Apéndice de seguridad y procesamiento de datos

Este Apéndice de Seguridad y Procesamiento de Datos de Hopper, incluidos los Apéndices 1, 2 y 3 del presente (“Apéndice”) establece los términos esenciales requeridos por Hopper (USA), Inc., una corporación de Delaware con sede principal del negocio ubicado en 265 Franklin Street, Suite 1702, Boston, MA 02110 EE. UU. y/o sus afiliadas (es decir, cualquier otra entidad que directa o indirectamente controle o esté bajo el control común directo o indirecto de Hopper (USA), Inc., que incluye, entre otros, Hopper, Inc., una corporación federal canadiense con sede principal en 5795 Avenue de Gaspe, Montreal, Quebec, H2S 2X3, Canadá y Hopper Travel (Ireland), Ltd., una corporación irlandesa con sede principal negocios en Mespil Business Centre, Mespil House, Sussex Road, Dublin 4 (colectivamente “Hopper”)), para vendedores y proveedores de servicios (cada uno un “Proveedor”) que recolectan, procesan, reciben o de otra manera tener acceso a Hopper Data (como se define a continuación). Con respecto a los Datos personales procesados ​​por el Proveedor en nombre de Hopper, Hopper es el controlador de datos de dichos datos y el Proveedor operará como procesador de datos de dichos datos. Este Anexo se considerará incorporado a los términos y condiciones de cualquier acuerdo (cada uno, y “Acuerdo”) entre Hopper y el Proveedor al que se adjunte o se incorpore por referencia, ya sea que se haya celebrado antes o después de la fecha de ejecución. de esto. En caso de conflicto entre cualquier término de cualquier Acuerdo y este Anexo, los términos de este Anexo regirán y prevalecerán.

  1. Definiciones.

    “Acuerdo” significa todos y cada uno de los acuerdos entre las partes en virtud de los cuales el Proveedor recibe, recopila, accede o procesa de otro modo los Datos de Hopper.

    "Datos de Hopper" hace referencia a cualquier dato que Hopper proporcione al Proveedor, directa o indirectamente (incluso a través del Servicio) o que recopile, acceda o procese de otro modo por el Proveedor en nombre de Hopper, sobre Hopper, los sitios web de las aplicaciones de Hopper y servicios, cualquier consumidor, usuario final, empleado, socio, vendedor u otro proveedor de Hopper, o el uso de cualquier servicio por parte de cualquiera de ellos, incluidos los Datos personales.

    “Datos personales” se refiere a cualquier Dato de Hopper que se pueda usar para identificar, localizar o contactar a una persona, incluidos: (i) nombre y apellido; (ii) domicilio u otra dirección física; (iii) número de teléfono; (iv) dirección de correo electrónico o identificador en línea asociado con un individuo; (v) número de seguro social, número de pasaporte, número de licencia de conducir o identificación similar; (vi) número de tarjeta de crédito o débito; (vii) información laboral, financiera o de salud; (viii) dirección IP o identificador de dispositivo, o (ix) cualquier otra información relacionada con un individuo, incluida la información de cookies y datos o perfiles de uso y tráfico, que se combina con cualquiera de los anteriores.

“Servicio” significa los servicios prestados por el Proveedor en virtud de un Acuerdo.

