Términos y condiciones de seguridad
Los "Términos de seguridad de Lynn Cloud" se incorporan mediante esta referencia en el acuerdo de Términos y condiciones del Servicio dispuestos para los productos Lynn y describen los requisitos contractuales para la seguridad de la información proporcionada por Lynn al Cliente en relación con la prestación de los Servicios en la nube de Lynn que el Cliente ha obtenido bajo licencia de Lynn. de conformidad con un acuerdo ejecutado por ambas partes que rige dicha provisión y uso de los Servicios en la nube de Lynn (el "Acuerdo"). Estos términos se aplican en la medida en que Lynn tenga acceso y control sobre los Datos del cliente.
1.Programa de seguridad
1.1. Estándares de seguridad. Lynn ha implementado y mantendrá un programa de seguridad de la información que sigue los principios de seguridad del sistema generalmente aceptados incorporados en el estándar ISO 27001 diseñado para proteger los Datos del cliente, según corresponda a la naturaleza y el alcance de los Servicios en la nube de Lynn proporcionados.
1.2. Concienciación y formación en seguridad. Lynn ha desarrollado y mantendrá un programa de concientización y seguridad de la información que se entrega a todos los empleados y contratistas correspondientes en el momento de la contratación o el inicio del contrato y anualmente a partir de entonces.
1.3. Políticas y procedimientos. Lynn mantendrá políticas y procedimientos apropiados para respaldar el programa de seguridad de la información. Las políticas y los procedimientos se revisarán anualmente y se actualizarán según sea necesario.
1.4. Gestión del cambio. Lynn utilizará un proceso de gestión de cambios basado en los estándares de la industria para garantizar que todos los cambios en el entorno de Lynn Cloud se revisen, prueben y aprueben adecuadamente.
1.5. Almacenamiento y respaldo de datos. Lynn creará copias de seguridad de los datos críticos del cliente. Los datos del cliente se almacenarán y mantendrán únicamente en Microsoft Azure. Los datos de respaldo no se almacenarán en medios portátiles. Las copias de seguridad de los datos del cliente estarán protegidas contra el acceso no autorizado.
1.6. Antivirus y Antimalware. Las soluciones estándar de protección antivirus y antimalware se utilizan en sistemas que puedan ser afectados por malware para proteger su infraestructura, así como con sistemas que soportan Lynn Cloud para evitar la afectación de malware, como caballos de Troya, virus, gusanos y ataques de negación.
1.7. Gestión de vulnerabilidades y parches. Lynn mantendrá un programa de gestión de vulnerabilidades que garantice el cumplimiento de los estándares de la industria. Lynn evaluará todas las vulnerabilidades críticas del entorno de producción de Lynn Cloud MS Azure para la complejidad de acceso/vector, autenticación, impacto, integridad y disponibilidad. Si Lynn considera que el riesgo resultante es "crítico" para los datos del cliente, Lynn se esforzará por parchear o mitigar los sistemas afectados en un plazo de 3 días hábiles. Ciertos sistemas con estado no se pueden parchear tan rápido debido a las interdependencias y el impacto en el cliente, pero se remediarán tan pronto como sea posible.
1.8. Eliminación y destrucción de datos. Los procesos de eliminación de logs están soportados por índices asociados a instancias lógicas de aplicativos que vencen 2 años a partir de su creación, si es requerida persistencia extendida puede habilitarse a necesidad del cliente, al igual que solicitar la completa remoción en un plazo distinto si así lo requiriera. entiéndase que esta política rige estrictamente sobre datos originados en ambientes productivos, otros orígenes de datos como ambientes de desarrollo tendrán sus propios rangos de persistencia siempre respetando al menos un mes de almacenamiento.
2. Seguridad de la arquitectura del producto
2.1. Controles de separación lógica. Lynn empleará controles de separación lógica efectivos basados en los estándares de la industria para garantizar que los datos del cliente estén separados lógicamente de otros datos del cliente dentro de Lynn Cloud.
