ES
Manifestación

política de privacidad

Normas para la seguridad de los datos procesados en Datapolis Ltd.

Capítulo 1 Definiciones y disposiciones generales

  1. Este documento define las normas estándar aplicadas por Datapolis Ltd. en relación con el Mandante, en términos de protección de la seguridad, incluyendo:

  1. la información del Principal,

  2. la protección del Sistema de Información del Empleador (SIZ),

  3. el acceso a los edificios y locales del Empresario o a Datapolis.

  1. Definiciones:

    1. Incidente de Seguridad: suceso o serie de sucesos de seguridad no deseados o inesperados que afecten a las Partes y que provoquen o puedan provocar una interrupción de las actividades empresariales de las Partes, afectando a las actividades empresariales de las Partes para la correcta ejecución del Acuerdo. Este grupo de incidentes incluye en particular

      1. actos no autorizados de empleados de las Partes,

      2. fraude externo contra las Partes,

      3. pérdida, divulgación o sospecha de pérdida o divulgación de información protegida (por ejemplo, datos personales),

      4. robo de equipos,

      5. el estado de los equipos, el contenido de la recopilación de información protegida, los métodos de trabajo divulgados, el funcionamiento de los programas informáticos o la calidad de la comunicación en la red informática que puedan indicar una violación de la seguridad de la información,

      6. pérdida de una tarjeta de acceso utilizada en un sistema de control de acceso,

      7. violación de la seguridad de una clave criptográfica,

      8. situaciones que pongan en peligro la salud o la vida de empleados, visitantes o clientes de las Partes,

      9. acciones contra la imagen y reputación de las Partes.

    2. Incidente de Ciberseguridad - un incidente de seguridad del entorno TIC de Datapolis y/o del Contratante - un único evento de seguridad no deseado o inesperado del entorno TIC (es decir, la aparición de un estado de un componente del entorno TIC que indique una violación potencial de su seguridad, un error de un mecanismo de control o una situación previamente desconocida que pueda ser significativa desde el punto de vista de la seguridad) o una serie de tales eventos, cuando exista una probabilidad significativa de interrupción de las operaciones o de violación de la seguridad de la información (basado en ISO/IEC 27000:2009),

    3. derecho de acceso - el derecho de acceso (físico o lógico) a un recurso específico del SIZ o a un edificio y locales específicos del Contratante (excluidos los locales abiertos al público o partes de los mismos) concedido por el Contratante a efectos del Contrato,

    4. SIZ (Sistema de Información del Contratante) - conjunto de todas las soluciones informáticas (técnicas y funcionales), diseñadas para apoyar de forma integral la actividad del Contratante,

    5. pruebas de seguridad - todos los procedimientos de prueba, relativos a las soluciones informáticas o al servicio prestado en virtud del Contrato,

    6. recurso SIZ - un conjunto lógicamente conectado de componentes SIZ que realizan una funcionalidad empresarial específica, es decir: aplicaciones, módulos de aplicación, software: software de sistemas, herramientas, aplicaciones y bases de datos, tecnología de procesamiento de datos en el SIZ, equipos y red de comunicación de datos, datos e información procesada y almacenada en el SIZ, enlaces entre los recursos SIZ - interfaces, servicios de comunicación de datos, en particular Internet, correo electrónico.

Capítulo 2 Protección de la información del Mandante

  1. Se entiende por información del Principal cualquier información que Datapolis obtenga del Principal en el ámbito del Contrato, relativa en particular a:

    1. tecnologías y procesos tecnológicos utilizados por el Principal,

    2. los reglamentos internos, procesos empresariales y procedimientos del Principal

    3. la información comercial y financiera del Mandante

    4. datos personales y financieros de: los clientes y proveedores del Mandante, así como de sus empleados y de los empleados del Mandante,

    5. los procedimientos de seguridad y demás información, incluida la relativa a los locales y zonas protegidas de los locales del Empresario,

    6. los sistemas técnicos de seguridad utilizados por el Empresario.

