TÉRMINOS Y CONDICIONES DE LA SOLUCIÓN CARLA

1.- Objeto y Alcance

1.1.- CARLA es una solución validada y prescrita por el CCN-CERT de protección centrada en los datos, que permite que la información corporativa viaje protegida y bajo control en todo momento, minimizando la posibilidad de fugas de datos y aumentando el control de la organización sobre los mismos más allá de las defensas de protección perimetrales.

El presente documento regula las condiciones de uso de la  solución de trazabilidad y protección de información CARLA (en adelante, el Servicio), y las funciones de SEALPATH TECHNOLOGIES, S.L. (en adelante, SEALPATH), responsable de la operación del Servicio, con N.I.F. B95620613 y domicilio social en Bilbao (España), calle Garaizar 4, 3, y el Cliente.

El Servicio consiste en un sistema para la protección y gestión de permisos de acceso a documentos o archivos en formato electrónico. En este sentido, permite cifrar un archivo electrónico, determinar los permisos y actos autorizados, y modificar y controlar estos aspectos, aunque el archivo haya sido compartido con terceros. El Servicio incorpora una funcionalidad de cifrado de nivel alto para protección de información según lo indicado en la guía STIC-807, basado en el uso de un cifrado simétrico con AES 128 junto con técnicas de cifrado asimétrico con claves RSA-2048 bits para la protección de las claves AES.

1.2.- El Servicio se ofrece en las siguientes modalidades: CARLA y CARLA-GLOBAL. La primera está pensada para un servicio limitado a un subconjunto de usuarios de la organización con funcionalidades básicas, mientras que la segunda  está diseñada para su despliegue en toda la organización e incluye todos los módulos opcionales. Existen dos tipos de despliegue de ambas modalidades:

  1. a) On-premise: Instalación en los servidores locales del cliente, bajo su control.
  2. b) Servicio en la “nube” en modalidad “Software como Servicio – Software as a Service”, en el que la información sobre la gestión y control de permisos estarán alojados en infraestructura en la nube. El Cliente tendrá acceso a un panel de control y al área de administración para gestionar los usuarios y sus permisos en el sistema alojado. La integración con los sistemas del Cliente será posible a través de conectores por medio del Directorio Activo de Microsoft Windows u otros entornos específicamente previstos. Los archivos se alojarán, en todo caso, en los sistemas del Cliente.

La solución CARLA se ofrece y contrata a través de partners certificados, encargados de dar  el servicio de Nivel 1. El coste está asociado al servicio o soporte de Nivel 2, operado por SEALPATH y depende del volumen de usuarios y opciones contratadas. Los partners certificados de CARLA se muestran en  https://www.ccn-cert.cni.es/soluciones-seguridad/carla.html . Por su parte, las condiciones del Programa de Partners se indican en https://www.ccn-cert.cni.es/pdf/documentos-publicos/5774-carla-partnership/file.html

Adicionalmente, el Servicio ofrecido por el partner certificado podrá incorporar distintas funcionalidades, como una monitorización centralizada, gestión de protecciones corporativas, alojamiento de datos, escalabilidad y adaptación a medida en función del entorno y necesidades concretas o condiciones de disponibilidad específicas.

Por tanto, el alcance, derechos, obligaciones y responsabilidades vinculadas al  Servicio se determinarán en función de la modalidad y funcionalidades  que se recojan  en la correspondiente oferta, presupuesto o condiciones particulares que,  con el presente  documento, configuran el Contrato.

1.3.- A estos efectos, se entiende por Cliente a la persona física o jurídica que contrata el Servicio para su uso como destinatario final. El Cliente declara ser mayor de edad y estar legalmente capacitado para asumir las obligaciones y derechos del Contrato. La persona que suscriba el Contrato en nombre del Cliente manifiesta y garantiza en todo caso tener facultades suficientes para actuar en nombre de la entidad en cuyo nombre o interés actúa, y vincular a la misma con arreglo al Contrato. El Servicio no está disponible para consumidores.