  1. Uso de datos personales. Salvo que Hopper lo permita expresamente por escrito, incluido lo expresamente establecido en cualquier Acuerdo debidamente ejecutado entre Hopper y el Proveedor, el Proveedor no (1) divulgará, venderá, distribuirá ni transmitirá, directa o indirectamente, los Datos personales a ningún tercero, o ( 2) utilizar los Datos personales para cualquier fin que no sea proporcionar a Hopper el Servicio en virtud del presente bajo la dirección y de acuerdo con las instrucciones de Hopper, y de acuerdo con todas las leyes de privacidad y protección de datos aplicables. El Proveedor notificará a Hopper por escrito inmediatamente después de determinar que no ha cumplido o que ya no puede cumplir con sus obligaciones en virtud de esta Sección 2 de este Anexo y, en tal caso, cumplirá con las instrucciones escritas de Hopper, incluidas las instrucciones para cesar procesamiento adicional de los Datos personales, y tomar las medidas necesarias para remediar cualquier procesamiento de dichos Datos personales que no esté de acuerdo con esta Sección 2 de este Anexo.
  2. Datos personales de la UE. Si los Datos Hopper que procesa el Proveedor contienen Datos personales de residentes de la Unión Europea (“UE”), el Proveedor acepta que este Anexo incorpora por referencia las Cláusulas contractuales tipo para la transferencia de Datos personales a terceros países de conformidad con Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, modificado de conformidad con la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea, de 4 de junio de 2021 (“Cláusulas modelo de terceros países de la UE”), que incorpora específicamente Módulo Dos del mismo con respecto a las disposiciones de cada una de las Cláusulas 8, 9 y 10 (“Módulo Dos”), y el lenguaje opcional de la Cláusula 7 y la Cláusula 11(a). A los efectos de las Cláusulas modelo de terceros países de la UE (incluido el Módulo dos), cada una de las filiales de Hopper establecidas en la UE será “controlador” y “exportador de datos” y el Proveedor es “importador de datos” y "procesador de datos". Este Anexo incorporará además por referencia: (1) el Apéndice 1 adjunto, que establece la identidad del importador y exportador de datos, los detalles de la(s) transferencia(s), incluidas, en particular, las categorías de datos personales que se transfieren y los fines y la duración de la transferencia, y cualquier restricción específica y/o salvaguarda adicional aplicable al procesamiento de "datos confidenciales", como se menciona en la Cláusula 6, 8.2, 8.5, 8.7 y 13(a) de las Cláusulas modelo UE de terceros países; (2) el Apéndice 2 adjunto al presente, que establece las salvaguardas técnicas y organizativas que deben establecerse en el Apéndice II de las Cláusulas Modelo UE para Terceros Países, como se menciona en las Cláusulas 8.3, 8.6 y 10; y (3) el Apéndice 3 adjunto, que establece la lista de subcontratistas aprobados a los que se hace referencia en la Cláusula 9(a). Se acordará que la Cláusula 9(a) de las Cláusulas modelo UE para terceros países sea el siguiente párrafo, que reemplazará y anulará la Sección 4 de este Anexo con respecto a cualquier dato sujeto a las disposiciones de esta Sección 3 (la referencia al Anexo III hará referencia al Apéndice 3 de este Addendum): El importador de datos no subcontratará ninguna de sus actividades de procesamiento realizadas en nombre del exportador de datos en virtud de estas Cláusulas a un subprocesador sin la autorización previa y específica por escrito del exportador de datos. El importador de datos deberá presentar la solicitud de autorización específica con al menos treinta (30) días de antelación a la contratación del subencargado del tratamiento, junto con la información necesaria para que el exportador de datos pueda decidir sobre la autorización. La lista de subprocesadores ya autorizados por el exportador de datos se encuentra en el Anexo III. Las Partes mantendrán actualizado el Anexo III. Se acordará que la cláusula 13(a) de las Cláusulas modelo UE para terceros países es el siguiente párrafo:
