Esta traducción se proporciona para su comodidad únicamente y es posible que no refleje de manera exacta el significado original en inglés. Los significados de los términos, condiciones y declaraciones aquí presentes están sujetos a sus definiciones e interpretaciones en el idioma inglés. En caso de discrepancia o conflicto entre la versión en inglés de este texto y cualquier traducción, la versión en inglés prevalecerá.



ANEXO DE TRATAMIENTO DE DATOS DE CLOUDFLARE

Versión 4.3, vigente desde el 7 de marzo de 2022

Cloudflare, Inc. («Cloudflare») y la contraparte que acepta estas condiciones («Cliente») han suscrito un Acuerdo de suscripción a Enterprise, un Acuerdo de suscripción autoservicio u otro contrato por escrito o electrónico en relación con los Servicios prestados por Cloudflare (el «Acuerdo principal»). El presente Anexo de tratamiento de datos, incluidos los apéndices (el «DPA»), forma parte del Contrato principal.

El presente DPA entrará en vigor, y sustituirá y dejará sin efecto cualquier condición aplicable anteriormente en relación con su objeto (incluida cualquier modificación, acuerdo o anexo sobre el tratamiento de datos relacionado con los Servicios), a partir de la fecha en que el Cliente firmó o las partes acordaron de otro modo el presente DPA («Fecha de entrada en vigor del DPA»).

Si usted acepta esta DPA en nombre del Cliente, garantiza que (a) tiene plena facultad legal para vincular al Cliente a este DPA; (b) ha leído y entendido este DPA; y (c) está de acuerdo, en nombre del Cliente, con este DPA. Si no tiene la facultad legal para vincular al Cliente, no acepte este DPA.

CONDICIONES DEL TRATAMIENTO DE DATOS

Este DPA se aplica cuando Cloudflare trata Datos personales como Encargado del tratamiento (o Subencargado, según corresponda) en nombre del Cliente y dichos Datos personales están sujetos a las Leyes de protección de datos aplicables (según se define a continuación).

Las partes han acordado celebrar este DPA con el fin de garantizar que se establezcan las salvaguardias adecuadas para proteger dichos Datos personales de acuerdo con las Leyes de protección de datos aplicables. En consecuencia, Cloudflare se compromete a cumplir las siguientes disposiciones con respecto a los Datos personales que trate como Encargado del tratamiento (o Subencargado, según corresponda) en nombre del Cliente.

1. Definiciones

1.1 En este DPA se utilizan las siguientes definiciones:

a) «País adecuado» hace referencia a un país o territorio que, según las leyes europeas de protección de datos, proporciona una protección adecuada de los Datos personales.

b) «Filial» significa, con respecto a una parte, cualquier entidad corporativa que, directa o indirectamente, Controle, sea Controlada por, o esté bajo Control común con dicha parte (pero solo durante el tiempo que exista dicho Control).

c) «Leyes de protección de datos aplicables» se refiere a todas las leyes y reglamentos que son aplicables al tratamiento de los Datos personales en virtud del Acuerdo principal, incluidas las Leyes europeas de protección de datos y la CCPA.

d) «CCPA» se refiere a la Ley de Privacidad del Consumidor de California de 2018 (Código civil de California párr. 1798.100 - 1798.199, 2018).

e) «Grupo Cloudflare» se refiere a Cloudflare y a cualquiera de sus Filiales.

f) «Responsable del tratamiento» se refiere a una entidad que determina los fines y los medios del tratamiento de los Datos personales.

g) «Grupo de clientes» se refiere al Cliente y a cualquiera de sus Filiales.

h) «Leyes europeas de protección de datos» se refiere a todas las leyes y reglamentos de la Unión Europea, el Espacio Económico Europeo, sus estados miembros, Suiza y el Reino Unido aplicables al tratamiento de Datos personales en virtud del Acuerdo principal (incluyendo, en su caso, (i) el Reglamento 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos) (el «RGPD de la UE»); (ii) el RGPD de la UE, tal y como se incorporó a la legislación del Reino Unido en virtud del artículo 3 de la Ley de la Unión Europea (Retirada) del Reino Unido de 2018 (el «RGPD del Reino Unido»); (iii) la Directiva sobre privacidad electrónica de la UE (Directiva 2002/58/CE); y (iv) todas y cada una de las leyes nacionales de protección de datos aplicables en virtud de, o de conformidad con, o que se apliquen junto con cualquiera de los puntos (i), (ii) o (iii)).

i) «Datos personales» se refiere a todos los datos que se definen como ‘datos personales’, ‘información personal’, o ‘información de identificación personal’ (o término análogo) en virtud de las Leyes de protección de datos aplicables.

j) «tratamiento», «interesado» y «autoridad de control» tendrán el significado que se les atribuye en la Ley europea de protección de datos.

k) «Encargado del tratamiento» se refiere a una entidad que trata Datos personales en nombre del Responsable del tratamiento, incluida una entidad a la que otra entidad revela la información personal de una persona física para un fin comercial en virtud de un contrato escrito que exige a la entidad que recibe la información que solo retenga, utilice o revele información de Datos personales con el fin de prestar los Servicios.

l) «Servicios» se referirá a todas las soluciones basadas en la nube ofrecidas, comercializadas o vendidas por Cloudflare o sus socios autorizados que están diseñadas para aumentar el rendimiento, la seguridad y la disponibilidad de propiedades de Internet, aplicaciones y redes, junto con cualquier software, kits de desarrollador de software e interfaces de programación de aplicaciones («API») disponibles en relación con lo anterior.

m) «CCT» significa: (i) cuando se aplique el RGPD de la UE o la Ley federal suiza de protección de datos, las cláusulas contractuales anexas a la Decisión de aplicación 2021/914 de la Comisión Europea, de 4 de junio de 2021, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo («CCT de la UE»); y (ii) cuando se aplique el RGPD del Reino Unido, las cláusulas tipo de protección de datos adoptadas de conformidad con el artículo 46 del RGPD del Reino Unido o permitidas por este («CCT del Reino Unido»).

n) «Transferencia restringida» significa: (i) cuando se aplique el RGPD de la UE o la Ley federal suiza de protección de datos, una transferencia de Datos personales desde el Espacio Económico Europeo o Suiza (según corresponda) a un país fuera del Espacio Económico Europeo o Suiza (según corresponda) que no esté sujeta a una determinación de adecuación por parte de la Comisión Europea o el Comisionado Federal de Protección de Datos e Información de Suiza (según corresponda); y (ii) cuando se aplique el RGPD del Reino Unido, una transferencia de Datos personales desde el Reino Unido a cualquier otro país que no se base en las regulaciones de adecuación de conformidad con la Sección 17A de la Ley de protección de datos del Reino Unido de 2018.

