Acuerdo de Procesamiento de Datos (DPA)

---

Fecha de última actualización 3 de febrero de 2025.

Este acuerdo para el tratamiento de datos y sus anexos (DPA, por sus siglas en inglés), se luye en los términos del servicio para el cliente y forma parte integral de ese documento, que celebramos entre tú y nuestra empresa (en adelante, "el acuerdo"). Este documento refleja el acuerdo entre las partes con respecto (i) al procesamiento de datos personales de clientes por nuestra parte como encargados del tratamiento en tu nombre, y (ii) al procesamiento de los datos personales del responsable del tratamiento por cada una de las partes en calidad de responsables del tratamiento en relación con nuestros productos de enriquecimiento y el uso que hagas del código de seguimiento de Neurosaas.

En caso de que exista conflicto o oherencia con los términos del acuerdo, este DPA tendrá prioridad únicamente a los efectos de dicho conflicto o oherencia. 

Los términos del encargado y el responsable del tratamiento de los datos se aplican únicamente en la medida en que Neurosaas sea el encargado del tratamiento de los datos personales de los clientes en relación con los servicios de suscripción. 

Los términos del responsable a responsable del tratamiento de los datos son aplicables en la medida en que el cliente utilice los productos de enriquecimiento o el código de seguimiento de Neurosaas, además de que cada una de las partes ejerza en calidad de responsable del tratamiento según la legislación de protección de datos.

Actualizamos estos términos periódicamente. Si tienes una suscripción de Neurosaas activa, te informaremos mediante una notificación en la app, o bien por correo electrónico si hiciste clic en el enlace para recibir estas notificaciones luido en nuestros términos generales. 

La vigencia de este DPA será la misma que la vigencia del acuerdo. Los términos no definidos de otra manera en este documento tendrán el mismo significado que se establece en el acuerdo.

1. DEFINICIONES

"Responsable del tratamiento" hace referencia a la persona física o jurídica, autoridad pública, agencia o cualquier otro organismo que, de manera individual o conjunta con otros, determina los objetivos y medios del tratamiento de datos personales.

"Datos personales del responsable del tratamiento" hace referencia a los datos personales que cada una de las partes procesa en calidad de responsable en relación con los productos de enriquecimiento o el código de seguimiento de Neurosaas, además de que cada una se considere responsable del tratamiento según la legislación de protección de datos.

"Datos personales de clientes" se refiere a los datos personales luidos en los datos de clientes que Neurosaas procesa como encargado del tratamiento en nombre del cliente.

"Violación de la seguridad de los datos personales" hace referencia a una violación de la seguridad, accidental o ilegítima, que ocasiona la destrucción, pérdida, alteración o divulgación no autorizada de los datos personales de clientes transmitidos, almacenados o tratados de cualquier otra manera por nosotros o nuestros subencargados en relación con la prestación de los servicios de suscripción. Una "violación de la seguridad de los datos personales" no luye intentos ni actividades fallidas que no comprometan la seguridad de los datos personales de clientes, luidos intentos fallidos de inicio de sesión, pings, escaneo de puertos, ataques de denegación de servicio y otros ataques de red en firewalls o sistemas en red.

"Leyes de protección de datos" se refiere a toda la legislación aplicable a escala internacional relacionada con la privacidad y protección de la información, que se aplica al tratamiento de los datos personales en virtud del acuerdo.

"Titular de los datos" hace referencia a la persona a la que hacen referencia los datos personales.

"Instrucciones" hace referencia a las instrucciones escritas y documentadas emitidas por un cliente a un Neurosaas, y mediante las cuales se solicita a Neurosaas una acción específica o general respecto a los datos personales de clientes (como la despersonalización, el bloqueo, la eliminación y la puesta a disposición).

«Afiliados permitidos" hace referencia a cualquiera de tus afiliados que (i) tenga permiso para usar los servicios de suscripción en virtud del acuerdo pero que no haya firmado su propio acuerdo por separado con Neurosaas y no sea un "cliente" según la definición del acuerdo; (ii) se califique como responsable de los datos personales de clientes o los datos personales del responsable del tratamiento.

"Datos personales" se refiere a la información relacionada con una persona identificada o identificable cuando dicha información está protegida de manera similar a los datos personales, información personal o a la información personalmente identificable de conformidad con las leyes de protección de datos.