El Cliente declara, bajo su responsabilidad, que la totalidad de la información facilitada en el proceso de contratación es cierta, completa y se encuentra actualizada.

1.4.- A efectos de poder comunicarle las novedades, modificaciones y demás cuestiones que pudieran afectarle en relación con el Servicio, se considerará como domicilio la dirección de correo electrónico indicada durante el proceso de contratación del mismo.

1.5.- El acceso y uso del Servicio quedará limitado al Cliente y a los usuarios específicamente registrados o dados de alta por éste. Cualquier uso por parte de terceras personas no autorizadas se considerará contrario al Contrato, pudiendo dar lugar a su suspensión o terminación del Servicio.

El Cliente será responsable de los actos de los usuarios, a los que deberá transmitir las condiciones del Contrato.

1.6.- Una vez contratado el Servicio, no se admitirá la resolución o la devolución del precio por parte del Cliente hasta el transcurso del periodo contratado, salvo que concurran las causas específicas de resolución aquí previstas.

 

2.- Requerimientos técnicos y de acceso al Servicio

2.1.- Para poder utilizar el Servicio se requiere la descarga e instalación de la aplicación de escritorio, necesaria para cifrar y compartir los documentos. El Cliente deberá establecer un perfil de administrador, que será quien, bajo su responsabilidad, active las altas y bajas de usuarios vinculados al Cliente, así como  administrar y gestionar los privilegios de acceso y parámetros del usuario. No se requiere alta o registro alguno para poder acceder a los archivos que se hayan compartido por el Cliente con terceros.

2.2.- El Cliente se compromete a la custodia y confidencialidad de los identificadores de usuario (dirección de correo electrónico) y claves de acceso proporcionadas, de uso personal y exclusivo por parte del Cliente, debiendo ponerse en contacto con el Partner (en caso de sustracción, pérdida o utilización inadecuada de las mismas por terceras personas). De no hacerlo,  el Cliente será responsable de todas las consecuencias o daños que un uso fraudulento o inadecuado de las mismas pudieran causar.

2.3.- [Únicamente en caso de modalidad Saas] No existe limitación geográfica u horaria para el acceso al Servicio, que opera las 24 horas al día y 365 días al año. No obstante, hay que tener en cuenta que la calidad y rapidez en el uso de sus funcionalidades depende, en gran parte, del  equipo informático del Cliente, su proveedor de telecomunicaciones o su conexión a la red. Salvo que específicamente se haya activado la opción de acceso offline, para poder descifrar y acceder a los documentos o archivos protegidos por medio del Servicio, se requerirá una conexión a Internet.

2.4.- Para el acceso y utilización de las funcionalidades del Servicio se requiere como mínimo un ordenador personal con sistema operativo Microsoft Windows 7, 8, 8.1, 10 11, Mac OX iOS, Android con conexión a Internet y un navegador.

3.- Limitaciones de uso

3.1.- Se otorga al Cliente, por medio de este documento, una licencia de uso sobre las aplicaciones y herramientas que integran el Servicio, de acuerdo con la modalidad contratada, de forma no exclusiva, intransferible y sin limitación territorial, durante el plazo de duración de este Contrato, y limitada a los fines indicados.

3.2.- El Cliente se compromete a utilizar el Servicio de conformidad con la ley, este Contrato, así como con la moral y buenas costumbres generalmente aceptadas y el orden público, y a proteger y custodiar el Servicio y todos sus elementos, no pudiendo ceder ni transmitir a tercero en forma alguna, los derechos adquiridos mediante el presente Contrato, ni permitir, por título o circunstancia alguna su uso por terceras personas, quedándole  prohibida la utilización del Servicio para cualquier otro fin que no sea la exclusiva satisfacción de las necesidades pactadas; no pudiendo, en definitiva, de forma enunciativa pero no limitativa, arrendar, prestar, vender o sublicenciar la aplicación informática o sus complementos, o realizar actos que impliquen una violación del deber de protección de un bien propiedad de tercero. Estas condiciones se aplicarán tanto a los códigos fuente y objeto originales en tanto aplicación informática, sus funcionalidades, diseño, disposición, estructura, bases de datos, imágenes, sonidos, animaciones y demás elementos incorporados.

