1.1. Estándares de seguridad.
Kyubo ha implementado y mantendrá un programa de seguridad de la información que sigue los principios de seguridad del sistema generalmente aceptados incorporados en el estándar ISO 27001 diseñado para proteger los Datos del cliente, según corresponda a la naturaleza y el alcance de los Servicios en la nube de Kyubo proporcionados.

1.2. Concienciación y formación en seguridad. Kyubo ha desarrollado y mantendrá un programa de concientización y seguridad de la información que se entrega a todos los empleados y contratistas correspondientes en el momento de la contratación o el inicio del contrato y anualmente a partir de entonces.

1.3. Políticas y procedimientos. Kyubo mantendrá políticas y procedimientos apropiados para respaldar el programa de seguridad de la información. Las políticas y los procedimientos se revisarán anualmente y se actualizarán según sea necesario.

1.4. Gestión del cambio. Kyubo utilizará un proceso de gestión de cambios basado en los estándares de la industria para garantizar que todos los cambios en el entorno de Kyubo se revisen, prueben y aprueben adecuadamente.

1.5. Almacenamiento y respaldo de datos. Kyubo creará copias de seguridad de los datos críticos del cliente. Los datos del cliente se almacenarán y mantendrán únicamente en Microsoft Azure. Los datos de respaldo no se almacenarán en medios portátiles. Las copias de seguridad de los datos del cliente estarán protegidas contra el acceso no autorizado.

1.6. Antivirus y Antimalware.
Las soluciones estándar de protección antivirus y antimalware se utilizan en sistemas que puedan ser afectados por malware para proteger su infraestructura, así como con sistemas que soportan Kyubo para evitar la afectación de malware, como caballos de Troya, virus, gusanos y ataques de negación.

1.7. Gestión de vulnerabilidades y parches.
Kyubo mantendrá un programa de gestión de vulnerabilidades que garantice el cumplimiento de los estándares de la industria. Kyubo evaluará todas las vulnerabilidades críticas del entorno de producción de Kyubo en MS Azure para la complejidad de acceso/vector, autenticación, impacto, integridad y disponibilidad. Si Kyubo considera que el riesgo resultante es «crítico» para los datos del cliente, Kyubo se esforzará por parchear o mitigar los sistemas afectados en un plazo de 3 días hábiles. Ciertos sistemas con estado no se pueden parchear tan rápido debido a las interdependencias y el impacto en el cliente, pero se remediarán tan pronto como sea posible.

1.8. Eliminación y destrucción de datos.
Los procesos de eliminación de logs están soportados por índices asociados a instancias lógicas de aplicativos que vencen 2 años a partir de su creación, si es requerida persistencia extendida puede habilitarse a necesidad del cliente, al igual que solicitar la completa remoción en un plazo distinto si así lo requiriera.

.

2.1. Controles de separación lógica.
Kyubo empleará controles de separación lógica efectivos basados en los estándares de la industria para garantizar que los datos del cliente estén separados lógicamente de otros datos del cliente dentro de Kyubo.

2.2. Servicios de cortafuegos.

Kyubo mantiene reglas granulares de entrada y salida, y los cambios deben aprobarse a través del sistema de gestión de cambios de Kyubo. Los conjuntos de reglas se revisan semestralmente.

2.3. Sin redes inalámbricas.

Kyubo no utilizará redes inalámbricas dentro de los entornos de servicios en la nube de MS Azure.

2.4. Conexiones de datos entre el Cliente y el entorno de servicios de Kyubo.

Todas las conexiones a navegadores, aplicaciones móviles y otros componentes están protegidas a través del Protocolo de transferencia de hipertexto seguro (HTTPS), el Protocolo de transporte seguro en tiempo real (SRTP) y la Seguridad de la capa de transporte (TLS v1.2) a través de Internet pública.
 

2.5. Conexiones de datos entre el entorno de servicios Kyubo y terceros.
La transmisión o el intercambio de Datos del Cliente con el Cliente y cualquier proveedor de Kyubo se realizará utilizando métodos seguros (p. ej., TLS 1.2, HTTPS, SFTP).

2.6. Registro y Monitoreo.
Kyubo registrará los eventos de seguridad desde la perspectiva operativa para toda la infraestructura que proporcione los Servicios en Kyubo al Cliente. Kyubo monitoreará e investigará los eventos que puedan indicar un incidente o problema de seguridad. Los registros de eventos se conservarán según la declaración de persistencia de eventos, dichos rangos de persistencia pueden ser ajustados o modificados total o parcialmente sujeto a previa notificación. Los clientes pueden acceder a datos de auditoría limitados a través de la interfaz de usuario (GUI) y la interfaz de programación de aplicaciones (API).

