están diseñados para evitar que personas y sistemas no autorizados obtengan acceso a los sistemas utilizados para procesar datos del cliente. Google diseña sus sistemas para (i) permitir únicamente el acceso a los datos a los que están autorizados las personas autorizadas; y (ii) garantizar que los Datos del Cliente no puedan leerse, copiarse, alterarse o eliminarse sin autorización durante el procesamiento, uso y después de la grabación. Los sistemas están diseñados para detectar cualquier acceso inapropiado. Google emplea un sistema de gestión de acceso centralizado para controlar el acceso del personal a los servidores de producción y solo proporciona acceso a un número limitado de personal autorizado. Los sistemas de autenticación y autorización de Google utilizan certificados SSH y claves de seguridad, y están diseñados para proporcionar a Google mecanismos de acceso seguros y flexibles. Estos mecanismos están diseñados para otorgar únicamente derechos de acceso aprobados a los hosts del sitio, registros, datos e información de configuración. Google exige el uso de identificaciones de usuario únicas, contraseñas seguras, autenticación de dos factores y listas de acceso cuidadosamente monitoreadas para minimizar la posibilidad de uso no autorizado de cuentas. La concesión o modificación de los derechos de acceso se basa en: las responsabilidades laborales del personal autorizado; requisitos de tareas laborales necesarios para realizar tareas autorizadas; y una necesidad de saber. La concesión o modificación de los derechos de acceso también debe realizarse de acuerdo con las políticas y la capacitación internas de acceso a datos de Google. Las aprobaciones se gestionan mediante herramientas de flujo de trabajo que mantienen registros de auditoría de todos los cambios. El acceso a los sistemas se registra para crear un registro de auditoría para la rendición de cuentas. Cuando se utilizan contraseñas para la autenticación (por ejemplo, para iniciar sesión en estaciones de trabajo), se implementan políticas de contraseñas que siguen al menos las prácticas estándar de la industria. Estas normas incluyen restricciones sobre la reutilización de contraseñas y la suficiente solidez de las mismas. Para acceder a información extremadamente sensible (por ejemplo, datos de tarjetas de crédito), Google utiliza tokens de hardware.
3. Datos
(a) Almacenamiento, aislamiento y registro de datos. Google almacena datos en un entorno multiinquilino en servidores propiedad de Google. Sujeto a cualquier instrucción en contrario (por ejemplo, en forma de selección de ubicación de datos), Google replica los Datos del Cliente entre múltiples centros de datos dispersos geográficamente. Google también aísla lógicamente los datos de los clientes. Al cliente se le dará control sobre políticas específicas de intercambio de datos. Estas políticas, de acuerdo con la funcionalidad de los Servicios, permitirán al Cliente determinar las configuraciones de uso compartido de productos aplicables a sus Usuarios Finales para fines específicos. El Cliente puede optar por utilizar la funcionalidad de registro que Google pone a disposición a través de los Servicios.
(b) Discos fuera de servicio y política de borrado de discos. Los discos que contienen datos pueden experimentar problemas de rendimiento, errores o fallas de hardware que provoquen su desmantelamiento (“Disco desmantelado”). Cada disco dado de baja está sujeto a una serie de procesos de destrucción de datos (la “Política de borrado de discos”) antes de salir de las instalaciones de Google para su reutilización o destrucción. Los discos fuera de servicio se borran en un proceso de varios pasos y se verifican completamente por al menos dos validadores independientes. Los resultados del borrado se registran mediante el número de serie del disco dado de baja para su seguimiento. Finalmente, el disco fuera de servicio borrado se libera al inventario para su reutilización y redistribución. Si debido a una falla de hardware no se puede borrar el disco retirado, se almacena de forma segura hasta que se pueda destruir. Cada instalación es auditada periódicamente para supervisar el cumplimiento de la Política de borrado de discos.
4. Seguridad del personal
El personal de Google debe comportarse de manera coherente con las pautas de la empresa con respecto a confidencialidad, ética empresarial, uso apropiado y estándares profesionales. Google lleva a cabo verificaciones de antecedentes razonablemente apropiadas en la medida legalmente permitida y de acuerdo con la legislación laboral local y las reglamentaciones legales aplicables.
