Condiciones generales de contratación
1. Alcance
Los siguientes términos generales y condiciones ( en adelante “contrato” o “ condiciones”) de SESAME LABS, S.L. (en adelante, “SESAME” o “El Titular”), aplican a su pedido en la versión vigente en el momento de realizar el pedido.
Los términos y condiciones se aplican exclusivamente a contrataciones realizadas a través del portal de Internet y cumplirán con lo dispuesto en la legislación vigente y, en particular, en la Ley 7/1998, de 13 de abril, sobre condiciones generales de la contratación, la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico y otras leyes complementarias.
En caso que se haya celebrado un contrato/acuerdo entre SESAME por los mismos servicios que el pedido realizado, prevalecerán los contenidos en dicho contrato/acuerdo sobre las estipulaciones de las presentes condiciones generales de la contratación.
2. Identificación del titular
La entidad con la que está contratando es SESAME LABS, S.L. con domicilio social en Calle de la Travesía, s/n, Base nº1, 46024 Valencia (España) CIF B98719818 e inscrita en el Registro Mercantil de Valencia Tomo: 9938, Libro 7220, Folio 87, hoja V.164478, Inscripción 1ª. SESAME LABS ofrece su servicio de gestión de personal (en adelante, el “Servicio”) a través de su página web www.sesamehr.cl (en adelante, la “Página Web”), así como a través de sus apps para iOS y Android de las que es titular (en adelante, las “Apps”).
El domicilio a efectos de reclamaciones corresponderá con el indicado como domicilio social de la empresa.
Las presentes condiciones generales de la contratación (en adelante, las “Condiciones”) regulan la contratación de los servicios que son ofertados por SESAME, todo ello a través de su Página Web, así como los derechos y obligaciones de las partes, derivadas de las operaciones de prestación de servicios concertadas entre estas.
SESAME ha desarrollado y es la legítima titular de un software para la gestión de horarios laborales “SESAME TIME” o el “SAAS” el cual se ofrece como un servicio accesible desde Internet (URL: https://app.sesametime.com o a través de sus aplicaciones para iOS y Android) o “Software as a Service (SaaS) para entidades empleadoras (en adelante, «CLIENTE«).
Que al aceptar los presentes términos y condiciones, SESAME le concede una licencia al de acceso y uso de SESAME TIME y a la prestación de otros servicios complementarios, de acuerdo con los términos y condiciones.
3. Definiciones
Además de cualquier otro término definido en las presentes condiciones, los siguientes términos tendrán el siguiente significado:
“Bases de Datos”: conjunto integrado de datos de titularidad del CLIENTE incluido dentro del SAAS durante la duración del Contrato. En caso de tratamiento de datos personales incluidos como parte de la Base de Datos les será de aplicación el Acuerdo de Encargado de Tratamiento incluido.
“Usuario(s) Autorizado(s)”: usuarios que mantienen una relación contractual con el CLIENTE y utilizan el SAAS para registrar y gestionar su jornada laboral.
“Documentación”: documentación en cuanto a los Servicios preparada por SESAME y proporcionada al Cliente, que puede incluir manuales de instrucciones, documentación técnica, etc. en formato electrónico.
4. Objeto de las condiciones
Las presentes condiciones generales regulan la licencia de uso que SESAME concede al CLIENTE en relación con el SAAS, la cual es no sublicenciable, no exclusiva, de ámbito mundial y con una duración limitada a la vigencia de las condiciones, que estará en cualquier caso condicionada al pago íntegro del precio.
Las presentes condiciones también regulan la prestación de servicios complementarios consistente en el soporte técnico en los términos indicados (en adelante, el uso de SESAME TIME y el conjunto de servicios complementarios serán denominados conjuntamente “Servicios”).
SESAME se reserva el derecho a modificar cualquier término de las presentes condiciones, las cuales se notificarán al Cliente a través del SAAS para su aceptación. Sin perjuicio, de la actualización que se realice de las condiciones en la web de SESAME.
CONDICIONES ECONÓMICAS, PLANES Y RENOVACIÓN CONTRACTUAL
Cuota de suscripción. El precio de los Servicios se fija en el pago de una cuota de suscripción (la “Cuota”) que puede ser anual o mensual dependiendo del plan que haya seleccionado el CLIENTE, dicha cuota se encuentra publicada tanto en la web como dentro del propio SAAS.
Condiciones servicio Prueba gratuita
Los Clientes que hacen uso del Servicio en su modalidad gratuita, no estarán obligados a proporcionar información para el cobro. El periodo de duración de la prueba gratuita será de 14 días naturales a contar desde la aceptación de las condiciones y la política de privacidad. Una vez finalizado el periodo de prueba el CLIENTE deberá seleccionar uno de los planes ofertados que se regirá por lo dispuesto para cada uno de los planes. En caso que venza la prueba gratuita y el CLIENTE no haya seleccionado ninguno de los planes SESAME procederá al bloqueo y cancelación de la cuenta.
Los clientes que se dispongan a hacer uso del servicio en su modalidad gratuita, autorizan a un agente asignado por SESAME la posibilidad de impersonarse para ayudarle con la configuración y puesta en marcha del servicio.
Condiciones Servicio Plan Anual
El CLIENTE podrá seleccionar tras la finalización de la prueba gratuita de 14 días o bien antes que finalice la misma, el plan anual con los diferentes servicios que incluye cada tarifa.
Selección de la Cuota Anual. Con la selección inicial o cambio de plan se empezará el cómputo de año natural del servicio, con las condiciones y términos publicados en el momento de la selección, incluido el precio, que se mantendrán inalterables durante el periodo de vigencia.
En el supuesto que el CLIENTE desee, durante la vigencia del contrato, cualquier modificación sobre el plan contratado se atenderá a los términos y condiciones que en el momento de efectuar la modificación estén publicados por parte de Sesame en la web.
RENOVACIÓN DEL CONTRATO. En la fecha de vencimiento del plan anual, es decir, transcurrido un año natural desde la selección del plan, se tendrá por renovado automáticamente el contrato por anualidades,siendo de aplicación los términos y condiciones que en el momento de la renovación se encuentren vigentes en la web de Sesame, salvo comunicación expresa por parte del CLIENTE de su intención de no renovación del PLAN CONTRATADO con una antelación mínima de treinta (30) días a la fecha de finalización del periodo inicial o de cualquiera de sus prórrogas.
El CLIENTE podrá ejercer su derecho de no renovación desde el propio panel de Sesame en el apartado Configuración > Configuración avanzada > Dar baja mi plan o haciendo clic aquí.
