1.1. Programa de Seguridad de la Información. Koidra mantendrá un programa completo de seguridad de la información por escrito, que incluye políticas, estándares de salud, procedimientosy documentos relacionados que rigen el procesamiento y la seguridad de Customer Data y los sistemas de Koidra utilizados para procesar o proteger los Datos del cliente en relación con la prestación del SaaS ("Sistemas de información Koidra”). Los subcontratistas contratados por Koidra de conformidad con el Acuerdo mantendrán (como mínimo) niveles de seguridad sustancialmente similares según corresponda y exijan estas Prácticas de seguridad.

1.2. Controles de seguridad. De acuerdo con su programa de seguridad de la información, Koidra implementará controles físicos, organizacionales y técnicos apropiados diseñados para: (a) garantizar la seguridad, integridad y confidencialidad de los Datos del Cliente a los que se acceda, recopile, use, almacene o transmita a o por Koidra ; y (b) proteger los Datos del cliente de amenazas o peligros conocidos o previstos razonablemente para su seguridad, integridad, pérdida accidental, alteración, divulgación y otras formas ilegales de procesamiento.

Koidra mantendrá (o, con respecto a los sistemas controlados por sus subcontratistas, se asegurará de que dichos subcontratistas mantengan) una recuperación ante desastres ("DR”) diseñado para recuperar la disponibilidad del Servicio de Suscripción después de un desastre. Como mínimo, dicho programa de recuperación ante desastres incluirá los siguientes elementos: (a) validación de rutina de los procedimientos para crear copias de retención de los Datos del Cliente de manera periódica y programática con el fin de recuperar los datos perdidos o dañados; (b) inventarios, actualizados como mínimo anualmente, que enumeren todos los sistemas de información críticos de Koidra; (c) revisión y actualización anual del programa DR; y (d) prueba anual del programa DR diseñado para validar los procedimientos DR y la recuperabilidad del servicio detallado en el mismo.

3.1. Procedimiento. Si Koidra se entera de un acceso no autorizado o ilegal confirmado a los Datos del cliente procesados ​​por los Sistemas de información de Koidra (un "Incidente de seguridad”), Koidra inmediatamente: (a) notificará al Cliente del Incidente de Seguridad; y (b) tomar medidas razonables para mitigar los efectos y minimizar cualquier daño resultante del Incidente de Seguridad.

3.2. Intentos fallidos. Un ataque o intrusión sin éxito no es un Incidente de seguridad sujeto a esta Sección 3. Un "ataque o intrusión sin éxito" es aquel que no da como resultado un acceso no autorizado o ilegal a los Datos del cliente y puede incluir, entre otros, pings y otros ataques de difusión en cortafuegos o servidores perimetrales, escaneos de puertos, intentos fallidos de inicio de sesión, ataques de denegación de servicio, detección de paquetes (u otro acceso no autorizado a datos de tráfico que no resulte en acceso más allá de direcciones IP o encabezados TCP/UDP), o incidentes similares.

3.3. Involucramiento del usuario. El acceso no autorizado o ilegal a los Datos del Cliente que resulte del compromiso de las credenciales de inicio de sesión de un Usuario o de la divulgación intencional o inadvertida de los Datos del Cliente por parte de un Usuario no es un Incidente de Seguridad.

3.4. Notificaciones. Las notificaciones de incidentes de seguridad, si las hubiera, se enviarán a uno o más de los usuarios de SysAdmin del Cliente por cualquier medio razonable que seleccione Koidra, incluido el correo electrónico. El Cliente es el único responsable de mantener información de contacto precisa en el Servicio en línea en todo momento.

3.5. Renuncia. La obligación de Koidra de informar o responder a un Incidente de seguridad en virtud de esta Sección 3 no constituye un reconocimiento por parte de Koidra de ninguna falta o responsabilidad de Koidra con respecto al Incidente de seguridad.

Última actualización: mayo 25, 2021