"Tratamiento" hace referencia a toda operación o conjunto de operaciones que se lleve a cabo con los datos personales, luido el registro, la recogida, la organización, la estructuración, el almacenamiento, la adaptación o alteración, la recuperación, la consulta, el uso, la divulgación por transmisión, la diseminación o publicación por cualquier otro medio, el ajuste o combinación, o la restricción o el borrado de datos personales. Los términos "tratamiento", "tratamientos" y "tratados" se interpretarán en consecuencia.

"Encargado del tratamiento" hace referencia a una persona física o jurídica, autoridad pública, agencia u otro organismo que trata datos personales en nombre del responsable del tratamiento.

"Subencargado" hace referencia a cualquier encargado del tratamiento, contratado por nosotros o por nuestros afiliados, que nos ayude a cumplir con nuestras obligaciones con respecto al tratamiento de los datos personales de clientes en virtud del acuerdo. Los subencargados podrían luir terceros o afiliados nuestros, pero no luyen a los empleados ni a los consultores de Neurosaas  

2. RESPONSABILIDADES DEL CLIENTE

2.1. Cumplimiento de la ley. Dentro del ámbito de aplicación del acuerdo y tu uso de los servicios, serás responsable de cumplir con todos los requisitos que te correspondan según las leyes de protección de datos aplicables con respecto al tratamiento de los datos personales que tú hagas.

En particular, y sin perjuicio de la generalidad de lo anterior, reconoces y aceptas que serás el único responsable de: (i) la exactitud, calidad y legalidad de los datos personales de tus clientes y la forma en que obtuviste tales datos; (ii) cumplir con todos los requisitos de transparencia y legalidad según las leyes de protección de datos aplicables a la recogida y el uso de datos personales de clientes, que luye el envío de notificaciones adecuadas, la obtención de todas las autorizaciones y consentimientos necesarios, la adhesión a las preferencias de retiro del consentimiento (en particular, para el uso con fines de marketing por parte del cliente); (iii) asegurar que tienes el derecho a transferir u ofrecer a Neurosaas acceso a los datos personales de clientes para que podamos tratarlos según los términos del acuerdo (luido este DPA); (iv) cumplir con todas las leyes aplicables a todo correo electrónico o demás contenido creado, enviado o gestionado a través de los servicios de suscripción, luidas las que se relacionan con la obtención de consentimiento para enviar correos electrónicos, así como al contenido de dichos correos y sus prácticas de implementación; y (v) garantizar que el uso que haces de los datos personales del responsable del tratamiento cumple con la legislación para la protección de datos y se limita únicamente a los objetivos establecidos en virtud del acuerdo (luido este DPA). Deberás notificarnos sin demora injustificada si no puedes cumplir con tus responsabilidades según esta subsección ("Cumplimiento de la ley") o las leyes de protección de datos.

2.2. Instrucciones del cliente. Debes garantizar que las instrucciones que nos des en relación con el tratamiento de los datos personales de clientes cumplen con la legislación aplicable, entre lo que se luyen las leyes para la protección de datos. Las partes aceptan que el acuerdo (luido este DPA), junto con el uso que haces del servicio de suscripción según el acuerdo, constituyen la totalidad de tus instrucciones a Neurosaas con respecto al tratamiento de los datos personales de clientes por nuestra parte, en tanto que, durante el plazo de suscripción, nos proporciones instrucciones adicionales que sean coherentes con el acuerdo, así como con la naturaleza y el uso legal del servicio de suscripción.

2.3. Seguridad. Es tu responsabilidad determinar de manera independiente si la seguridad de los datos que se proporciona en el servicio de suscripción cumple con tus obligaciones de conformidad respecto a las leyes de protección de datos. También eres responsable del uso seguro del servicio de suscripción, lo cual luye la protección de los datos personales en tránsito desde y hacia dicho servicio (luida la creación de copias de seguridad o el cifrado seguros de estos datos).

3. OBLIGACIONES DE Neurosaas COMO ENCARGADO DEL TRATAMIENTO DE LOS DATOS

3.1. Cumplimiento de las instrucciones. Solo tratamos datos personales de clientes con los fines descritos en este DPA o según lo acordado en las instrucciones válidas que nos proporciones, excepto en el caso y en la medida que lo requiera la ley aplicable. No seremos responsables de cumplir con ninguna ley de protección de datos aplicable a ti o a tu sector que no se aplique de forma general a nosotros.