El personal de Google debe firmar un acuerdo de confidencialidad y debe reconocer la recepción y el cumplimiento de las políticas de confidencialidad y privacidad de Google. El personal recibe capacitación en seguridad. El personal que maneja datos de clientes debe cumplir requisitos adicionales apropiados para su función (certificaciones por ejemplo). El personal de Google no procesará Datos del Cliente sin autorización.
5. Seguridad del subencargado del tratamiento
Antes de incorporar a los subprocesadores, Google realiza una auditoría de las prácticas de seguridad y privacidad de los subprocesadores para garantizar que brinden un nivel de seguridad y privacidad adecuado a su acceso a los datos y al alcance de los servicios que están comprometidos a brindar. Una vez que Google haya evaluado los riesgos que presenta el subprocesador, sujeto a los requisitos descritos en la Sección 11.3 (Requisitos para la contratación del subprocesador), el subprocesador deberá celebrar términos contractuales de seguridad, confidencialidad y privacidad adecuados.
Los términos en cada subsección de este Apéndice 3 se aplican únicamente cuando la ley correspondiente se aplica al procesamiento de Datos Personales del Cliente.
1. Definiciones adicionales.
en cada caso, salvo que se base en un marco opcional de protección de datos.
2. Notificaciones de instrucciones. Sin perjuicio de las obligaciones de Google en virtud de la Sección 5.2 (Cumplimiento de las instrucciones del cliente) o cualquier otro derecho u obligación de cualquiera de las partes en virtud del Acuerdo aplicable, Google notificará inmediatamente al Cliente si, en opinión de Google:
a. La legislación europea prohíbe a Google cumplir una instrucción;
b. una Instrucción no cumple con la Ley Europea de Protección de Datos; o
do. De lo contrario, Google no podrá cumplir con una instrucción, a menos que dicho aviso esté prohibido por la legislación europea. Si el Cliente es un procesador,
El cliente enviará inmediatamente al responsable del tratamiento correspondiente cualquier notificación proporcionada por Google en virtud de esta sección.
3. Derechos de auditoría del cliente. Google permitirá que el Cliente o un auditor independiente designado por el Cliente realice auditorías (incluidas inspecciones) como se describe en la Sección 7.5.2(a) (Auditoría del Cliente). Durante dicha auditoría, Google pondrá a disposición toda la información necesaria para demostrar el cumplimiento de sus obligaciones bajo este Anexo y contribuirá a la auditoría como se describe en la Sección 7.5 (Revisiones y Auditorías de Cumplimiento) y esta sección.
4. Transferencias de datos.
4.1 Transferencias restringidas. Las partes reconocen que la Ley Europea de Protección de Datos no requiere SCC ni una Solución de Transferencia Alternativa para que los Datos Personales del Cliente se procesen o se transfieran a un País Adecuado. Si los Datos Personales del Cliente se transfieren a cualquier otro país y la Ley de Protección de Datos Europea se aplica a las transferencias (según lo certificado por el Cliente en la Sección 4.2 (Certificación de Clientes No EMEA) de estos términos de la Ley de Protección de Datos Europea, si su dirección de facturación está fuera de EMEA) ("Transferencias Restringidas"), entonces:
a. si Google ha adoptado una Solución de Transferencia Alternativa para cualquier Transferencia Restringida, Google informará al Cliente sobre la solución relevante y se asegurará de que dichas Transferencias Restringidas se realicen de conformidad con ella; o
b. Si Google no ha adoptado una Solución de Transferencia Alternativa para ninguna Transferencia Restringida, o informa al Cliente que Google ya no está adoptando una Solución de Transferencia Alternativa para ninguna Transferencia Restringida (sin adoptar una Solución de Transferencia Alternativa de reemplazo):
i. Si la dirección de Google está en un país adecuado:
A. las SCC (de procesador a procesador, Google Exportador) se aplicarán con respecto a dichas Transferencias Restringidas de Google a Subprocesadores; y
B. además, si la dirección de facturación del Cliente no se encuentra en un País Adecuado, se aplicarán las SCC (Procesador a Controlador) (independientemente de si el Cliente es un controlador o procesador) con respecto a dichas Transferencias Restringidas entre Google y el Cliente; o
ii. si la dirección de Google no se encuentra en un País Adecuado, se aplicarán las SCC (De Controlador a Encargado) o las SCC (De Encargado a Encargado) (según si el Cliente es controlador o encargado) con respecto a dichas Transferencias Restringidas entre Google y el Cliente.