2.2. Servicios de cortafuegos. Lynn mantiene reglas granulares de entrada y salida, y los cambios deben aprobarse a través del sistema de gestión de cambios de Lynn. Los conjuntos de reglas se revisan semestralmente.
2.3. Sin redes inalámbricas. Lynn no utilizará redes inalámbricas dentro de los entornos de servicios en la nube de MS Azure.
2.4. Conexiones de datos entre el Cliente y el entorno de servicios de Lynn Cloud. Todas las conexiones a navegadores, aplicaciones móviles y otros componentes están protegidas a través del Protocolo de transferencia de hipertexto seguro (HTTPS), el Protocolo de transporte seguro en tiempo real (SRTP) y la Seguridad de la capa de transporte (TLS v1.2) a través de Internet pública (Tenga en consideración que algunos Lynn Voice Gateway no pueden acatar esta protección en capa de transporte por limitaciones del operador telefónico).
2.5. Conexiones de datos entre el entorno de servicios Lynn Cloud y terceros. La transmisión o el intercambio de Datos del Cliente con el Cliente y cualquier proveedor de Lynn se realizará utilizando métodos seguros (p. ej., TLS 1.2, HTTPS, SFTP).
2.6. Registro y Monitoreo. Lynn registrará los eventos de seguridad desde la perspectiva operativa para toda la infraestructura que proporcione los Servicios en Lynn Cloud al Cliente. Lynn monitoreará e investigará los eventos que puedan indicar un incidente o problema de seguridad. Los registros de eventos se conservarán según la declaración de persistencia de eventos, dichos rangos de persistencia pueden ser ajustados o modificados total o parcialmente sujeto a previa notificación. Los clientes pueden acceder a datos de auditoría limitados a través de la interfaz de usuario (GUI) y la interfaz de programación de aplicaciones (API).
3. Control de acceso de usuarios
3.1. Control de acceso. Lynn implementará controles de acceso apropiados para garantizar que solo los Usuarios autorizados tengan acceso a los Datos del cliente dentro del entorno de Lynn Cloud.
3.2. Acceso de Usuario del Cliente. El Cliente es responsable de administrar los controles de acceso del Usuario dentro de la aplicación. Lynn dispone de requisitos de clave validas y un sistema de bloqueo por reintentos. La mayoría de los Usuarios experimentan un período de bloqueo en caso de reintentos fallidos, en dichos casos de ameritarse debe solicitar por canal de soporte el desbloqueo de dicha cuenta. Los ajustes de bloqueo no son configurables. El cliente define los nombres de usuario y las funciones en un modelo de permisos de acceso granular. El Cliente es totalmente responsable de cualquier falla por parte de él mismo, sus agentes, contratistas o empleados (incluidos, entre otros, todos sus usuarios) para mantener la seguridad de todos los nombres de usuario, contraseñas y otra información de la cuenta bajo su control. Excepto en el caso de una falla de seguridad causada por negligencia grave o acción o inacción deliberada de Lynn, el Cliente es completamente responsable de todo uso de los Servicios en la nube de Lynn a través de los nombres de usuario y contraseñas del Cliente, ya sea que haya sido autorizado o no por el Cliente, y todos los cargos que resulten de tal uso. El Cliente notificará inmediatamente a Lynn si se da cuenta de cualquier uso no autorizado de los Servicios en la nube de Lynn.
3.3. Acceso de usuario de Lynn. Lynn creará cuentas de usuario individuales para cada uno de los empleados o contratistas de Lynn que tengan una necesidad empresarial de acceder a los Datos del Cliente o los sistemas del Cliente dentro del entorno de Lynn Cloud. Se seguirán las siguientes pautas con respecto a la administración de cuentas de usuario de Lynn:
3.3.1. Las cuentas de usuario son solicitadas y autorizadas por la gerencia de Lynn.
3.3. 2. Se aplican sistemáticamente controles estrictos de contraseñas.