  2. La información del Empresario puede adoptar diversas formas, en particular

    1. documentos,

    2. software y soportes de datos proporcionados o transmitidos,

    3. cualquier dato enviado a Datapolis para su procesamiento, entendiéndose por procesamiento cualquier operación (automática o manual) realizada sobre los datos, en particular: generación, recogida, registro, almacenamiento, desarrollo, alteración, intercambio, envío, archivo, eliminación y destrucción,

    4. información oral obtenida de los empleados del Empresario.

  3. El alcance y la forma en que Datapolis obtenga la información del Cliente deberán acordarse con el Cliente y deberán limitarse a lo necesario para la ejecución del Contrato. En particular, ninguno de los equipos de infraestructura informática de Datapolis podrá recopilar, almacenar y archivar ID, contraseñas y PIN u otros códigos de identificación del SIZ, del recurso SIZ de los usuarios del SIZ, salvo que se indique lo contrario en el Contrato.

  4. Datapolis se compromete a mantener la confidencialidad de toda la información del Principal, a menos que la información sea de carácter público, ya haya sido previamente revelada al público por el Principal o por una persona o entidad no relacionada con Datapolis.

  5. Datapolis está obligada, teniendo en cuenta las leyes generalmente aplicables, a informar al Principal siempre que reciba una solicitud de las autoridades estatales autorizadas para proporcionar información al Principal. Datapolis está obligada a proporcionar apoyo al Principal con el fin de prevenir la divulgación de la información del Principal.

  6. Datapolis está obligada a destruir cualquier soporte con información del Cliente cuando ya no sea necesario para la ejecución del Contrato. A petición del Cliente, Datapolis estará obligada a proporcionar la correspondiente prueba o declaración de destrucción de la información (datos), de acuerdo con las instrucciones proporcionadas por el Cliente a este respecto. Además, Datapolis estará obligada a devolver cualquier soporte de almacenamiento de datos proporcionado por el Principal, a menos que se establezca lo contrario en el Acuerdo.

Capítulo 3 Protección del Sistema de Información del Principal

  1. Como parte del Contrato, Datapolis se obliga a:

    1. a garantizar el nivel de seguridad exigido en el presente Documento, entendido como el mantenimiento de la confidencialidad, integridad y disponibilidad para el Cliente de la información y recursos del SIZ tratados en virtud del presente Contrato,

    2. estar sujeto a verificación por parte del Mandante en cuanto al hecho del cumplimiento de los requisitos mínimos de seguridad, verificación que no se producirá con una frecuencia superior a una vez cada 12 meses, verificación que se producirá después de que el Mandante haya notificado a Datapolis por escrito o mediante comunicación por correo electrónico al Gestor de Proyectos de Datapolis la verificación prevista con una antelación mínima de 3 días hábiles. La verificación será llevada a cabo a expensas del Cliente por los representantes designados por el Cliente. Las normas de posible acceso de los representantes del Cliente a los sistemas informáticos de Datapolis deberán acordarse por separado entre los Directores de Proyecto de las Partes. Esto no limita el derecho del Principal a exigir el acceso inmediato de Datapolis a los equipos TIC utilizados en la red y/o en las instalaciones del Principal en caso de incidente de seguridad o sospecha de incidente.

  2. Cualquier actividad de Datapolis en los Recursos de SIZ sólo podrá realizarse en la medida y de la forma especificada por el Principal.

  3. Datapolis, antes del comienzo del trabajo en virtud del Acuerdo, pondrá a disposición del Principal (en la forma prevista en el Acuerdo) una lista de los empleados de Datapolis y de las personas que actúen en nombre de Datapolis involucradas en la ejecución del Acuerdo, junto (si procede) con los documentos requeridos en virtud del Acuerdo. De acuerdo con la lista mencionada, se podrá conceder a los empleados de Datapolis el Derecho de Acceso al SIZ. El Principal no denegará el Derecho de Acceso necesario para la ejecución del Contrato sin una razón válida.