    Actuará como autoridad de control competente la autoridad de control responsable de garantizar el cumplimiento por parte del exportador de datos del Reglamento (UE) 2016/679 en lo relativo a la transferencia de datos, tal y como se indica en el Anexo I.C. Se acordará que las Cláusulas 17 y 18(b) de las Cláusulas modelo de la UE para terceros países son los siguientes párrafos, que reemplazarán y anularán la Sección 11 de este Anexo con respecto a cualquier dato sujeto a las disposiciones de esta Sección 3: Cláusula 17. Las presentes Cláusulas se regirán por la ley de uno de los Estados miembros de la UE, siempre que dicha ley permita los derechos de terceros beneficiarios. Las Partes acuerdan que esta será la ley de la República de Irlanda. Cláusula 18(b) Las Partes acuerdan que serán los tribunales de Irlanda. En caso de conflicto entre este Anexo o el Acuerdo y las Cláusulas modelo de terceros países de la UE incorporadas en el presente, prevalecerán las Cláusulas modelo de terceros países de la UE.
  3. Subcontratistas. En la medida en que los subcontratistas, proveedores u otros terceros del Proveedor deban tener acceso a los Datos de Hopper para permitir que el Proveedor brinde el Servicio ("Subcontratistas"), el Proveedor deberá (i) proporcionar a Hopper con una lista precisa y completa de cualquier Subcontratista del Proveedor que accederá a los Datos Hopper al menos treinta (30) días antes de otorgar dicho acceso; (ii) obtener el consentimiento por escrito de Hopper para permitir el acceso de dicho Subcontratista; (iii) imponer a través de un acuerdo por escrito los mismos requisitos de privacidad, seguridad y otros a cualquier Subcontratista al que esté sujeto el Proveedor en virtud de este Anexo; y (iv) seguir siendo responsable de las acciones de cualquier Subcontratista con respecto a los Datos Hopper. Se adjunta una lista de subcontratistas aprobados como Apéndice 3.
  4. Seguridad. El proveedor ha implementado y mantendrá un programa completo de seguridad de la información por escrito ("Programa de seguridad de la información") que incluye medidas de seguridad administrativas, técnicas, operativas, organizativas y físicas para garantizar la confidencialidad, seguridad, integridad y disponibilidad de los Datos de Hopper y para proteger contra el acceso, uso, divulgación o acceso no autorizado, y contra la alteración, pérdida o destrucción ilícita o accidental de los Datos de Hopper. En particular, el Programa de Seguridad de la Información deberá incluir, entre otros, las salvaguardas técnicas y organizativas cuando corresponda o sea necesario para garantizar la protección de los Datos Hopper como se establece en el Apéndice 2.
  5. Cumplimiento, informes y consultas. A pedido de Hopper, el Proveedor proporcionará a Hopper información que demuestre que mantiene controles de seguridad de la información alineados con los requisitos de este Anexo. El proveedor mantendrá, como mínimo, documentación de auditoría de cumplimiento de informes SOC-2 Tipo I y Tipo II, o su equivalente, durante el Plazo y proporcionará una copia (sin cargo) a Hopper al menos una vez al año durante el Plazo previa solicitud por escrito. de Hopper. Si el Proveedor maneja cualquier Dato del titular de la tarjeta según se define en la industria de tarjetas de pago: Estándar de seguridad de datos (“PCI-DSS”), el Proveedor mantendrá, como mínimo, el cumplimiento del estándar PCI-DSS más reciente según corresponda al Proveedor. y/o Hopper y mantendrá documentación de auditoría independiente que incluya al menos una Declaración de Cumplimiento, durante el Plazo y proporcionará una copia (sin cargo) a Hopper en la fecha del presente y al menos una vez al año durante el Plazo previa solicitud por escrito de Hopper. Si el Proveedor no mantiene la documentación de auditoría de cumplimiento del informe SOC-2 Tipo I y Tipo II como se especifica anteriormente, entonces el Proveedor deberá mantener (durante los tres (3) años posteriores a la finalización del Acuerdo) registros completos y precisos relacionados con su procesamiento de Hopper en virtud del presente y su cumplimiento de este Addendum. Hopper puede auditar dichos registros durante el horario comercial habitual, con un aviso previo razonable y sujeto a procedimientos