1.2 Una entidad «Controla» otra entidad si: (a) posee la mayoría de los derechos de voto de la misma; (b) es miembro o accionista de la misma y tiene derecho a destituir a la mayoría de su consejo de administración u órgano gestor equivalente; (c) es miembro o accionista de la misma y controla, en solitario o en virtud de un acuerdo con otros accionistas o miembros, la mayoría de los derechos de voto de la misma; o (d) tiene derecho a ejercer una influencia dominante sobre ella en virtud de sus documentos constitutivos o de un contrato; y se considera que dos entidades tienen un «Control común» si una de ellas controla a la otra (directa o indirectamente) o ambas están controladas (directa o indirectamente) por la misma entidad.

2. Estado de las partes

2.1 El tipo de Datos personales tratados de conformidad con este DPA y el objeto, la duración, la naturaleza y la finalidad del tratamiento, así como las categorías de interesados, se describen en el Anexo 1.

2.2 Cada parte garantiza, en relación con los Datos personales, que cumplirá con las Leyes de protección de datos aplicables. Entre las partes, el Cliente será el único responsable de la exactitud, calidad y legalidad de los Datos personales y de los medios por los cuales el Cliente los adquirió.

2.3 Con respecto a los derechos y obligaciones de las partes en virtud de este DPA en relación con los Datos personales, las partes reconocen y acuerdan que el Cliente es el Responsable del tratamiento (o un Encargado del tratamiento de Datos personales en nombre de un tercero), y Cloudflare es un Encargado del tratamiento (o Subencargado, según corresponda).

2.4 Si el Cliente es un Encargado del tratamiento, el Cliente garantiza a Cloudflare que las instrucciones y acciones del Cliente con respecto a los Datos personales, incluida su designación de Cloudflare como otro Encargado del tratamiento y, en su caso, la suscripción de las CCT, han sido (y seguirán siendo, durante la vigencia de este DPA) autorizadas por el Encargado del tratamiento tercero correspondiente.

3. Obligaciones de Cloudflare

3.1 Con respecto a todos los Datos personales que trata en su función de Encargado o Subencargado del tratamiento, Cloudflare garantiza que:

(a) tratará los Datos personales únicamente con el fin de prestar el Servicio y de conformidad con: (i) las instrucciones escritas del Cliente según lo establecido en el Contrato principal y en este DPA, a menos que así lo exija la legislación aplicable de la Unión o del Estado miembro a la que Cloudflare esté sujeta, y (ii) los requisitos de las Leyes sobre protección de datos aplicables. ​​En caso de que Cloudflare esté obligada a tratar Datos personales en virtud de las Leyes sobre protección de datos aplicables, Cloudflare informará al Cliente de ese requisito legal antes del tratamiento, a menos que dicha ley prohíba dicha información por motivos de interés público importantes;

(b) no venderá, conservará, utilizará ni divulgará los Datos personales para ningún otro fin que no sea el específico de la prestación del Servicio, como fines comerciales ajenos a la prestación del Servicio. Cloudflare no utilizará los Datos personales con fines de marketing o publicidad. El suministro del Servicio por parte de Cloudflare puede incluir la divulgación de Datos personales a Subencargados del tratamiento, cuando esto sea conforme a la Sección 4 de este DPA;

(c) informará al Cliente si, en opinión de Cloudflare, cualquier instrucción proporcionada por el Cliente en virtud de la cláusula 3.1(a) infringe las Leyes sobre protección de datos aplicables;

(d) implementará medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado a los riesgos que presenta el tratamiento de Datos personales, en particular la protección contra la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilícito a los Datos personales. Dichas medidas incluyen, entre otras, las medidas de seguridad establecidas en el Anexo 2 («Medidas de seguridad»). El Cliente reconoce que las Medidas de seguridad están sujetas al progreso y desarrollo técnico y que Cloudflare puede actualizarlas o modificarlas cuando lo estime oportuno, siempre que dichas actualizaciones y modificaciones no degraden ni disminuyan la seguridad general del Servicio;

(e) garantizará que únicamente el personal autorizado tenga acceso a dichos Datos personales y que cualquier persona a la que autorice el acceso a los Datos personales tenga obligaciones contractuales o legales de confidencialidad;

(f) notificará sin demora indebida al Cliente cuando tenga conocimiento de cualquier violación de la seguridad que provoque la destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o acceso a los Datos personales transmitidos, almacenados o tratados de otro modo con el fin de prestar los Servicios al Cliente por Cloudflare, sus Subencargados, o cualquier otro tercero identificado o no identificado (una «Violación de Datos personales») y proporcionar al Cliente una cooperación y asistencia razonables con respecto a dicha Violación de Datos personales, incluyendo toda la información razonable en posesión de Cloudflare relativa a dicha Violación de Datos personales en la medida en que afecte a los Datos personales;

(g) no hará ningún anuncio público sobre una Violación de Datos personales (un «Aviso de violación») sin el consentimiento previo por escrito del Cliente, a menos que lo exija la legislación aplicable;

(h) en la medida en que Cloudflare pueda verificar que un interesado está asociado con el Cliente, notificará rápidamente al Cliente si recibe una solicitud de un interesado para ejercer cualquier derecho de protección de datos (incluidos los derechos de acceso, rectificación o supresión) con respecto a los Datos personales de ese interesado (una «Solicitud del interesado»). Cloudflare no responderá a una Solicitud del interesado sin el consentimiento previo por escrito del Cliente, excepto para confirmar que dicha solicitud se refiere al Cliente, a lo cual accede por el presente el Cliente;

(i) en la medida en que Cloudflare pueda, y de conformidad con la legislación aplicable, proporcionará asistencia razonable al Cliente para responder a la solicitud de un interesado para ejercer cualquier derecho de protección de datos (incluidos los derechos de acceso, rectificación o supresión) con respecto a los Datos personales de dicho interesado, si el Cliente no tiene la capacidad de atender una solicitud del interesado sin la asistencia de Cloudflare. El Cliente es responsable de verificar que el solicitante es la persona respecto a cuyos Datos personales se realiza la solicitud. Cloudflare no asume ninguna responsabilidad por la información proporcionada de buena fe al Cliente al amparo de este subapartado. El Cliente cubrirá todos los costes en que incurra Cloudflare en relación con su prestación de dicha asistencia;

(j) al margen de la medida en que sea necesario para cumplir con la legislación aplicable, tras la extinción o el vencimiento del Contrato principal o la finalización del Servicio, Cloudflare eliminará o devolverá todos los Datos personales (incluidas las copias de los mismos) tratados de conformidad con este DPA;

(k) teniendo en cuenta la naturaleza del tratamiento y la información de la que dispone Cloudflare, prestará la asistencia al Cliente que este solicite razonablemente en relación con las obligaciones de Cloudflare en virtud de las Leyes de protección de datos aplicables con respecto a:

(i) las evaluaciones de impacto de la protección de datos y consultas previas (tal y como se definen dichos términos en las Leyes sobre protección de datos aplicables);

(ii) notificaciones a la autoridad de control en virtud de las Leyes de protección de datos aplicables o comunicaciones al interesado por parte del Cliente en respuesta a cualquier Violación de la seguridad de los datos personales; y

(iii) el cumplimiento del Cliente de sus obligaciones en virtud de las Leyes de protección de datos aplicables con respecto a la seguridad del tratamiento;

siempre que el Cliente cubra todos los costes en que incurra Cloudflare en relación con su prestación de dicha asistencia.