  4. Cualquier cambio, relativo a la lista mencionada en el párrafo anterior, será puesto a disposición del Cliente por Datapolis sin demora (en la forma especificada en el Contrato) con el fin de: conceder, modificar o retirar el Derecho de Acceso, según proceda.

  5. Los empleados y cualquier persona que actúe en nombre de Datapolis en la prestación de servicios para el Principal no podrán:

    1. utilizar equipos que no sean del Empresario dentro del SIZ sin autorización previa (consentimiento) del Departamento de Ciberseguridad; salvo que se establezca lo contrario en el Contrato.

    2. utilizar software y aplicaciones no autorizadas por el Empresario al utilizar el equipo del Empresario; salvo que se estipule lo contrario en el Contrato; el Departamento de Ciberseguridad podrá aceptar, en un caso concreto y en una medida específica, el uso de software no autorizado por el Empresario si es necesario para la ejecución del objeto del Contrato.

  6. Datapolis declara que no realiza las siguientes acciones

    1. la colocación de contenidos ilegales o no autorizados en el SIZ por parte del Cliente,

    2. la copia de datos del SIZ fuera de la infraestructura informática del Empresario, es decir fuera de los servidores del Empresario o fuera de los medios de almacenamiento encriptados del Empresario (con excepción de los casos especificados en el Contrato), mientras que la disposición anterior se aplica a menos que el Contrato o el Pedido dispongan otra cosa, en particular, a menos que el Contrato o el Pedido dispongan la prestación de los Servicios con el uso de los ordenadores de Datapolis; no obstante, en tal caso el uso de los ordenadores de Datapolis deberá ser autorizado previamente por el Empresario Además, en todos los casos está prohibido copiar datos personales, secretos comerciales, secretos de seguros, información confidencial tal y como se define en la Ley sobre el Comercio de Instrumentos Financieros,

    3. llevar soportes de almacenamiento que pertenezcan al Mandante o que contengan datos confidenciales fuera de la sede del Mandante,

    4. conectar al SIZ cualquier dispositivo no autorizado por el Mandante, incluidos, entre otros, medios de tratamiento de la información como ordenadores portátiles o dispositivos móviles de comunicación o medios de almacenamiento,

    5. revelar o poner a disposición de terceros las contraseñas del SIZ o dejar las contraseñas en un lugar donde puedan ser aprendidas o interceptadas,

    6. probar o intentar probar o violar las características de seguridad del SIZ,

    7. revelar información relativa al funcionamiento del SIZ, en particular sobre vulnerabilidades, fallos o incidentes de seguridad identificados,

    8. utilizar archivos en el SIZ obtenidos de redes externas (es decir, fuera de la red informática del Cliente) antes de que dichos archivos sean comprobados por un software antivirus; en caso de prestar los Servicios utilizando los ordenadores del Cliente, se presupone que la estación de trabajo puesta a disposición de Datapolis está configurada cada vez de tal manera que todos los documentos son escaneados automáticamente con un software antivirus,

    9. acceso no autorizado al SIZ, es decir, no derivado del Acuerdo,

    10. acceder sin autorización al SIZ

    11. utilizar las cuentas de otros usuarios del SIZ,

    12. la destrucción no autorizada de datos almacenados o procesados en el SIZ, en particular la que tenga por objeto perjudicar al Principal (por ejemplo, intención de ocultar pruebas, acción maliciosa) o la que sea resultado de no haber actuado con la diligencia debida (por ejemplo, no haberse asegurado de que los datos que se destruyen son redundantes),

    13. la introducción de datos erróneos en los entornos de producción del SIS.

Capítulo 4 Protección del acceso a los edificios y locales del Empresario

  1. Los empleados de Datapolis y las personas que actúen en nombre de Datapolis que participen en la ejecución del Contrato cuando utilicen el acceso a las instalaciones del Contratante que estén excluidas del acceso público deberán estar en posesión de un distintivo o documento de identidad que permita su identificación.