3.2. Conflicto entre leyes. Si descubrimos que no podemos tratar datos personales de clientes de acuerdo con tus instrucciones debido a un requisito legal, (i) te informaremos de inmediato acerca de ese requisito legal en la medida permitida por la ley; y (ii) cuando sea necesario, suspenderemos el tratamiento (las actividades que no impliquen meramente guardar y mantener la seguridad de los datos personales de clientes afectados) hasta que nos des nuevas instrucciones que podamos cumplir. Si se invoca esta disposición, de conformidad con el acuerdo, Neurosaas no será responsable ante ti por el umplimiento de los servicios de suscripción correspondientes hasta que nos des nuevas instrucciones válidas con respecto al tratamiento.

3.3. Seguridad. Implementaremos y mantendremos medidas técnicas y organizativas adecuadas para proteger los datos personales de clientes contra toda violación de la seguridad, según se describe en el Anexo 2 de este DPA ("Medidas de seguridad"). Sin perjuicio de ninguna disposición contraria, podemos modificar o actualizar las medidas de seguridad a nuestra discreción, siempre y cuando dicha modificación o actualización no ocasione una degradación material en la protección ofrecida por dichas medidas. 

3.4. Confidencialidad. Nos aseguraremos de que todo el personal que tenga autorización para tratar los datos personales de clientes en nuestro nombre esté sujeto a obligaciones adecuadas de confidencialidad respecto a esos datos personales (ya sea por obligación legal o por contrato).

3.5. Violaciones de la seguridad de los datos personales. Te notificaremos sin demora injustificada cualquier violación a la seguridad de los datos personales de clientes de la que seamos conscientes, y te ofreceremos información oportuna tan pronto como tengas conocimiento de ella o tan pronto como nos lo solicites. Si nos lo solicitas, Neurosaas te ofrecerá la ayuda necesaria, dentro de lo razonable, para que puedas notificar a las autoridades competentes o a los titulares de los datos afectados sobre cualquier violación de la seguridad pertinente si tienes que hacerlo de conformidad con las leyes de protección de datos.

3.6. Eliminación o devolución de los datos personales de clientes. Eliminaremos o devolveremos todos los datos de los clientes, luidos los datos personales tratados (y sus copias) de conformidad con este DPA, al terminar o vencer el servicio de suscripción y de acuerdo con los procedimientos definidos en nuestros términos específicos de los productos. Esta cláusula tendrá validez en todos los casos excepto si la ley aplicable nos exige retener datos de clientes de forma parcial o total, o en aquellos casos en los que tenemos archivados datos de clientes en sistemas de respaldo, que aislaremos de forma segura y protegeremos de forma que no se someta a más tratamiento, y que eliminaremos de conformidad con nuestras prácticas de eliminación.

Si necesitas ayuda para extraer los datos de tus clientes durante el período de suscripción, te proporcionaremos asistencia en la medida de lo razonable, tal cual se estipula en la sección "Confidencialidad" de los términos generales, y los gastos correrán por tu cuenta. Te notificaremos con antelación sobre cualquier cobro aplicable, el cual será comercialmente razonable. 

4. SOLICITUDES DE LOS TITULARES DE LOS DATOS

El servicio de suscripción luye algunos controles para buscar, corregir, eliminar o limitar los datos personales de clientes, que puedes usar en virtud de tus obligaciones según las leyes de protección de datos, luidas tus obligaciones de responder a las solicitudes de los titulares de los datos para cumplir sus derechos según las leyes de protección de datos ("solicitudes de los titulares de los datos"). 

Si no puedes satisfacer de forma independiente la solicitud de un titular de datos a través del servicio de suscripción, entonces, previa presentación de una solicitud escrita, Neurosaas te ofrecerá asistencia en la medida de lo razonable para responder a todas las solicitudes de los titulares de los datos o a las solicitudes de las autoridades de protección de datos con respecto al tratamiento de los datos personales de clientes según se estipula en el acuerdo. Deberás reembolsar a Neurosaas los gastos derivados de esta asistencia según sea razonable desde un punto de vista comercial, te notificaremos con antelación sobre cualquier cobro aplicable.

Si recibimos directamente una solicitud del titular de los datos u otra comunicación referente al tratamiento de los datos personales de clientes según se estipula este acuerdo, te informaremos tan pronto como esté en nuestra mano y aconsejaremos al titular de los datos que te envíe su consulta. La responsabilidad de responder a las solicitudes de los titulares de los datos o a las comunicaciones relacionadas con datos personales de clientes es únicamente tuya.

