ESTA PÁGINA HA SIDO TRADUCIDA POR UN SISTEMA DE TRADUCCIÓN AUTOMÁTICA Y SE PROPORCIONA ÚNICAMENTE PARA SU COMODIDAD, Y ES POSIBLE QUE NO REFLEJE DE MANERA EXACTA EL SIGNIFICADO ORIGINAL EN INGLÉS. LOS SIGNIFICADOS DE LOS TÉRMINOS, CONDICIONES Y DECLARACIONES AQUÍ EXPUESTAS ESTÁN SUJETOS A SUS DEFINICIONES E INTERPRETACIONES EN INGLÉS. EN CASO DE DISCREPANCIA O CONFLICTO ENTRE LA VERSIÓN EN INGLÉS DE ESTE TEXTO Y CUALQUIER TRADUCCIÓN, PREVALECERÁ LA VERSIÓN EN INGLÉS.

En vigor a partir del 16 de junio de 2021

El presente Anexo sobre seguridad de la información ("Anexo") describe los requisitos de seguridad que Cloudflare mantendrá como parte del Servicio ("Requisitos de seguridad") y se incorpora a las Condiciones del servicio de suscripción a Enterprise ("Contrato") entre Cloudflare y el Cliente. Los términos en mayúsculas utilizados en este Addendum sin una definición tendrán el significado que se les da en el Acuerdo.

1. General

1.1 Cloudflare (i) implementará y mantendrá un programa exhaustivo de seguridad de la información por escrito; (ii) actualizará y revisará dicho programa, según sea necesario, de forma periódica o cuando se produzca un cambio sustancial en la prestación del Servicio; y (iii) garantizará que dicho programa (x) cumple con las Leyes aplicables y las normas aplicables del sector (incluidas ISO/IEC 27001:2013, PCI DSS, SOC 2 Tipo II), (y) incluye las salvaguardas administrativas, lógicas, técnicas y físicas apropiadas que cumplen con el presente Anexo, y (z) está razonablemente diseñado para lograr los siguientes objetivos:

(A) garantizar la seguridad y la confidencialidad, integridad y disponibilidad de los Datos del Cliente;

(B) para proteger contra cualquier amenaza o peligro a la seguridad e integridad de los Datos del Cliente; y

(C) para evitar el acceso no autorizado o accidental, la adquisición, destrucción, pérdida, eliminación, divulgación o alteración o uso de los Datos del Cliente.

1.2 Las disposiciones de este Apéndice prevalecerán en caso de conflicto entre el Contrato (incluidos cualesquiera otros anexos, pruebas documentales o anexos al mismo) y este Apéndice.

2. Políticas; Sensibilización y Formación

2.1 Cloudflare revisará al menos una vez al año las políticas relativas a la seguridad de la información, incluidas, entre otras: la gestión del acceso y la autenticación, la gestión de activos, la gestión de cambios, la encriptación, la respuesta a incidentes de seguridad y privacidad, el ciclo de vida del desarrollo de software y la política de gestión de riesgos de terceros.

2.2 Cloudflare proporcionará formación sobre concienciación en materia de seguridad a los empleados de Cloudflare en el momento de su contratación y, posteriormente, una vez al año. La formación se actualizará periódicamente para incluir información aplicable sobre temas de seguridad, como las responsabilidades en la protección de datos y sistemas, y las amenazas y tendencias emergentes.

3. Gestión de acceso e identificación; autenticación

3.1 Cloudflare sólo permitirá el acceso a los Datos del Cliente al personal de Cloudflare y a los terceros que estén autorizados en virtud del Acuerdo (colectivamente, "Usuarios Autorizados"). El personal autorizado de Cloudflare y los terceros autorizados utilizarán los Datos del Cliente únicamente según lo permitido en virtud del Acuerdo y del presente Anexo.

3.2 Cloudflare seguirá los estándares del sector para autenticar y autorizar a los usuarios.

3.3 Los Usuarios Autorizados no utilizarán credenciales de identificación compartidas o genéricas para acceder a los Datos del Cliente.