de confidencialidad razonables. Hopper no puede auditar al Proveedor más de una vez al año a menos que una auditoría revele un incumplimiento o sea necesario para satisfacer las propias obligaciones de cumplimiento legal de Hopper. El Proveedor proporcionará a Hopper los datos de contacto del líder de privacidad de datos global del Proveedor, el director de privacidad, el oficial de protección de datos u otro empleado designado por el Proveedor para abordar los problemas de privacidad de datos. El Proveedor cooperará según las instrucciones de Hopper en cualquier auditoría o consulta realizada por o en nombre de Hopper, sus afiliados y operaciones en todo el mundo, y/o cualquier autoridad de protección de datos, tribunales y/u otras autoridades relacionadas con el procesamiento de los Datos personales. incluso brindando apoyo a Hopper con respecto a (i) ayudar a Hopper a responder a las solicitudes de los interesados ​​para ejercer los derechos de los interesados ​​según la ley aplicable, incluido el borrado o bloqueo de los Datos personales sin demora siguiendo las instrucciones de Hopper; (ii) ayudar a Hopper a responder a la autoridad de protección de datos u otras solicitudes regulatorias de información relacionada con el procesamiento del Proveedor; y (iii) proporcionar toda la información necesaria relacionada con el procesamiento del Proveedor para que Hopper demuestre el cumplimiento de las leyes de protección de datos aplicables. El Proveedor notificará de inmediato a Hopper si recibe una solicitud de acceso, rectificación, cancelación, objeción o cualquier otra solicitud relacionada con la protección de datos y, en caso de que algún tribunal, agencia gubernamental o agencia encargada de hacer cumplir la ley se comunique con el Proveedor para solicitar los Datos de Hopper, el Proveedor ordenar a la agencia de cumplimiento de la ley que solicite dicha información directamente a Hopper. Como parte de este esfuerzo, el Proveedor puede proporcionar la información de contacto básica de Hopper a la agencia. Si se ve obligado a divulgar los Datos de Hopper a las fuerzas del orden público, el Proveedor notificará a Hopper de inmediato y sin demoras indebidas y entregará una copia de la solicitud (excepto cuando el Proveedor tenga prohibido hacerlo por ley) para permitir que Hopper busque una orden de protección o cualquier otro recurso adecuado.
  6. Violación de la seguridad. El Proveedor notificará a Hopper de inmediato por escrito al descubrir cualquier incumplimiento o compromiso sospechado o real o acceso no autorizado a la seguridad o confidencialidad de los Datos de Hopper (cada uno, un "Incidente de seguridad"). El aviso describirá el Incidente de seguridad, el estado de la investigación del Proveedor y, si corresponde, la cantidad potencial de personas afectadas. El Proveedor cooperará plenamente con Hopper en la investigación del Incidente de Seguridad. Sin perjuicio de cualquier disposición en contrario en el Acuerdo o este Anexo, el Proveedor indemnizará y reembolsará a Hopper por todos y cada uno de los daños, pérdidas, tarifas o costos (ya sean directos, indirectos, especiales o consecuentes) incurridos por Hopper como resultado de dicho Incidente de seguridad, y reparar cualquier daño o daño potencial causado por dicho Incidente de Seguridad. En la medida en que un Incidente de Seguridad dé lugar a la necesidad, a juicio exclusivo de Hopper, de (i) proporcionar notificación a las autoridades públicas, individuos u otras personas, o (ii) tomar otras medidas correctivas (incluyendo, sin limitación, notificación, crédito servicios de monitoreo y el establecimiento de un centro de llamadas para responder a las consultas (cada uno de los anteriores, una "Acción correctiva")), a solicitud de Hopper, el Proveedor deberá, a costo del Proveedor, emprender dichas Acciones correctivas. El Proveedor no se comunicará con ningún tercero con respecto a ningún Incidente de seguridad, excepto según lo indique Hopper a su exclusivo criterio.