5. SUBENCARGADOS

Aceptas que podemos contratar subencargados para tratar datos personales de clientes en tu nombre, y que lo haremos de tres formas. Primero, podemos contratar subencargados para que nos ayuden con el alojamiento y la infraestructura. Segundo, podemos contratar subencargados para facilitar determinadas características e integraciones. Tercero, podemos contratar afiliados de Neurosaas como subencargados para prestar servicio y asistencia. Algunos subencargados tratarán tus datos de forma predeterminada, mientras que otros lo harán solo si das tu consentimiento.

Siempre que trabajemos con subencargados, impondremos términos sobre la protección de datos a dichos subencargados; términos que ofrezcan al menos el mismo nivel de protección de datos personales que los de este acuerdo para el tratamiento de los datos de clientes, en la medida aplicable a la naturaleza de los servicios brindados por dichos subencargados. Seguiremos siendo responsables de que cada subencargado cumpla con las obligaciones de este DPA, así como de todas las acciones u omisiones de estos subencargados que conlleven el umplimiento de cualquiera de las obligaciones de este DPA por parte de Neurosaas

6. TRANSFERENCIAS DE DATOS

Reconoces y aceptas que podemos acceder a los datos personales de clientes y tratarlos de forma global, según sea necesario, para ofrecer el servicio de suscripción de conformidad con este acuerdo y, en particular, que los datos personales de clientes pueden ser tratados por Neurosaas en México y transferirse a otras jurisdicciones donde operen los afiliados y subencargados de Neurosaas Cuando se transfieran los datos personales de clientes fuera de su país de origen, cada parte se asegurará de que la transferencia cumpla con los requisitos de las leyes de protección de datos.

7. DEMOSTRACIÓN DEL CUMPLIMIENTO

Pondremos a tu disposición toda la información necesaria en la medida de lo razonable para demostrar el cumplimiento con este DPA, y permitiremos y cooperaremos con todo proceso de auditoría, luidas las inspecciones realizadas a tu cargo o a cargo de tu auditor, para evaluar el cumplimiento de este acuerdo si así lo exige la ley. Reconoces y aceptas que ejercerás tus derechos de auditoría según este DPA instruyendo a Neurosaas a cumplir con las medidas de auditoría descritas en esta sección ("Prueba de cumplimiento"). Reconoces que el alojamiento del servicio de suscripción corre a cargo de nuestros subencargados de alojamiento, los cuales mantienen programas de seguridad validados de forma independiente (como SOC 2 e ISO 27001), y que nuestros sistemas se evalúan anualmente como parte del cumplimiento de la norma SOC 2 y se ponen a prueba regularmente por parte de empresas externas a Neurosaas que evalúan los riesgos de penetración. Si lo solicitas, te enviaremos (de forma confidencial) el informe de SOC 2 y copias resumidas de nuestros informes de pruebas de penetración para que puedas corroborar el cumplimiento de Neurosaas con este DPA. Además, si nos proporcionas una solicitud escrita, enviaremos respuestas por escrito (de forma confidencial) a todas las solicitudes de información que hagas y que sean necesarias para confirmar nuestro cumplimiento con este DPA, siempre que sean razonables y que no utilices este derecho más de una vez por año natural, a no ser que tengas fundamentos para sospechar un umplimiento.

8. TÉRMINOS APLICABLES DE RESPONSABLE A RESPONSABLE

8.1. Alcance. Esta sección "Términos aplicables de responsable a responsable", se aplicará solo en caso de que las partes traten información personal del responsable del tratamiento en relación con el uso del cliente de los productos de enriquecimiento de datos y el código de seguimiento de Neurosaas 

8.2. Rol de las partes. Las partes reconocen y aceptan que actúan como responsables del tratamiento de los datos personales del responsable y que cumplirán con sus respectivas obligaciones en virtud de las leyes de protección de datos cuando traten datos personales del responsable. Para mayor claridad, nada de lo dispuesto en el acuerdo o en esta sección ("Términos aplicables de responsable a responsable") restringirá en modo alguno la recogida, uso o transferencia de datos por parte de Neurosaas que en otras circunstancias trataríamos independientemente del uso de los servicios de suscripción por parte del cliente, luidos nuestros productos de enriquecimiento de datos. 