3.1. Control de acceso.

Kyubo implementará controles de acceso apropiados para garantizar que solo los Usuarios autorizados tengan acceso a los Datos del cliente dentro del entorno de Kyubo.

3.2. Acceso de Usuario del Cliente.

El Cliente es responsable de administrar los controles de acceso del Usuario dentro de la aplicación. Kyubo dispone de requisitos de clave validas y un sistema de bloqueo por reintentos. La mayoría de los Usuarios experimentan un período de bloqueo en caso de reintentos fallidos, en dichos casos de ameritarse debe solicitar por canal de soporte el desbloqueo de dicha cuenta. Los ajustes de bloqueo no son configurables. El cliente define los nombres de usuario y las funciones en un modelo de permisos de acceso granular. El Cliente es totalmente responsable de cualquier falla por parte de él mismo, sus agentes, contratistas o empleados (incluidos, entre otros, todos sus usuarios) para mantener la seguridad de todos los nombres de usuario, contraseñas y otra información de la cuenta bajo su control. Excepto en el caso de una falla de seguridad causada por negligencia grave o acción o inacción deliberada de Kyubo, el Cliente es completamente responsable de todo uso de los Servicios en la nube de Kyubo a través de los nombres de usuario y contraseñas del Cliente, ya sea que haya sido autorizado o no por el Cliente, y todos los cargos que resulten de tal uso. El Cliente notificará inmediatamente a Kyubo si se da cuenta de cualquier uso no autorizado de los Servicios en la nube de Kyubo.

3.3. Acceso de usuario de Kyubo.
Kyubo creará cuentas de usuario individuales para cada uno de los empleados o contratistas de Kyubo que tengan una necesidad empresarial de acceder a los Datos del Cliente o los sistemas del Cliente dentro del entorno de Kyubo. Se seguirán las siguientes pautas con respecto a la administración de cuentas de usuario de Kyubo:

• 3.3.1. Las cuentas de usuario son solicitadas y autorizadas por la gerencia de Kyubo.
  
  
• 3.3.2. Se aplican sistemáticamente controles estrictos de contraseñas.
  
  
• 3.3.3. Los tiempos de espera de las sesiones se aplican sistemáticamente.
  
  
• 3.3.4. Las cuentas de usuario se deshabilitan de inmediato tras la terminación del empleado o la transferencia de funciones, o que no exista una necesidad comercial u operacional que sea válida para dicho acceso.

4.1. Protección contra interrupciones.

Los servicios en la nube de Kyubo se implementarán y configurarán en un diseño de alta disponibilidad y se implementarán en distintas zonas de disponibilidad y regiones de MS Azure (MS AZ) para proporcionar una disponibilidad óptima de los servicios en la nube de Kyubo. El entorno de Kyubo está físicamente separado del entorno de la red corporativa de Kyubo para que un evento de interrupción que involucre al entorno corporativo no afecte la disponibilidad de Kyubo.

4.2. Continuidad del negocio.

Kyubo mantendrá un plan de continuidad comercial corporativo diseñado para garantizar que los servicios de soporte y monitoreo continuos en caso de un evento de interrupción que involucre el entorno corporativo.

4.3. Recuperación de desastres.
La plataforma MS AZ de Kyubo aprovecha la naturaleza distribuida de la infraestructura de MS AZ para permitir la recuperación completa ante desastres en varios sitios al operar en múltiples AZ; ubicaciones distintas que están diseñadas para estar aisladas unas de otras. Las pilas de aplicaciones independientes se ejecutan en múltiples AZ. En caso de pérdida de un solo AZ o centro de datos, los servicios en la nube de Kyubo restantes permanecen operativos y están diseñados para escalar automática- mente para reemplazar la capacidad del sistema perdida, lo que garantiza efectivamente un objetivo de tiempo de recuperación (RTO) de cero.

5.1. Programa de Respuesta a Incidentes de Seguridad.
Kyubo mantendrá un programa de respuesta a incidentes de seguridad basado en estándares de la industria diseñado para identificar y responder a incidentes de seguridad supuestos y reales que involucren datos de clientes. El programa se revisará, probará y, si es necesario, se actualizará al menos una vez al año. «Incidente de seguridad» significa un evento confirmado que resulta en el uso, eliminación, modificación, divulgación o acceso no autorizados a los Datos del cliente.