  7. Seguro. El proveedor mantendrá (i) un seguro de responsabilidad comercial general, compensación de trabajadores, responsabilidad de empleadores y cualquier otro seguro requerido por la ley o apropiado para la operación de su negocio y (ii) un seguro de responsabilidad por errores y omisiones/responsabilidad profesional y responsabilidad cibernética/delitos informáticos que expresamente ( a) cubre el incumplimiento, la pérdida o el acceso no autorizado a datos o sistemas y otros delitos informáticos o de empleados y (b) se aplica a los Datos de Hopper y cualquier otra propiedad de Hopper bajo el control del Proveedor. Todos los seguros tendrán una calificación A-VII o superior y tendrán límites adecuados acordes con las prácticas de la industria (pero en ningún caso menos de dos millones de dólares ($2,000,000) por siniestro y cinco millones de dólares ($5,000,000) agregados para las pólizas de responsabilidad civil). El proveedor proporcionará certificados de seguro y agregará a Hopper como asegurado adicional a pedido.
  8. Acuerdos adicionales. El proveedor, a solicitud de Hopper, ejecutará de inmediato y hará que cualquier tercero al que divulgue Datos personales o permita el acceso a Datos personales ejecute, acuerdos complementarios de procesamiento de datos con Hopper o cualquiera de sus empresas afiliadas o tome otras medidas apropiadas. para abordar la transferencia transfronteriza u otros requisitos de protección de datos si Hopper concluye, a su exclusivo juicio razonable, que dichos pasos son necesarios para abordar las leyes de privacidad o protección de datos aplicables a los Datos personales. Dichos acuerdos complementarios de procesamiento de datos pueden incluir, entre otros, las Cláusulas contractuales estándar de la Comisión Europea para la transferencia de datos personales a procesadores establecidos en terceros países (2010/87/EU) y otros términos de protección de datos.
  9. Duración y Terminación. Este Anexo permanecerá en pleno vigor y efecto hasta que el último de (i) el(los) Acuerdo(s) permanezca(n) en vigor, y (ii) el Proveedor conserve copias de los Datos Hopper. Hopper puede rescindir este Anexo y/o Acuerdo de inmediato, sin notificación o resolución judicial y sin perjuicio de cualquier otro recurso, en caso de que (i) el Proveedor incumpla sustancialmente cualquier declaración o garantía otorgada en virtud de este Anexo, y no solucione dicho incumplimiento dentro de los 30 días de aviso de Hopper, (ii) el Proveedor notifica a Hopper de conformidad con la Sección 2 de este Anexo, (iii) una autoridad de protección de datos u otra autoridad reguladora u otro tribunal o corte en los países en los que Hopper o su afiliado entidades operadas descubre que ha habido una violación de cualquier ley relevante en esa jurisdicción en virtud del procesamiento de Datos personales por parte del Proveedor o Hopper, (iv) el cumplimiento de los términos de este Anexo por parte del Proveedor pondría al Proveedor en incumplimiento de sus obligaciones legales ; o (v) si cualquiera de las partes realiza una cesión en beneficio de los acreedores, queda sujeta a un procedimiento de quiebra, está sujeta al nombramiento de un síndico o admite por escrito su incapacidad para pagar sus deudas a su vencimiento. Tras la rescisión de este Anexo por cualquier motivo, el Proveedor deberá, y hará que todos y cada uno de los subcontratistas, inmediatamente a pedido de Hopper: (i) devuelva todos los Datos de Hopper y todas las copias de los Datos de Hopper sujetos a este Anexo a Hopper; o (ii) destruir todas las copias de dichos Datos de Hopper de una manera segura que esté razonablemente diseñada para hacer que la información sea permanentemente ilegible y no reconstruible en un formato utilizable (es decir, de acuerdo con el Departamento de Defensa de EE. UU. vigente en ese momento, o datos similares estándar de destrucción o estándares CESG, según corresponda). El Proveedor también certificará de inmediato a Hopper que él y sus subcontratistas han llevado a cabo las instrucciones del Proveedor de acuerdo con esta Sección 10. Las Secciones 6d y 10 de este Anexo sobrevivirán a cualquier rescisión o vencimiento del Acuerdo.
  10. Ley que rige. Este Anexo se regirá e interpretará de acuerdo con la ley aplicable designada en el Acuerdo en el que se incorpora.