Los cambios de modalidad hacia una versión inferior, pueden causar la pérdida de contenido, características y funcionalidades de la cuenta del CLIENTE. SESAME no acepta ninguna responsabilidad por dicha pérdida.
Cancelación del servicio. El CLIENTE podrá dentro de la vigencia de las condiciones pactadas resolver el contrato, pero esta cancelación del mismo no dará derecho a reembolso alguno de las cuantías ya satisfechas a SESAME. El CLIENTE podrá ejercer su derecho de no renovación desde el propio panel de Sesame en el apartado Configuración > Configuración avanzada > Dar baja mi plan o haciendo clic aquí.
Condiciones Servicio Plan Mensual
El CLIENTE podrá seleccionar tras la finalización de la prueba gratuita de 14 días o bien antes que finalice la misma en plan mensual con los diferentes servicios que incluye cada tarifa.
Selección de la Cuota Mensual. Con la selección inicial o cambio de plan a mensual se procederá al cobro mensual del plan seleccionado de manera inmediata.
Actualización de la Cuota Mensual.
SESAME podrá modificar la cuota y/o las condiciones de los planes mensuales libremente, notificando las modificaciones a realizar con un preaviso de 60 días naturales a su efectiva aplicación, otorgando el derecho al cliente a la cancelación del servicio, en caso de no aceptar las nuevas condiciones, siempre y cuando se comunique con una antelación mínima de 30 días desde dicha notificación.
En caso de no comunicar la cancelación antedicha, SESAME procederá a aplicar las nuevas condiciones, incluidas las nuevas tarifas, a los 60 días desde la notificación, en caso que el último dia de este plazo no coincida con el primer día natural del mes, a efectos de computo de meses enteros, se tendrá por prolongando este plazo hasta el primer día natural del siguiente mes.
Los cambios de modalidad hacia una versión inferior, pueden causar la pérdida de contenido, características y funcionalidades de la cuenta de CLIENTE. SESAME no acepta ninguna responsabilidad por dicha pérdida.
Cancelación del servicio.EL CLIENTE tendrá derecho a resolver el contrato, pero la cancelación del mismo no dará derecho a reembolso alguno de las cuantías ya satisfechas a SESAME. La resolución del contrato deberá ser notificada con una antelación mínima de treinta (30) días a la fecha de finalización del periodo inicial o de cualquiera de sus prórrogas.
El CLIENTE podrá ejercer su derecho de no renovación desde el propio panel de Sesame en el apartado Configuración > Configuración avanzada > Dar baja mi plan o haciendo clic aquí.
CONDICIONES DE USO DEL SERVICIO
Derechos de Uso. SESAME concede al Cliente y a los Usuarios Autorizados el derecho personal, no exclusivo, intransferible y no sublicenciable de utilizar el SAAS y el resto de Servicios, a nivel mundial, durante la duración de las presentes condiciones y sus renovaciones exclusivamente a efectos de su actividad profesional, en contrapartida del precio
Restricciones de Uso. El Cliente no podrá: (a) realizar ingeniería inversa, descompilar, desensamblar o tratar de obtener o derivar el código fuente, las ideas subyacentes, los algoritmos, los formatos de archivo o las API no públicas de los Servicios, así como traducir, modificar o crear obras derivadas del SAAS, los Servicios o cualquier parte de los mismos, salvo en la medida en que lo permita la legislación aplicable; (b) copiar/reproducir, prestar, vender, alquilar, sublicenciar, emitir, distribuir, editar, transferir a terceros o facilitar el acceso al SAAS, así como adaptar los Servicios o cualquier parte de los mismos de cualquier manera; (c) utilizar los Servicios en beneficio de cualquier tercero; (d) utilizar el Servicio para cualquier fin comercial o en un producto o servicio que el Cliente proporcione a terceros; (e) eludir, modificar, eliminar, borrar, alterar o manipular de otro modo cualquier tecnología o programa de seguridad, encriptación o de otro tipo que forme parte de los Servicios; (f) acceder o utilizar el SAAS o los Servicios con el fin de realizar un análisis de la competencia o crear un producto o servicio similar o competitivo; (g) usar el SAAS para ningún propósito ilegal o no autorizado por SESAME, incluida la publicidad no solicitada y el spam; (h) crear, recopilar, transmitir, almacenar, utilizar o procesar cualquier dato a través del SAAS que viole cualquier ley aplicable, o infrinja los derechos de propiedad intelectual u otros derechos de cualquier tercero; (i) introducir o difundir contenido o software (virus y malware) que pueda causar daños a los sistemas informáticos de SESAME, sus proveedores de servicios tecnológicos o los usuarios de terceros; o (j) alentar, permitir o ayudar a cualquier tercero a hacer cualquiera de los anteriores
Actualizaciones y nuevas versiones. Las actualizaciones, versiones sucesivas del SAAS que se proporcionen al Cliente durante la vigencia de las Condiciones, estarán sujetas a los mismos términos.
SERVICIOS DE APOYO TÉCNICO Y DISPONIBILIDAD
Servicios de Apoyo Técnico. SESAME proporcionará al Cliente soporte telefónico o electrónico durante el horario de trabajo de SESAME para ayudar al Cliente a resolver dudas, localizar y corregir problemas en relación con el SAAS a través del correo electrónico soporte@sesametime.com o el chat incluido en el propio SAAS. Durante la prestación del servicio el Cliente autoriza que SESAME, a través de su personal, y con previa solicitud del Cliente, a poder acceder a las cuentas de los Usuario Autorizados para llevar a cabo las actuaciones oportunas para solventar las dudas o incidencias acaricidas con el SAAS.
Disponibilidad. SESAME empleará esfuerzos comercialmente razonables para que el SAAS tenga una disponibilidad del 99% y hará esfuerzos comercialmente razonables para avisar al Cliente con, al menos, 48 horas de antelación de los mantenimientos programados dentro del horario comercial habitual.
USO DE LA CUENTA
Acceso a la Cuenta. El Cliente y los Usuarios Autorizados deberán mantener la seguridad de las claves de acceso a las cuentas de Usuario Autorizado en el SAAS (“Cuenta”). SESAME no será responsable en ningún caso de cualquier pérdida de información o daño producido por el incumplimiento de esta obligación de seguridad.