8.3. Cumplimiento de la ley. Cada una de las partes garantizará que los datos personales del responsable del tratamiento que transfiera o divulgue a otras parte se han recogido cumpliendo con las disposiciones de las leyes de protección de datos, entre las cuales se luye: (i) enviar notificaciones adecuadas y obtener el consentimiento que se requiera de los titulares de los datos; (ii) establecer una base jurídica para el tratamiento de los datos personales del responsable del tratamiento; (iii) implementar las medidas técnicas y organizativas para proteger los datos personales del responsable, y (iv) cumplir con las obligaciones de notificación de violaciones a la seguridad que involucren datos personales del responsable del tratamiento. Entre las partes, el cliente es responsable de proporcionar todas las notificaciones, consentimientos y mecanismos de retiro del consentimiento en cuanto al uso del código de seguimiento de Neurosaas, y garantizar que el sitio web declara el uso de tecnología de seguimiento externa según la legislación de protección de datos. Si el titular de los datos se pone en contacto con cualquiera de las partes para ejercer sus derechos en virtud de la legislación para la protección de los datos, la parte que reciba la comunicación cumplirá la solicitud directamente o, si esto no es posible, lo notificará sin demora y se coordinará con la otra parte para garantizar que la solicitud se cumpla de conformidad con la legislación de protección de datos. El cliente acepta eliminar los resultados del enriquecimiento de datos (según como se establece en los términos específicos de los productos de Neurosaas) si determina que no hay una base jurídica (u otros términos esencialmente similares) para el tratamiento de dichos datos en virtud de las leyes de protección de datos.

8.4. Demostración de cumplimiento.  Si alguna de las partes recibe una queja, notificación o comunicación de una autoridad supervisora u otra autoridad gubernamental relacionada con el actuar de la otra parte con respecto a: (i) el tratamiento de los datos personales del responsable del tratamiento; o (ii) el posible umplimiento de las leyes de protección de datos con respecto al tratamiento de los datos personales del responsable, dicha parte remitirá a la autoridad supervisora o a la autoridad gubernamental a la otra parte y, en el caso de que las obligaciones, reclamaciones o los datos personales del responsable del tratamiento afectados sean compartidos, proporcionará asistencia razonable a la otra parte para responder ante la autoridad supervisora o la autoridad gubernamental.

8.5. Seguridad. Implementaremos y mantendremos medidas de seguridad razonables para proteger los datos del responsable del tratamiento. Todos los datos personales se protegen tomando las medidas físicas, técnicas y organizativas adecuadas.

9. MECANISMOS DE TRANSFERENCIA DE DATOS

Cuando la transferencia entre las partes de datos personales de clientes o de datos personales del responsable implique una transferencia restringida, y las leyes europeas de protección de datos exijan tomar las medidas adecuadas, Neurosaas y el cliente cumplirán con la siguiente normativa:

9.1. El marco de privacidad de datos. Neurosaas se acoge al marco de privacidad de datos y certifica su cumplimiento. En la medida y en los casos en que corresponda, Neurosaas usará el marco de privacidad de datos para recibir legalmente datos personales de clientes y datos personales del responsable del tratamiento en México. y garantizar que proporciona al menos el mismo nivel de protección sobre esos datos que el requerido por los pripios del marco de privacidad de datos. En caso de que no podamos cumplir con este requisito, te lo informaremos oportunamente.

10. DISPOSICIONES GENERALES

10.1. Modificaciones. No obstante cualquier disposición contraria al acuerdo y sin perjuicio de las secciones "Cumplimiento de las instrucciones" o "Seguridad" de este DPA, nos reservamos el derecho a hacer cualquier actualización y cambio a este documento, y se aplicarán los términos de la sección "Modificación; no exención" de los términos generales.

12.2. Divisibilidad. Si cualquier disposición individual de este DPA es considerada no válida o inaplicable, la validez y aplicabilidad de las demás disposiciones de este DPA no se verán afectadas.

12.3. Limitación de responsabilidad. La responsabilidad de cada parte y sus afiliados, considerados en conjunto, que resulte o que esté relacionada con este DPA (luido cualquier otro acuerdo para el tratamiento de datos entre las partes) y las cláusulas contractuales tipo (cuando corresponda), ya sea por responsabilidad civil o contractual, o bajo cualquier otra teoría de responsabilidad, estará sujeta a los límites y exclusiones de responsabilidad definidos en la sección "Limitación de responsabilidad" de los términos generales, y toda referencia en dicha sección a la responsabilidad de una parte significará la responsabilidad total de esa parte y de todas sus afiliados según el acuerdo (luido este acuerdo para el tratamiento de datos).  Con el fin de esclarecer cualquier duda, si Neurosaas, no es parte de este acuerdo, la sección "Limitación de responsabilidad" de los términos generales regirá la relación entre tú y Neurosaas y, a ese respecto, cualquier referencia a "Neurosaas", "nosotros" y "nuestro" luirá tanto a Neurosaas, como a la entidad de Neurosaas que forma parte del acuerdo. En ningún caso la responsabilidad de ninguna de las partes se limitará con respecto a los derechos de protección que se luyen en este DPA (luido cualquier otro DPA entre las partes y las cláusulas contractuales tipo) en referencia a los datos de los individuos.