  2. Antes del inicio de los trabajos previstos en el Contrato, Datapolis pondrá a disposición del Mandante (en la forma prevista en el Contrato) una lista de los empleados de Datapolis y de las personas que actúen en nombre de Datapolis que participen en la ejecución del Contrato, junto con (si procede) los documentos exigidos por el Contrato. De acuerdo con la lista mencionada, se podrá conceder a los empleados de Datapolis el Derecho de Acceso al edificio y a las instalaciones en forma de tarjeta utilizada en el sistema de control de acceso con los derechos correspondientes al ámbito de tareas asignado. Para realizar tareas en zonas sujetas a protección especial (salas de servidores, nodos de telecomunicaciones, etc.), el Derecho de Acceso se concede por separado previa notificación por parte del Proveedor de la persona que realiza el trabajo en dicha zona. El Contratante no denegará el Derecho de Acceso necesario para la ejecución del Contrato sin una razón válida.

  3. Cualquier cambio, relacionado con la lista mencionada en el párrafo anterior, será puesto a disposición del Principal por Datapolis sin demora (en la forma especificada en el Contrato) para conceder, modificar o retirar, respectivamente, el Derecho de Acceso.

  4. Para realizar tareas en virtud del Acuerdo en áreas sujetas a protección especial (salas de servidores, nodos de telecomunicaciones, etc.), el acceso se concederá por separado después de que Datapolis lo notifique a la persona que realice el trabajo en dicha área.

Capítulo 5 Cómo tratar los incidentes de seguridad

  1. En caso de que se produzca un incidente de seguridad relacionado con el Contratante, un incidente de ciberseguridad o una situación inusual no descrita en el Acuerdo o en los documentos que definen el ámbito de cooperación de Datapolis con el Contratante, que amenace potencialmente la aplicación de los requisitos de seguridad especificados en el presente Anexo, Datapolis se compromete a:

  1. Informar inmediatamente al empleado del Contratante que supervise la ejecución del Acuerdo y, en casos urgentes (cuando exista una amenaza para la vida o la salud de los empleados y clientes del Contratante) y en los casos en que se haya cometido o se sospeche que se ha cometido un delito contra la propiedad del Contratante, notificarlo también inmediatamente al Contratante.

  2. Subsanar inmediatamente las causas y efectos de un incidente de seguridad y de un incidente de ciberseguridad en el área de operaciones de Datapolis, habiendo acordado previamente con el Principal (el empleado del Principal que supervisa la ejecución del Acuerdo) la forma en que se llevarán a cabo las acciones, en particular, habiendo acordado la remuneración pagadera a Datapolis por dicha subsanación por parte de Datapolis de las causas o efectos de un incidente de seguridad y de un incidente de ciberseguridad no causados por acciones u omisiones de Datapolis. En caso de que se requiera una acción inmediata para prevenir un peligro para la vida o la salud de las personas o daños sustanciales a la propiedad, Datapolis tomará medidas inmediatas incluso antes de consultar con el Principal.

  1. Se entenderá por incidente de seguridad, y por incidente de ciberseguridad a que se refiere el apartado 1, cualquier suceso único no deseado o inesperado (o una serie de tales sucesos) que cree una probabilidad significativa de interrupción de las operaciones comerciales del Cliente y amenace la seguridad del SIZ, en particular:

  1. Incidentes de seguridad del SIZ (incidentes de ciberseguridad) - de conformidad con la cláusula 2.2), por ejemplo

  1. robo de equipos del SIZ

  2. una violación de la seguridad del SIZ,

  3. como el estado del dispositivo SIZ, el contenido de un conjunto de información protegida, los métodos de trabajo divulgados, el funcionamiento del software o la calidad de la comunicación en una red informática, que pueden indicar una violación de la seguridad de la información,

  4. violación de la seguridad de las claves criptográficas,

  5. acciones no autorizadas de empleados de Datapolis o acciones no autorizadas del personal del Empleador conocidas por Datapolis,

