Common use of SEGURIDAD DE LA INFORMACIÓN Clause in Contracts

SEGURIDAD DE LA INFORMACIÓN. Dando cumplimiento a las obligaciones establecidas en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 xx xxxxx de 2016 relativo a la protección de datos personales (RGPD) y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de Derechos Digitales (LOPDGDD), y resto de normativa de desarrollo, las partes acuerdan someterse a las siguientes condiciones: – Permiso de acceso y tratamiento. El contratista tendrá acceso y podrá tratar los datos de carácter personal contenidos en los tratamientos a los que se le dé acceso, siempre que resulte imprescindible para la prestación de los trabajos y/o de las obligaciones contraídas, y, en todo caso, limitándose a los datos que resulten estrictamente necesarios. – Inexistencia de comunicación. El acceso por parte del contratista a los tratamientos con datos de carácter personal facilitados no se considerará una comunicación de datos. – Instrucciones del tratamiento. El tratamiento de dichos datos responderá a las instrucciones recibidas xx XXXXX (Encargada del Tratamiento), en los términos del contrato que se formalice. – Uso de los datos. Toda la información a la que el contratista tenga acceso, y en especial, los datos de carácter personal, no será utilizada bajo ninguna circunstancia para un fin distinto al establecido en el contrato que se formalice a partir del presente documento. – Los tratamientos con datos de carácter personal se pondrán a disposición del contratista con el único fin de realizar las tareas necesarias para la prestación de los trabajos y/o de las obligaciones establecidas en la presente contratación, quedando prohibido para el contratista y el personal que ejecute la prestación del servicio, destinarla a cualquier otro fin. – Prohibición de comunicación de los datos a terceros. Los datos de carácter personal o documentos objeto del tratamiento no podrán ser comunicados a un tercero bajo ningún concepto, sin el consentimiento previo xx XXXXX, aunque sea para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario, sin perjuicio de las excepciones previstas en el RGPD y en la LOPDGDD. – Una vez cumplida la prestación contractual, los datos de carácter personal utilizados deberán ser destruidos o devueltos x XXXXX, al igual que cualquier soporte o documentos utilizados según las condiciones que se indican en la presente cláusula. – Cesión. El contratista no podrá comunicar los datos cedidos, accedidos o tratados a terceros, ni siquiera para su conservación. – Transferencias Internacionales de datos. Sin perjuicio de lo anterior, se prohíbe el tratamiento de los datos de carácter personal en terceros países sin un nivel de protección equiparable al otorgado por la normativa de protección de datos de carácter personal vigente en España, salvo que se cumpla con las exigencias establecidas en el RGPD para las transferencias internacionales de datos (art. 44 y ss. RGPD). – Medidas de seguridad. En los tratamientos con datos de carácter personal objeto de la licitación, el contratista deberá aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. El contratista debe garantizar que, el personal involucrado en la prestación del servicio, conoce y se compromete a cumplir lo dispuesto en el RGPD y en la LOPDGDD. – Control y Auditoria. El contratista autorizará x XXXXX, en caso de ser necesario, a la realización de controles o auditorias, incluyendo el acceso al establecimiento donde se estén tratando los datos, a la documentación y a los equipos. El contratista debe proporcionar x XXXXX los mecanismos de control y seguimiento que le sean solicitados e información suficiente sobre las medidas de seguridad que estén siendo aplicadas en el desarrollo de los trabajos contratados. – Ante inspecciones que pudieran sucederse o requerimientos de la Agencia Española de Protección de Datos x XXXXX, el contratista se compromete a proporcionar la información requerida para facilitar en todo momento la actuaciones previstas en los plazos legales establecidos y a adoptar las medidas que se consideren oportunas derivadas de dichas actuaciones. – Devolución o Destrucción de datos. Una vez finalizados los trabajos, el contratista procederá a dar un destino adecuado a la información recabada, ya sea su destrucción o borrado, bien la devolución, de cualquier dato personal entregado por XXXXX, así como también cualquier soporte o documento en que conste algún dato de carácter personal objeto de tratamiento. Conforme a lo establecido en el artículo 33 de la Ley Orgánica 3/2018, de Protección de Datos Personales y Garantía de Derechos Digitales, no procederá la destrucción de los datos cuando exista una previsión legal que obligue a su conservación, en cuyo caso deberán ser devueltos x XXXXX, que garantizará su conservación mientras tal obligación persista. El adjudicatario podrá conservar, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con XXXXX. – Responsabilidad del contratista. En el caso de que el contratista destine los datos a otra finalidad, los comunique o los utilice incumpliendo las obligaciones especificadas, o cualesquiera otras exigibles por la normativa, será considerado Responsable del Tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente, estando