4.2 Certificación por parte de clientes no pertenecientes a EMEA. Si la dirección de facturación del Cliente está fuera de EMEA y el procesamiento de los Datos Personales del Cliente está sujeto a la Ley Europea de Protección de Datos, entonces, a menos que el Apéndice 4 (Productos Específicos) de esta Adenda indique lo contrario, el Cliente lo certificará e identificará su Autoridad de Supervisión competente a través de la Consola de Administración para los Servicios aplicables.
4.3 Información sobre transferencias restringidas. Google proporcionará al Cliente información relevante sobre Transferencias Restringidas, Controles de Seguridad Adicionales y otras medidas de protección complementarias:
a. como se describe en la Sección 7.5.1 (Revisiones de la documentación de seguridad);
b. en cualquier ubicación adicional descrita en el Apéndice 4 (Productos específicos); y
do. en relación con la adopción por parte de Google de una Solución de Transferencia Alternativa, en https://cloud.google.com/terms/alternative-transfer-solution.
4.4 Auditorías del SCC. Si las Condiciones Generales de Contratación del Cliente se aplican según lo descrito en la Sección 4.1 (Transferencias Restringidas) de estos términos de la Ley Europea de Protección de Datos, Google permitirá al Cliente (o a un auditor independiente designado por el Cliente) realizar auditorías según lo descrito en dichas Condiciones Generales de Contratación y, durante una auditoría, poner a disposición toda la información requerida por dichas Condiciones Generales de Contratación, ambos de conformidad con la Sección 7.5.3 (Condiciones Comerciales Adicionales para Revisiones y Auditorías).
4.5 Avisos de la SCC. El cliente remitirá al responsable del tratamiento correspondiente con prontitud y sin demoras indebidas cualquier notificación que haga referencia a alguna CGC.
4.6 Terminación por riesgo de transferencia de datos. Si el Cliente concluye, en función de su uso actual o previsto de los Servicios, que no se proporcionan las garantías adecuadas para los Datos Personales del Cliente transferidos, entonces el Cliente puede rescindir de inmediato el Acuerdo aplicable de conformidad con la disposición de rescisión por conveniencia de ese Acuerdo o, si no existe tal disposición, notificando a Google.
4.7 Sin modificación de los SCC. Nada de lo dispuesto en el Acuerdo (incluido este Anexo) pretende modificar o contradecir ninguna de las Condiciones Generales de Contratación ni perjudicar los derechos o libertades fundamentales de los interesados conforme a la Ley Europea de Protección de Datos.
4.8 Precedencia de las cláusulas contractuales estándar. En caso de conflicto o inconsistencia entre las Condiciones Generales de Contratación del Cliente (que se incorporan por referencia en este Anexo) y el resto del Acuerdo (incluido este Anexo), prevalecerán las Condiciones Generales de Contratación del Cliente.
5. Requisitos para la contratación de subencargados del tratamiento. La Ley Europea de Protección de Datos exige que Google garantice mediante un contrato escrito que las obligaciones de protección de datos descritas en este Anexo, tal como se menciona en el Artículo 28(3) del RGPD, si corresponde, se impongan a cualquier Subprocesador contratado por Google.
1. Definiciones adicionales.
2. Prohibiciones. Sin perjuicio de las obligaciones de Google en virtud de la Sección 5.2 (Cumplimiento de las instrucciones del cliente), con respecto al procesamiento de los Datos personales del cliente de conformidad con la CCPA, Google no hará lo siguiente, a menos que la CCPA lo permita:
a. vender o compartir datos personales del cliente;
b. conservar, utilizar o divulgar los Datos Personales del Cliente:
i. que no sea para un propósito comercial bajo la CCPA en nombre del Cliente y para el propósito específico de realizar los Servicios y TSS; o
ii. fuera de la relación comercial directa entre Google y el Cliente; o
do. combinar o actualizar los Datos Personales del Cliente con información personal que Google recibe de un tercero o en nombre de un tercero o que recopila de sus propias interacciones con el consumidor.
