Apéndice sobre procesamiento rápido de datos

Fecha de entrada en vigor: 22 de agosto de 2024

En resumen: «Datos personales» se refiere a los datos o la información que lo identifican o se relacionan con usted, o que cumplen con la definición que figura a continuación.DPA«) complementa y forma parte del acuerdo entre Brisk Labs Corp. (»Enérgico«) y la institución educativa o (cuando corresponda) un profesor en relación con la transferencia y el procesamiento de los datos cubiertos en relación con la prestación del Servicio.

1. DEFINICIONES
1.1

A menos que se defina lo contrario en esta DPA, los términos en mayúscula utilizados pero no definidos en esta DPA tendrán el significado establecido en el Acuerdo. Los siguientes términos en mayúscula utilizados en esta DPA se definirán de la siguiente manera:
«Acuerdo«significa el acuerdo celebrado entre Brisk y el Cliente que incorpora los términos en https://www.briskteaching.com/terms o según lo convenido de otro modo entre las partes.
«Leyes de protección de datos aplicables«se refiere a todas las leyes, normas, reglamentos y requisitos gubernamentales aplicables relacionados con la privacidad, la confidencialidad o la seguridad de los datos personales, ya que pueden modificarse o actualizarse de otro modo de vez en cuando, incluido (sin limitación) el GDPR.
«Subprocesador autorizado«se refiere a los subprocesadores enumerados en el Anexo 4 y a cualquier otro subprocesador designado de conformidad con el párrafo 7.4.
«Propósitos del controlador«significa: (a) llevar a cabo investigación y desarrollo internos para desarrollar, probar, mejorar y modificar la funcionalidad de los productos y servicios de Brisk; (b) crear conjuntos de datos anónimos para la formación o la evaluación de los productos y servicios de Brisk; y (c) administrar las cuentas de los clientes en el Servicio y gestionar la relación de Brisk con el cliente en virtud del Acuerdo, en cada caso como se describe con más detalle en el Anexo 1.
«Datos cubiertos«se refiere a los datos personales que: (a) el Cliente proporciona a Brisk o en su nombre en relación con la prestación del Servicio; o (b) los obtienen, desarrollan, producen o procesan de otro modo Brisk, o sus agentes o subcontratistas, con el fin de prestar el Servicio, en cada caso según se describe con más detalle en el Anexo 1.
«Cliente«significa la institución educativa o el profesor que celebra el acuerdo con Brisk en relación con el Servicio.
«Sujeto de datos«tiene el significado que se le da en el GDPR.
«Fecha de entrada en vigor«significa la fecha en que Brisk y el Cliente celebran el Acuerdo.
«GDPR«significa el Reglamento (UE) 2016/679 (el»RGPD DE LA UE«) o, en su caso, el»GDPR DEL REINO UNIDO«, tal como se define en la sección 3 (10) de la Ley de Protección de Datos de 2018.
«Datos personales«tiene el significado que se le da en el GDPR.
«Procesamiento«tiene el significado que se le da en el GDPR, y»Proceso«,»Procesos«y»Procesado«se interpretará en consecuencia.
«Incidente de seguridad«significa una violación de la seguridad que conduce a la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado (incluido el acceso interno no autorizado a) los Datos Cubiertos, de forma accidental o ilegal.
«Cláusulas contractuales estándar«o»SCC«se refiere a las cláusulas contractuales tipo anejas a la Decisión de Ejecución (UE) 2021/914 de la Comisión y disponibles en https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_en.
«Subprocesador«significa un procesador utilizado por otro procesador para ejecutar las instrucciones del controlador.
«Leyes suizas de protección de datos«se refiere a la Ley Federal Suiza de Protección de Datos de 25 de septiembre de 2020 (»FADP«) y la Ordenanza suiza de protección de datos de 31 de agosto de 2022 (la»Ordenanza«), y cualquier versión nueva o revisada de estas leyes que pueda entrar en vigor de vez en cuando.

1.2

Los términos»controlador«y»procesador«tienen los significados que se les dan en el GDPR.

2. INTERACCIÓN CON EL ACUERDO
2.1

Este DPA se incorpora al Acuerdo y forma parte integral del mismo. Este DPA complementa y (en caso de contradicciones) reemplaza el Acuerdo con respecto a cualquier procesamiento de los datos cubiertos.

3. PAPEL DE LAS PARTES
3.1

Las Partes reconocen y acuerdan que:

  1. salvo lo establecido en el párrafo 3.1, Brisk procesa los datos cubiertos como procesador en el cumplimiento de sus obligaciones en virtud del Acuerdo y este DPA y el Cliente actúa como controlador; y
  2. Brisk actúa como controlador con respecto al procesamiento de los datos cubiertos para los fines del controlador, tal como se identifica en el Anexo 1.
4. DETALLES DEL PROCESAMIENTO DE DATOS
4.1

Los detalles del procesamiento de datos personales en virtud del Acuerdo y esta DPA (incluidos el tema, la naturaleza y el propósito del procesamiento, las categorías de datos personales y los interesados) se describen en el Acuerdo y en el Anexo 1 de esta DPA.