sujeto, en su caso, al régimen sancionador establecido de conformidad con lo dispuesto en los artículos del 70 al 78 de la LOPDGDD así como a cualquier daño y perjuicio que su acción pueda provocar x XXXXX. – Comunicación de incidencia-brecha de seguridad: El contratista trasladará x XXXXX, de forma inmediata y, en todo caso, en un plazo inferior a 24 horas, cualquier incidencia acontecida durante la prestación del servicio y que pueda tener como consecuencia la alteración, la pérdida o el acceso a datos de carácter personal por parte de terceros no autorizados. – En el caso de que el tratamiento de datos se realice en los locales de la empresa adjudicataria, el encargado del tratamiento adoptará las medidas de seguridad necesarias apropiadas para garantizar un nivel de seguridad adecuado al riesgo. En Gijón, a la fecha del certificado digital, 09287620J XXXX XXXXX Firmado digitalmente por 09287620J XXXX XXXXX XXXXX (R: JOFDdoA.: RD.(JRos:é ÁngAe7l4J0ó6d1a1r77P)xxxxx Gerente dFeecShEaR: 2P0A22.03.25 12:11:49 +01'00' Servicios jurídicos XXXXX

SEGURIDAD DE LA INFORMACIÓN. Dando Último día hábil de vigencia del contrato, TRANSFERENCIA DE CONOCIMIENTOS: Dentro de los últimos 10 días hábiles de la vigencia del contrato. SOPORTE PARA IPV6 EN BIENES Y SERVICIOS DE TIC: Dentro de los últimos 10 días hábiles de vigencia del contrato. PLAN DE TRANSICIÓN Plan de Transición Local a IPv6 (Fase 1): Planteamiento de los escenarios de coexistencia entre IPv4 e IPv6, con base al diagnóstico de la infraestructura tecnológica, arquitecturas, sistemas operativos, bases de datos y de la administración de los servicios, de conformidad con el estándar ISO/IEC 20000-1:2018. Identificar las técnicas de transición a implementar: dual stack, tunneling, translation u otras similares. Identificar las aplicaciones y equipos que deberán ser actualizados o sustituidos Identificar y plantear la atención a los potenciales riesgos a la seguridad de la información que se encuentren asociados durante la transición; Documento físico y electrónico en el cual se integren los elementos que permitan realizar el planteamiento de los escenarios de coexistencia entre IPv4 e IPv6, considerando el plan jerárquico de direccionamiento para las redes de voz, datos y seguridad. 40 días naturales contando a partir de la fecha de inicio de la vigencia del contrato Única vez Plan de Transición Local a IPv6 (Fase 2): Identificar y plantear la atención para los efectos operativos en las aplicaciones y redes que eventualmente pudieran enfrentarse durante o después de la transición; Realizar un Plan de Direccionamiento IPv6 independiente del prefijo; Diseñar las Proyecciones de Escalabilidad del Plan de Transición Local a IPv6; Realizar un Programa de costos y acciones administrativas asociados a la transición. 60 días naturales contando a partir de la fecha de inicio de la vigencia del contrato Única vez PLAN DE PRUEBAS Requerimientos de capacidad IPv6 para futuros usuarios Documento físico y electrónico en el cual se integren los elementos que permitan cubrir los requerimientos de capacidad IPv6 para futuros usuarios de acuerdo a lo solicitado en la descripción del servicio del presente Anexo Técnico. 60 días naturales contando a partir de la fecha de inicio de la vigencia del contrato Única vez Espacios de direccionamiento Documento físico y electrónico en el cual se integre las configuraciones para obtener los espacios de direccionamiento para que las funcionalidades del Servicio cumplan lo solicitado en la descripción del servicio del presente Anexo Técnico 80 días naturales contando a partir de la fecha de inicio de la vigencia del contrato Única vez DISEÑO DE PRUEBAS Relación de IPv6 en los equipos de voz, datos y seguridad (Routers) Documento físico y electrónico en el cual se integren los elementos de IPv6 en los equipos de las redes de voz, datos y seguridad (Routers) de acuerdo a lo solicitado en la descripción del servicio del presente Anexo Técnico 90 días naturales contando a partir de la fecha de inicio de la vigencia del contrato Única vez Relación de IPv6 en los Hosts, agregando las entradas pertinentes al DNS Documento físico y electrónico con la relación de IPv6 en Hosts y las entradas al DNS con las funcionalidades requeridas en el presente Anexo Técnico 90 días naturales contando a partir de la fecha de inicio de la vigencia del contrato Única vez Plan de direccionamiento para el sitio y políticas del uso de IPv6 Única vez CONFIGURACIÓN DE PRUEBAS Documentos generados como solicitud de cambios Documento físico y electrónico con la relación de solicitudes de pruebas 24 horas antes previo la implementación de la prueba Cada vez que se genere una prueba EJECUCIÓN DE PRUEBAS Plan de implementación en áreas dentro de la DMZ o en la conexión Wireless Documento físico y electrónico del plan de implementación en áreas dentro de la DMZ o en la conexión Wireless con las funcionalidades requeridas en el presente Anexo Técnico 115 días naturales contando a partir de la fecha de inicio de la vigencia del contrato Única vez Reporte de conectividad externa con IPv6, filtros y ACLs Documento físico y electrónico de la conectividad externa con IPv6, filtros y ACLs con las funcionalidades requeridas en el presente Anexo Técnico Reporte de IPv6 en