Restricciones. No está permitido: (i) compartir una (1) cuenta entre varios Usuarios Autorizados; y (ii) la creación de cuentas por “bots” u otros métodos automatizados. El Cliente será responsable de todas las acciones realizadas y de todos los datos cargados por los Usuarios Autorizados en el SAAS.
Gestión de las Cuentas. El Cliente se compromete a bloquear o desactivar la cuenta a un Usuario Autorizado de inmediato en el caso de que: (i) se suspenda o termine la relación laboral entre el Cliente y el Usuario Autorizado; o (ii) considere que un Usuario ha efectuado un mal uso de sus claves de acceso al SAAS. Si SESAME tiene constancia de que un Usuario Autorizado se encuentra en uno de los supuestos mencionados, SESAME podrá suspender el acceso a la Cuenta infractora de forma temporal o indefinida, debiendo SESAME, en dicho supuesto, notificar al CLIENTE sobre la infracción detectada y la medida tomada respecto a dicha Cuenta.
PROPIEDAD INTELECTUAL E INDUSTRIAL
Propiedad Intelectual e Industrial en relación con los Servicios. SESAME conservará su posición como titular de todos los derechos de propiedad de intelectual e industrial relacionados con todos los componentes de los Servicios, incluyendo el SAAS, y cualquier otro desarrollo, mejora, actualización u obra derivada del presente Acuerdo. Los derechos de propiedad intelectual e industrial abarcarán todos datos, código fuente y objeto, scripts, diseños, conceptos, aplicaciones, textos, imágenes, cualquier documentación relacionada, copias, modificaciones y documentos o documentación derivados de lo anterior (en su totalidad o en parte) y todos los derechos de autor relacionados, patentes, marcas, secretos comerciales y otros derechos de propiedad, son y seguirán siendo de la exclusiva propiedad de SESAME y/o sus titulares de licencia.
Propiedad Intelectual e Industrial del Cliente. Todos los derechos, títulos e intereses en relación con la Base de Datos, marcas, nombres comerciales, y logos del Cliente, así como los que puedan existir en su propio sistema informático, seguirán siendo propiedad del Cliente.
El Cliente autoriza expresamente a SESAME para hacer uso de su marca y nombre comercial con el fin de incluir el mismo en los portales web que sean titularidad de SESAME con fines meramente publicitarios.
CONFIDENCIALIDAD
Definición de Información Confidencial. Se entiende por “Información Confidencial”, cualquier material o información revelada oralmente o por escrito etiquetada o calificada como confidencial o que, por su naturaleza, razonablemente se entienda como confidencial que haya sido entregada o proporcionada por cualquiera de las Partes a la otra con motivo de las presentes condiciones, incluyendo información relacionada con los sistemas informáticos y la arquitectura de los sistemas de los sistemas previstos o existentes de las Partes, incluido el hardware, el software, el propio SAAS, la Documentación, la Base de Datos, los métodos de procesamiento y métodos operativos.
Excepciones. La Información Confidencial no incluirá información que (i) era de dominio público en el momento en que se divulgó a la Parte receptora; (ii) entró en el dominio público mediante uso, publicación o similares, con posterioridad a la revelación a la Parte receptora, sin que mediara culpa o acto alguno de la Parte receptora; (iii) estaba en posesión de la Parte receptora de forma legítima y libre de cualquier obligación de confidencialidad en el momento en que fue revelada a la Parte receptora; (iv) es comunicada legítimamente a la Parte receptora por un tercero con derecho a revelar dicha Información Confidencial, con posterioridad al momento en que fue revelada a la Parte receptora.
- Deber de confidencialidad. Las Partes se comprometen a no utilizar, revelar, copiar, publicar, utilizar, explotar, difundir o distribuir la Información Confidencial de la otra Parte, ni permitir que la Información Confidencial recibida sea explotada o distribuida por terceros, sin el previo consentimiento por escrito de la Parte reveladora, salvo en la medida en que sea necesario para cumplir con sus obligaciones o ejercer sus derechos en virtud del contrato. Las Partes se comprometen a tratar la Información Confidencial con el mismo grado de cuidado que utilizan para proteger su propia Información Confidencial, y en ningún caso con un grado de cuidado inferior al razonable. La obligación de confidencialidad se mantendrá en vigor de forma indefinida y se extiende igualmente a los empleados y representantes de las Partes, así como también a los asesores externos que cualquiera de las Partes haya contratado en conexión con este contrato.
Divulgación de la Información Confidencial. Las Partes solo podrán divulgar la Información Confidencial en los siguientes supuestos: (i) en respuesta a una orden de un tribunal u otro organismo gubernamental, o según lo exija la ley, (en este caso se notificará previamente por escrito a la Parte reveladora sobre dicha divulgación potencial y se limitará lo máximo posible dicha divulgación); (ii) cuando la Parte receptora de dicha Información Confidencial deba revelarla a sus empleados, representantes o a sus asesores externos (si existen) que haya contratado, con el objeto de cumplir con sus obligaciones bajo el presente contrato y sólo dándoles acceso a la misma en la medida de lo necesario; (iii) cuando una Parte haya recibido autorización expresa y por escrito de la otra Parte para divulgar su Información Confidencial (o una parte de esta).
Incumplimiento del deber de confidencialidad. El incumplimiento de las obligaciones de confidencialidad plasmadas en este contrato, o las actuaciones dolosas o culposas llevadas a cabo por cualquiera de las Partes, sus empleados o directivos, facultará a la Parte no incumplidora a reclamar por la vía legal, las responsabilidades, directas o indirectas o frente a terceros, incluidos gastos judiciales, extrajudiciales y costes que la defensa que la Parte incumplidora ocasionara, así como a indemnizar los daños y perjuicios que tal incumplimiento hubiera ocasionado a la Parte no incumplidora.
PROTECCIÓN DE DATOS
Datos de los contratantes. Las Partes se informan mutuamente de que los datos personales de los firmantes, así como de las personas que trabajen para las respectivas Partes, y los datos de contacto indicados a efectos de notificaciones, serán objeto de tratamiento por la otra Parte con la única finalidad de gestionar y ejecutar la relación contractual. Los datos se conservarán mientras se mantenga vigente la relación y una vez finalizada ésta, se conservarán únicamente durante el tiempo que sea necesario para satisfacer el cumplimiento de obligaciones fiscales, legales y administrativas a las que las Partes vengan obligadas.
La base que legitima este tratamiento es la necesidad de ejecutar el presente contrato. Los datos no serán comunicados ni cedidos a terceros con excepción de aquellos que sean imprescindibles para la propia ejecución del contrato (proveedores de servicios necesarios) y para el cumplimiento de las obligaciones legales (Administraciones Públicas, Auditoras, entidades financieras, Compañías aseguradoras cuando proceda, entre otras).