3.3. 3. Los tiempos de espera de las sesiones se aplican sistemáticamente.
3.3.4. Las cuentas de usuario se deshabilitan de inmediato tras la terminación del empleado o la transferencia de funciones, o que no exista una necesidad comercial u operacional que sea válida para dicho acceso.
4. Continuidad del negocio y recuperación ante desastres
4.1. Protección contra interrupciones. Los servicios en la nube de Lynn se implementarán y configurarán en un diseño de alta disponibilidad y se implementarán en distintas zonas de disponibilidad y regiones de MS Azure (MS AZ) para proporcionar una disponibilidad óptima de los servicios en la nube de Lynn. El entorno de Lynn Cloud está físicamente separado del entorno de la red corporativa de Lynn para que un evento de interrupción que involucre al entorno corporativo no afecte la disponibilidad de Lynn Cloud.
4.2. Continuidad del negocio. Lynn mantendrá un plan de continuidad comercial corporativo diseñado para garantizar que los servicios de soporte y monitoreo continuos en caso de un evento de interrupción que involucre el entorno corporativo.
4.3. Recuperación de desastres. La plataforma MS AZ de Lynn Cloud aprovecha la naturaleza distribuida de la infraestructura de MS AZ para permitir la recuperación completa ante desastres en varios sitios al operar en múltiples AZ; ubicaciones distintas que están diseñadas para estar aisladas unas de otras. Las pilas de aplicaciones independientes se ejecutan en múltiples AZ. En caso de pérdida de un solo AZ o centro de datos, los servicios en la nube de Lynn restantes permanecen operativos y están diseñados para escalar automáticamente para reemplazar la capacidad del sistema perdida, lo que garantiza efectivamente un objetivo de tiempo de recuperación (RTO) de cero.
5. Respuesta a incidentes de seguridad
5.1. Programa de Respuesta a Incidentes de Seguridad. Lynn mantendrá un programa de respuesta a incidentes de seguridad basado en estándares de la industria diseñado para identificar y responder a incidentes de seguridad supuestos y reales que involucren datos de clientes. El programa se revisará, probará y, si es necesario, se actualizará al menos una vez al año. "Incidente de seguridad" significa un evento confirmado que resulta en el uso, eliminación, modificación, divulgación o acceso no autorizados a los Datos del cliente.
5.2. Notificación. En el caso de un Incidente de seguridad u otro evento de seguridad que requiera notificación según la ley aplicable, Lynn notificará al Cliente dentro de las veinticuatro (24) horas y cooperará razonablemente para que el Cliente pueda realizar las notificaciones necesarias relacionadas con dicho evento, a menos que Lynn lo solicite específicamente, por la aplicación de la ley o una orden judicial de no hacerlo.
5.3. Detalles de la notificación. Lynn proporcionará los siguientes detalles con respecto a cualquier Incidente de seguridad al Cliente: (i) fecha en que se identificó y confirmó el Incidente de seguridad; (ii) la naturaleza y el impacto del Incidente de Seguridad; (iii) acciones que Lynn ya ha tomado; (iv) medidas correctivas a tomar; y (v) evaluación de alternativas y próximos pasos.
5.4. Comunicaciones en curso. Lynn continuará brindando informes de estado apropiados al Cliente con respecto a la resolución del Incidente de seguridad y trabajará continuamente de buena fe para corregir el Incidente de seguridad y prevenir futuros Incidentes de seguridad. Lynn cooperará, según lo solicite razonablemente el Cliente, para seguir investigando y resolver el Incidente de seguridad.
6. Protecciones del centro de datos
Lynn tiene un contrato con MS AZ para plataforma como servicio (PaaS) sujeta a suscripción de servicios. Las certificaciones de seguridad y cumplimiento y/o los informes de garantía para MS AZ deben obtenerse directamente de MS AZ. MS AZ puede solicitar al Cliente que ejecute acuerdos de confidencialidad adicionales.