4. Subtratamiento

4.1 Cloudflare solo revelará Datos personales a Subencargados para los fines específicos de la realización del Servicio. Cloudflare no vende ni divulga Datos personales a terceros con fines comerciales.

4.2 El Cliente otorga una autorización general por escrito: (a) a Cloudflare para nombrar a otros miembros del Grupo Cloudflare como Subencargados del tratamiento, y (b) a Cloudflare y a otros miembros del Grupo Cloudflare para nombrar como Subencargados del tratamiento a operadores de centros de datos de terceros, así como proveedores de marketing, de servicios empresariales, de ingeniería y de asistencia al cliente, para asistir en la prestación del Servicio.

4.3 Cloudflare mantendrá una lista de Subencargados en https://www.cloudflare.com/gdpr/subprocessors/ y añadirá los nombres de los Subencargados nuevos y suplentes a la lista al menos treinta (30) días antes de la fecha en que dichos Subencargados comiencen a tratar los Datos personales. Si el Cliente se opone a cualquier Subencargado nuevo o suplente por motivos razonables relacionados con la protección de datos, notificará a Cloudflare dichas objeciones por escrito en un plazo de diez (10) días a partir de la notificación y las partes tratarán de resolver el asunto de buena fe. Si Cloudflare es razonablemente capaz de prestar el Servicio al Cliente de acuerdo con el Contrato principal sin utilizar el subencargado y decide a su discreción hacerlo, el Cliente no tendrá más derechos en virtud de esta cláusula 4.3 con respecto al uso propuesto del Subencargado. Si Cloudflare, a su discreción, requiere el uso del Subencargado y no puede satisfacer la objeción del Cliente con respecto al uso propuesto del Subencargado nuevo o suplente , el Cliente podrá rescindir el Formulario de pedido aplicable con efecto a partir de la fecha en que Cloudflare comience a utilizar dicho Subencargado nuevo o suplente únicamente con respecto al/los Servicio(s) que utilizará el nuevo Subencargado propuesto para el tratamiento de Datos personales. Si el Cliente no presenta una objeción oportuna a un subencargado del tratamiento nuevo o sustituto de conformidad con esta cláusula 4.3, se considerará que el Cliente ha dado su consentimiento al subencargado del tratamiento y renuncia a su derecho a oponerse.

4.4 Cloudflare se asegurará de que cualquier Subencargado del tratamiento que contrate para prestar un aspecto del Servicio en su nombre en relación con este DPA lo haga únicamente sobre la base de un contrato escrito que imponga a dicho Subencargado del tratamiento unas condiciones (es decir, obligaciones de protección de datos) que sustancialmente sean por lo menos igual de protectoras de los Datos personales que las impuestas a Cloudflare en este DPA (las «Condiciones relevantes»). Cloudflare velará por que dicho Subencargado del tratamiento ejecute las Condiciones relevantes y será responsable frente al Cliente de cualquier incumplimiento de cualquiera de las Condiciones relevantes por parte de dicho Subencargado del tratamiento.

5. Auditoría y registros

5.1 Cloudflare, de conformidad con las Leyes de protección de datos aplicables, pondrá a disposición del Cliente la información en posesión o control de Cloudflare que el Cliente pueda solicitar razonablemente con el fin de demostrar el cumplimiento por parte de Cloudflare de las obligaciones de los Encargados del tratamiento en virtud de las Leyes de protección de datos aplicables en relación con su tratamiento de Datos personales.

5.2 Cloudflare puede cumplir con el derecho de auditoría del Cliente en virtud de las Leyes de protección aplicables en relación con los Datos personales, proporcionando:

(a) un informe de auditoría con una antigüedad no superior a trece (13) meses, elaborado por un auditor externo independiente que demuestre que las medidas técnicas y organizativas de Cloudflare son suficientes y están de acuerdo con una norma de auditoría aceptada en el sector;

(b) información adicional en posesión o control de Cloudflare a una autoridad de control de protección de datos cuando solicite o requiera información adicional en relación con el tratamiento de Datos personales realizado por Cloudflare en virtud de este DPA; y

(c) En la medida en que los Datos personales del Cliente estén sujetos a las CCT y la información puesta a disposición de conformidad con esta cláusula 5.2 sea insuficiente, según el criterio razonable del Cliente, para confirmar el cumplimiento de Cloudflare de sus obligaciones en virtud de este DPA o de las Leyes sobre protección de datos aplicables, entonces Cloudflare permitirá al Cliente solicitar una auditoría in situ con carácter anual durante el Plazo (según se define en el Contrato principal) para verificar el cumplimiento de Cloudflare de sus obligaciones en virtud de este DPA conforme a la cláusula 5.3.

5.3 Las siguientes condiciones adicionales se aplicarán a las auditorías que el Cliente solicite:

(a) El Cliente deberá enviar cualquier solicitud de revisión de los informes de auditoría de Cloudflare a compliance@cloudflare.com.

(b) Tras la recepción por parte de Cloudflare de una solicitud de auditoría en virtud de la cláusula 5.2(c), Cloudflare y el Cliente tratarán y acordarán por adelantado la fecha de inicio razonable, el alcance, la duración y los controles de seguridad y confidencialidad aplicables a cualquier auditoría en virtud de la cláusula 5.2(c). Siempre que sea posible, las pruebas para dicha auditoría se limitarán a las pruebas recogidas para la auditoría de terceros más reciente de Cloudflare.

(c) Cloudflare puede cobrar una tarifa (basada en los costes razonables de Cloudflare) por cualquier auditoría en virtud de la cláusula 5.2(c). Cloudflare proporcionará al Cliente más detalles sobre cualquier tarifa aplicable, y la base de su cálculo, antes de cualquier auditoría de este tipo. El Cliente será responsable de cualquier tarifa cobrada por cualquier auditor designado por el Cliente para ejecutar cualquier auditoría de este tipo.