En el caso de proveedores de servicios necesarios, es posible que tengan su sede fuera de la UE y se produzca una transferencia internacional de datos. En dicho supuesto, las Partes se comprometen a velar porque sus proveedores internacionales cuenten con las garantías adecuadas según la normativa aplicable.
Las Partes podrán solicitar el ejercicio de sus derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad en el domicilio designado en el presente contrato o en la dirección electrónica legal@sesametime.com, indicando claramente el derecho que desean ejercitar. Igualmente, las Partes quedan mutuamente informadas de que tienen derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es). No obstante las Partes pondrán sus mejores medios y tratarán de resolver cualquier cuestión relativa a los datos personales de forma amistosa.
Base de Datos incluida por el CLIENTE. El tratamiento de los datos personales contenidos en la Base de Datos que se llevará a cabo por parte de SESAME como consecuencia de la prestación de los Servicios estará regulada por el Acuerdo de encargo de tratamiento que figura en estas condiciones.
GARANTÍAS
Garantía de titularidad. SESAME garantiza al CLIENTE que es el propietario o titular legítimo de todos los derechos de propiedad intelectual necesarios para proporcionar los Servicios y EL SAAS.
Exclusiones. Salvo lo expresamente establecido en el párrafo anterior, SESAME TIME se suministra “TAL CUAL” y “según esté disponible” y SESAME excluye cualquier otro tipo de garantía, incluidas, entre otras, las garantías implícitas de disponibilidad, rendimiento, no infracción, comerciabilidad o idoneidad para un fin determinado, sin perjuicio, en su caso, de las garantías exigidas por la ley. El CLIENTE acepta que es el único responsable de los resultados obtenidos por el uso de los Servicios y de sus funcionalidades. No se aceptarán reclamaciones por supuestas especificaciones que, en opinión del CLIENTE, el SAAS o los Servicios deban cumplir.
RESPONSABILIDADES
Limitación de Responsabilidades. El Cliente acepta indemnizar y mantener indemne a SESAME por cualquier reclamación, acción o demanda directa, indirecta, incidental o consecuente de terceros, así como por cualquier gasto, responsabilidad, daño, acuerdo o cuota que surja del mal uso del SAAS o los Servicios por parte del Cliente, o de la violación de cualquiera de los términos del presente contrato. SESAME tampoco asumirá responsabilidad alguna por cualesquiera reclamaciones, pérdidas o daños que se deriven del uso por parte del Cliente o de algún Usuario de cualquier producto de terceros, servicios, software o sitios web a los que se acceda a través de enlaces o links desde el SAAS o la página web de SESAME.
Daños Indirectos. SESAME no será responsable (salvo que la ley disponga lo contrario) ante el Cliente por ningún daño, compensación o indemnización basada en daños indirectos (incluyendo, pero limitándose al daño emergente, la pérdida de uso, la pérdida o inexactitud de los datos, el lucro cesante, el fallo de los mecanismos de seguridad, la interrupción del negocio, los costos de la demora) o cualquier daños especial, incidental o consecuente de cualquier tipo, incluso si se le informa de la posibilidad de tales daños con antelación.
Responsabilidad máxima: La responsabilidad máxima de SESAME por cualquier reclamación derivada del presente contrato, ya sea por incumplimiento del contrato, incumplimiento de garantía, negligencia o de otro modo, y el único recurso del CLIENTE, se limita a los daños directos en una cantidad que no exceda la parte proporcional de la suma de las cantidades y Cuotas Anuales O Mensuales pagadas o pagaderas por el CLIENTE a SESAME en virtud del presente contrato en los últimos veinticuatro (24) meses anteriores a la reclamación.
Nada de lo dispuesto en el presente contrato limitará o excluirá la responsabilidad de una Parte que no pueda ser excluida o limitada en términos de la legislación aplicable.
Fuerza Mayor. Ninguna de las partes será responsable ante la otra por el incumplimiento de los obligaciones contraídas en virtud del las condiciones en la medida en que dicho incumplimiento o demora sea resultado de una causa o circunstancia que escape del control razonable de la Parte afectada y que no haya podido evitarse o superarse actuando de manera razonable y prudente (como por ejemplo, pero sin limitarse a ello, incendios, inundaciones, huelgas, conflictos laborales u otros disturbios industriales, guerra – declarada o no-, embargos, bloqueos, restricciones legales, disturbios, insurrecciones, reglamentos gubernamentales).
Cumplimiento normativo. El CLIENTE será el único responsable del pleno cumplimiento de todas las leyes aplicables a su negocio en su jurisdicción. La mera contratación de los Servicios no equivale ni garantiza en modo alguno el cumplimiento de la normativa aplicable a la gestión de la jornada laboral. SESAME TIME es una herramienta sujeta al uso del CLIENTE, que es el responsable del cumplimiento de sus obligaciones.
RESOLUCIÓN
SESAME se reserva el derecho de rescindir el Contrato de pleno derecho, sin aviso previo ni indemnización, en caso de que el Cliente o un Usuario Autorizado comprometa de alguna manera la integridad del SAAS, los derechos de propiedad intelectual e industrial de SESAME sobre los Servicios o la reputación de las marcas o productos de SESAME o realice alguna de las acciones previstas en la Cláusula
Efectos de la resolución. Al vencimiento del contrato o a su rescisión por cualquier motivo: (i) No se reembolsará al CLIENTE ninguna de las cantidades pagadas a SESAME en virtud del presente contrato y este facturará todos los honorarios que se adeuden por el tiempo restante del año en curso; (ii) a petición del CLIENTE, SESAME se compromete a proporcionar al CLIENTE una copia de la Base de Datos en un formato técnico estándar. Dicha petición deberá realizarse en el plazo de un (1) desde la terminación del contrato; (iii) todas las disposiciones del mismo dejarán de tener efecto, salvo las disposiciones del presente contrato que, por su naturaleza, deba permanecer en vigor, aunque el contrato se dé por terminado, incluyendo las disposiciones en materia de confidencialidad, propiedad intelectual y protección de datos.
MISCELÁNEA
Encabezamientos. Los encabezamientos de las cláusulas se establecen sólo con fines ilustrativos y no tendrán ningún efecto legal.