APÉNDICE 1
(Apéndice de Seguridad y Procesamiento de Datos Hopper)

1.A - LISTA DE PARTES Exportadores de datos:
Nombre: Hopper Travel (Irlanda), Ltd.
Dirección: Mespil Business Centre, Mespil House, Sussex Road, Dublín 4
Nombre, cargo y datos de contacto de la persona de contacto: Brian Carroll, asesor jurídico, legal@hopper.com
Actividades relevantes a los datos transferidos bajo estas Cláusulas: Ver Apéndice 1.B

Rol (controlador/procesador): Controlador

Importadores de datos:

Nombre, dirección y contacto: Como se establece en el Acuerdo
Actividades relevantes a los datos transferidos bajo estas Cláusulas: Ver Apéndice 1.B

Función (controlador/procesador): Procesador

Este Apéndice 1.A se considera firmado en nombre de cada uno de los importadores y exportadores de datos por los signatarios de cualquier Acuerdo en el que se incorpore este Apéndice, en el momento de la ejecución del mismo.

1.B - DETALLES DE LA(S) TRANSFERENCIA(S)

  1. Tema El objeto del procesamiento de datos en virtud de este Anexo son los Datos de Hopper procesados ​​por el Proveedor en nombre de Hopper.
  2. Duración La duración del procesamiento de datos en virtud de este Anexo es el período durante el cual el Proveedor presta servicios para Hopper en virtud del Acuerdo o según lo exija la ley.
  3. Propósito El propósito del procesamiento de datos en virtud de este Apéndice es la prestación del Servicio en virtud del Acuerdo (con sus modificaciones periódicas).
  4. Naturaleza del procesamiento El procesamiento de datos implicará cualquier procesamiento que sea necesario para los fines establecidos en el Acuerdo, este Anexo y a continuación (según corresponda).
  5. Tipo de datos personales Los tipos de Datos personales procesados ​​son los descritos en el Acuerdo (con sus modificaciones periódicas), este Anexo y más adelante (según corresponda).
  6. Categorías de interesados Al proporcionar el Servicio a Hopper, el Proveedor procesa los Datos personales de los interesados ​​a los que se hace referencia en el Acuerdo (con sus modificaciones ocasionales), este Anexo y a continuación (según corresponda).
  7. Datos confidenciales Ninguno.

1.C - AUTORIDAD DE SUPERVISIÓN COMPETENTE

Comisión de Protección de Datos de Irlanda (DPC) (An Coimisiún um Chosaint Sonrai)

APÉNDICE 2: Garantías técnicas y organizativas
(Anexo de Seguridad y Procesamiento de Datos Hopper)

a. Controles de acceso. Políticas, procedimientos y controles físicos y técnicos: (i) para limitar el acceso físico a sus sistemas de información, equipos de procesamiento de datos, sistemas de procesamiento de datos, y la instalación o instalaciones en las que están alojados a las personas debidamente autorizadas; (ii) garantizar que todos los miembros de su fuerza laboral que requieran acceso a los Datos de Hopper tengan un acceso controlado de manera adecuada y mantendrán la confidencialidad de los Datos de Hopper, y evitar que los miembros de la fuerza laboral y otras personas que no deberían tener acceso obtengan acceso; (iii) para autenticar y permitir el acceso solo a personas autorizadas y para evitar que los miembros de su fuerza laboral proporcionen los Datos Hopper o la información relacionada con los mismos a personas no autorizadas; (iv) cifrar y descifrar los Datos Hopper cuando corresponda; (v) prever el uso de seudonimización cuando corresponda; y (vi) para garantizar que los datos recopilados para diferentes propósitos puedan ser tratados por separado.

b. Concientización y capacitación sobre seguridad. Un programa de capacitación y concientización sobre seguridad para todos los miembros de la fuerza laboral del Proveedor (incluida la gerencia) que tienen acceso a los Datos Hopper, que incluye capacitación sobre cómo implementar y cumplir con su Programa de Seguridad de la Información.

c. Procedimientos de incidentes de seguridad. Políticas y procedimientos para detectar, responder y abordar incidentes de seguridad (según se define en este documento), incluidos procedimientos para monitorear sistemas y detectar incidentes reales. e intentos de ataques o intrusiones en los Datos de Hopper o los sistemas de información relacionados con los mismos, y procedimientos para identificar y responder a incidentes de seguridad o privacidad sospechados o conocidos, mitigar los efectos dañinos de dichos incidentes y documentar dichos incidentes y sus resultados.

d. Planificación de contingencia. Políticas y procedimientos para responder a una emergencia u otro suceso (por ejemplo, incendio, vandalismo, falla del sistema y desastre natural) que dañe el Hopper Datos o sistemas que contienen los Datos Hopper, incluido un plan de copia de seguridad de datos, un Plan de continuidad comercial (BCP) y un plan de recuperación ante desastres, incluidas medidas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios del Proveedor, y para garantizar la capacidad de restaurar la disponibilidad y el acceso a los Datos Hopper de manera oportuna en caso de un incidente físico o técnico.