4,2

Salvo en lo que respecta al procesamiento de los datos cubiertos para los fines del controlador:

  1. Brisk solo procesará los datos cubiertos siguiendo las instrucciones proporcionadas por el cliente y de acuerdo con las leyes de protección de datos aplicables; y
  2. el Acuerdo y este DPA constituirán las instrucciones a Brisk para el procesamiento de los datos cubiertos por parte de Brisk, y el Cliente podrá emitir instrucciones adicionales por escrito de conformidad con este DPA.
4.3

Brisk hará lo siguiente:

  1. proporcionar al Cliente información que le permita realizar y documentar cualquier evaluación de impacto de la protección de datos y consultas previas con las autoridades supervisoras exigidas en virtud de las leyes de protección de datos aplicables; y
  2. informar inmediatamente al Cliente si, en su opinión, una instrucción del Cliente infringe las leyes de protección de datos aplicables.
5. CUMPLIMIENTO
5.1

El Cliente cumplirá con sus obligaciones en virtud de las leyes de protección de datos aplicables y se asegurará de que:

  1. cualquier instrucción impuesta a Brisk en relación con el procesamiento de los datos cubiertos cumple con las leyes de protección de datos aplicables;
  2. proporciona dicha información a los interesados en relación con el procesamiento de los datos cubiertos por parte de Brisk, según lo exigen las leyes de protección de datos aplicables;
  3. notifica inmediatamente a Brisk cualquier solicitud recibida de un sujeto de datos para ejercer sus derechos en virtud de las leyes de protección de datos aplicables.
6. CONFIDENCIALIDAD Y DIVULGACIÓN
6.1

Brisk deberá:

  1. limitar el acceso a los Datos Cubiertos al personal que tiene la necesidad empresarial de tener acceso a dichos Datos Cubiertos; y
  2. garantizar que dicho personal esté sujeto a obligaciones de protección de los Datos Cubiertos al menos tan estrictas como las estipuladas en esta DPA y el Acuerdo, incluidas las obligaciones de confidencialidad con respecto a cualquier dato cubierto al que tenga acceso.
7. DEFINICIONES
7,1

Brisk puede procesar los datos cubiertos en cualquier lugar en el que Brisk o sus subprocesadores tengan instalaciones, con sujeción a lo dispuesto en el resto de este párrafo 7 y a cualquier restricción sobre las transferencias posteriores contenidas en las SCC.

7.2

El Cliente otorga a Brisk una autorización general para contratar a cualquier subprocesador autorizado para procesar los datos cubiertos.

7.3

Brisk deberá:

  1. celebrar un acuerdo por escrito con cada subprocesador autorizado que imponga obligaciones de protección de datos que, en esencia, no protejan menos los Datos cubiertos que las obligaciones de Brisk en virtud de esta DPA; y
  2. siguen siendo responsables del cumplimiento por parte de cada subprocesador autorizado de las obligaciones en virtud de esta DPA.
7,4

Brisk avisará al Cliente con al menos catorce (14) días de antelación sobre cualquier cambio propuesto en los subprocesadores autorizados. El Cliente notificará a Brisk si se opone al cambio propuesto a los subprocesadores autorizados (incluso, cuando proceda, cuando ejerza su derecho de oposición en virtud de la cláusula 9 (a) de las SCC) notificando a Brisk por escrito la objeción en un plazo de siete (7) días después de que Brisk haya notificado al Cliente dicho cambio propuesto (un»Objeción«).

7,5

En caso de que el Cliente presente una objeción, Brisk y el cliente trabajarán juntos de buena fe para encontrar una solución mutuamente aceptable para abordar dicha objeción. Si Brisk y el Cliente no pueden llegar a una resolución aceptable para ambas partes en un plazo razonable, que no excederá de treinta (30) días, Brisk podrá rescindir la parte del Acuerdo relativa a los Servicios afectados por dicho cambio mediante una notificación por escrito al Cliente.

8. SOLICITUDES DE DERECHOS DEL SUJETO DE DATOS
8.1

Brisk notificará al Cliente sin demora indebida cualquier solicitud que Brisk o cualquier subprocesador autorizado reciba de un sujeto de datos para hacer valer sus derechos en virtud de las leyes de protección de datos aplicables en relación con los datos cubiertos procesados por Brisk como procesador o subprocesador (a»Solicitud del sujeto de datos«).

8.2

Salvo en lo que respecta al procesamiento de los datos cubiertos por parte de Brisk para los fines del controlador, entre Brisk y el cliente, el cliente tendrá la discreción exclusiva de responder a la solicitud del sujeto de datos. Brisk no responderá a la solicitud del interesado sin el consentimiento previo del cliente, salvo que Brisk podrá informar al interesado de que su solicitud ha sido remitida al cliente.