Notificaciones. Las Partes designan las direcciones electrónicas designadas, en el caso de SESAME la dirección electrónica habilitada es legal@sesametime.com
Cesión. El CLIENTE no podrá ceder o transferir este contrato sin el consentimiento previo y por escrito de SESAME. Sin embargo, el contrato sí podrá ser cedido o transferido por SESAME sin necesidad de consentimiento del CLIENTE, bastando la notificación previa y por escrito de la cesión al CLIENTE para que dicha cesión sea efectiva. Una vez formalizada la cesión, cualquier referencia a la Parte cedente contenida en el presente contrato deberá entenderse como una referencia a la entidad o entidades cesionarias.
Renuncia. Ningún retraso en el ejercicio de un derecho se considerará una renuncia al mismo, ni la renuncia a un derecho o recurso en un caso concreto constituirá una renuncia a dicho derecho o recurso en general.
Invalidez parcial. Si se determina que alguna de las disposiciones del presente contrato es inaplicable o inválida, las restantes disposiciones del presente contrato no se verán afectadas y permanecerán en pleno vigor y efecto.
Independencia. El presente contrato tiene carácter mercantil, no existiendo en ningún caso vínculo laboral alguno entre las Partes, que serán independientes a todos los efectos.
LEY APLICABLE Y JURISDICCIÓN
Legislación aplicable. Los términos del presente contrato se regirán e interpretarán en todos los aspectos de acuerdo con la legislación española.
Fuero aplicable. Las Partes declaran conjuntamente que, en la medida de lo razonable, toda controversia que surja en relación con el presente contrato o que se derive del mismo se resolverá mediante negociaciones y consultas mutuas. En caso de que no se llegue a una solución satisfactoria, dicha controversia se someterá a los tribunales de la ciudad de Valencia.
ACUERDO DE ENCARGO DE TRATAMIENTO
El presente Acuerdo de Encargo de Tratamiento, forma parte de las condiciones generales, en lo sucesivo, el «Contrato», que suscriben Sesame Labs S.L y el Cliente, y que recoge los términos y condiciones aplicables a los servicios prestados por Sesame Labs S.L (los «Servicios»). El presente DPA y el resto de cláusulas del Contrato se indican a título complementario. Sin embargo, en caso de conflicto, el Acuerdo de Encargo de Tratamiento prevalecerá.
MANIFIESTAN
- Que las Partes han suscrito un contrato de licencia de uso del software SaaS Sesame Time y de servicios (en adelante, el “Contrato”) en virtud del cual el Encargado de Tratamiento prestará determinados servicios (en adelante, los “Servicios”) que comportarán el acceso a datos personales responsabilidad del Responsable del Tratamiento.
- Que el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, el “RGPD”) impone la regulación de las obligaciones relativas a protección de datos asumidas por las Partes en el Contrato.
- Que, conforme a lo expuesto, las Partes acuerdan la celebración y firma del presente Acuerdo de Encargo de Tratamiento, que se regirá según lo establecido en el artículo 28 del RGPD, y por las siguientes:
CLÁUSULAS
- Objeto.
Para ejecutar las prestaciones derivadas del Contrato, y prestar los Servicios de forma efectiva, el Encargado del Tratamiento podrá tener acceso a datos de carácter personal responsabilidad del Responsable del Tratamiento.
- Identificación de la información afectada
Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este Acuerdo de Encargo de Tratamiento, el Responsable del Tratamiento pone a disposición del Encargado del tratamiento, la información que se describe a continuación:
Datos personales:
- Nombre y apellidos
- Correo electrónico
- D.N.I
- Imagen de perfil
- Registro de entradas y salidas
- Vacaciones, permisos, otra información relacionada con la jornada laboral.
- Proyectos.
- Geolocalización (en su caso).
- Datos biométricos (en su caso).
Módulo recruitment:
- Nombre y apellidos
- Correo electrónico
- D.N.I
- Imagen (en su caso)
- Currículum Vitae (información académica y experiencia profesional, características personales, permisos y licencias)
- Estado de la candidatura.
Categorías de interesados: Empleados; Candidatos
Concreción de los tratamientos a realizar:
X Recogida
X Estructuración
X Conservación
X Registro
El tratamiento de los datos relativo al “Modulo recruitment” se aplicará cuando el Responsable de Tratamiento haya contratado con el Encargado del Tratamiento los Servicios de selección de personal en el momento inicial de la relación entre las partes o que haya ampliado el objeto del Contrato durante la vigencia del mismo.
- Duración.
El presente Acuerdo de Encargo de Tratamiento entrará en vigor en la fecha de aceptación de las condiciones del Contrato. Este Acuerdo de Encargo de Tratamiento es accesorio al contrato principal de prestación de servicios, por lo que su duración viene ligada a la duración del mismo.
- Obligaciones del Responsable del Tratamiento.
Corresponde al Responsable del Tratamiento, además del cumplimiento de cuantas obligaciones se le atribuyan a lo largo del presente Acuerdo de Encargo de Tratamiento, la realización de las siguientes tareas:
- Cumplir con todas las medidas técnicas y organizativas necesarias para garantizar la seguridad del tratamiento, los locales, equipos, sistemas, programas y las personas que intervengan en la actividad del tratamiento de los datos de carácter personal referidos, que se estipulen en la normativa vigente y de aplicación en cada momento.
- Entregar al Encargado los datos a que se refiere la cláusula 2 de este documento, así como las instrucciones necesarias para llevar a cabo el tratamiento de los datos en los términos establecidos por el Responsable.
- Responder a los derechos de los individuos afectados por el tratamiento, como son los derechos de acceso, rectificación, supresión y oposición, limitación al tratamiento, portabilidad de los datos y a no ser objeto de decisiones individuales automatizadas, en colaboración con el Encargado.
- Realizar, en su caso, una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento a realizar por el Encargado.
- Velar, de forma previa y durante el tratamiento, por el cumplimiento de la normativa aplicable en materia de protección de datos por parte del Encargado.
- Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.
- Comunicar al Encargado cualquier variación que se produzca de los datos personales facilitados, para que se proceda a su actualización.
- Deber de información y base legítima
El Responsable garantiza que ha cumplido con el deber de facilitar toda la información a los interesados en el momento de la recogida de los datos objeto del tratamiento, cumpliendo con lo previsto en el art. 12, 13 y 14 del RGPD, según corresponda.
El Responsable del Tratamiento garantiza que dispone de una base legítima para el tratamiento de los datos personales apropiada que se ajuste a los principios de eficacia, necesidad y proporcionalidad, atendiendo a la existencia de otras medidas de protección que puedan resultar menos invasivas, evitando efectos discriminatorios y estableciendo las garantías adecuadas.