3.3.- El Cliente se obliga a abstenerse de utilizar el Servicio con fines o efectos ilícitos, contrarios a lo establecido en el Contrato, lesivos de los derechos e intereses de SEALPATH, o que de cualquier forma puedan dañar, inutilizar, sobrecargar o deteriorar el Servicio o impedir la normal utilización o disfrute del mismo por parte de otros clientes o usuarios.

3.4.- Al Cliente le queda prohibido, de forma enunciativa pero no limitativa realizar actos de ingeniería inversa, modificar, descompilar, desensamblar, traducir, versionar, comercializar, duplicar o transmitir a persona o entidad, parcialmente o en su totalidad, en forma o por medio alguno, ya sea mecánico, magnético, por fotocopia o cualquier otro, o eliminar cualquier aviso de propiedad o etiquetas del Servicio, el código fuente y objeto sin previa y expresa autorización por escrito de SEALPATH, salvo en los límites expresamente previstos en las leyes.

3.5.- El Cliente será responsable de cualquier infracción cometida por quien de él dependa o por cuya causa haya conocido o tenido acceso directo o indirecto al Servicio.

4.- Propiedad intelectual e industrial

4.1.- El Servicio y los elementos que lo conforman son propiedad exclusiva de SEALPATH y está protegido por las leyes y tratados internacionales sobre propiedad intelectual, lo que incluye, de forma enunciativa pero no exhaustiva, cualquiera de sus versiones o módulos, código fuente u objeto, interfaces gráficos, bases de datos, estructura, diseño, imágenes, sonidos, textos, manuales, diagramas u otros componentes. El incumplimiento de lo dispuesto en la normativa aplicable y las presentes condiciones dará lugar al ejercicio de las correspondientes acciones civiles o penales por infracción de derechos. En este caso, al margen de la indemnización que corresponda por los actos anteriores, el Cliente se compromete a sufragar la totalidad de los gastos que el ejercicio de las correspondientes acciones conlleve, incluidos los honorarios y derechos de abogado y procurador de los tribunales, aunque su intervención no fuera preceptiva.

Quedan a salvo de lo anterior los elementos de personalización gráfica e imagen corporativa del Cliente (únicamente disponible en modalidad On Premise), datos, contenidos e información que formen parte de los documentos o archivos informáticos creados, difundidos o compartidos por el Cliente y sus usuarios, cuya titularidad corresponderá exclusivamente a éstos, así como las aplicaciones, recursos y desarrollos de terceras partes vinculados al Servicio. En este punto, SEALPATH utiliza, como licenciatario autorizado, tecnología de terceros proveedores como librerías, APIs/SDKs o infraestructura de servicio.

4.2.- Los logotipos o anagramas que incluya el Servicio constituyen marcas comerciales y están protegidos como propiedad intelectual o industrial y son propiedad del CCN-CERT. Se autoriza su uso siempre que haga referencia expresa y fiel a los productos o servicios del propietario de las mismas, sin que ello implique la concesión de ningún derecho de propiedad sobre la misma.

4.3.- En caso de que el Cliente detectara la vulneración de los derechos anteriores por parte de terceros, lo comunicará al Partner certificado o a SEALPATH en el menor plazo posible, comprometiéndose a colaborar con éste en el ejercicio de investigaciones, acciones civiles o penales que, en su caso, se decidan ejercer.

5.- Protección de datos de carácter personal

5.1.- El Servicio en modalidad de instalación local en los servidores del Cliente (On Premise) no implica que SEALPATH tenga acceso a datos de carácter personal relativos a terceros vinculados con el Cliente, relacionados en particular con los accesos y permisos a los archivos o documentos cifrados y compartidos,  dirección de correo electrónico y demás datos identificativos vinculados al perfil de usuario. El acceso y tratamiento de dichos datos corresponderá, en su caso, al Partner, con arreglo a las condiciones que acuerde el Cliente con el anterior.