8.3

Brisk proporcionará al Cliente la asistencia razonable que sea necesaria para que el Cliente cumpla con su obligación en virtud de las leyes de protección de datos aplicables de responder a las solicitudes de los interesados con respecto a los datos cubiertos.

9. SEGURIDAD
9,1

Brisk implementará y mantendrá las medidas de seguridad y protección de datos técnicas y organizativas adecuadas diseñadas para garantizar la seguridad de los Datos cubiertos, incluida, entre otras, la protección contra el procesamiento no autorizado o ilegal y contra la pérdida, destrucción o daño accidental de o a los Datos cubiertos.

9,2

Al evaluar el nivel de seguridad adecuado, Brisk tendrá en cuenta la naturaleza, el alcance, el contexto y el propósito del procesamiento, así como los riesgos que presenta el procesamiento, en particular los derivados de la destrucción accidental o ilegal, la pérdida, la alteración, la divulgación no autorizada o el acceso a los datos cubiertos.

9.3

Brisk implementará y mantendrá como estándar mínimo las medidas establecidas en el Anexo 2.

10. INFORMACIÓN Y AUDITORÍAS
10,1

El Cliente puede auditar el cumplimiento por parte de Brisk de esta DPA con respecto al procesamiento de los datos cubiertos. Las Partes acuerdan que todas estas auditorías se llevarán a cabo:

  1. no más de una vez al año, a menos que una autoridad supervisora con jurisdicción sobre el procesamiento de los datos cubiertos o de otro modo en virtud de las leyes de protección de datos aplicables exija auditorías más frecuentes;
  2. previo aviso razonable por escrito a Brisk;
  3. solo durante el horario laboral normal de Brisk; y
  4. de una manera que no interrumpa materialmente los negocios u operaciones de Brisk.
10,2

Con respecto a cualquier auditoría realizada de conformidad con el párrafo 10.3:algún texto

  1. el Cliente puede contratar a un auditor externo para que lleve a cabo la auditoría en su nombre, salvo que Brisk pueda oponerse razonablemente a la contratación de un auditor externo si dicho auditor externo es un competidor de Brisk; y
  2. No se exigirá a Brisk que facilite ninguna auditoría de este tipo a menos y hasta que las Partes hayan acordado por escrito el alcance y el calendario de dicha auditoría.
10,3

El Cliente notificará de inmediato a Brisk cualquier incumplimiento descubierto durante una auditoría.

10,4

Los resultados de la auditoría serán información confidencial de Brisk.

10,5

Brisk proporcionará al Cliente, previa solicitud, o podrá proporcionarle al Cliente en respuesta a cualquier solicitud de auditoría presentada por el Cliente a Brisk, una de las siguientes opciones:

  1. certificaciones de cumplimiento de la protección de datos emitidas por un emisor de certificación comúnmente aceptado que haya sido auditado por un experto en seguridad de datos o por una empresa de auditoría con certificación pública; o
  2. cualquier otra documentación que demuestre razonablemente la implementación de las medidas de seguridad de datos técnicas y organizativas de acuerdo con los estándares de la industria.
10,6

Si una auditoría solicitada por el Cliente se aborda en los documentos o la certificación proporcionados por Brisk de conformidad con el párrafo 10.7, y:

  1. la certificación o la documentación tienen una fecha de doce (12) meses a partir de la solicitud de auditoría del Cliente; y
  2. Brisk confirma que no se conocen cambios importantes en los controles auditados,

El Cliente se compromete a aceptar esa certificación o documentación en lugar de realizar una auditoría física de los controles cubiertos por la certificación o documentación correspondiente.

11. INCIDENTES DE SEGURIDAD
11,1

Brisk notificará al Cliente por escrito sin demora indebida después de tener conocimiento de cualquier incidente de seguridad.

11,2

Brisk tomará las medidas razonables para contener, investigar y mitigar cualquier incidente de seguridad, y enviará al Cliente información oportuna sobre el incidente de seguridad, en la medida en que Brisk lo sepa o cuando la información esté disponible para Brisk, incluida, entre otros, la naturaleza del incidente de seguridad, las medidas adoptadas para mitigar o contener el incidente de seguridad y el estado de la investigación.

11,3

Brisk proporcionará asistencia razonable para que el Cliente (o, en su caso, sus Clientes) investigue cualquier Incidente de seguridad y cualquiera de las obligaciones del Cliente (o, en su caso, de sus Clientes) en relación con el Incidente de seguridad en virtud de las leyes de protección de datos aplicables, incluida cualquier notificación a los interesados o a las autoridades supervisoras.