El Encargado del Tratamiento no será en ningún caso responsable de la falta de cumplimiento o cumplimiento defectuoso del deber de información o de aplicación de una base de legitimación apropiada.
- Obligaciones del Encargado del Tratamiento.
El Encargado del Tratamiento declara y garantiza frente al Responsable del Tratamiento lo siguiente:
- Que utilizará los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios;
- Que tratará y utilizará los datos de carácter personal a los que tenga acceso, únicamente según las instrucciones del Responsable del Tratamiento, y de conformidad a las finalidades reguladas en el Contrato.
Las instrucciones en relación con el tratamiento de los datos y acciones encargadas al Encargado deberán comunicarse al Encargado por escrito.
Si el Encargado del Tratamiento considerara que el cumplimiento de una determinada instrucción del Responsable pudiese suponer un incumplimiento de la normativa sobre protección de datos, lo comunicará inmediatamente al Responsable. El Encargado en esta comunicación solicitará al Responsable que enmiende, retire o confirme la instrucción facilitada y podrá suspender su cumplimiento a la espera de una decisión por el Responsable.
- Que, si corresponde, llevará, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga toda la información prevista en el art. 30 RGPD.
- Que mantendrá confidencialidad y secreto sobre los datos de carácter personal a los que tenga acceso con motivo de la prestación de los Servicios.
- Que no comunicará a terceros salvo que cuente con la autorización expresa del responsable del tratamiento, y en los supuestos legalmente admisibles.
El Encargado podrá comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones de este último. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación.
- Que facilitará al Responsable del Tratamiento la información necesaria para evidenciar el cumplimiento de las obligaciones establecidas en el Contrato.
- Que prestará la asistencia que sea requerida por el Responsable para la realización de auditorías o inspecciones, realizadas por el Responsable del Tratamiento o por otro auditor autorizado por el Responsable. Las auditorías podrán realizarse de forma periódica, de forma planificada o “ad hoc”, previa notificación al Encargado con un plazo de preaviso razonable, en el horario laboral habitual del Encargado.
- Que garantizará que las personas autorizadas para tratar datos personales se han comprometido, de forma expresa y por escrito, a cumplir las medidas de seguridad establecidas, y a respetar la confidencialidad de los datos. El cumplimiento de esta obligación deberá quedar documentado por el Encargado y a disposición del Responsable del Tratamiento.
- Que ha designado un delegado de protección de datos (“DPO”) cuyos datos de contacto son los siguientes: legal@sesametime.com.
- Que colaborará en el cumplimiento de obligaciones del Responsable, y ofrecerá apoyo al mismo, cuando proceda y así lo solicite el Responsable, en la realización de (i) evaluaciones de impacto relativas a los datos de carácter personal que tenga acceso; (ii) consultas previas a la autoridad de control.
- Destino de los Datos.
Al finalizar la prestación de los Servicios, el Encargado del Tratamiento devolverá los datos personales a los que haya tenido acceso y cualquier copia existente, según le indique el Responsable del Tratamiento de conformidad con el apartado 13.2 del Acuerdo.
El Encargado del Tratamiento podrá conservar una copia con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación de los Servicios.
- Notificación de violaciones de la seguridad de los datos.
El Encargado notificará al Responsable, sin dilación indebida, y en cualquier caso antes del plazo máximo de 24 horas, cualquier incidente, sospechado o confirmado, relativo a la protección de datos, dentro de su área de responsabilidad. Entre otros, deberá comunicar al Responsable cualquier tratamiento que pueda considerarse ilícito o no autorizado, cualquier pérdida, destrucción o daño en los datos y cualquier incidente considerado una vulneración de seguridad de los datos. La notificación deberá ir acompañada de toda la información relevante para la documentación y comunicación de la incidencia a autoridades pertinentes o interesados afectados.
El Encargado del Tratamiento, adicionalmente, prestará asistencia al Responsable en relación a las obligaciones de notificación de acuerdo con el RGPD (en particular, arts. 33 y 34 del RGPD) y a cualquier otra norma aplicable, presente o futura, que modifique o complemente dichas obligaciones.
- Ejercicio de derechos por parte de los interesados
El Encargado del Tratamiento facilitará la información y/o documentación que el Responsable le solicite para dar respuesta a las solicitudes de ejercicio de derechos que pudiera recibir el Responsable de los interesados cuyos datos se tratan. El Encargado del Tratamiento deberá facilitar dicha información en plazos razonables y, en cualquier caso, con antelación suficiente para que el Responsable pueda cumplir con los plazos legalmente aplicables para la respuesta al ejercicio de estos derechos.
Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación al tratamiento, portabilidad de los datos y a no ser objeto de decisiones individuales automatizadas, ante el Encargado del Tratamiento, lo comunicará por correo electrónico a la dirección legal@sesametime.com. La comunicación deberá realizarse de forma inmediata con objeto de atenderla en los plazos legales establecidos, y en ningún caso más allá de dos días laborables a la recepción de la solicitud, presentándose al Responsable junto a toda información que pueda ser relevante para su resolución.
- Seguridad
En relación con las medidas técnicas y organizativas de seguridad, el Encargado del Tratamiento, deberá implementar mecanismos para:
- Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
- Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
- Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.
- Seudonimizar y cifrar los datos personales, en su caso.
En particular, las Partes han convenido una relación de medidas que el Encargado del Tratamiento debe implementar, indicadas en el Apéndice A a este Acuerdo de Encargo de Tratamiento.
Si el Responsable, con posterioridad a la formalización del Contrato, exige al Encargado adoptar o mantener medidas de seguridad distintas a las pactadas en este Anexo I, o bien fueran obligatorias por cualquier norma futura, y esto afectase de forma significativa a los costes de prestación de los Servicios, el Encargado y el Responsable del Tratamiento acordarán las medidas contractuales oportunas para afrontar el efecto que tales modificaciones puedan tener en el precio de los Servicios.
- Subcontratación
El Responsable del Tratamiento concede una autorización general para que el Encargado del Tratamiento pueda subcontratar parte de los Servicios con terceras entidades o subcontratistas (el “Subencargado”). El Encargado del Tratamiento informará al Responsable del Tratamiento de los tratamientos que se pretenden subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo de 15 días.
El Encargado del Tratamiento aplicará la diligencia debida para elegir solo aquellos subencargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que los tratamientos subcontratados sean conformes con los requisitos del RGPD y quede garantizada la protección de los derechos de los interesados sujetos al tratamiento.