12.4. Ley aplicable. Este DPA se regirá e interpretará de acuerdo con la sección "Entidad contratante, ley aplicable, notificación" de los términos específicos según la jurisdicción, a menos que las leyes de protección de datos lo especifiquen de otra manera.

13. PARTES DE ESTE DPA

13.1. Afiliados permitidos. Al firmar este acuerdo, aceptas este DPA (luidas, cuando corresponda, las cláusulas contractuales tipo) en tu nombre y en nombre de tus afiliados permitidos. A los efectos únicos de este DPA, excepto cuando se indique de otro modo, los términos "cliente", "tú" y "tu" te luirán a ti y a dichas afiliados permitidos.

13.2. Autorización. La entidad jurídica que acepta este DPA como cliente declara que está autorizada para hacerlo en su propio nombre y de cada uno de sus afiliados permitidos.

13.3. Recursos legales. Las partes acuerdan que: (i) solamente la entidad cliente que sea la parte contratante del acuerdo podrá ejercer cualquier derecho o recurrir a los recursos legales que cualquier afiliado permitido podría tener de conformidad con este DPA en representación de sus afiliados y que (ii) la entidad cliente que sea la parte contratante del acuerdo podrá ejercer tales derechos bajo en virtud de DPA de forma indivisa para cada afiliado permitido, no individualmente, sino de forma conjunta para sí misma y todas los afiliados permitidos. La entidad del cliente que sea la parte contratante del acuerdo será la responsable de coordinar todas las instrucciones, autorizaciones y comunicaciones con nosotros según el DPA, y tendrá derecho a enviar y recibir todas las comunicaciones relacionadas con este acuerdo en representación de sus afiliados permitidos.

13.4. Otros derechos. Las partes acuerdan que deberás, al revisar nuestro cumplimiento con este DPA según la sección "Demostración del cumplimiento", tomar todas las medidas razonables para limitar cualquier consecuencia en Neurosaas y sus afiliados, combinando varias solicitudes de auditoría realizadas en nombre de la entidad cliente que es la parte contratante del acuerdo y todas sus afiliados permitidos en una sola auditoría.

ANEXO 2

MEDIDAS DE SEGURIDAD

Actualmente cumplimos con las medidas de seguridad descritas en este Anexo 2. Todos los términos no definidos en este documento tendrán los significados que se les dé en los términos generales.

1. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Mantenemos y nos guiamos por una política escrita interna de seguridad de la información.

2. CONTROL DE ACCESO

2.1. Prevención del acceso no autorizado a productos.

Tratamiento externalizado: alojamos nuestro servicio con proveedores externos de infraestructura de nube. Además, mantenemos relaciones contractuales con proveedores para proporcionar nuestro servicio de conformidad con el DPA. Recurrimos a acuerdos contractuales, políticas de privacidad y programas de cumplimiento para proveedores con el fin de proteger los datos tratados o almacenados por ellos.

Seguridad física y ambiental: alojamos nuestra infraestructura de producto con proveedores externos de infraestructura para múltiples usuarios. No somos propietarios ni realizamos el mantenimiento del hardware ubicado en los centros de datos de los proveedores de infraestructura externos. Los servidores de producción y las aplicaciones de primera línea se protegen física y digitalmente desde nuestros sistemas internos de información corporativa. Los controles de seguridad físicos y medioambientales de los proveedores de infraestructuras se someten a auditorías de cumplimiento de los estándares SOC 2 de tipo II e ISO 27001, y también han obtenido otras certificaciones.

Autenticación: implementamos una política de contraseñas uniformes para los productos de nuestros clientes. Los clientes que interactúan con los productos a través de la interfaz del usuario deben autenticarse antes de acceder a los datos personales desde su cuenta de Neurosaas

Autorización: los datos de clientes se guardan en sistemas de almacenamiento para múltiples usuarios a los que los clientes pueden acceder solo mediante interfaces de usuario de aplicaciones e interfaces de programación de aplicaciones. Los clientes no tienen acceso directo a la infraestructura subyacente de las aplicaciones. El modelo de autorización de cada uno de nuestros productos está diseñado para garantizar que solo las personas con los permisos adecuados pueden acceder a las características, las vistas y las opciones de personalización pertinentes. La autorización para acceder a los conjuntos de datos se realiza validando los permisos del usuario con los atributos asociados a cada conjunto de datos.