11,4

La notificación o la respuesta de Brisk a un incidente de seguridad en virtud de este párrafo 11 no se interpretará como un reconocimiento por parte de Brisk de cualquier falta o responsabilidad con respecto al incidente de seguridad.

12. PLAZO, ELIMINACIÓN Y DEVOLUCIÓN
12,1

Esta DPA entrará en vigor en la fecha de entrada en vigor y, sin perjuicio de la rescisión del Acuerdo, permanecerá en vigor hasta que Brisk elimine todos los datos cubiertos, tal como se describe en esta DPA, y caducará automáticamente cuando Brisk elimine todos los datos cubiertos.

12,2

Brisk deberá:

  1. si el Cliente lo solicita (en nombre de sus Clientes, según proceda) dentro de los treinta (30) días siguientes a la expiración del Acuerdo (el»Periodo de retención«), proporcionar una copia de todos los Datos cubiertos en el formato de uso común que solicite el Cliente, o proporcionar una funcionalidad de autoservicio que permita al Cliente descargar dichos Datos cubiertos; y
  2. Al expirar el período de retención, elimine todas las copias de los datos cubiertos procesados por Brisk o cualquier subprocesador autorizado, excepto los datos cubiertos que Brisk deba conservar para cumplir con la ley aplicable, para presentar o defender reclamaciones legales o para los fines del controlador.
13. TRANSFERENCIAS INTERNACIONALES
13,1

Las cláusulas contractuales estándar se aplicarán, como se establece con más detalle en el Anexo 3, a las transferencias de datos cubiertos del cliente a Brisk y formarán parte de esta DPA.

13,2

Las Partes acuerdan que la ejecución del Acuerdo tendrá el mismo efecto que la firma de las SCC.

ANEXO 1: Detalles del procesamiento
A. Lista de Partes
Cliente
Cliente
Rol
Exportador de datos (controlador)
Importador de datos (controlador/procesador)
el administrador de la cuenta del Cliente según se notificó a Brisk.
Actividades relevantes para la transferencia
B. Descripción del procesamiento
Sujetos de datos
Naturaleza y propósito del procesamiento
Periodo de retención
Información de contacto, como nombre, dirección de correo electrónico, nombre de la institución educativa.
Ninguna
Recopilado directamente del sujeto de los datos.
Comuníquese con los administradores de cuentas en relación con la administración del Acuerdo y la relación entre las partes.

Envíe correos electrónicos promocionales de acuerdo con las preferencias del administrador de la cuenta.

Identifique las formas en las que Brisk puede mejorar el Servicio y corregir los errores en el Servicio.
Preferencias de cuenta en relación con los mensajes promocionales.
Recopilados directamente del sujeto de datos o proporcionados por la institución educativa
Procesador en nombre de la institución educativa correspondiente.

Hasta la primera de las siguientes fechas:

  • terminación del Acuerdo; y
  • cierre de la cuenta correspondiente en el Servicio que posea el interesado, ya sea a petición del responsable del tratamiento o tras 18 meses de inactividad.
Preferencias de cuenta en relación con los mensajes relacionados con el servicio.

Nivel de cuenta, es decir, si el profesor independiente utiliza una cuenta premium o gratuita en el Servicio.

Preguntas, comentarios y otra correspondencia presentado en relación con el Servicio.

Asignaturas enseñadas y grupos o grados del año estudiantil.

Contenido y materiales creado a través del Servicio, incluidas las modificaciones realizadas al contenido generado automáticamente a través del Servicio.

Sitios web visitado respecto del cual está activado el Servicio.

Retroalimentación en relación con el contenido generado a través del Servicio.