No obstante, en modalidad SaaS, SEALPATH tendrá acceso a datos de carácter personal relativos a terceros vinculados con el Cliente, que serán tratados por SEALPATH en sistemas propios o de terceros. De acuerdo con lo previsto en la normativa vigente, a estos efectos, el Cliente tendrá la consideración de responsable del tratamiento y SEALPATH de encargado del tratamiento, en relación a la información estrictamente necesaria para poder gestionar los accesos y permisos a los archivos o documentos cifrados y compartidos, esto es, nombre y grupo de aquellos usuarios a los cuales se les otorga privilegios de acceso, su dirección de correo electrónico y demás datos identificativos vinculados al perfil de usuario.

A efectos de lo anterior, en caso de contratación en modalidad SaaS, y con arreglo al artículo 28 del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo de 27 de abril de 2016, Reglamento General de Protección de Datos (RGPD), y los artículos 33 y concordantes de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, o normativa que sustituya a lo anterior, el Cliente y SEALPATH acuerdan los siguientes términos:

a.- SEALPATH tratará los datos personales del Cliente únicamente a los efectos de prestar el Servicio, ajustándose a las instrucciones que, en cada momento, le indique por escrito el Cliente. Adicionalmente, los datos podrán serán empleados con la finalidad de elaborar estadísticas de acceso, uso y rendimiento, por parte de los usuarios finales, con el objetivo de contribuir a la mejora y optimización del Servicio, de forma anonimizada como meros datos agregados que no permitan identificar a los usuarios. Sobre todos estos datos se mantendrá la debida confidencialidad y secreto incluso después de finalizada la relación contractual.

b.- SEALPATH garantiza la aplicación de medidas técnicas y organizativas apropiadas, teniendo en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, a fin de proporcionar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros: (i) la seudoanonimización y el cifrado de datos personales; (ii) la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas de tratamiento; (iii) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico; y (iv) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. Las medidas específicas serán las que determine el Cliente, si bien con carácter general se prevén: (1) la determinación y documentación de funciones y obligaciones del personal, incluyendo la  formación en materia de protección de datos; (2) la existencia de un registro y un plan de respuesta ante incidentes de seguridad, de procedimientos para el análisis de riesgos y de evaluación de impacto; (3) la implantación de un registro y control de accesos, que se conservarán al menos durante un año; (4) medidas de identificación y autenticación, incluyendo la segregación interna de funciones y un procedimiento de asignación de contraseñas seguras; (5) la realización de copias de respaldo y recuperación; y (6) el control, mantenimiento y supervisión de un Documento de Seguridad que recoja las medidas indicadas.

c.- SEALPATH se compromete a mantener  bajo su control y custodiar los datos personales a los que acceda con motivo de la prestación del Servicio y a no divulgarlos, transferirlos, o de cualquier otra forma comunicarlos, ni siquiera para su conservación a terceros. Queda exceptuado de lo anterior la subcontratación de servicios de alojamiento de datos en servidores, que en todo caso se mantendrán dentro del Espacio Económico Europeo. Asimismo, siguiendo las instrucciones del Cliente y finalizado el Contrato, SEALPATH se compromete a suprimir todos los datos personales a los que haya tenido acceso, salvo que sea necesaria su conservación, debidamente bloqueados, en tanto pudieran derivarse responsabilidades legales de su relación con el Cliente.

  1. SEALPATH se compromete a notificar al Cliente, mediante un correo electrónico a la dirección que éste determine, tan pronto se tenga conocimiento de la existencia de cualquier incidente o violación de la seguridad de los datos, sin dilación indebida. Esta notificación incluirá la información exigible conforme al artículo 33 del RGPD.
  2. SEALPATH llevará por escrito un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del Cliente, con arreglo al contenido exigible en el RGPD, cooperará con la Agencia Española de Protección de Datos u otra autoridad de control, a solicitud de ésta, en el cumplimiento de sus atribuciones, y pondrá a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en este Contrato y para permitir y contribuir a la realización de auditorías o inspecciones por parte del Cliente.