  6. fraude externo en perjuicio de las Partes (por ejemplo, pérdida de datos debido a piratería informática, actividad de software malicioso),

  7. pérdida, divulgación o sospecha de pérdida o divulgación de información protegida (por ejemplo, datos personales),

  8. violación de la seguridad de la infraestructura o los sistemas de Datapolis, si se utilizan para prestar los Servicios en virtud del Contrato,

  9. pérdida de una tarjeta de acceso utilizada en el sistema de control de acceso,

  1. incidentes no relacionados con la seguridad del SIZ (incidentes de seguridad), por ejemplo

  1. robo, excluido el robo de equipos del SIZ,

  2. violación del derecho de acceso debido a la pérdida o al préstamo de una tarjeta de identificación personal o de acceso utilizada en el sistema de control de acceso a los edificios y locales

  3. acceso a los locales del Empresario, que no son accesibles al público, sin autorización del Empresario (por lo que la posesión de una tarjeta de acceso implica autorización)

  4. pérdida, divulgación o sospecha de pérdida o divulgación de información protegida (por ejemplo, datos personales) del Empresario,

  5. situaciones que amenacen la salud o la vida de los empleados, visitantes o clientes del Empresario.

  1. Cada Parte recopilará y transmitirá sin demora a la otra Parte los datos sobre incidentes de seguridad. El alcance de los datos sobre incidentes de seguridad e incidentes de ciberseguridad registrados y transmitidos incluirá, como mínimo

    1. la fecha del incidente de seguridad / ciberincidente de seguridad

    2. la fecha en que se identificó el incidente de seguridad / incidente de ciberseguridad,

    3. la causa del incidente de seguridad / ciberincidente de seguridad,

    4. descripción del curso del incidente de seguridad / ciberincidente de seguridad,

    5. el impacto del incidente de ciberseguridad en términos de confidencialidad, integridad y disponibilidad,

    6. medidas correctivas adoptadas.

  2. En el contenido de la notificación de un incidente de seguridad / incidente de ciberseguridad, Datapolis incluirá información sobre la categoría del incidente según la siguiente clasificación: bajo, medio, alto, crítico.

  3. El Contratante, una vez recibida la información sobre el incidente, verifica si constituye un incidente de seguridad / incidente de ciberseguridad tal y como se define en el Acuerdo. Si la verificación es positiva, cada Parte iniciará inmediatamente el procedimiento para tratar el incidente de seguridad / incidente de ciberseguridad notificado. En caso de verificación negativa, una Parte informará inmediatamente a la otra Parte. En tal caso, las Partes se comprometen a elaborar inmediatamente una posición conjunta sobre cómo proceder con la notificación.

  4. Datapolis se compromete a responder al incidente de seguridad / incidente de ciberseguridad con un tiempo de respuesta adecuado a la clasificación del incidente indicada por el Principal de acuerdo con la siguiente regla:

    1. BAJA - a más tardar un mes después de que se notifique el incidente de seguridad / incidente de ciberseguridad,

    2. MEDIO: a más tardar una semana después de la notificación del incidente de seguridad o ciberseguridad,

    3. ALTO - a más tardar 3 días laborables después de la notificación del incidente de seguridad / ciberincidente de seguridad,

    4. CRÍTICO - no más tarde de 4 horas laborables desde la notificación del incidente de seguridad, y entregar la corrección sin demora indebida, siempre que la entrega de dicha corrección sea competencia de Datapolis y esté sujeta a lo dispuesto en la cláusula 19.2).