(d) Cloudflare podrá oponerse por escrito a un auditor designado por el Cliente para llevar a cabo cualquier auditoría conforme a la cláusula 5.2(c) si el auditor, según el criterio razonable de Cloudflare, no está debidamente cualificado o no es independiente, es un competidor de Cloudflare, o de otro modo es manifiestamente no apto (es decir, un auditor cuyo compromiso puede tener un impacto perjudicial en el negocio de Cloudflare comparable a los aspectos anteriormente mencionados). Cualquier objeción de este tipo por parte de Cloudflare obligará al Cliente a nombrar a otro auditor o a realizar él mismo la auditoría. Si se aplican las CCT, nada de lo dispuesto en esta cláusula 5.3 varía o modifica las CCT ni afecta a los derechos de ninguna autoridad de control o de ningún interesado en virtud de las CCT.

6. Transferencias de datos desde el EEE, Suiza y el Reino Unido

6.1 En relación con el Servicio, las partes prevén que Cloudflare (y sus Subencargados) pueda tratar fuera del Espacio Económico Europeo («EEE»), Suiza y el Reino Unido, determinados Datos personales protegidos por las leyes europeas de protección de datos respecto de los cuales el Cliente o un miembro del Grupo del Cliente pueda ser un Responsable del tratamiento (o un Encargado del tratamiento en nombre de un tercero Responsable del tratamiento, según corresponda).

6.2 Las partes acuerdan que cuando la transferencia de Datos personales protegidos por las Leyes europeas de protección de datos del Cliente o de cualquier miembro del Grupo del cliente a Cloudflare sea una Transferencia restringida, estará sujeta a las CCT correspondientes, tal y como se indica a continuación:

(a) en relación con los Datos personales protegidos por el RGPD de la UE, se aplicarán las CCT de la UE completadas de la siguiente manera:

(i) el Módulo Dos se aplicará cuando el Cliente (o el miembro pertinente del Grupo del Cliente) sea un Responsable del tratamiento y el Módulo Tres se aplicará cuando el Cliente (o el miembro pertinente del Grupo del cliente) sea un Encargado del tratamiento;

(ii) en la Cláusula 7, se aplicará la cláusula de acoplamiento opcional;

(iii) en la Cláusula 9, se aplicará la opción 2, y el plazo de notificación previa de los cambios del Subencargado será el establecido en la Cláusula 4.3 de este DPA;

(iv) en la Cláusula 11, no se aplicará el texto opcional;

(v) en la Cláusula 17, se aplicará la Opción 2, y si el Estado miembro del exportador de datos no permite los derechos de terceros beneficiarios, entonces se aplicará la ley de Alemania;

(vi) en la cláusula 18(b), las disputas se resolverán ante los tribunales de la jurisdicción que rige el Acuerdo principal entre las partes o, si dicha jurisdicción no fuera un Estado miembro de la UE, ante los tribunales de Múnich, Alemania. En cualquier caso, las cláusulas 17 y 18 (b) serán coherentes en que la elección del foro y jurisdicción recaerá en el país de la legislación aplicable;

(vii) el Anexo I de las CCT de la UE se considerará completado con la información establecida en el Anexo 1 de este DPA; y

(viii) el Anexo II de las CCT de la UE se considerará completado con la información establecida en el Anexo 2 de este DPA;

(b) en relación con los Datos personales protegidos por el RGPD del Reino Unido, se aplicarán las CCT del Reino Unido completadas de la siguiente manera:

(i) Mientras esté legalmente permitido acogerse a las cláusulas contractuales tipo para la transferencia de Datos personales a los Encargados del tratamiento establecidas en la Decisión 2010/87/UE de la Comisión Europea de 5 de febrero de 2010 («CCT entre Responsable y Encargado previas») para las transferencias de Datos personales desde el Reino Unido, las CCT entre Responsable y Encargado previas se aplicarán entre el Cliente (o el miembro pertinente del Grupo del cliente) y Cloudflare sobre la siguiente base:

(A) el Apéndice 1 se completará con la información pertinente establecida en el Anexo 1 de este DPA;

(B) el Apéndice 2 se completará con la información pertinente establecida en el Anexo 2 de este DPA; y

(C) no se aplicará la cláusula de indemnización ilustrativa opcional.

(ii) Cuando la subcláusula (b)(i) anterior no se aplique, pero el Cliente (o el miembro pertinente del Grupo del cliente) y Cloudflare estén legalmente autorizados a acogerse a las CCT de la UE para las transferencias de Datos personales del Reino Unido sujetas a la cumplimentación de un «Anexo del Reino Unido a las Cláusulas Contractuales Tipo de la UE» («Anexo del Reino Unido») emitido por la Oficina del Comisionado de Información en virtud del artículo 119A(1) de la Ley de Protección de Datos de 2018:

(A) Las CCT de la UE, completadas según lo establecido anteriormente en la cláusula 6.2(a) de este DPA, también se aplicarán a las transferencias de dichos Datos personales, con sujeción a la subcláusula (B) siguiente;

(B) El Anexo del Reino Unido se considerará formalizado entre el Cliente que transfiere (o el miembro pertinente del Grupo del cliente) y Cloudflare, y las CCT de la UE se considerarán modificadas según lo especificado por el Anexo del Reino Unido con respecto a la transferencia de dichos Datos personales.

(iii) Si no se aplica ni la subcláusula (b)(i) ni la subcláusula (b)(ii), el Cliente y Cloudflare cooperarán de buena fe para implantar las salvaguardias adecuadas para las transferencias de dichos Datos personales según lo exigido o permitido por el RGPD del Reino Unido sin demoras indebidas.

(C) en relación con los Datos personales que estén protegidos por la Ley federal suiza de protección de datos (modificada o sustituida), las CCT de la UE, completadas según lo establecido en la cláusula 6.2(a) de este DPA, se aplicarán a las transferencias de dichos Datos personales, salvo que:

(i) la autoridad de control competente con respecto a dichos Datos personales será el Comisionado Federal Suizo de Protección de Datos e Información;

(ii) en la cláusula 17, la ley aplicable será la de Suiza;

(iii) las referencias a «Estado(s) miembro(s)» en las CCT de la UE se interpretarán como referidas a Suiza, y los interesados radicados en Suiza tendrán derecho a ejercer y hacer valer sus derechos en virtud de las CCT de la UE en Suiza; y

(iv) las referencias al «Reglamento General de Protección de Datos», al «Reglamento 2016/679» o al «RGPD» en las CCT se entenderán como referencias a la Ley federal suiza de protección de datos (modificada o sustituida).