Acceso a la interfaz de programación de aplicaciones (API): puede accederse a las API públicas de nuestros productos mediante tokens privados de la aplicación.

2.2. Prevención del uso no autorizado de los productos.

Implementamos controles de acceso y funciones de detección estándar del sector en las redes internas que respaldan nuestros productos.

Controles de acceso: los mecanismos de control de acceso a la red están diseñados para evitar que el tráfico de red que utiliza protocolos no autorizados alcance la infraestructura del producto. Las medidas técnicas implementadas difieren entre los proveedores de infraestructura e luyen implementaciones de nube privada virtual (VPC), asignación de grupos de seguridad y reglas de firewall tradicionales.

Detección y prevención de intrusiones: implementamos una solución de Firewall de Aplicación Web (WAF) para proteger los sitios web alojados por clientes y otras aplicaciones a las que se accede por Internet. El WAF está diseñado para identificar y prevenir ataques contra servicios de red disponibles públicamente.

Análisis de código estático: se utilizan herramientas automatizadas para realizar revisiones de seguridad de los códigos guardados en nuestros depósitos de código fuente y así comprobar que se siguen buenas prácticas de programación y detectar fallos identificables en el software.

Protección de puntos de terminación: los puntos de terminación están protegidos de acuerdo con las prácticas estándar del sector. Las estaciones de trabajo están protegidas contra los programas maliciosos y con herramientas de detección y respuesta para puntos de terminación, que reciben actualizaciones regulares de firmas y definiciones.

2.3. Limitaciones de los requisitos de privilegio y autorización.

Gestión de acceso privilegiado: el acceso privilegiado a los entornos de nuestros productos está controlado y monitorizado, y se revoca rápidamente mediante controles de acceso puntual ("just in time access" o "JITA"). Las cuentas no personales que se usan para acceder a los sistemas se almacenan en un entorno protegido con controles adicionales que rigen los procesos de asignación de privilegios y de acceso a las cuentas.

Acceso a los productos: un subconjunto de nuestros empleados tiene acceso a los productos y datos de los clientes mediante interfaces controladas. El objetivo de dar acceso a un subconjunto de empleados es proporcionar al cliente asistencia efectiva, posibilitar el desarrollo de productos y la recogida de información, solucionar posibles problemas, detectar y resolver identes de seguridad e implementar medidas de protección. Este acceso se habilita a través de solicitudes JITA, y todas esas solicitudes quedan registradas. Los empleados obtienen acceso según su función y se revisan los otorgamientos de privilegios de alto riesgo a diario. Los permisos de acceso administrativo o de alto riesgo se revisan al menos una vez cada seis meses.

3. CONTROL DE TRANSMISIÓN

En tránsito: requerimos el uso el cifrado HTTPS (también conocido como SSL o TLS) en cada una de las interfaces de inicio de sesión y de forma gratuita en cada sitio del cliente alojado en productos de Neurosaas Nuestra implementación de HTTPS usa algoritmos y certificados estándar del sector.

En reposo: almacenamos las contraseñas de los usuarios de conformidad con políticas que siguen las prácticas estándar del sector en materia de seguridad. Seguimos una estrategia de capas con las tecnologías de encriptado en reposo para asegurarnos de que los datos de los clientes y los datos sensibles permitidos de identificación de los clientes están debidamente cifrados.

4. GESTIÓN DE INCIDENCIAS, REGISTRO Y MONITORIZACIÓN

Plan de respuesta a incidentes: mantenemos un plan de respuesta a incidentes por escrito, guías y otros procesos y procedimientos necesarios para cumplir con las obligaciones y los estándares descritos en este documento.

Detección: diseñamos nuestra infraestructura para registrar gran cantidad de información acerca del comportamiento del sistema, el tráfico recibido, la autentificación del sistema y otras solicitudes de la aplicación. Los sistemas internos reúnen datos de registro y alertan al personal correspondiente acerca de actividades maliciosas, no deseadas o anómalas. Nuestro personal, luidos los empleados de seguridad, operaciones y asistencia, responden ante los incidentes conocidos.