7. Uso de los servicios en la nube de Lynn
7.1. Restricciones de uso. El Cliente no utilizará los Servicios en la Nube de Lynn para ninguno de los siguientes motivos: ( i ) violar la ley aplicable; (ii) para transmitir código malicioso; (iii) para transmitir en numeraciones o canales de emergencia o suplantar servicios cualquieras de emergencia (o reconfigurar para admitir o proporcionar dicho uso); (iv) para interferir, sobrecargar injustificadamente o interrumpir la integridad o el rendimiento de los Servicios en la nube de Lynn o los datos de terceros contenidos en los mismos; (v) para intentar obtener acceso no autorizado a sistemas o redes; o (vi) para proporcionar los Servicios en la Nube de Lynn a terceros que no sean Usuarios, incluso mediante reventa no autorizada por Lynn de licencias, préstamos o arrendamientos.
7.2. Restricciones de prueba del cliente. El Cliente no realizará ningún tipo de prueba de penetración, evaluación de vulnerabilidad o ataque de denegación de servicio en los entornos de producción, prueba o desarrollo de Lynn Cloud. Las pruebas de penetración autorizadas en un entorno de prueba están disponibles por una tarifa y deben coordinarse con el equipo de ventas de Lynn y el equipo de seguridad de Lynn Cloud.
7.3. Uso Prohibido. El Cliente hará todos los esfuerzos comercialmente razonables para prevenir y/o bloquear cualquier uso prohibido por parte de los Usuarios.
7.4. Garantías del cliente. El Cliente mantendrá un nivel de seguridad administrativo, físico y técnico razonable y apropiado con respecto a su aplicativo o cuenta, contraseña, protecciones antivirus y de firewall, y conectividad con los Servicios en la Nube de Lynn.
7.5. Líneas de servicios voz. El Cliente deberá mantener una estricta seguridad en todas las líneas de servicios de voz. El Cliente reconoce que Lynn no le brinda al Cliente la capacidad de comunicarse con numeraciones u otros servicios de emergencia, y el Cliente acepta informar a cualquier persona que pueda estar presente donde se usan los servicios en la nube de Lynn, o que usen los servicios en la nube de Lynn, de la falta de disponibilidad de numeraciones de emergencia u otra marcación de emergencia.
7.6. Características de seguridad. Si los Servicios en la nube de Lynn se utilizarán para transmitir o procesar Datos personales, el Cliente se asegurará de que todos los Datos personales se capturen y utilicen únicamente mediante el uso de funciones de seguridad que Lynn pone a su disposición.
7.7. Grabaciones. El Cliente reconoce que el uso de las grabaciones queda únicamente bajo el control y la discreción del Cliente. Sin limitar lo anterior: (i) el Cliente acepta la responsabilidad exclusiva de determinar el método y la manera de realizar la grabación de manera que cumpla con todas las leyes aplicables y de configurar y utilizar los servicios en consecuencia; y (ii) el Cliente se asegurará de que las grabaciones se realicen únicamente para los fines requeridos y/o de conformidad con todas las leyes aplicables. El Cliente se asegurará de que: (a) las grabaciones no incluirán a sabiendas ningún número de cuenta bancaria, número de tarjeta de crédito, código de autenticación, número de Seguro Social o Datos Personales, excepto según lo permitido por todas las leyes aplicables; o (v) las grabaciones están encriptadas en todo momento. El Cliente no modificará, deshabilitará ni eludirá la función de cifrado de grabación dentro de los Servicios en la nube de Lynn.
8. Certificaciones específicas de la industria
Los controles operativos y de seguridad de Lynn se basan en prácticas estándar de la industria. Sin embargo, el Cliente es el único responsable de lograr y mantener las certificaciones específicas de la industria requeridas para el negocio del Cliente.
9.Privacidad.