e. Controles de dispositivos y medios. Políticas y procedimientos que rigen la recepción y eliminación de hardware y medios electrónicos que contienen los Datos Hopper dentro y fuera de las instalaciones de un Proveedor, y el movimiento de estos elementos dentro de las instalaciones de un Proveedor, incluidas las políticas y los procedimientos para abordar la disposición final de los Datos Hopper, y/o el hardware o los medios electrónicos en los que se almacenan, y los procedimientos para la eliminación de Datos personales de los medios electrónicos antes de la los medios están disponibles para su reutilización.

f. Controles de auditoría. Hardware, software y/o mecanismos de procedimiento que registran y examinan la actividad en los sistemas de información que contienen o usan información electrónica, incluidos registros e informes apropiados sobre estos requisitos de seguridad y su cumplimiento, y medidas para garantizar que sea posible comprobar y establecer si los datos han sido introducidos en los sistemas de procesamiento de datos o eliminados, y por quién.

g. Integridad de los datos. Políticas y procedimientos para garantizar la confidencialidad, integridad y disponibilidad de los Datos Hopper y protegerlos de su divulgación, alteración indebida o destrucción.

h. Seguridad de almacenamiento y transmisión. Medidas técnicas de seguridad para proteger contra el acceso no autorizado a los Datos Hopper que se transmiten a través de una red de comunicaciones electrónicas, incluido un mecanismo para cifrar los Datos personales. Datos en formato electrónico mientras están en tránsito y en reposo almacenados en redes o sistemas a los que personas no autorizadas pueden tener acceso, y para garantizar que sea posible verificar y establecer a qué organismos está prevista la transferencia de Datos por medio de instalaciones de transmisión de datos .

i. Medios de almacenamiento. Políticas y procedimientos para garantizar que antes de que cualquier medio de almacenamiento que contenga Datos Hopper sea asignado, asignado o reasignado a otro usuario, o antes de que dicho medio de almacenamiento siendo removido permanentemente de una instalación, el Proveedor eliminará irreversiblemente dichos Datos Hopper desde una perspectiva tanto física como lógica, de modo que los medios no contengan datos residuales, o si es necesario, destruirá físicamente dichos medios de almacenamiento de manera que sea imposible recuperar cualquier parte de los datos. en los medios que fueron destruidos. El Proveedor deberá mantener un programa auditable que implemente los requisitos de eliminación y destrucción establecidos en esta Sección para todos los medios de almacenamiento que contengan Datos Hopper.

j. Responsabilidad de seguridad asignada. El proveedor deberá designar un oficial de seguridad responsable del desarrollo, implementación y mantenimiento de su Programa de seguridad de la información. El Proveedor informará al Proveedor sobre la persona responsable de la seguridad.

k. Pruebas. El proveedor deberá probar, evaluar y evaluar periódicamente los controles, sistemas y procedimientos clave de su Programa de seguridad de la información para garantizar que se implementen correctamente y sean efectivos en abordar las amenazas y riesgos identificados y proteger los Datos Hopper. Las pruebas deben ser realizadas o revisadas por terceros independientes o personal independiente de aquellos que desarrollan o mantienen los programas de seguridad.

l. Ajustar el Programa. El Proveedor deberá monitorear, evaluar y ajustar, según corresponda, el Programa de Seguridad de la Información a la luz de cualquier cambio relevante en la tecnología o los estándares de seguridad de la industria, la confidencialidad de los Datos personales, las amenazas internas o externas al Proveedor o los Datos Hopper, y los propios arreglos comerciales cambiantes del Proveedor, como fusiones y adquisiciones, alianzas y empresas conjuntas, arreglos de subcontratación y cambios en los sistemas de información.

APÉNDICE 3 - Subcontratistas
(Anexo de Seguridad y Procesamiento de Datos Hopper)

El controlador ha autorizado el uso de los siguientes subprocesadores: Ninguno.