(D) Las siguientes condiciones se aplicarán a las CCT:

(i) El Cliente podrá ejercer su derecho de auditoría en virtud de las CCT tal y como se establece en la cláusula 5 de este DPA y con sujeción a los requisitos de la misma; y

(ii) Cloudflare podrá designar Subencargados según lo establecido en las cláusulas 4 y 6.3 de este DPA, y con sujeción a los requisitos de las mismas, y el Cliente podrá ejercer su derecho a oponerse a los Subencargados en virtud de los CCT en la forma establecida en la cláusula 4.3 de este DPA; y

(e) en el caso de que cualquier disposición de este DPA contradiga, directa o indirectamente, las CCT, prevalecerán las CCT.

6.3 Con respecto a las Transferencias restringidas realizadas a Cloudflare en virtud de la cláusula 6.2, Cloudflare no participará en (ni permitirá que ningún Subencargado participe en) ninguna otra Transferencia restringida de Datos personales (ya sea como «exportador» o como «importador» de los Datos personales) a menos que dicha Transferencia restringida adicional se realice en pleno cumplimiento de las Leyes europeas de protección de datos y de conformidad con las CCT implantadas entre el exportador y el importador de los Datos personales o que se aplique un Mecanismo de transferencia alternativo (según se define en la cláusula 6.5) adoptado por el importador.

6.4 En el caso de que el Cliente pretenda llevar a cabo cualquier evaluación de la idoneidad de las CCT para las transferencias a cualquier país o región en particular, Cloudflare, en la medida de sus posibilidades, proporcionará asistencia razonable al Cliente con el fin de realizar dicha evaluación, siempre y cuando el Cliente cubra todos los costes en los que incurra Cloudflare en relación con la prestación de dicha asistencia.

6.5 En la medida en que Cloudflare adopte un mecanismo alternativo de exportación de datos (incluida cualquier versión nueva o sucesora del Escudo de privacidad adoptada de conformidad con las Leyes europeas de protección de datos aplicables) para la transferencia de Datos personales no descrita en este DPA («Mecanismo alternativo de transferencia»), el Mecanismo alternativo de transferencia se aplicará en lugar de cualquier mecanismo de transferencia aplicable descrito en este DPA (pero solo en la medida en que dicho Mecanismo alternativo de transferencia cumpla con las Leyes europeas de protección de datos y se extienda a los territorios a los que se transfieren los Datos personales), y el Cliente se compromete a suscribir los demás documentos y a tomar las demás medidas que sean razonablemente necesarias para dar efecto legal a dicho Mecanismo alternativo de transferencia.

7. Solicitudes de acceso a datos de terceros

7.1 Si Cloudflare tiene conocimiento de cualquier proceso legal de terceros que solicite Datos personales que Cloudflare trata en nombre del Cliente en su función de Encargado del tratamiento o Subencargado (según corresponda), Cloudflare:

(a) notificará inmediatamente al Cliente la solicitud a menos que tal notificación esté legalmente prohibida;

(b) informará al tercero de que es un Encargado del tratamiento o Subencargado (según corresponda) de los Datos personales y que no está autorizado a revelar los Datos personales sin el consentimiento del Cliente;

(c) revelará al tercero los datos de contacto del Cliente mínimos necesarios para permitir que el tercero se ponga en contacto con el Cliente y le indicará que dirija su solicitud de datos al Cliente; y

(d) en la medida en que Cloudflare proporcione acceso o revele Datos personales en respuesta a un proceso legal de terceros, ya sea con la autorización del Cliente o debido a un imperativo legal, Cloudflare revelará la cantidad mínima de Datos personales en la medida en que esté legalmente obligado a hacerlo y de conformidad con el proceso legal aplicable.

7.2 En el papel de Cloudflare como Encargado o Subencargado del tratamiento, según corresponda, podrá ser objeto de un proceso legal de terceros entablado por una autoridad gubernamental (incluida una autoridad judicial) y que solicite el acceso o la divulgación de los Datos personales. Si Cloudflare tiene conocimiento de cualquier proceso legal de terceros entablado por una autoridad gubernamental (incluida una autoridad judicial) que solicita Datos personales que Cloudflare trata en nombre del Cliente en su función de Encargado o Subencargado del tratamiento (según corresponda), en la medida en que Cloudflare haga esfuerzos razonables para revisar la solicitud y a raíz de ello pueda identificar que dicho proceso legal de terceros que solicita Datos personales plantea un conflicto de leyes, Cloudflare:

(a) tomará todas las medidas identificadas en la cláusula 7.1 anterior;

(b) emprenderá los recursos legales previos a la presentación de Datos personales hasta el nivel de un tribunal de apelación; y

(c) no revelará los Datos personales hasta (y solo en la medida) en que se le exija hacerlo en virtud de las normas procesales aplicables.

7.3 Las cláusulas 7.1 y 7.2 no se aplicarán en caso de que Cloudflare crea de buena fe que la solicitud del gobierno es necesaria debido a una emergencia que implique un peligro de muerte o de lesiones físicas graves para una persona. En tal caso, Cloudflare notificará al Cliente la divulgación de datos lo antes posible tras la misma y proporcionará al Cliente todos sus detalles, a menos que dicha divulgación esté legalmente prohibida.

7.4 Cloudflare proporcionará al Cliente actualizaciones periódicas sobre los procesos legales de terceros que soliciten Datos personales en forma de Informe de transparencia semestral de Cloudflare, que está disponible en https://www.cloudflare.com/transparency/.

7.5 A partir de la fecha en que el Cliente celebró este DPA con Cloudflare, Cloudflare asume los compromisos que se enumeran a continuación. Cloudflare actualizará estos compromisos según sea necesario en https://www.cloudflare.com/transparency/:

(a) Cloudflare nunca ha transferido a terceros nuestras claves de encriptación o autenticación ni las de nuestros clientes.

(b) Cloudflare nunca ha instalado ningún software o equipos de gestión policial en ninguna parte de nuestra red.

(c) Cloudflare nunca ha facilitado el contenido de nuestros clientes que circula por nuestra red a ningún organismo encargado de velar por el cumplimiento de la ley.

(d) Cloudflare nunca ha debilitado, comprometido o socavado su capacidad de encriptación a petición de las fuerzas de seguridad o de terceros.

8. General

8.1 El presente DPA es sin perjuicio de los derechos y obligaciones de las partes en virtud del Acuerdo principal, que seguirá teniendo plena vigencia y efecto. En caso de conflicto entre las condiciones de este DPA y las del Acuerdo principal, las condiciones de este DPA prevalecerán en la medida en que el asunto se refiera al tratamiento de Datos personales.