3. Cumplimiento. Sin perjuicio de las obligaciones de Google en virtud de la Sección 5.2 (Cumplimiento de las instrucciones del cliente) o cualquier otro derecho u obligación de cualquiera de las partes en virtud del Acuerdo aplicable, Google notificará al Cliente si, en opinión de Google, Google no puede cumplir con sus obligaciones en virtud de la CCPA, a menos que dicha notificación esté prohibida por la ley aplicable.
4. Intervención del cliente. Si Google notifica al Cliente sobre cualquier uso no autorizado de sus Datos Personales, incluso en la Sección 3 (Cumplimiento) de esta subsección o la Sección 7.2.1 (Notificación de Incidentes), el Cliente podrá tomar medidas razonables y apropiadas para detener o remediar dicho uso no autorizado mediante:
a. tomar cualquier medida recomendada por Google de conformidad con la Sección 7.2.2 (Detalles del incidente de datos), si corresponde; o
b. ejercer sus derechos según la Sección 7.5.2(a) (Auditoría del Cliente) o 9.1 (Acceso; Rectificación; Procesamiento Restringido; Portabilidad).
1. Transferencias de datos.
1.1 Si la dirección de facturación del Cliente está en Turquía y el Cliente acepta los términos adicionales puestos a disposición por separado por Google en relación con las transferencias de Datos Personales del Cliente conforme a la Ley Turca de Protección de Datos Personales N.º 6698 del 7 de abril de 2016, dichos términos complementarán este Anexo.
1.2 Si el Cliente concluye, en función de su uso actual o previsto de los Servicios, que no se proporcionan las garantías adecuadas para los Datos Personales del Cliente transferidos, entonces el Cliente puede rescindir inmediatamente el Acuerdo aplicable de conformidad con la disposición de rescisión por conveniencia de ese Acuerdo o, si no existe tal disposición, notificando a Google.
1. Definición adicional.
2. Términos Equivalentes. Cualquier término equivalente a “controlador”, “datos personales”, “procesamiento” y “procesador”, tal como se utilizan en este Anexo, tienen los significados que se les dan en la Ley de Protección de la Privacidad de Israel.
3. Derechos de auditoría del cliente. Google permitirá que el Cliente o un auditor independiente designado por el Cliente realice auditorías (incluidas inspecciones) como se describe en la Sección 7.5.2(a) (Auditoría del Cliente).
Los términos de cada subsección de este Apéndice 4 se aplican únicamente con respecto al procesamiento de los Datos del Cliente por parte de los Servicios correspondientes.
1. Definiciones adicionales.
2. Certificaciones de cumplimiento. Las certificaciones de cumplimiento para los servicios auditados de Google Cloud Platform también incluirán certificados ISO 27017 e ISO 27018 y una certificación de cumplimiento PCI DSS.
3. Ubicaciones de los centros de datos. Las ubicaciones de los centros de datos de Google Cloud Platform se describen en https://cloud.google.com/about/locations/.
4. Información sobre los subprocesadores. Los nombres, las ubicaciones y las actividades de los subprocesadores de Google Cloud Platform se describen en https://cloud.google.com/terms/subprocessors.
5. Equipo de protección de datos en la nube. Puedes contactar con el Equipo de Protección de Datos de Google Cloud Platform en https://support.google.com/cloud/contact/dpo.
6. Información sobre Transferencias Restringidas. Información adicional relevante a Transferencias Restringidas, Controles de Seguridad Adicionales y otras medidas de protección complementarias está disponible en cloud.google.com/privacy/.
7. Términos específicos del servicio.
Solución Bare Metal (Google Cloud Platform)
La solución Bare Metal proporciona acceso no virtualizado a los recursos de infraestructura subyacente y, por diseño, tiene ciertas características distintivas.