Respuesta y monitorización: mantenemos un registro de incidentes de seguridad conocidos que luye descripciones, fechas y horarios de actividades relevantes, y la resolución de incidentes. El personal de seguridad, operaciones y asistencia técnica investiga los incidentes de seguridad presuntos y confirmados, y luego identifica y documenta las medidas apropiadas para la solución de estos incidentes. Ante cualquier incidente confirmado, seguiremos los pasos adecuados para minimizar el daño causado en el producto o en el cliente, o la divulgación no autorizada. Las notificaciones que recibas respetarán los términos del acuerdo. 

5. CONTROL DE DISPONIBILIDAD

Disponibilidad de la infraestructura: los proveedores de infraestructura hacen todo lo posible, en la medida de lo razonable desde un punto de vista comercial, para garantizar un tiempo de actividad mínimo del 99,95%. Los proveedores mantienen un mínimo de redundancia N+1 en los servicios de energía, redes y calefacción, ventilación y aire acondicionado (HVAC).

Tolerancia a fallos: las estrategias de copia de seguridad y replicación están diseñadas para garantizar que se apliquen protecciones de redundancia y conmutación por error si se produce un fallo importante de procesamiento. Los datos de clientes se almacenan en copias de seguridad guardadas en diversos almacenes de datos duraderos y se replican en varias zonas de disponibilidad.

Réplicas y copias de seguridad online: en la medida de lo posible, las bases de datos de producción están diseñadas para replicar datos entre al menos una instancia pripal y una secundaria. Todas las bases de datos se protegen y mantienen usando métodos estándar del sector.

Planes de recuperación ante desastres: Neurosaas mantiene y evalúa periódicamente planes de recuperación ante desastres para asegurar la disponibilidad de la información tras una interrupción o fallas en procesos empresariales críticos.

Nuestros productos están diseñados para garantizar la redundancia y una conmutación por error perfectamente fluida. Las instancias del servidor que respaldan los productos también están creadas con el objetivo de evitar puntos de fallo únicos. Este diseño contribuye a que nuestras operaciones mantengan y actualicen las aplicaciones de producto y el backend, al tiempo que se limita el tiempo de inactividad.

6. PROGRAMA DE ADMINISTRACIÓN DE VULNERABILIDADES

Programa de compensación por vulnerabilidad: mantenemos un programa de compensación por vulnerabilidad diseñado según los estándares del sector. Seguimos una estrategia de evaluación del riesgo para determinar la relevancia, la probabilidad y los efectos en nuestros sistemas de distintas vulnerabilidades. 

Análisis de vulnerabilidades: usamos tecnología y estándares de detección estándares del sector para analizar diariamente nuestros productos en busca de vulnerabilidades.

Pruebas de penetración: trabajamos con proveedores de servicios reconocidos en el sector para realizar pruebas de penetración en la aplicación web de Neurosaas y en la infraestructura de nuestra red corporativa, una vez al año como mínimo. El objetivo de estas pruebas es detectar vulnerabilidades de seguridad y reducir los riesgos y las consecuencias comerciales que presentan para los sistemas analizados.

Programa de recompensas por detección de errores: un programa de recompensas por detección de errores que invita e incentiva a investigadores de seguridad independientes a descubrir y comunicar fallos de seguridad, siempre sujeto a la ética profesional. Implementamos este programa de recompensas por detección de errores con el fin de ampliar las oportunidades disponibles para trabajar con la comunidad dedicada a la seguridad y mejorar la defensa de los productos contra ataques sofisticados.

7. GESTIÓN DEL PERSONAL

Empleamos personal cualificado para desarrollar, mantener y mejorar nuestro programa de seguridad. Capacitamos a todos los miembros de nuestra plantilla en cuanto a políticas, procesos y estándares de seguridad relevantes a su puesto de trabajo y en consonancia con las prácticas del sector.

Comprobación de antecedentes: cuando la ley lo permita, el personal de Neurosaas se someterá a la comprobación de antecedentes o de referencias a cargo de entidades externas. En México, las ofertas de empleo dependen de los resultados de dichas comprobaciones de antecedentes. Todos nuestros empleados deben cumplir con las pautas de la empresa, los requisitos de no divulgación y las normas éticas.

ANEXO 3

SUBENCARGADOS

Con el fin de proporcionar el servicio de suscripción de Neurosaas, colaboramos con subencargados en nuestras actividades de tratamiento de datos.

Última modificación: 3 de febrero de 2025