8.2 La responsabilidad de Cloudflare en virtud de, o en relación con, este DPA, incluidas las CCT, está sujeta a las exclusiones y limitaciones de responsabilidad contenidas en el Acuerdo principal. En ningún caso Cloudflare limita o excluye su responsabilidad ante los interesados o las autoridades competentes en materia de protección de datos.

8.3 Salvo en los casos y en la medida en que se disponga expresamente en las CCT o se requiera como cuestión de las Leyes de protección de datos aplicables, este DPA no confiere ningún derecho de beneficiario a terceros; está destinado al beneficio de las partes del mismo y de sus respectivos sucesores y cesionarios permitidos, y no está destinado al beneficio de ninguna otra persona, ni ninguna disposición del mismo puede ser ejecutada por ella.

8.4 Este DPA y cualquier acción relacionada con él se regirán e interpretarán de acuerdo con las leyes especificadas en el Acuerdo principal, sin dar efecto a ningún conflicto de principios legales. Las partes aceptan la jurisdicción personal y la competencia de los tribunales especificados en el Acuerdo principal.

Si alguna disposición de esta DPA se considerase, por cualquier motivo, inválida o inexigible, las demás disposiciones de la DPA seguirán siendo exigibles. Sin limitar el carácter general de lo anterior, el Cliente acuerda que la cláusula 8.2 (Limitación de responsabilidad) permanecerá en vigor a pesar de la inexigibilidad de cualquier disposición de esta DPA.

8.6 Este DPA es el acuerdo final, completo y exclusivo de las partes con respecto al objeto del presente, y sustituye y fusiona todas las conversaciones y acuerdos previos entre las partes con respecto a dicho objeto.

Anexo 1

Descripción del tratamiento de datos

Este Anexo 1 forma parte del DPA y describe el tratamiento que Cloudflare realizará en nombre del Cliente.

A. LISTA DE PARTES

Data exporter(s): Customer to complete the right-hand column.

Name:
Customer and any Customer Affiliates
described in the Main Agreement.
As stated in the Main Agreement
Address:
Addresses of Customer and any
Customer Affiliates described in the Main Agreement.
(or otherwise notified by Customer to Cloudflare
As stated in the Main Agreement
Contact person’s name, position and contact details:
As stated in the Main Agreement
Activities relevant to the data transferred under this DPA and SCCs:
Use of the Service pursuant to the Main Agreement.
Signature and date:
This Annex 1 shall be deemed executed upon execution of the DPA.
Role (controller/processor):
Controller (or Processor on behalf of a third-party Controller).

Data importer(s):

Name:
Cloudflare, Inc.
Address:
101 Townsend Street
San Francisco, CA 94107
USA
Contact person’s name, position and contact details:
Emily Hancock
Data Protection Officer
legal@cloudflare.com
Activities relevant to the data transferred under this DPA and SCCs:
Processing necessary to provide the Service to Customer, pursuant to the Main Agreement.
Signature and date:
This Annex 1 shall be deemed executed upon execution of the DPA.
Role (controller/processor):
Processor (or sub-Processor)

B. DESCRIPTION OF DATA PROCESSING AND TRANSFER

Categories of data subjects whose Personal Data is transferred:
Natural persons that (i) access or use Customer’s domains, networks, websites, application programming interfaces (“APIs”), and applications, or (ii) Customers’ employees, agents, or contractors who access or use the Services, such as Cloudflare Zero Trust end users, (together, “End Users”).
Natural persons with login credentials for a Cloudflare account and/or those who administer any of the Services for a Customer (“Administrators”).
Categories of Personal Data transferred:
In relation to End Users:
Any Personal Data processed in Customer Logs, such as IP addresses, and in the case of Cloudflare Zero Trust, Cloudflare Zero Trust end user names and email addresses. “Customer Logs” means any logs of End Users’ interactions with Customer’s Internet Properties and the Service that are made available to Customer via the Service dashboard or other online interface during the Term by Cloudflare.
Any Personal Data processed in Customer Content, the extent of which is determined and controlled by the Customer in its sole discretion. “Customer Content” means any files, software, scripts, multimedia images, graphics, audio, video, text, data, or other objects originating or transmitted from or processed by any Internet Properties owned, controlled or operated by Customer or uploaded by Customer through the Service, and routed to, passed through, processed and/or cached on or within, Cloudflare’s network or otherwise transmitted or routed using the Service by Customer.
In relation to Administrative Users:
Any Personal Data processed in Administrative User audit logs, such as IP addresses and email addresses.
Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialised training), keeping a record of access to the data, restrictions for onward transfers or additional security measures:
Customer, its End Users, Administrators, and/or other partners may upload content to Customer's online properties which may include special categories of data, the extent of which is determined and controlled by the Customer in its sole discretion.
Such special categories of data include, but may not be limited to, information revealing racial or ethnic origins, political opinions, religious or philosophical beliefs, trade-union membership, and the processing of data concerning an individual’s health or sex life.
Any such special categories of data shall be protected by applying the security measures described in Annex 2.
The frequency of the transfer (e.g. whether the data is transferred on a one-off or continuous basis):
Continuous for the duration of the Main Agreement.
Nature of the processing:
Processing necessary to provide the Service to Customer, pursuant to the Main Agreement.
Purpose(s) of the data transfer and further processing:
Processing necessary for the provision of the Service.
The period for which the Personal Data will be retained, or, if that is not possible, the criteria used to determine that period:
Until the earliest of (i) expiry/termination of the Main Agreement, or (ii) the date upon which processing is no longer necessary for the purposes of either party performing its obligations under the Main Agreement (to the extent applicable).
For transfers to (sub-) Processors, also specify subject matter, nature and duration of the processing:
The subject matter, nature and duration of the processing shall be as specified in the Main Agreement.

C. COMPETENT SUPERVISORY AUTHORITY

Identify the competent supervisory authority/ies in accordance (e.g. in accordance with Clause 13 of the SCCs)
In respect of the EU SCCs, means the competent supervisory authority determined in accordance with Clause 13 of the EU SCCs.
In respect of the UK SCCs, means the UK Information Commissioner's Office.

Anexo 2

Medidas de seguridad técnicas y organizativas

Cloudflare ha implantado y mantendrá un programa de seguridad de la información de conformidad con las normas ISO/IEC 27000. El programa de seguridad de Cloudflare incluirá:

Medidas de encriptación de Datos personales

Cloudflare implanta la encriptación para proteger adecuadamente los Datos personales utilizando:

  • protocolos de encriptación de última generación diseñados para proporcionar una protección eficaz contra los ataques activos y pasivos con recursos conocidos por las autoridades públicas;

  • autoridades e infraestructuras de certificación de clave pública fiables;

  • algoritmos de encriptación y parametrización eficaces, como un mínimo de longitudes de clave de 128 bits para la encriptación simétrica, y al menos 2048 bits de RSA o 256 bits de ECC para los algoritmos asimétricos.