El características y funcionalidades utilizado en el Servicio.
Ninguna, a menos que esté incluida en el contenido y los materiales generados a través del Servicio, o en las indicaciones o comentarios enviados al mismo.
Maestros con cuentas escolares
Información de contacto, como nombre, dirección de correo electrónico, nombre de la institución educativa.
Ninguna
Durante la vigencia del Acuerdo y durante 6 años a partir de entonces.
Hasta 2 años después del cierre de la cuenta del interesado en el Servicio, ya sea a solicitud del interesado o después de 18 meses de inactividad.
Preguntas, comentarios y otra correspondencia presentado en relación con el Servicio.
El características y funcionalidades utilizado en el Servicio.
Proporcionar acceso a las funciones y funcionalidades del Servicio, incluida la facilitación del inicio de sesión y la solución de los problemas de inicio de sesión.
Hasta 90 días.
Referencias, es decir, el número de otros profesores remitidos por el profesor independiente al Servicio.
Recopilado directamente del sujeto de los datos.
Gestiona el programa de recomendaciones de Brisk, incluida la gestión del acceso promocional o de recompensas a las funciones premium.
Controlador
Durante la vigencia del Acuerdo.
Cursos de desarrollo profesional emprendido y completado a través del Servicio.
Otorgar acceso a funciones premium vinculadas a la finalización de cursos de desarrollo profesional.
Maestros independientes
Información de contacto, como nombre, dirección de correo electrónico, nombre de la institución educativa.
Recopilado directamente del sujeto de los datos.
Nivel de cuenta, es decir, si el profesor independiente utiliza una cuenta premium o gratuita en el Servicio.
Durante la vigencia del Acuerdo y durante 6 años a partir de entonces.
Información de pago, como la tarjeta de crédito o débito y la dirección de facturación.
Preferencias de cuenta en relación con los mensajes promocionales y relacionados con el servicio.
Preguntas, comentarios y otra correspondencia presentado en relación con el Servicio.
Asignaturas enseñadas y grupos o grados del año estudiantil.
Durante la vigencia del Acuerdo.
Contenido y materiales creado a través del Servicio, incluidas las modificaciones realizadas al contenido generado automáticamente a través del Servicio.
Durante la vigencia del Acuerdo.
Esta información se almacena de forma agregada y anónima.
Dispositivo utilizado para acceder al Servicio, como la dirección IP.
Proporcionar acceso a las características y funcionalidades del Servicio, lo que incluye facilitar el inicio de sesión, solucionar los problemas de inicio de sesión y equilibrar la carga.
Hasta 90 días.
Estudiantes
Información de contacto, como el nombre, la dirección de correo electrónico y el nombre de la institución educativa o del profesor que concede el acceso.
Ninguna
Proporcionado por el cliente.
Suministro de acceso a las funciones y funcionalidades del Servicio, incluida la personalización del Servicio.
Procesador en nombre de la institución educativa correspondiente o del profesor independiente.
Cualquier dato personal confidencial contenido en el producto del trabajo o en las interacciones que el estudiante cargue en el Servicio.
el administrador de la cuenta del Cliente según se notificó a Brisk.
el administrador de la cuenta del Cliente según se notificó a Brisk.
Recopilado directamente del sujeto de los datos.
Controlador
Hasta 90 días.
C. Autoridad supervisora competente

La autoridad supervisora competente es el Comisionado de Protección de Datos de Irlanda.

ANEXO 2: Medidas técnicas y organizativas

Introducción

Brisk emplea una combinación de políticas, procedimientos, directrices y controles técnicos y físicos para proteger los datos personales que procesa de la pérdida accidental y del acceso, la divulgación o la destrucción no autorizados.

Gobernanza y políticas

Brisk asigna al personal la responsabilidad de determinar, revisar e implementar las políticas y medidas de seguridad.

Enérgico:

  • ha documentado las medidas de seguridad que ha implementado en una política de seguridad y/u otras directrices y documentos pertinentes;
  • revisa sus medidas y políticas de seguridad de forma regular para garantizar que sigan siendo apropiadas para los datos que se protegen.

Brisk establece y sigue configuraciones seguras para los sistemas y el software y garantiza que se consideren las medidas de seguridad durante el inicio del proyecto y el desarrollo de nuevos sistemas de TI.

Respuesta a la infracción

Brisk cuenta con un plan de respuesta a las brechas que se ha desarrollado para abordar los eventos de violación de datos. El plan se prueba y actualiza periódicamente.

Defensas contra intrusiones, antivirus y antimalware

Los sistemas de TI de Brisk utilizados para procesar datos personales tienen instalado el software de seguridad de datos adecuado, incluidos los sistemas de firewall, antivirus, antimalware y detección de intrusos estándar del sector.

Brisk recopila, mantiene y revisa los registros de eventos para identificar actividades sospechosas.

Controles de acceso

Brisk limita el acceso a los datos personales mediante la implementación de los controles de acceso adecuados, que incluyen:

  • limitar los privilegios de acceso administrativo y el uso de cuentas administrativas;
  • cambiar todas las contraseñas predeterminadas antes de implementar sistemas operativos, activos o aplicaciones;
  • exigir la autenticación y la autorización para acceder a los sistemas de TI (es decir, exigir a los usuarios que introduzcan una identificación de usuario y una contraseña antes de que se les permita acceder a los sistemas de TI);
  • medidas para garantizar el acceso con privilegios mínimos a los sistemas de TI;
  • procedimientos apropiados para controlar la asignación y revocación de los derechos de acceso a los datos personales. Por ejemplo, establecer procedimientos adecuados para revocar el acceso de los empleados a los sistemas de TI cuando dejen su trabajo o cambien de puesto;
  • uso de la autenticación multifactorial para acceder a los datos de los sistemas de Brisk;
  • tiempo de espera y bloqueo automáticos de los terminales de usuario si se dejan inactivos;
  • el acceso al sistema de TI se bloquea después de varios intentos fallidos de introducir los detalles correctos de autenticación y/o autorización;
  • supervisar y registrar el acceso a los sistemas de TI;
  • supervisar y registrar las modificaciones de los datos o archivos de los sistemas de TI.