5.2. Notificación.
En el caso de un Incidente de seguridad u otro evento de seguridad que requiera notificación según la ley aplicable, Kyubo notificará al Cliente dentro de las veinticuatro (24) horas y cooperará razonablemente para que el Cliente pueda realizar las notificaciones necesarias relaciona das con dicho evento, a menos que Kyubo lo solicite específicamente, por la aplicación de la ley o una orden judicial de no hacerlo.

5.3. Detalles de la notificación.
Kyubo proporcionará los siguientes detalles con respecto a cualquier Incidente de seguridad al Cliente: (i) fecha en que se identificó y confirmó el Incidente de seguridad; (ii) la naturaleza y el impacto del Incidente de Seguridad; (iii) acciones que Kyubo ya ha tomado; (iv) medidas correctivas a tomar; y (v) evaluación de alternativas y próximos pasos.

5.4. Comunicaciones en curso.
Kyubo continuará brindando informes de estado apropiados al Cliente con respecto a la resolución del Incidente de seguridad y trabajará continuamente de buena fe para corregir el Incidente de seguridad y prevenir futuros Incidentes de seguridad. Kyubo cooperará, según lo solicite razonablemente el Cliente, para seguir investigando y resolver el Incidente de seguridad.

Kyubo tiene un contrato con MS AZ para plataforma como servicio (PaaS) sujeta a suscripción de servicios. Las certificaciones de seguridad y cumplimiento y/o los informes de garantía para MS AZ deben obtenerse directamente de MS AZ. MS AZ puede solicitar al Cliente que ejecute acuerdos de confidencialidad adicionales.

7.1. Restricciones de uso.
El Cliente no utilizará los Servicios en la Nube de Kyubo para ninguno de los siguientes motivos: ( i ) violar la ley aplicable; (ii) para transmitir código malicioso; (iii) para transmitir en numeraciones o canales de emergencia o suplantar servicios cualquieras de emergencia (o reconfigurar para admitir o proporcionar dicho uso); (iv) para interferir, sobrecargar injustificadamente o interrumpir la integridad o el rendimiento de los Servicios en la nube de Kyubo o los datos de terceros contenidos en los mismos; (v) para intentar obtener acceso no autorizado a sistemas o redes; o (vi) para proporcionar los Servicios de Kyubo a terceros que no sean Usuarios, incluso mediante reventa no autorizada por Kyubo de licencias, préstamos o arrendamientos.

7.2. Restricciones de prueba del cliente.
El Cliente no realizará ningún tipo de prueba de penetración, evaluación de vulnerabilidad o ataque de denegación de servicio en los entornos de producción, prueba o desarrollo de Kyubo. Las pruebas de penetración autorizadas en un entorno de prueba están disponibles por una tarifa y deben coordinarse con el equipo de ventas de Kyubo y el equipo de seguridad de Kyubo.

7.3. Uso Prohibido.

El Cliente hará todos los esfuerzos comercial- mente razonables para prevenir y/o bloquear cualquier uso prohibido por parte de los Usuarios.

7.4. Garantías del cliente.
El Cliente mantendrá un nivel de seguridad administrativo, físico y técnico razonable y apropiado con respecto a su aplicativo o cuenta, contraseña, protecciones antivirus y de firewall, y conectividad con los Servicios en la Nube de Kyubo.

7.5. Líneas de servicios voz.

El Cliente deberá mantener una estricta seguridad en todas las líneas de servicios de voz. El Cliente reconoce que Kyubo no le brinda al Cliente la capacidad de comunicarse con numeraciones u otros servicios de emergencia, y el Cliente acepta informar a cualquier persona que pueda estar presente donde se usan los servicios en la nube de Kyubo, o que usen los servicios en la nube de Kyubo, de la falta de disponibilidad de numeraciones de emergencia u otra marcación de emergencia.

7.6. Características de seguridad.
Si los Servicios de Kyubo se utilizarán para transmitir o procesar Datos personales, el Cliente se asegurará de que todos los Datos personales se capturen y utilicen únicamente mediante el uso de funciones de seguridad que Kyubo pone a su disposición.

7.7. Grabaciones.

El Cliente reconoce que el uso de las grabaciones queda únicamente bajo el control y la discreción del Cliente. Sin limitar lo anterior: (i) el Cliente acepta la responsabilidad exclusiva de determinar el método y la manera de realizar la grabación de manera que cumpla con todas las leyes aplicables y de configurar y utilizar los servicios en consecuencia; y (ii) el Cliente se asegurará de que las grabaciones se realicen únicamente para los fines requeridos y/o de conformidad con todas las leyes aplicables. El Cliente se asegurará de que: (a) las grabaciones
no incluirán a sabiendas ningún número de cuenta bancaria, número de tarjeta de crédito, código de autenticación, número de Seguro Social o Datos Personales, excepto según lo permitido por todas las leyes aplicables; o (v) las grabaciones están encriptadas en todo momento. El Cliente no modificará, deshabilitará ni eludirá la función de cifrado de grabación dentro de los Servicios en la nube de Kyubo.