El Subencargado, que también tendrá la condición de encargado del tratamiento, estará obligado igualmente a cumplir las obligaciones impuestas al Encargado del Tratamiento y las instrucciones que dicte el Responsable, según lo dictado en el presente Acuerdo de Encargo de Tratamiento. Corresponde al Encargado del Tratamiento regular la nueva relación en un contrato firmado por Encargado y Subencargado, de forma que el Subencargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que el Encargado inicial, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del Subencargado, el Encargado del Tratamiento seguirá siendo plenamente responsable ante el Responsable del Tratamiento en lo referente al cumplimiento de las obligaciones incluidas en el presente Acuerdo de Encargo de Tratamiento.
El listado de subencargados autorizados por el Responsable del Tratamiento se encuentra adjunto al presente Acuerdo de Encargo de Tratamiento como Apéndice B.
- Transferencias internacionales de datos
El Encargado del Tratamiento no llevará a cabo transferencias internacionales de datos de carácter personal a los que tenga acceso, responsabilidad del Responsable del Tratamiento, salvo que cuente con autorización previa del Responsable del Tratamiento o se encuentren debidamente regularizadas según lo contenido en los artículos 45, 46 o 47 del RGPD. Sin perjuicio de los subencargados de tratamiento autorizados referenciados en el Apéndice B que realizan ciertos tratamientos por cuenta del encargado del tratamientos en territorios fuera del Espacio Económico Europeo, los cuales has suscrito con el encargado del tratamiento las correspondientes cláusulas contractuales tipo aprobadas por la Comisión Europea (“CCT”), acuerdo firmado entre ambas entidades por el cual la empresa extracomunitaria garantiza que aplica los estándares europeos de protección de datos
- Responsabilidad.
El Encargado será considerado responsable del tratamiento en caso de que destine los datos objeto del presente Acuerdo de Encargo a otras finalidades, los comunique o los utilice incumpliendo las estipulaciones del presente Acuerdo de Encargo, respondiendo de las infracciones en que hubiera incurrido personalmente.
El Responsable deberá informar al Encargado inmediatamente de los procedimientos sancionadores iniciados contra el Responsable del Tratamiento por la AEPD o cualquier otra autoridad competente, por tales incumplimientos o cumplimientos defectuosos, para que el Encargado pueda asumir a su cargo la defensa legal, debiendo actuar, en todo momento, de forma coordinada con el Responsable y preservando su imagen pública y reputación.
Cada Parte mantendrá indemne a la otra frente a reclamaciones, indemnizaciones, acciones y gastos derivados de reclamaciones que la Parte venga obligada a satisfacer por sentencia firme o laudo dictados por un tribunal competente, o en virtud de un acuerdo alcanzado entre una Parte y terceros reclamantes, que fueren consecuencia del incumplimiento o cumplimiento defectuoso de la normativa aplicable.
APÉNDICE A.- MEDIDAS DE SEGURIDAD
Nuestra infraestructura está basada principalmente en Cloud, utilizamos varios proveedores, para mayor tolerancia a fallos, y constantemente está en proceso de mejora.
Nuestra aplicación tiene una arquitectura distribuida, lo que nos permite tener separados front, api y otros servicios necesarios para el funcionamiento de la aplicación. Además, nos permite una mejor escalabilidad del servicio, ya que podemos controlar de forma separada qué parte de la infraestructura necesita soportar mayor carga.
Por otro lado contamos con un entorno de desarrollo virtualizado que permite a nuestro equipo realizar todos los cambios de forma paralela y controlado mediante el sistema de control de versiones GIT lo que nos permite asegurar la integridad del sistema. Así como un flujo de integración continua con Gitlab
Metodologías de desarrollo
- SOLID
- DDD (Domain Driven Design)
- Tests Unitarios
- Arquitectura Hexagonal.
- Multiple authentication
- CI/CD con Gitlab.
Lenguajes de programación
- Backend
- Symfony 4
- PHP 7.x.x
- MySQL / MariaDB.
- Redis. o SQS (o Beanstalk)
- S3
- SQS
- Frontend
- VueJS
- Tailwind
- Librería de componentes de lógica propia.
- Apps
- VueJS
- Capacitor
- Typescript
- Sockets
- NodeJS
- Express
- Typescript
- SocketIO.
Infraestructura
Para procesar toda la información disponemos de las siguientes tecnologías en infraestructura.
- Debian 10
- Docker
- K8S
- AWS
- Google Cloud
- OVH Cloud
- Proxmox
- HAProxy
- Cloudflare
Nuestro departamento de sistemas se encargará de asegurar que los servidores cuenten con la paquetería necesaria para el funcionamiento correcto de la aplicación.
Proveedores
Servidor de Base de datos
- Relacional (sql): Para las bases de datos relacionales utilizaremos MaríaDB
- La base de datos tiene que tener una codificación utf8.
- Contaremos con un usuario con los siguientes permisos:
- Esquema (Create objects): Si (crear, modificar y borrar tablas)
- Escritura (SUDI Select, Update, Delete e Insert): Si
- Lectura (SELECT): Si
Las copias de seguridad se realizan semanales completas e incrementales diarias. De nuestro servidor de base de datos guardamos una copia de las copias de forma mensual, semanal y diaria, almacenadas en nuestro servidor esclavo. Además también se hacen copias cada hora de nuestra base de datos del servidor principal.
Guardamos copia de todo el contenido del servidor web, y copias de archivos de configuración de servicios críticos.
Utilizamos un servidores de copias de seguridad en Francia que se encuentra redundado en Polonia para asegurarnos la disponibilidad de las copias en caso de desastre.
El administrador del departamento de sistemas de información o Informática o la que haga sus veces es el responsable designado elaborará un procedimiento para probar las copias de seguridad y pruebas de restauración de las copias de seguridad sobre una base mensual.
En caso de recuperación de una copia, se seguirá el siguiente procedimiento:
Medidas de seguridad sobre la infraestructura
Datacenter
Contamos con servidores que se encuentran contratados en OVH, número uno en Europa y tercero mundial del alojamiento web, que tiene más de 150.000 servidores físicos. El éxito de OVH radica en el control total que ejerce sobre la cadena de alojamiento, incluyendo la producción de sus servidores. OVH es conocido por la especial atención que presta a la selección de los componentes de sus máquinas, exigiendo la máxima calidad.