Medidas para garantizar la confidencialidad, integridad, disponibilidad y resistencia continuas de los sistemas y servicios de tratamiento

Cloudflare mejora la seguridad de los sistemas y servicios de tratamiento en entornos de producción mediante:

  • la utilización de un proceso de revisión del código para aumentar la seguridad del código utilizado para prestar los servicios; y la comprobación del código y los sistemas para detectar vulnerabilidades antes y durante su uso;

  • el mantenimiento de un programa externo de recompensas por errores;

  • la utilización de comprobaciones para validar la integridad de los datos encriptados, y

  • la utilización de la detección preventiva y reactiva de intrusiones.

Cloudflare despliega sistemas de alta disponibilidad en centros de datos distribuidos geográficamente.

Cloudflare implanta medidas de control de entrada para proteger y mantener la confidencialidad de los Datos personales, incluidos:

  • una política de autorización para la entrada, lectura, alteración y eliminación de datos;

  • la autenticación del personal autorizado mediante credenciales de autenticación únicas (contraseñas) y tokens de hardware;

  • el cierre de sesión automático de los ID de usuario tras un periodo de inactividad;

  • proteger la entrada de datos, así como la lectura, alteración y eliminación de los datos almacenados; y

  • exigir que las instalaciones de tratamiento de datos (las salas que albergan el hardware informático y el equipo relacionado) se mantengan cerradas y seguras.

Medidas para garantizar la capacidad de restaurar la disponibilidad y el acceso a los Datos personales de manera oportuna en caso de un incidente físico o técnico

Cloudflare implanta medidas para garantizar la protección de los Datos personales contra la destrucción o pérdida accidental, incluyendo el mantenimiento de:

  • planes y procedimientos de recuperación de desastres y de continuidad de la actividad;

  • centros de datos distribuidos geográficamente;

  • infraestructuras redundantes, incluyendo fuentes de alimentación y conectividad a Internet;

  • copias de seguridad almacenadas en sitios alternativos y disponibles para su restauración en caso de fallo de los sistemas primarios; y

  • procedimientos de gestión de incidentes que se prueben regularmente.

Procesos para probar, valorar y evaluar regularmente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento

Las medidas técnicas y organizativas de Cloudflare son probadas y evaluadas regularmente por auditores externos como parte del programa de cumplimiento de seguridad y privacidad de Cloudflare. Estas pueden incluir auditorías anuales ISO/IEC 27001; AICPA SOC 2 Tipo II; PCI DSS Nivel 1; y otras auditorías externas. Las medidas también se comprueban periódicamente mediante auditorías internas, así como mediante evaluaciones de riesgo anuales y específicas.

Medidas de identificación y autorización de usuarios

Cloudflare implanta medidas eficaces para la autenticación de usuarios y la gestión de privilegios mediante:

  • la aplicación de una política de control de acceso y autenticación obligatoria;

  • la aplicación de un modelo de identificación y autorización de confianza cero;

  • la autenticación del personal autorizado mediante credenciales de autenticación únicas y una fuerte autenticación multifactorial, que incluye la exigencia del uso de tokens de hardware físicos;

  • la asignación y gestión de los privilegios apropiados según la función, las aprobaciones y la gestión de las excepciones; y

  • la aplicación del principio de acceso con mínimos privilegios.

Medidas para la protección de los datos durante la transmisión

Cloudflare implanta medidas efectivas para proteger los Datos personales de ser leídos, copiados, alterados o eliminados por partes no autorizadas durante la transmisión, incluyendo:

  • la utilización de protocolos de encriptación de transporte de última generación diseñados para proporcionar una protección eficaz contra los ataques activos y pasivos con recursos conocidos por las autoridades públicas;

  • la utilización de autoridades e infraestructuras de certificación de clave pública fiables;

  • la implantación de medidas de protección contra los ataques activos y pasivos a los sistemas emisores y receptores que proporcionan la encriptación del transporte, como firewalls adecuados, encriptación mutua TLS, autenticación API y encriptación para proteger las pasarelas y los conductos por los que viajan los datos, así como la comprobación de las vulnerabilidades del software y las posibles brechas de seguridad;

  • la utilización de algoritmos de encriptación y parametrización eficaces, como un mínimo de longitudes de clave de 128 bits para la encriptación simétrica, y al menos 2048 bits de RSA o 256 bits de ECC para los algoritmos asimétricos;

  • la utilización de programas informáticos correctamente implantados y adecuadamente mantenidos, cubiertos por un programa de gestión de vulnerabilidades, y cuya conformidad se comprueba mediante auditorías;

  • la aplicación de medidas seguras para generar, gestionar, almacenar y proteger de forma fiable las claves de encriptación; y

  • el registro de auditoría, supervisión y seguimiento de las transmisiones de datos.

Medidas para la protección de los datos durante el almacenamiento

Cloudflare implanta medidas eficaces para proteger los Datos personales durante su almacenamiento, controlando y limitando el acceso a los sistemas de tratamiento de datos, y mediante:

  • la utilización de protocolos de encriptación de última generación diseñados para proporcionar una protección eficaz contra los ataques activos y pasivos con recursos conocidos por las autoridades públicas;

  • la utilización de autoridades e infraestructuras de certificación de clave pública fiables;

  • la comprobación de los sistemas que almacenan datos en busca de vulnerabilidades de software y posibles brechas de seguridad;

  • la utilización de algoritmos de encriptación y parametrización eficaces, como la exigencia de que todos los discos que almacenen Datos personales estén encriptados con AES-XTS utilizando una longitud de clave de 128 bits o mayor.

  • la utilización de programas informáticos correctamente implantados y adecuadamente mantenidos, cubiertos por un programa de gestión de vulnerabilidades, y cuya conformidad se comprueba mediante auditorías;

  • la aplicación de medidas seguras para generar, gestionar, almacenar y proteger de forma fiable las claves de encriptación;

  • la identificación y autorización de los sistemas y usuarios con acceso a los sistemas de tratamiento de datos;

  • el cierre de sesión automático de los usuarios tras un periodo de inactividad; y

  • el registro de auditoría, supervisión y seguimiento del acceso a los sistemas de tratamiento y almacenamiento de datos.