3.4 Cloudflare exigirá a los Usuarios Autorizados que utilicen la autenticación de dos factores para acceder a los sistemas en los que residen los Datos del Cliente.

3.5 Cloudflare mantendrá un repositorio centralizado de todas las credenciales de identificación utilizadas para acceder a la red de Cloudflare donde residen los Datos del Cliente.

3.6 Cloudflare revocará el acceso de los Usuarios Autorizados que ya no necesiten acceder a los Datos de Cliente.

3.7 Cloudflare revisará y revocará periódicamente los derechos de acceso de los Usuarios Autorizados, según sea necesario.

3.8 No se permitirá la autenticación en los recursos de red, plataformas, dispositivos, servidores, estaciones de trabajo, aplicaciones y dispositivos de Cloudflarecon contraseñas predeterminadas.

3.9 Cloudflare se asegurará de que las conexiones de red externas a la red de Cloudflare sean seguras.

3.10 Cloudflare cambiará las contraseñas predeterminadas del servidor antes de poner el dispositivo o sistema en producción.

3.11 Los puestos de trabajo que hayan estado inactivos durante un periodo de tiempo se bloquearán automáticamente.

4. Manejo seguro de los datos

4.1 Cloudflare encriptará los Datos del Cliente en reposo, en tránsito y en uso mediante AES con una encriptación mínima de 128 bits y una longitud de clave de cifrado de 1024 bits.

4.2 Cloudflare aplicará y mantendrá la encriptación completa de cualquier Dato del Cliente en reposo en todos los sistemas de Cloudflareque accedan, transmitan o almacenen Datos del Cliente.

4.3 las claves de encriptación simétrica y la clave asimétrica privada se encriptarán en tránsito y almacenamiento, se protegerán de accesos no autorizados y se asegurarán. se documentarán los procedimientos de gestión y rotación de clave criptográfica. El acceso a las claves de encriptación estará restringido a los custodios de las claves. Cloudflare seguirá las normas del sector para generar, almacenar y gestionar la clave criptográfica utilizada para encriptar los Datos del Cliente.

4.4 Cloudflare mantendrá procedimientos seguros de eliminación de datos, incluidos, entre otros, el uso de comandos de borrado seguro, la desmagnetización y la "criptodestrucción", según proceda, y de acuerdo con las normas del sector.

4.5 Los Datos del Cliente estarán lógicamente separados de los de otros clientes de Cloudflare.

5. Infraestructura & Seguridad de la red

5.1 Cloudflare instalará, configurará y mantendrá controles de seguridad perimetrales y de red para evitar el acceso no autorizado a los Datos del Cliente.

5.2 Cloudflare realizará una supervisión y un registro continuos, así como las alertas pertinentes, de los eventos de seguridad, incluidos los intentos de acceso y los accesos exitosos, los cambios no autorizados en punto final, los dispositivos de red y los sistemas de servidor que contengan Datos del Cliente, así como otros indicadores de compromiso. Todos los registros estarán protegidos de accesos o modificaciones no autorizados.

5.3 Cloudflare implementará y mantendrá estándares de seguridad y refuerzo para los dispositivos de red, basándose en las mejores prácticas del sector.

5.4 Cloudflare seguirá procedimientos documentados de gestión de cambios.

6. Seguridad de la aplicación

Cloudflare seguirá las prácticas de codificación segura del ciclo de vida de desarrollo de software seguro, como las desarrolladas por el Proyecto de Seguridad de la Aplicación Abierta web (OWASP) Top 10 (que se encuentra en https://www.owasp.org/), para garantizar que no se entrega código dañino y que se siguen las mejores prácticas. Las prácticas de codificación incluirán (i) entornos de desarrollo, prueba y producción separados; (ii) revisiones periódicas del código de seguridad; (iii) escaneado de todo el software y/o aplicación de Cloudflare que almacene, procese o transmita Datos del Cliente; y (iv) uso exclusivo de datos no de producción, ofuscados o desidentificados utilizados en entornos no de producción (por ejemplo, desarrollo o prueba).