Cada servidor es sometido sistemáticamente a una serie de pruebas para verificar su conformidad técnica y su buen comportamiento en cualquier circunstancia. En cuanto la máquina sale de producción, se instala y se conecta en los datacenters de OVH. A continuación, un robot comprueba que el hardware sea el que ha pedido el cliente y que sus prestaciones se ajusten a las especificaciones.
Los puntos de control son los siguientes:
– procesadores: conformidad, prueba de carga, temperatura;
– memoria RAM: tamaño, memtest;
– BIOS: versión de la BIOS, virtualización;
– discos: velocidad, prueba SMART, versión del firmware, etc.
También contamos con servicios contratados en AWS. En AWS fueron pioneros de computación en la nube desde 2006, creando una infraestructura de nube que permite a crear de manera segura e innovar más rápido. Sus centros de datos se encuentran diseñados para protegerlos de los riesgos naturales y provocados por el hombre. Se implementan controles, desarrollan sistemas automatizados y se someten a auditorías de terceros para confirmar la seguridad y la conformidad.
Los centros de datos están diseñados para prever y tolerar errores mientras se mantienen los niveles de servicio. En caso de error, los procesos automatizados desvían el tráfico de la zona afectada. Las aplicaciones principales se implementan en un estándar N+1, de forma que en caso de que se produzca un error en un centro de datos, haya capacidad suficiente para poder equilibrar la carga del tráfico entre los demás sitios.
AWS monitorea y realiza un mantenimiento preventivo del equipo eléctrico y mecánico para mantener el funcionamiento constante de los sistemas instalados en los centros de datos de AWS. A los procedimientos de mantenimiento del equipo los realizan personas cualificadas y se llevan a cabo de acuerdo con un programa de mantenimiento documentado.
Protección ante ataques
Nuestros servidores utilizan la infraestructura anti-DDoS desplegada por OVH para proteger los servidores durante las 24 horas del día contra cualquier tipo de ataque DDoS, independientemente de su duración y su envergadura.
El objetivo de un ataque DDoS es hacer caer un servidor, un servicio o una infraestructura, enviando múltiples peticiones simultáneas desde múltiples puntos de la red.
La intensidad de este «fuego cruzado» desestabiliza el servicio, o aún peor, lo inhabilita. Esta infraestructura permite:
- analizar todos los paquetes en tiempo real y a gran velocidad,
- aspirar el tráfico entrante del servidor,
- mitigar, es decir, identificar todos los paquetes IP ilegítimos, pero dejando pasar los paquetes IP legítimos.
Seguridad
Sesame está muy concienciado con la seguridad, tratamiento de los datos así como de la fuga de información de la misma. Es por ello que día a día trabaja para mejorar la seguridad de la misma manteniendo unos objetivos claros en materia de la misma. Es por ello que a continuación pasaremos a detallar más en profundidad los diferentes aspectos que tratamos en matería de seguridad tanto en la aplicación como en la infraestructura:
Proveedores cloud: Sesame cuenta con distintos proveedores cloud para brindar la máxima disponibilidad y escalabilidad posible en la aplicación. Todos nuestros proveedores cuentan como mínimo con las siguientes certificaciones de seguridad:
- ISO/IEC 27001, 27017 y 27018
- PCI DSS Nivel 1
- RGPD Cumplimiento del Reglamento de la UE 2016/679 relativo a la Protección General de Datos.
- SSAE 18 de Tipo 2: SOC 1, SOC 2 y SOC 3
El acceso a dichos proveedores únicamente está supeditado a empleados con un nivel de acreditación muy alto en la empresa, casi siempre por algún responsable de área o sistemas.
Servidores: El acceso a los servidores está restringido a empleados con un nivel de acreditación alto. Para el acceso al mismo se utilizarán par de claves cifradas RSA de 2048 bits e incluirá una contraseña de usuario nominal el cual permite registrar el acceso de dicho usuario así como de un movimiento detallado de los cambios o alteraciones en dichas máquinas para una posible auditoría posterior.
Herramientas de terceros: Sesame utiliza herramientas de seguridad de terceros como puede ser Tenable.io el cual se encarga de inventaríar todas nuestras máquinas así como dominios que utilizamos y lanzar periódicamente auditorias de vulnerabilidades e intrusión. Por lo tanto cada semana nuestros expertos disponen de nuevos informes los cuales indican posibles brechas de seguridad que según el algoritmo de IA de Tenable se irán parcheando con el orden de prioridad recomendado.
Acceso a la aplicación: El acceso a la plataforma se realizará siempre a través de nuestro proveedor de CDN y DNS CloudFlare el cual cuenta con un WAF integrado de última generación capaz de detectar y mitigar ataques que vayan dirigidos directamente a la aplicación
Política de parcheo
Todos los servicios, y la infraestructura que los sustentan, accesibles desde Internet, ya sean de uso interno de la empresa o para nuestros clientes, siguen una política de actualizaciones de seguridad ágil. Estos servicios son parcheados en cuanto se tenga conocimiento de un bug o vulnerabilidad importante. En el caso de actualizaciones no críticas se programa un parcheo mensual o trimestral en función de nuestras necesidades y de la aplicación.
Los servicios de carácter interno (impresoras, equipos de red local de usuarios, centralitas telefónicas, etc.) tienen una política de actualizaciones periódicas programadas (cada seis meses, cada año, etc.) en función de las necesidades y llevada a cabo por el departamento IT de la empresa.
A su vez contamos con un sistema de alerta en caso de virus, ClamAV.
APÉNDICE B- LISTADO DE SUBENCARGADOS
NOMBRE DE SUBENCARGADO | DIRECCIÓN COMERCIAL REGISTRADA | UBICACIÓN ACTUAL DEL TRATAMIENTO | ENLACE A LA POLÍTICA DE SEGURIDAD DEL SUBENCARGADO |
OVH SAS | 2 rue Kellermann 59100 Roubaix, (Francia) | Francia (OVH Cloud Gravelines (GRA3) Rte de la Frm Masson 59820 Gravelinas) | https://www.ovh.es/proteccion-datos-personales/seguridad.xml |
Amazon Web Services | 410 Terry Avenue North, Seattle, WA 98109-5210, ATTN | Francia (Amazon Brétigny-sur-Orge 91220 Brétigny-sur-Orge) | https://aws.amazon.com/es/compliance/ |
The Rocket Science Group (Mailchimp) | 675 Ponce De Leon Ave NE, Atlanta, Georgia 30308, US | Estados Unidos | https://mailchimp.com/about/security/ |