Capítulo 6 Garantizar el cumplimiento de los requisitos de seguridad

    1. Como resultado de un incidente de seguridad, un incidente de ciberseguridad o en el caso de una sospecha justificada de que la forma en que Datapolis lleva a cabo el objeto del Contrato no cumple con los requisitos de seguridad del Mandante especificados en el presente documento, el Mandante podrá llevar a cabo una verificación adicional de la forma en que se llevan a cabo, incluyendo pruebas de seguridad de: soluciones informáticas y procedimientos de seguridad de los servicios prestados en virtud del Contrato. Dicha verificación podrá tener lugar en el momento acordado por los Directores de Proyecto por parte del Mandante y Datapolis. La verificación será llevada a cabo a expensas del Contratante por los representantes del Contratante que éste indique. Los principios del posible acceso de los representantes del Cliente a los Sistemas Informáticos de Datapolis deberán acordarse por separado entre los Directores de Proyecto de las Partes.

  1. Sin perjuicio de las pruebas del Contratante mencionadas en el apartado 1, el Contratante, en virtud del Acuerdo, podrá exigir a Datapolis la realización de pruebas de seguridad. En la medida en que las pruebas de seguridad antes mencionadas no estuvieran previstas en el Acuerdo / Pedido, Datapolis será remunerada por la realización de dichas pruebas, que, a falta de acuerdo entre las Partes en sentido contrario, se calcularán sobre la base del número de Días-Hombre y las correspondientes Tarifas por Día-Hombre.

  2. Datapolis utilizará el estándar de seguridad OWASP ASVS versión 3.01 o superior como referencia de mejores prácticas durante la ejecución de los trabajos, lo que significa que dentro del ámbito de trabajo de cada Pedido, Datapolis utilizará las soluciones de ciberseguridad existentes (dentro de la parametrización) en los componentes integrados.

  3. Definimos los Errores de Seguridad (en adelante "Errores de Seguridad") de acuerdo con la Metodología de Riesgos OWASP(https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology). Los Errores de Seguridad tendrán sus niveles definidos de acuerdo con la Metodología de Riesgos OWASP antes mencionada. Los Fallos de Seguridad se clasifican como Fallos de Seguridad cuando la funcionalidad de seguridad existente de los componentes descritos en la Sección 3 no ha sido utilizada por Datapolis.

  4. Los fallos de seguridad de las categorías CRÍTICA y ALTA notificados durante la vigencia del Acuerdo serán subsanados por Datapolis de forma gratuita.

  5. Los plazos máximos para la subsanación de los Fallos de Seguridad en función de su categoría se definen a continuación:

    1. BAJA - La vulnerabilidad encontrada tiene poco impacto en la seguridad del sistema y no supone una amenaza en sí misma. Dicha vulnerabilidad sólo puede facilitar la explotación de otras vulnerabilidades o aumentar su impacto. Debe subsanarse en un plazo máximo de 12 meses a partir de la fecha de notificación.

    2. MEDIA - La vulnerabilidad detectada tiene un impacto significativo en la seguridad del sistema, pero su explotación no es sencilla o requiere la actuación de otro usuario o víctima. Debe corregirse en un plazo máximo de 6 meses a partir de la fecha de notificación.

    3. ALTA - La vulnerabilidad detectada tiene un impacto significativo en la seguridad del sistema y su explotación no es compleja: existen herramientas preparadas para ayudar a explotar la vulnerabilidad, o la vulnerabilidad surge del funcionamiento cotidiano del sistema. Debe corregirse en un plazo máximo de 2 semanas a partir de la fecha de notificación.

    4. CRÍTICA - La vulnerabilidad encontrada tiene un impacto muy significativo en la seguridad del sistema y su explotación es sencilla - existen exploits disponibles públicamente, herramientas estándar para ayudar a explotarla, o es el resultado de la operación normal del usuario en el sistema. El trabajo debe llevarse a cabo inmediatamente y la solución debe entregarse sin demoras indebidas.

  6. El software suministrado por Datapolis cumplirá los requisitos de responsabilidad.

  7. Por responsabilidad se entienden las siguientes características

    1. la capacidad de determinar: ¿QUIÉN? ¿QUÉ? ¿CUÁNDO? ¿DÓNDE? ¿CÓMO? ¿NIVEL?