7. Gestión de riesgos; Garantías de terceros/Cloudflare

7.1 Cloudflare mantendrá un programa de gestión de riesgos de terceros que incluya (i) el mantenimiento de acuerdos de seguridad de la información para garantizar que los terceros de Cloudflare con acceso a los Datos del Cliente estén sujetos a requisitos de seguridad de datos al menos tan restrictivos como los establecidos en el presente Anexo; y (ii) la supervisión y auditoría del cumplimiento de los requisitos establecidos en el presente Anexo por parte de los terceros con acceso a los Datos del Cliente.

7.2 La gestión de riesgos incluirá la subsanación por parte de Cloudflare de cualquier hallazgo identificado proporcional al riesgo y pruebas de su realización.

7.3 Cloudflare mantendrá un programa de evaluación de riesgos, que defina las funciones y responsabilidades para realizar la evaluación de riesgos y responder a los resultados. Cloudflare realizará evaluaciones de riesgos periódicas para verificar el diseño de los controles que protegen las operaciones empresariales y la tecnología de la información.

8. Vulnerabilidad & revisión Gestión

8.1 Cloudflare realizará escaneos rutinarios a nivel de red y de aplicación en busca de vulnerabilidades y las corregirá de acuerdo con los estándares del sector (p. ej. PCI DSS).

8.2 Al menos una vez al año, Cloudflare contratará a una empresa de seguridad externa independiente para que realice una prueba de penetración en la red y en la aplicación web. Previa solicitud, Cloudflare proporcionará un resumen de los resultados de las pruebas de penetración.

8.3 Cloudflare aplicará revisiones de seguridad y actualizaciones del sistema al software y la aplicación, los aparatos y los sistemas operativos gestionados por Cloudflarede acuerdo con las normas del sector (por ejemplo. PCI DSS).

9. Business Continuidad y Recuperación ante Desastres

Cloudflare mantendrá un programa documentado y operativo de continuidad de las operaciones y recuperación ante desastres (“BC&DR”, por sus siglas en inglés). Cloudflare ejercerá y actualizará sus planes del programa BC&DR al menos una vez al año.

10. Notificación de violación de la seguridad

10.1 Cloudflare mantendrá y actualizará anualmente un plan documentado de acción y respuesta ante la violación de datos.

10.2 Si Cloudflare descubre o se le notifica una violación de la seguridad que resulte en el acceso, adquisición, divulgación o uso no autorizados de cualquier Dato del Cliente ("Violación de Datos"), Cloudflare, sin demora y a sus expensas: (i) notificará al Cliente la Violación de Datos sin demora indebida; (ii) investigará la Violación de Datos; (iii) mitigará los efectos de la Violación de Datos; y (iv) realizará evaluaciones posteriores al incidente e informará al Cliente de los resultados de dichas evaluaciones.

11. Informar de la auditoría &

11.1 Al menos una vez al año, Cloudflare contratará a un evaluador independiente para: (i) llevar a cabo una evaluación de cumplimiento y proporcionar una atestación, revisión o informe completo bajo (A) Control de Organización de Servicios (SOC 2 Tipo II) o (B) otra evaluación de cumplimiento independiente similar reconocida por el sector.

11.2 Previa solicitud, Cloudflare proporcionará una copia del informe SOC 2 Tipo II más reciente de Cloudflare.

11.3 Cloudflare cooperará con el Cliente en cualquier investigación razonable de un posible uso fraudulento o no autorizado de los Datos del Cliente o del acceso a los mismos por parte de los empleados de Cloudflare o de terceros. Cloudflare se compromete a discutir con el Cliente los hallazgos aplicables y cualquier plan de corrección asociado.

Si tienes preguntas sobre estas condiciones o si deseas realizar otra consulta sobre Cloudflare, no dudes en ponerte en contacto con nosotros:

+1 (650) 319-8930

Cloudflare, Inc.
The Riverside Building, County Hall , Belvedere Road,
London, SE1 7PB
UK