5.2.- Independientemente de lo anterior, los datos vinculados al Contrato serán tratados por SEALPATH como responsable del tratamiento, con la finalidad de supervisar, mantener y ejecutar la relación contractual, así como para dar cumplimiento a sus obligaciones legales, administrativas fiscales y contables, siendo lo anterior las bases jurídicas que legitiman los tratamientos. Adicionalmente y conforme a su propio interés legítimo, SEALPATH podrá enviar al Cliente comunicaciones comerciales electrónicas relacionadas con servicios iguales o similares a los prestados, sin perjuicio de su derecho a oponerse a los mismos en cualquier momento en las condiciones legalmente previstas. Los datos no serán comunicados a terceros salvo en los supuestos expresamente permitidos o exigibles conforme a la ley.

Los datos serán tratados principalmente dentro del Espacio Económico Europeo, si bien en el marco de la ejecución de determinados servicios auxiliares contratados a terceros, algunos datos podrán ser transferidos fuera del mismo, previa la adopción de las medidas y garantías legalmente previstas.

Los datos serán conservados mientras dure la relación contractual o negocio jurídico entre las partes y, en todo caso y debidamente bloqueados, hasta la prescripción de las posibles responsabilidades legales que se pudiesen derivar. SEALPATH tratará los datos del Cliente y terceros relacionados con éste de manera confidencial, y sobre los mismos se aplicarán medidas legales, técnicas y organizativas adecuadas y suficientes que garanticen la privacidad y derechos correspondientes. Los afectados podrán ejercer los derechos de acceso, rectificación, oposición, supresión, limitación al tratamiento y portabilidad, remitiendo su petición a la dirección privacy@sealpath.com. Asimismo, podrán efectuar una reclamación ante la Agencia Española de Protección de Datos en caso de que consideren que el tratamiento de sus datos no es el adecuado.

6.- Garantías y responsabilidades

6.1.- SEALPATH garantiza el acceso y utilización del Servicio en las condiciones y para los usos especificados en el Contrato. Las medidas del Servicio son idóneas para la mejora de la seguridad y confidencialidad de los datos, Salvo que la ley disponga lo contrario, en todo caso SEALPATH no responderá de cualesquiera daños, directos o indirectos, económicos, materiales o de otra naturaleza que pudieran producirse a los ficheros más allá del importe económico del Contrato.

6.2.- SEALPATH no puede garantizar la disponibilidad y continuidad del acceso al Servicio, su funcionamiento inadecuado, pérdida o corrupción de datos, lucro cesante o en general cualesquiera daños y perjuicios, directos o indirectos, incluidos los causados por un erróneo o mal funcionamiento los sistemas informáticos del Cliente, del Partner o de terceros contratados por éste, como su red, equipos, sistemas operativos, aplicaciones, configuración o sistema de comunicaciones, así como por procedimientos de mantenimiento o reparación periódicos o extraordinarios o por otros motivos que escapen al control de SEALPATH o que no sean razonablemente predecibles. Asimismo, SEALPATH no garantiza un funcionamiento correcto del Servicio más allá de los entornos, ámbitos, requisitos mínimos y recomendables establecidos en estas condiciones.

6.3.- El Cliente es el único responsable de la información y datos introducidos por si o por sus trabajadores o colaboradores en los archivos o documentos electrónicos, su custodia, confidencialidad, deber de secreto y permisos concedidos o denegados, respondiendo frente a terceros y SEALPATH de la titularidad y legalidad de los mismos, en especial de que no suponen una vulneración de derechos de empresa, ni infringen la normativa sobre propiedad intelectual e industrial, mercado y competencia, honor, intimidad o propia imagen o protección de datos de carácter personal. Corresponde al Cliente contar con una adecuada política de seguridad en sus sistemas, de determinar las medidas de seguridad con arreglo a su análisis de riesgos, y mantener sus sistemas actualizados y configurados correctamente, libres de virus informáticos y cualesquiera aplicaciones maliciosas y errores.