Primeras enmiendas. Esta Adenda se modifica de la siguiente manera con respecto a la Solución Bare Metal:
2. Certificaciones de cumplimiento e informes SOC. Google o su Subprocesador mantendrán al menos lo siguiente (o una alternativa equivalente o mejorada) para que Bare Metal Solution verifique la eficacia continua de las Medidas de Seguridad:
a. un certificado ISO 27001 y una Certificación de Cumplimiento PCI DSS (las “Certificaciones de Cumplimiento BMS”); y
b. Los informes SOC 1 y SOC 2 se actualizan anualmente con base en una auditoría realizada al menos una vez cada 12 meses (los “Informes SOC de BMS”).
3. Revisiones de Documentación de Seguridad. Para demostrar el cumplimiento por parte de Google de sus obligaciones bajo este Anexo, Google pondrá a disposición del Cliente las Certificaciones de Cumplimiento de BMS y los Informes SOC de BMS para su revisión y, si el Cliente es un procesador, le permitirá solicitar acceso para el controlador pertinente a los Informes SOC de BMS de conformidad con la Sección 7.5.3 (Términos Comerciales Adicionales para Revisiones y Auditorías).
4. Obligaciones del cliente. Sin limitar las obligaciones expresas de Google relacionadas con Bare Metal Solution, el Cliente tomará medidas razonables para proteger y mantener la seguridad de los Datos del Cliente y cualquier otro contenido almacenado o procesado a través de Bare Metal Solution.
5. Descargo de responsabilidad. Sin perjuicio de cualquier disposición en contrario contenida en el Acuerdo (incluido este Anexo), Google no es responsable de ninguno de los siguientes aspectos en relación con Bare Metal Solution:
a. seguridad no física, como controles de acceso, cifrado, firewalls, protección antivirus, detección de amenazas y escaneo de seguridad;
b. registro y seguimiento;
do. mantenimiento o soporte no relacionado con hardware;
d. copia de seguridad de datos, incluida cualquier configuración de redundancia o alta disponibilidad; o
mi. políticas o procedimientos de continuidad de negocio y recuperación ante desastres.
El cliente es el único responsable de proteger (excepto la seguridad física de los servidores de Bare Metal Solution), registrar, monitorear, mantener, brindar soporte y realizar copias de seguridad de todos los sistemas operativos, datos del cliente, software y aplicaciones que el cliente usa con, carga o aloja en Bare Metal Solution.
Google Distributed Cloud Edge (Google Cloud Platform)
Google Distributed Cloud Edge (“GDCE”) no se implementa en un centro de datos de Google y, por diseño, tiene ciertas características distintivas.
Primeras enmiendas. Esta Adenda se modifica como sigue con respecto al GDCE:
Google puede agregar estándares en cualquier momento. Google puede reemplazar una Certificación de Cumplimiento o un Informe SOC con una alternativa equivalente o mejorada.
Las referencias a “los sistemas de Google” se sustituyen por “el Equipo”.
La Sección 6.2 (Devolución o Eliminación al Finalizar el Plazo) se sustituye por lo siguiente:
6.2 Devolución o Eliminación al final del Plazo. El Cliente ordena a Google que elimine todos los Datos del Cliente restantes (incluidas las copias existentes) del Equipo al final del Plazo de conformidad con la legislación aplicable. Si el Cliente desea conservar algún Dato del Cliente una vez finalizado el Plazo, podrá exportar o hacer copias de dichos datos antes de que finalice el Plazo. Google cumplirá con las Instrucciones de esta Sección 6.2 tan pronto como sea razonablemente posible y dentro de un período máximo de 180 días, a menos que la Ley Europea requiera almacenamiento, donde se aplique la Ley de Protección de Datos Europea, o la ley aplicable requiera almacenamiento, donde se aplique cualquier otra Ley de Privacidad Aplicable.
Se agregan las siguientes palabras al final de la Sección 10.1 (Instalaciones de almacenamiento y procesamiento de datos): “o donde se encuentra la Ubicación del Cliente”.
La Sección 1 (Seguridad del centro de datos y de la red) del Apéndice 2 (Medidas de seguridad) se sustituye por lo siguiente:
Se eliminan las secciones 2 (Controles de acceso y del sitio) y 3 (Datos) del Apéndice 2 (Medidas de seguridad).