Lynn ha desarrollado y mantendrá un programa de privacidad diseñado para respetar y proteger los Datos del cliente bajo el control de Lynn.
10.Datos del cliente
10.1. Propiedad y Licencia. Entre Lynn y el Cliente, el Cliente conserva la propiedad y todos los derechos de propiedad intelectual sobre los Datos del Cliente y otorga a Lynn una licencia no exclusiva, no sublicenciable (excepto para las partes que trabajan en nombre de Lynn), intransferible y libre de regalías para acceder, procesar, almacenar, transmitir y hacer uso de los Datos del cliente según sea necesario para proporcionar los Servicios en la nube de Lynn y para cumplir con las obligaciones de Lynn en virtud del Acuerdo.
10.2. Lugares de procesamiento. El Cliente acepta que los Datos del Cliente pueden transferirse o almacenarse fuera del país donde se encuentran el Cliente y sus clientes para brindar servicios de soporte y resolución de problemas en virtud del Acuerdo.
10.3. Consentimientos. El Cliente declara y garantiza que ha obtenido todos los consentimientos necesarios para que Lynn recopile, acceda, procese, almacene, transmita y utilice los Datos del Cliente de conformidad con el Acuerdo.
10.4. Calidad. El Cliente reconoce que Lynn no tiene control sobre el contenido o la calidad de los Datos del Cliente enviados a los Servicios en la Nube de Lynn. El Cliente deberá cumplir con todos los requisitos aplicables de integridad, calidad, legalidad y todos los demás aspectos similares con respecto a los Datos del Cliente. Lynn renuncia expresamente a cualquier obligación de revisar o determinar la legalidad, precisión o integridad de los Datos del cliente.
10.5. Mejoras en el servicio. Lynn puede agregar y usar datos e información relacionados con el desempeño, la operación y el uso de los Servicios en la nube por parte del Cliente para crear análisis estadísticos, realizar evaluaciones comparativas, realizar investigación y desarrollo y realizar otras actividades similares ("Mejoras del servicio"). Lynn no incorporará los datos del cliente en las mejoras del servicio de una forma que pueda identificar al cliente o a sus clientes. Lynn utilizará técnicas estándar de la industria para anonimizar si es requerido los datos del cliente antes de realizar mejoras en el servicio. Los datos anonimizados y las Mejoras de los servicios resultantes no se consideran Datos del cliente. Los Datos del cliente y los datos anónimos resultantes estarán, en todo momento, sujetos a los controles de seguridad establecidos en estos Términos de seguridad en la nube de Lynn. Lynn conserva todos los derechos de propiedad intelectual sobre las Mejoras del servicio y puede ponerlas a disposición del público.
11. Definiciones
A los efectos de estos Términos de seguridad en la nube de Lynn, los siguientes términos definidos tendrán el significado que se establece a continuación.
11.1. Datos del cliente: Información de propiedad del Cliente e información sobre los clientes del Cliente (incluidos los Datos personales) enviada a través de los Servicios en la nube de Lynn por el Cliente o sus Usuarios.
11.2. Centro de datos: un centro de datos donde Lynn aloja el entorno de Lynn Cloud.
11.3. Estándar(es) de la industria: prácticas de seguridad de la información en la nube generalmente aceptadas como se describe en la Sección 8 (Certificaciones específicas de la industria), ya que dichas normas pueden actualizarse ocasionalmente por cambios en la ley aplicable y prácticas aceptadas de la industria.
11.4. Datos personales: cualquier información relacionada con los clientes del Cliente que esté protegida por la ley de privacidad aplicable.
11.5. Servicios en la nube de Lynn: los servicios en la nube multiusuario patentados de Lynn se ponen a disposición del Cliente en el entorno de MS AZ.
11.6. Usuario: una persona que (i) está autorizada por el Cliente y al que el Cliente le ha proporcionado una identificación de usuario y contraseñas para acceder a los Servicios en la nube de Lynn en nombre del Cliente.