6.4- SEALPATH podrá monitorizar, gestionar y controlar los accesos y uso del Servicio a fin de garantizar su seguridad, calidad y condiciones de prestación, pudiendo acceder a las operaciones y acciones realizadas por el Cliente en relación con el mismo. En caso de que detectara un incumplimiento de lo previsto en estas condiciones, la infracción de derechos o intereses de terceros o de la legalidad vigente, deberá ponerlo en comunicación de las autoridades administrativas o judiciales competentes a fin de que adopten las medidas oportunas, así como suspender o terminar el Servicio.

7.- Precio y forma de pago

7.1.- SEALPATH distribuye sus soluciones a través de Partners certificados. Los precios y demás condiciones económicas del servicio son gestionados por estos Partners con el Cliente.

7.2.- Ante el incumplimiento de cualquiera de las obligaciones de pago que puede ser reportada por el Partner de canal, la parte incumplidora entrará, de forma automática y sin necesidad de previo requerimiento por la parte acreedora, en mora y quedará obligada al pago de las cantidades adeudadas incrementadas conforme al interés establecido en la Ley 3/2004, de 29 de diciembre, por la que se establecen medidas de lucha contra la morosidad en las operaciones comerciales, o normativa que sustituya a la anterior, así como de los gastos y penalizaciones bancarias causadas.

7.3.- El impago conllevará asimismo la interrupción inmediata del acceso al Servicio, bloqueándose para todos los usuarios del Cliente. Dicho acceso será restaurado en el momento en que se abonen las cantidades pendientes de pago, así como los intereses y gastos que correspondan.

8.- Modificaciones

8.1.- SEALPATH se reserva la facultad de efectuar, en cualquier momento, modificaciones y actualizaciones en la prestación del Servicio, sus funcionalidades, configuración, disponibilidad y presentación de la información, así como de del presente Contrato, sin perjuicio de los derechos adquiridos.

8.2.- Toda modificación de los productos o servicios ofrecidos, así como del Contrato será debidamente comunicada por correo electrónico. La continuidad en el uso del Servicio implicará la aceptación plena y sin reservas de las modificaciones anteriores.

9.- Duración y resolución

9.1.- Este Contrato tendrá la duración inicial que corresponda al periodo contratado, prorrogándose automáticamente por iguales periodos de tiempo, salvo que se finalice por los motivos legalmente establecidos y en los casos siguientes:

  1. En caso de incumplimiento grave de las obligaciones de las partes, previo requerimiento por la parte cumplidora, sin perjuicio de la reclamación por daños y perjuicios que pudiera corresponder.
  2. A instancias del Cliente, en cuyo caso los efectos de la solicitud de resolución del contrato se producirán al finalizar el periodo contratado inicialmente o cualquiera de sus prórrogas.
  3. A instancias de SEALPATH y previa comunicación al Cliente, en caso de cese o terminación de la actividad, cambio del modelo de negocio, cierre, fusión o absorción de la sociedad.

9.2.- La resolución del Contrato impedirá el uso del Servicio y la revocación de cualesquiera licencias y permisos concedidos. Téngase  en cuenta que ello implica que no se podrán cifrar los archivos electrónicos, ni gestionar, controlar o administrar los correspondientes permisos, ni descifrar los archivos previamente protegidos una vez terminado el Contrato.

10.- Ley aplicable y tribunal competente

10.1.- Este Contrato se regirá y será interpretado en todos sus preceptos de acuerdo con la legislación española. Cualquier controversia que pueda existir entre las partes en relación con lo establecido en el mismo será sometida ante los Juzgados y Tribunales de Bilbao, con renuncia expresa a cualquier otra jurisdicción que pudiera corresponderles.