Disponibilidad y respaldo de datos personales

Brisk cuenta con un plan de recuperación ante desastres documentado que garantiza que los sistemas y datos clave puedan restaurarse de manera oportuna en caso de un incidente físico o técnico. El plan se prueba y actualiza periódicamente.

Brisk realiza copias de seguridad periódicas de la información de los sistemas de TI y mantiene las copias de seguridad en ubicaciones separadas. Las copias de seguridad de la información se prueban con regularidad.

Segmentación de datos personales

Enérgico:

  • separa y limita el acceso entre los componentes de la red y, cuando proceda, implementa medidas para permitir el procesamiento por separado (almacenamiento, modificación, eliminación, transmisión) de los datos personales recopilados y utilizados para diferentes fines;
  • no utiliza datos en tiempo real para probar sus sistemas.

Eliminación de equipos de TI

Enérgico:

  • cuenta con procesos para eliminar de forma segura todos los datos personales antes de deshacerse de los sistemas de TI;
  • utiliza la tecnología adecuada para purgar los datos del equipo.

Cifrado

Brisk cifra los datos en reposo con AES-256 y en tránsito con TLS 1.2 o superior.

Las claves de cifrado se almacenan por separado de la información cifrada.

Transmisión o transporte de datos personales

Brisk implementa los controles adecuados para proteger los datos personales durante la transmisión o el tránsito, que incluyen:

  • encriptación en tránsito;
  • registrar datos personales cuando se transmiten electrónicamente.

Endurecimiento del dispositivo

Brisk garantiza que todas las máquinas virtuales estén reforzadas de acuerdo con los puntos de referencia del Centro para la Seguridad de Internet (CIS).

Gestión de activos y software

Brisk mantiene un inventario de los activos de TI y de los datos almacenados en ellos, junto con una lista de los propietarios de los activos de TI relevantes.

Enérgico:

  • documenta e implementa reglas para el uso aceptable de los activos de TI.
  • requiere autenticación a nivel de red y utiliza certificados de cliente para validar y autenticar los sistemas;
  • implementa herramientas automatizadas de administración de parches y herramientas de actualización de software para sistemas operativos y software;
  • monitorea proactivamente las vulnerabilidades del software e implementa rápidamente cualquier parche fuera de ciclo;
  • permite el uso de solo las versiones más recientes de los navegadores web y clientes de correo electrónico totalmente compatibles.

Brisk almacena todas las claves de API de forma segura, incluidas las siguientes:

  • Brisk almacena las claves de API directamente en sus variables de entorno;
  • Brisk no almacena las claves de API en el lado del cliente;
  • Brisk no publica las credenciales de claves de API en repositorios de código en línea (privados o no); y
  • Brisk usa herramientas de administración de claves de API para recuperar y administrar las credenciales de grandes proyectos de desarrollo.

Formación y sensibilización del personal

Los acuerdos de Brisk con el personal y los contratistas y los manuales para empleados establecen las responsabilidades de su personal en relación con la seguridad de la información.

Brisk lleva a cabo:

  • formación regular del personal sobre cuestiones de seguridad y privacidad de los datos pertinentes para su puesto de trabajo y garantizar que los recién llegados reciban la formación adecuada antes de empezar a desempeñar sus funciones (como parte de los procedimientos de incorporación);
  • la selección adecuada y la verificación de antecedentes de las personas que tienen acceso a datos personales confidenciales.

Brisk garantiza que se comuniquen e implementen las responsabilidades de seguridad de la información que son aplicables inmediatamente antes de la terminación o el cambio de empleo y las que se aplican después de la terminación o el cambio de empleo.

El personal está sujeto a medidas disciplinarias por incumplir las políticas y procedimientos de Brisk relacionados con la privacidad y la seguridad de los datos.

Selección de proveedores de servicios y comisión de servicios

Brisk evalúa la capacidad de los proveedores de servicios para cumplir con sus requisitos de seguridad antes de contratarlos.

Brisk ha firmado contratos con proveedores de servicios que les obligan a implementar las medidas de seguridad adecuadas para proteger los datos personales a los que tienen acceso y limitar el uso de los datos personales de acuerdo con las instrucciones de Brisk.

Parte 2

Asistencia con las solicitudes de derechos de los interesados

Brisk ha implementado políticas y medidas apropiadas para identificar y atender las solicitudes de derechos de los titulares de datos, que incluyen:

  • Brisk mantiene registros precisos que le permiten identificar rápidamente todos los datos personales procesados en nombre del Cliente; y
  • las copias de seguridad de los datos personales procesados por Brisk en nombre del Cliente se sobrescriben de forma regular y, en cualquier caso, cada treinta (30) días para garantizar que las solicitudes de eliminación y rectificación se tramiten en su totalidad.
ANEXO 3: CLÁUSULAS CONTRACTUALES ESTÁNDAR
1. EU SCCS

Con respecto a cualquier transferencia a la que se hace referencia en la cláusula 13, las cláusulas contractuales estándar se completarán de la siguiente manera:

1.1

Módulo dos (controlador a procesador), o según corresponda, el Módulo Tres (procesador a procesador) de las SCC se aplicarán al procesamiento de los datos cubiertos por parte de Brisk.