Enmienda sobre el procesamiento de datos de MCS administrados por Google significa los términos en https://cloud.google.com/terms/mcs-data-processing-terms.
La definición de “Auditor externo de Google” se sustituye por la siguiente:
Auditor externo de Google significa un auditor externo calificado e independiente designado por Google o un subprocesador de NetApp Volumes, cuya identidad actual Google revelará al Cliente a pedido.
La Sección 3(a) (Almacenamiento, aislamiento y registro de datos) del Apéndice 2 (Medidas de seguridad) se reemplaza por lo siguiente:
(a) Almacenamiento, aislamiento y registro de datos. Google almacena datos en un entorno de múltiples inquilinos en servidores propiedad de NetApp, Inc. Sujeto a cualquier instrucción en contrario (por ejemplo, en forma de selección de ubicación de datos), Google replica los Datos del Cliente entre múltiples centros de datos dispersos geográficamente. Google también aísla lógicamente los datos de los clientes. Al cliente se le dará control sobre políticas específicas de intercambio de datos. Estas políticas, de acuerdo con la funcionalidad de los Servicios, permitirán al Cliente determinar las configuraciones de uso compartido de productos aplicables a sus Usuarios Finales para fines específicos. El Cliente puede optar por utilizar la funcionalidad de registro que Google pone a disposición a través de los Servicios.
"Cuenta", si no se define en el Acuerdo, significa la cuenta de Google Workspace o Cloud Identity del Cliente.
“Identidad en la nube” cuando se compra bajo un Acuerdo independiente y no como parte de Google Cloud Platform o Google Workspace, significa los Servicios de identidad en la nube descritos en https://cloud.google.com/terms/identity/user-features.
“Datos del cliente”, si no se define en el Acuerdo, significa datos enviados, almacenados, enviados o recibidos por o en nombre del Cliente o sus Usuarios finales a través de Google Workspace o Cloud Identity bajo la Cuenta.
“Espacio de trabajo de Google” significa los servicios de Google Workspace o Google Workspace for Education descritos en https://workspace.google.com/terms/user_features.html, según corresponda.
El párrafo titulado “Sistemas operativos de servidor” en la Sección 1(a) del Apéndice 2 (Medidas de seguridad) se reemplaza por lo siguiente:
Sistemas operativos de servidor. Los servidores de Google utilizan una implementación basada en Linux personalizada para el entorno de la aplicación.
“Consola de administración” significa cualquier consola de administración aplicable a cada instancia.
Enmienda sobre el procesamiento de datos de MCS administrados por Google significa, si corresponde, los términos en https://cloud.google.com/terms/mcs-data-processing-terms.
Servicios multicloud gestionados por Google significa, si corresponde, servicios, productos y funciones específicos de Google que están alojados en la infraestructura de un proveedor de nube externo.
“Mirador (original)” significa una plataforma integrada (incluida la infraestructura basada en la nube, si corresponde, y los componentes de software, incluidas las API asociadas) que permite a las empresas analizar datos y definir métricas comerciales en múltiples fuentes de datos puestas a disposición por Google para el Cliente en virtud del Acuerdo. Looker (original) excluye ofertas de terceros.
Proveedor externo de servicios multinube tiene el significado que se le da en la Enmienda de procesamiento de datos de MCS administrado por Google.
“Formulario de pedido” tiene el significado que se le da en el Acuerdo, a menos que el Cliente haya comprado a través de un revendedor o mercado en línea o esté usando Looker solo para fines de prueba o evaluación bajo un acuerdo de prueba o evaluación, en cuyo caso, Formulario de pedido puede significar otra forma escrita (correo electrónico u otro medio electrónico permitido) según lo autorizado por Google.
La definición de “Dirección de correo electrónico de notificación” se sustituye por la siguiente:
“Dirección de correo electrónico de notificación” significa la(s) dirección(es) de correo electrónico designada(s) por el Cliente en el Formulario de pedido o a través de Looker (según corresponda) para recibir determinadas notificaciones de Google.