Cloudflare implementa controles de acceso a áreas específicas de los sistemas de procesamiento de datos para garantizar que solo los usuarios autorizados puedan acceder a los Datos personales dentro del ámbito y en la medida descrita en su respectivo permiso de acceso (autorización) y que los Datos personales no se puedan leer, copiar o modificar, o eliminar sin autorización. Todo ello se conseguirá a través de diversas medidas, entre las que se incluyen:

  • políticas y formación de los empleados con respecto a los derechos de acceso de cada uno de ellos a los Datos personales;

  • la aplicación de un modelo de identificación y autorización de usuarios de confianza cero;

  • la autenticación del personal autorizado mediante credenciales de autenticación únicas y una fuerte autenticación multifactorial, que incluye la exigencia del uso de tokens de hardware físicos;

  • la supervisión de las acciones de las personas autorizadas para eliminar, añadir o modificar Datos personales;

  • la divulgación de Datos personales solo a las personas autorizadas, incluyendo la asignación de derechos de acceso y roles diferenciados; y

  • el control del acceso a los datos, con la destrucción controlada y documentada de los mismos.

Medidas para garantizar la seguridad física de los lugares en los que se tratan los Datos personales

Cloudflare mantiene e implanta políticas y medidas efectivas de control de acceso físico para evitar que personas no autorizadas accedan a los equipos de tratamiento de datos (en concreto, servidores de bases de datos y aplicaciones, y hardware relacionado) donde se tratan o utilizan los Datos personales, incluyendo:

  • el establecimiento de zonas seguras;

  • la protección y restricción de las vías de acceso;

  • el establecimiento de autorizaciones de acceso para empleados y terceros, incluyendo la documentación respectiva;

  • el registro, supervisión y seguimiento de todos los accesos a los centros de datos en los que se alojan Datos personales; y

  • la protección de los centros de datos donde se alojan Datos personales mediante sistemas de alarma de seguridad y otras medidas de seguridad apropiadas.

Medidas para garantizar el registro de eventos

Cloudflare ha implantado un programa de registro y seguimiento para registrar, supervisar y rastrear el acceso a los datos personales, incluso por parte de los administradores del sistema, y para garantizar que los datos se tratan de acuerdo con las instrucciones recibidas. Esto se consigue mediante varias medidas, entre ellas:

  • la autenticación del personal autorizado mediante credenciales de autenticación únicas y una fuerte autenticación multifactorial, que incluye la exigencia del uso de tokens de hardware físicos;

  • la aplicación de un modelo de identificación y autorización de usuarios de confianza cero;

  • el mantenimiento de listas actualizadas de los datos de identificación de los administradores del sistema;

  • la adopción de medidas para detectar, evaluar y responder a las anomalías de alto riesgo;

  • el mantenimiento de registros de acceso seguros, precisos y no modificados a la infraestructura de tratamiento durante doce meses; y

  • la comprobación de la configuración de los registros, el sistema de supervisión, las alertas y el proceso de respuesta a incidentes al menos una vez al año.

Medidas para garantizar la configuración del sistema, incluida la configuración predeterminada

Cloudflare mantiene configuraciones originales para todos los sistemas que soportan el entorno de tratamiento de datos de producción, incluidos los sistemas de terceros. Las configuraciones originales deben alinearse con las mejores prácticas del sector, como los puntos de referencia de Nivel 1 del Centro para la Seguridad en Internet (CIS). Deben utilizarse mecanismos automatizados para hacer cumplir las configuraciones originales en los sistemas de producción y para evitar cambios no autorizados. Los cambios en las configuraciones originales están limitados a un número reducido de personal autorizado de Cloudflare, y deben seguir procesos de control de cambios. Los cambios deben ser auditables, y comprobados regularmente para detectar desviaciones de las configuraciones originales.

Cloudflare ajusta las configuraciones originales del sistema de información utilizando el principio de mínimo privilegio. Por defecto, las configuraciones de acceso se establecen en «denegar todo», y las contraseñas por defecto deben cambiarse para cumplir con las políticas de Cloudflare antes de la instalación del dispositivo en la red de Cloudflare, o inmediatamente después de la instalación del software o del sistema operativo. Los sistemas están configurados para sincronizar los relojes de tiempo del sistema basándose en el Tiempo Atómico Internacional o el Tiempo Universal Coordinado (UTC), y el acceso para modificar los datos de tiempo está restringido al personal autorizado.

Medidas de administración y gestión de la seguridad informática y de TI internas

Cloudflare mantiene políticas internas sobre el uso aceptable de los sistemas informáticos y la seguridad general de la información. Cloudflare exige a todos los empleados que realicen una formación general de concienciación sobre seguridad y privacidad al menos una vez al año. Cloudflare restringe y protege el tratamiento de Datos personales, y ha documentado e implantado:

  • un Sistema de Gestión de la Seguridad de la Información (SGSI) formal para proteger la confidencialidad, integridad, autenticidad y disponibilidad de los datos y sistemas de información de Cloudflare, y para garantizar la eficacia de los controles de seguridad sobre los datos y sistemas de información que apoyan las operaciones; y

  • un Sistema de Gestión de la Información de Privacidad (PIMS) formal para proteger la confidencialidad, integridad, autenticidad y disponibilidad de las políticas y procedimientos que apoyan la red global gestionada de Cloudflare, como encargado del tratamiento y del control de la información del Cliente.

Cloudflare conservará la documentación de las medidas técnicas y organizativas en caso de auditorías y para la conservación de pruebas. Cloudflare adoptará medidas razonables para garantizar que las personas empleadas por ella, y otras personas en el lugar de trabajo en cuestión, conozcan y cumplan las medidas técnicas y organizativas establecidas en este Anexo 2.

Medidas de certificación/garantía de los procesos y productos

La implantación del SGSI de Cloudflare y los procesos de gestión de riesgos de seguridad relacionados han sido certificados externamente conforme a la norma del sector ​​ISO/IEC 27001. La implantación del exhaustivo PIMS de Cloudflare ha sido certificada externamente según la norma del sector ​​ISO/IEC 27701, como encargado y responsable del tratamiento de la información del cliente.

Cloudflare mantiene la conformidad con el Nivel 1 de PCI DSS, para lo cual Cloudflare es auditada anualmente por un asesor externo cualificado en materia de seguridad. Cloudflare ha emprendido otras certificaciones como la certificación AICPA SOC 2 Tipo II de conformidad con los Criterios de Servicio de Confianza de la AICPA, y los detalles de estas y otras certificaciones que Cloudflare pueda emprender de vez en cuando estarán disponibles en el sitio web de Cloudflare.

En el caso de las transferencias a (Sub)encargados del tratamiento, describa también las medidas técnicas y organizativas específicas que deberá adoptar el (Sub)encargado del tratamiento para poder prestar asistencia al responsable del tratamiento (y, en el caso de las transferencias de un Encargado a un Subencargado, al exportador de datos).

Measure
Description
Self-service access to meet data subject rights of access, erasure, rectification etc.
Ability to login to review and edit Personal Data via the Cloudflare dashboard.