Los controles operativos y de seguridad de Kyubo se basan en prácticas estándar de la industria. Sin embargo, el Cliente es el único responsable de lograr y mantener las certificaciones específicas de la industria requeridas para el negocio del Cliente.

Kyubo ha desarrollado y mantendrá un programa de privacidad diseñado para respetar y proteger los Datos del cliente bajo el control de Kyubo.

10.1. Propiedad y Licencia.
Entre Kyubo y el Cliente, el Cliente conserva la propiedad y todos los derechos de propiedad intelectual sobre los Datos del Cliente y otorga a Kyubo una licencia no exclusiva, no sublicenciable (excepto para las partes que trabajan en nombre de Kyubo), intransferible y libre de regalías para acceder, procesar, almacenar, transmitir y hacer uso de los Datos del cliente según sea necesario para proporcionar los Servicios en la nube de Kyubo y para cumplir con las obligaciones de Kyubo en virtud del Acuerdo.

10.2. Lugares de procesamiento.
El Cliente acepta que los Datos del Cliente pueden transferirse o almacenarse fuera del país donde se encuentran el Cliente y sus clientes para brindar servicios de soporte y resolución de problemas en virtud del Acuerdo.

10.3. Consentimientos.
El Cliente declara y garantiza que ha obtenido todos los consentimientos necesarios para que Kyubo recopile, acceda, procese, almacene, transmita y utilice los Datos del Cliente de con- formidad con el Acuerdo.

10.4. Calidad.
El Cliente reconoce que Kyubo no tiene control sobre el contenido o la calidad de los Datos del Cliente enviados a los Servicios en la Nube de Kyubo. El Cliente deberá cumplir con todos los requisitos aplicables de integridad, calidad, legalidad y todos los demás aspectos similares con respecto a los Datos del Cliente. Kyubo renuncia expresamente a cualquier obligación de revisar o determinar la legalidad, precisión o integridad de los Datos del cliente.

10.5. Mejoras en el servicio.
Kyubo puede agregar y usar datos e información relacionados con el desempeño, la operación y el uso de los Servicios en la nube por parte del Cliente para crear análisis estadísticos, realizar evaluaciones comparativas, realizar investigación y desarrollo y realizar otras actividades similares («Mejoras del servicio»).

Kyubo no incorporará los datos del cliente en las mejoras del servicio de una forma que pueda identificar al cliente o a sus clientes. Kyubo utilizará técnicas estándar de la industria para anonimizar si es requerido los datos del cliente antes de realizar mejoras en el servicio. Los datos anonimizados y las Mejoras de los servicios resultantes no se consideran Datos del cliente. Los Datos del cliente y los datos anónimos resultantes estarán, en todo momento, sujetos a los controles de seguridad establecidos en estos Términos de seguridad de Kyubo. Kyubo conserva todos los derechos de propiedad intelectual sobre las Mejoras del servicio y puede ponerlas a disposición del público.

A los efectos de estos Términos de seguridad en Kyubo, los siguientes términos definidos tendrán el significado que se establece a continuación.

11.1. Datos del cliente:
Información de propiedad del Cliente e información sobre los clientes del Cliente (incluidos los Datos personales) enviada a través de los Servicios en la nube de Kyubo por el Cliente o sus Usuarios.

11.2. Centro de datos:

Un centro de datos donde Kyubo aloja el entorno de Kyubo.

11.3. Estándar(es) de la industria:

Prácticas de seguridad de la información en la nube generalmente aceptadas como se describe en la Sección 8 (Certificaciones específicas de la industria), ya que dichas normas pueden actualizarse ocasionalmente por cambios en la ley aplicable y prácticas aceptadas de la industria.

11.4. Datos personales:

Cualquier información relacionada con los clientes del Cliente que esté protegida por la ley de privacidad aplicable.

11.5. Servicios en la nube de Kyubo:

Los servicios en la nube multiusuario patentados de Kyubo se ponen a disposición del Cliente en el entorno de MS AZ.

11.6. Usuario:

Una persona que (i) está autorizada por el Cliente y al que el Cliente le ha proporcionado una identificación de usuario y contraseñas para acceder a los Servicios de Kyubo en nombre del Cliente.