    2. los registros de rendición de cuentas deben permitir la búsqueda mediante expresiones regulares,

    3. la implementación de los registros debe realizarse como un único módulo del lado del servidor.

    4. Los registros no deben contener datos sensibles (por ejemplo, contraseñas de usuario, claves criptográficas u otros datos protegidos definidos por la legislación sobre protección de datos).

    5. Los registros deben estar protegidos contra el acceso y la modificación no autorizados.

  8. En caso de que los mecanismos de seguridad utilizados por Datapolis sean evaluados durante las pruebas de seguridad como no totalmente conformes con las leyes generalmente aplicables o no conformes con los requisitos del Principal, Datapolis se compromete a:

    1. Informar al Mandante del grado de incumplimiento,

    2. aplicar los mecanismos de control, reparación o mitigación acordados con el Mandante.

La obligación especificada anteriormente se aplicará previo acuerdo de la remuneración de Datapolis por la rectificación de irregularidades resultantes de la falta de adaptación por parte del Principal de los mecanismos de seguridad requeridos a los requisitos legales, remuneración que -en ausencia de acuerdos de las Partes en contrario- se calculará sobre la base del número de Días-Hombre y las Tarifas pertinentes por Día-Hombre.

  1. 4. Cada caso de los mencionados en el apartado 3 será analizado por las Partes y podrá dar lugar, en casos justificados, a un cambio en el alcance de la documentación (Acuerdo) que describe la cooperación de Datapolis con el Principal. En caso de que sea necesario implementar medidas o procedimientos de seguridad adicionales, Datapolis y el Principal acordarán qué Parte es responsable de cubrir los gastos necesarios.

Capítulo 7 Auditoría de seguridad

  1. Previo acuerdo entre las Partes sobre el calendario de dichas actividades, Datapolis y/o el Principal se reservan el derecho de utilizar a un tercero, incluyendo entidades profesionales de consultoría empresarial, para auditar la calidad de los Productos y la forma en que se ejecuta el Acuerdo, pero Datapolis y/o el Principal no podrán contratar a entidades competidoras de la Parte para realizar dicha auditoría. La subcontratación de la auditoría de calidad mencionada en el párrafo 1 a terceros requiere la firma previa de un acuerdo de confidencialidad tripartito entre Datapolis, el Principal y el tercero designado.

  2. Una auditoría (incluida una auditoría de seguridad) sólo podrá llevarse a cabo de forma que no impida a Datapolis realizar el trabajo del proyecto a tiempo.

  3. Los costes relacionados con los servicios mencionados correrán a cargo del Principal.

  4. El auditor, con autorización por escrito del Principal, estará obligado a proporcionar a Datapolis toda la información, datos y explicaciones en el ámbito solicitado en relación con el Proyecto y a poner a disposición y presentar los resultados del trabajo realizado, así como a garantizar la posibilidad de su inspección según los principios acordados entre Datapolis y el Principal.

  5. Antes de tener acceso a los Productos del Trabajo de Datapolis que aún no hayan sido recibidos por el Mandante, dichas personas deberán hacer las declaraciones de confidencialidad correspondientes a las disposiciones del Acuerdo.

  6. Datapolis no será responsable de ningún impacto negativo del proceso de auditoría sobre el Programa.

  7. En el caso de que surjan recomendaciones posteriores a la auditoría, Datapolis se esforzará por implementar dichas recomendaciones dentro de la remuneración especificada en §7 sección 3 o en la Orden respectiva.



Varsovia, 14 de diciembre de 2020.

Director general de Datapolis,

Paweł Bujak

Utilizamos tecnologías como cookies para permitir que el sitio funcione, mejorar su experiencia y ofrecer contenido personalizado y promover ofertas a clientes potenciales, tanto en nuestro sitio como en sitios de terceros. Para habilitar esto, le solicitamos que acepte el uso de estas tecnologías colocando cookies nuestras y de terceros, de acuerdo con nuestra Política de privacidad.