Las definiciones de “SCC (De Responsable a Encargado)”, “SCC (De Encargado a Encargado)”, “SCC (De Encargado a Encargado)” y “SCC (De Encargado a Encargado, Exportador de Google)” del Apéndice 3 (Leyes de Privacidad Específicas) se sustituyen por las siguientes:
“SCCs (del responsable al encargado del tratamiento)” significa los términos en: https://cloud.google.com/terms/looker/legal/sccs/eu-c2p;
“SCCs (Procesador a Controlador)” significa los términos en: https://cloud.google.com/terms/looker/legal/sccs/eu-p2c;
“SCCs (de procesador a procesador)” significa los términos en: https://cloud.google.com/terms/looker/legal/sccs/eu-p2p; y
“SCCs (Procesador a procesador, Exportador de Google)” significa los términos en: https://cloud.google.com/terms/looker/legal/sccs/eu-p2p-intra-group.
Se agregan las siguientes palabras al final de la Sección 10.1 (Instalaciones de almacenamiento y procesamiento de datos): “o donde cualquier proveedor externo de servicios multicloud mantenga instalaciones”.
"Cuenta", si no se define en el Acuerdo, significa la cuenta de Servicios SecOps del Cliente o de Google Cloud Platform, según corresponda.
“Datos del cliente”, si no se define en el Acuerdo, significa datos proporcionados a Google por el Cliente o los Usuarios finales a través de los Servicios SecOps bajo la Cuenta.
Servicios de operaciones de seguridad significa Chronicle SIEM, Chronicle SOAR y Mandiant Solutions, cada uno como se describe en https://cloud.google.com/terms/secops/services, excluyendo cualquier oferta de terceros. Para evitar dudas, los servicios SecOps excluyen los servicios administrados de Mandiant y los servicios de consultoría de Mandiant.
“Ofertas de terceros”, si no se define en el Acuerdo, significa (a) servicios, software, productos y otras ofertas de terceros que no están incorporados en los Servicios o Software de SecOps, y (b) sistemas operativos de terceros.
La definición de “Controles de seguridad adicionales” se sustituye por la siguiente:
“Controles de seguridad adicionales” significa recursos de seguridad, características, funcionalidades y/o controles (si los hubiera) que el Cliente puede usar a su opción y/o como lo determine, incluyendo (si los hubiera) encriptación, registro y monitoreo, administración de identidad y acceso, y escaneo de seguridad.
La definición de “Servicios Auditados” se sustituye por la siguiente:
“Servicios auditados” significa los Servicios SecOps vigentes en ese momento indicados como dentro del alcance de la certificación o informe pertinente en https://cloud.google.com/security/compliance/secops/services-in-scope. Google no podrá eliminar ningún Servicio SecOps de esta URL a menos que se haya interrumpido de conformidad con el Acuerdo aplicable.
Las definiciones de “SCC (De Responsable a Encargado)”, “SCC (De Encargado a Encargado)”, “SCC (De Encargado a Encargado)” y “SCC (De Encargado a Encargado, Exportador de Google)” del Apéndice 3 (Leyes de Privacidad Específicas) se sustituyen por las siguientes:
“SCCs (del responsable al encargado del tratamiento)” significa los términos en: https://cloud.google.com/terms/secops/sccs/eu-c2p
“SCCs (Procesador a Controlador)” significa los términos en: https://cloud.google.com/terms/secops/sccs/eu-p2c
“SCCs (de procesador a procesador)” significa los términos en: https://cloud.google.com/terms/secops/sccs/eu-p2p
“SCCs (Procesador a procesador, Exportador de Google)” significa los términos en: https://cloud.google.com/terms/secops/sccs/eu-p2p-google-exporter
La Sección 7.4 (Certificaciones de cumplimiento e informes SOC) del Anexo se modifica para que se lea de la siguiente manera:
7.4 Certificaciones de cumplimiento e informes SOC. Google mantendrá al menos las certificaciones e informes identificados en https://cloud.google.com/security/compliance/secops/services-in-scope para que los Servicios Auditados verifiquen la eficacia continua de las Medidas de Seguridad (las “Certificaciones de Cumplimiento” y los “Informes SOC”).