1.2

No se aplica la cláusula 7 de las cláusulas contractuales estándar (cláusula de acoplamiento).

1.3

Opción 2 de la cláusula 9 (a) (Autorización general por escrito) se aplicará y el período de tiempo que se especificará se determina en la cláusula 7.4 de la DPA.

1.4

La opción de la cláusula 11 (a) de las cláusulas contractuales estándar (Órgano independiente de resolución de conflictos) no se aplica.

1,5

Con respecto a la cláusula 17 de las cláusulas contractuales estándar (Ley aplicable), las Partes acuerdan que se aplicará la opción 1 y que la ley aplicable será la ley irlandesa.

1.6

En la cláusula 18 de las cláusulas contractuales estándar (Elección de foro y jurisdicción), las Partes se someten a la jurisdicción de los tribunales de Irlanda.

1,7

A los efectos del anexo I de las cláusulas contractuales estándar, el anexo 1 de la DPA contiene las especificaciones relativas a las partes, la descripción de la transferencia y la autoridad supervisora competente.

1.8

A los efectos del anexo II de las cláusulas contractuales estándar, el anexo 2 de la DPA contiene las medidas técnicas y organizativas.

2. Anexo del Reino Unido
2.1

Este párrafo 2 (Adenda del Reino Unido) se aplicará a cualquier transferencia de datos cubiertos del cliente (como exportador de datos) a Brisk (como importador de datos), en la medida en que:

  1. las leyes de protección de datos del Reino Unido se aplican al Cliente al realizar esa transferencia; o
  2. la transferencia es una «transferencia ulterior», tal como se define en la Adenda aprobada.
2.2

Tal como se utiliza en este párrafo 2:

«Anexo aprobado«se refiere al modelo de apéndice, versión B.1.0, emitido por el Comisionado de Información del Reino Unido en virtud de la Ley de Protección de Datos S119A (1) de 2018 y presentado ante el Parlamento del Reino Unido el 2 de febrero de 2022, ya que puede revisarse de acuerdo con la sección 18 del anexo aprobado.

«Leyes de protección de datos del Reino Unido«se refiere a todas las leyes relacionadas con la protección de datos, el procesamiento de datos personales, la privacidad y/o las comunicaciones electrónicas que estén vigentes de vez en cuando en el Reino Unido, incluido el GDPR del Reino Unido y la Ley de Protección de Datos de 2018.

2.3

El anexo aprobado formará parte de este DPA con respecto a cualquier transferencia a la que se hace referencia en el párrafo 2.1, y la ejecución de este DPA tendrá el mismo efecto que la firma del anexo aprobado.

2.4

La adenda aprobada se considerará completada de la siguiente manera: algún texto

  1. las «SCC de la UE addendum» se referirán a las SCC tal como estén incorporadas al presente Acuerdo de conformidad con la cláusula 13 y este anexo 3;
  2. La tabla 1 de la adenda aprobada se completará con los detalles del párrafo A del anexo 1;
  3. la «Información del apéndice» se referirá a la información establecida en el Anexo 1 y el Anexo 2
  4. a los efectos de la Tabla 4 del Anexo aprobado, Brisk (como importador de datos) puede dar por terminado este DPA, en la medida en que se aplique el Anexo aprobado, de conformidad con la Sección‎19 del Anexo aprobado; y
  5. La sección 16 del Anexo aprobado no se aplica.
3. Adenda suiza
3.1

Este anexo suizo se aplicará a cualquier procesamiento de datos cubiertos que esté sujeto a las leyes suizas de protección de datos.

3.2

Interpretación de esta adenda

  1. Cuando este Anexo utilice términos que se definen en las Cláusulas contractuales estándar, esos términos tendrán el mismo significado que en las Cláusulas contractuales estándar. Además, los siguientes términos tienen los siguientes significados:

    «Apéndice«significa esta adición a las Cláusulas;
    «Clausulas«se refiere a las Cláusulas contractuales estándar incorporadas en esta DPA de conformidad con el párrafo 13 y según se especifica con más detalle en este Anexo 3; y
    «FDD PIC«significa el Comisionado Federal de Protección de Datos e Información.
  1. Este anexo se leerá e interpretará de manera coherente con las leyes suizas de protección de datos y de manera que cumpla con las obligaciones de las Partes en virtud del artículo 16 (2) (d) de la FADP.
  2. Este anexo no se interpretará de manera que entre en conflicto con los derechos y obligaciones establecidos en las leyes suizas de protección de datos.
  3. Cualquier referencia a la legislación (o a disposiciones específicas de la legislación) se refiere a esa legislación (o disposición específica), ya que puede cambiar con el tiempo. Esto incluye los casos en los que esa legislación (o disposición específica) se haya consolidado, vuelto a promulgar o sustituirse tras la aprobación de esta adenda suiza.
  4. En relación con cualquier procesamiento de datos personales sujeto a las leyes suizas de protección de datos, este anexo modifica y complementa las cláusulas en la medida necesaria para que funcionen: texto
    1. para las transferencias realizadas por el exportador de datos al importador de datos, en la medida en que las leyes suizas de protección de datos se apliquen al procesamiento del exportador de datos al realizar esa transferencia; y
    2. como cláusulas estándar de protección de datos aprobadas, emitidas o reconocidas por la FDPIC a los efectos del artículo 16, apartado 2, letra d), de la FADP.

3.3

Jerarquía

En caso de conflicto o incoherencia entre este Anexo y las disposiciones de las Cláusulas u otros acuerdos relacionados entre las Partes, que existan en el momento en que se acuerde este Anexo o se celebre posteriormente, prevalecerán las disposiciones que brinden la mayor protección a los interesados.

3.4

Cambios en las cláusulas

  1. En la medida en que el procesamiento de datos personales por parte del exportador de datos esté sujeto exclusivamente a las leyes suizas de protección de datos, o si la transferencia de datos personales de un exportador de datos a un importador de datos en virtud de las Cláusulas constituye una «transferencia posterior» (tal como se define en las Cláusulas, modificada por el resto de este párrafo 3.3 (a)), se introducen las siguientes modificaciones en las Cláusulas:
    1. Las referencias a las «Cláusulas» o a las «SCC» se refieren a esta adenda suiza, ya que modifica las SCC.
    2. Cláusula 6 La descripción de la (s) transferencia (s) se sustituye por:
    3. «Los detalles de las transferencias y, en particular, las categorías de datos personales que se transfieren y los fines para los que se transfieren, son los especificados en el Anexo 1 de esta DPA, donde las leyes suizas de protección de datos se aplican al procesamiento por parte del exportador de datos al realizar esa transferencia».
    4. Las referencias al «Reglamento (UE) 2016/679» o «ese Reglamento» o «RGPD» se sustituyen por «Leyes suizas de protección de datos» y las referencias a artículos específicos del «Reglamento (UE) 2016/679» o «RGPD» se sustituyen por el artículo o sección equivalente de la legislación suiza de protección de datos, en la medida en que sea aplicable.
    5. Se eliminan las referencias al Reglamento (UE) 2018/1725.
    6. Las referencias a la «Unión Europea», «Unión», «UE» y «Estado miembro de la UE» se sustituyen por «Suiza».
    7. La cláusula 13 (a) y la parte C del anexo I no se utilizan; la «autoridad supervisora competente» es la FDPIC;
    8. La cláusula 17 se sustituye por la siguiente: «Estas cláusulas se rigen por las leyes de Suiza».
    9. La cláusula 18 se sustituye por la siguiente: «Cualquier disputa que surja de estas Cláusulas en relación con las leyes suizas de protección de datos será resuelta por los tribunales de Suiza. El interesado también puede iniciar acciones legales contra el exportador o importador de datos ante los tribunales de Suiza en los que tenga su residencia habitual. Las Partes acuerdan someterse a la jurisdicción de dichos tribunales».
ANEXO 4: Subprocesadores autorizados
Subprocesador
Descripción
Datadog Inc
Herramienta de confiabilidad y monitoreo del sitio que ayuda a rastrear el rendimiento, detectar problemas y mejorar la experiencia del usuario a través de visualizaciones e información de datos en tiempo real
Aloja bases de datos y servidores que alimentan y respaldan Brisk
Snowflake Inc.
Ejecuta varios informes de datos sobre los datos capturados anteriormente en Snowflake para que podamos mejorar la herramienta.
Google LLC (Alphabet Inc.)
Proporciona autenticación de inicio de sesión único (SSO) para los usuarios de Brisk, aloja los cursos de los estudiantes y el contenido generado por los profesores.
Segmento (Twilio Inc.)
Herramienta de registro y análisis que ayuda a los desarrolladores a entender cómo interactúan los usuarios con Brisk
OpenAI, Inc.
Anthropic se ejecuta en AWS Bedrock
Servicios de inteligencia artificial
Sentry (Functional Software, Inc.)
GPTZero Inc.
Herramienta de análisis de texto que ayuda a detectar texto generado por IA
Retoño
Herramienta de análisis de texto que ayuda a mejorar la escritura al proporcionar sugerencias de gramática y estilo
Fuerza de ventas
Alberga y rastrea los acuerdos de asociación, los puntos de contacto y otra información de coordinación.