servicios web, SMTP y direcciones IPv6 en DNS, habilitando el transporte de IPv6 en el DNS Documento físico y electrónico de IPv6 en servicios web, SMTP y direcciones IPv6 en DNS, habilitando el transporte de IPv6 en el DNS con las funcionalidades requeridas en el presente Anexo Técnico 130 días naturales contando a partir de la fecha de inicio de la vigencia del contrato EVALUACIÓN DE PRUEBAS Reporte de pruebas finales Documento físico y electrónico de las pruebas finales, después de su realización y corrección necesarios, con las funcionalidades requeridas en el presente Anexo Técnico. Último día hábil de vigencia del contrato Única vez Diagnóstico de la infraestructura tecnológica, arquitecturas, sistemas operativos, bases de datos y de la administración de los servicios que permitan dar cumplimiento a la transición local a IPV6. Memoria técnica, conteniendo: Memoria Técnica Infraestructura de Telecomunicaciones Memoria Técnica Infraestructura de aplicaciones Memoria Técnica de Infraestructura de Seguridad Informática Documentos físicos y electrónicos que deriven de la puesta en operación de un ambiente operacional de sólo IPV6. SEGURIDAD DE LA INFORMACIÓN Documentos de Seguridad de la Información de IPv6 Documento físico y electrónico con las obligaciones establecidas recomendaciones de mejores prácticas de la industria para el despliegue (transición) y operación en producción de redes y servicios IPv6 con las funcionalidades requeridas en el Reglamento (UE) 2016/679 presente Anexo Técnico. Último día hábil de la vigencia del Parlamento Europeo y contrato Única vez TRANSFERENCIA DE CONOCIMIENTOS Documentos de transferencia de conocimientos de los procesos de la implementación del Consejo, de 27 xx xxxxx de 2016 relativo a la protección de datos personales (RGPD) y protocolo IPv6 en la Ley Orgánica 3/2018infraestructura Tecnológica del INDEP, al menos: -Plan de transferencia de conocimientos -Listas de asistencias -Materiales elaborados Documentos físicos y electrónicos que contengan la información de los procesos de IPv6 transferidos al personal del INDEP Dentro de los últimos 10 días hábiles de la vigencia del contrato Única vez Documentos de Transferencia de conocimientos del Servicio Integral para Realizar el Despliegue (transición) de IPv6: -Plan de transferencia de conocimientos -Listas de asistencias -Materiales elaborados Documentos físicos y electrónicos que contengan la información de los conocimientos transferidos al personal del INDEP del servicio integral para realizar el despliegue (transición) del protocolo de internet versión 6 (IPV6) SOPORTE PARA IPv6 EN BIENES Y SERVICIOS DE TIC Documentos de soporte para IPv6 en bienes y servicios de TIC: -Relación de incidencias reportadas, resueltas y pendientes. Documentos físicos y electrónicos que contengan la información de la relación de incidencias del servicio integral para realizar el despliegue (transición) del protocolo de internet versión 6 (IPV6) Dentro de los últimos 10 días hábiles de la vigencia del contrato Única vez ADMINISTRACIÓN DEL SERVICIO INTEGRAL PARA REALIZAR EL DESPLIEGUE (TRANSICIÓN) DEL PROTOCOLO DE INTERNET VERSIÓN 6 (IPV6) Matriz de Roles y Responsabilidades Documento físico y electrónico el cual contenga los responsables involucrados en el proyecto para la entrega del servicio 5 días hábiles contando a partir de diciembrela fecha de inicio de la vigencia del contrato Única vez Plan Detallado de Trabajo Documento físico y electrónico el cual contenga el servicio integral para realizar el despliegue (transición) del protocolo de internet versión 6 (IPV6) 10 días naturales contando a partir de la fecha de inicio de la vigencia del contrato Única vez Documentación generada por la administración del proyecto: Minutas Presentaciones de avances Análisis de riesgos Actas administrativas Control de versiones de documentos generados Expediente del proyecto Etc. Documentación diversa que acredita la adecuada gestión del proyecto, acorde a buenas prácticas del PMI. Último día hábil de Protección vigencia del contrato Única vez “EL INDEP” proporcionará al personal de Datos Personales “EL PROVEEDOR”, un espacio físico dentro de sus instalaciones y Garantía solo los servicios de Derechos Digitales (LOPDGDD)mobiliario y servicio de luz eléctrica e internet para todas las actividades de implementación y operación inherentes al servicio que deban desarrollarse directamente en las instalaciones del “EL INDEP”. “EL PROVEEDOR” deberá considerar todas las herramientas de trabajo que requiera para el cumplimiento del servicio solicitado, y resto como son: computadora móvil, software de normativa oficina, equipamiento especializado, etc. El personal especializado asignado por “EL PROVEEDOR” para prestar el servicio, podrá hacerlo vía remota mediante medios electrónicos de desarrollocomunicación, las partes acuerdan someterse o mediante acceso a las siguientes condiciones: – Permiso de acceso y tratamiento. El contratista tendrá acceso y podrá tratar los datos de carácter personal contenidos en los tratamientos a los que se le dé accesoinstalaciones donde sea requerido el servicio por el “EL INDEP”, siempre que resulte imprescindible para no se interrumpa la prestación operación normal de los trabajos y/o usuarios y se respeten los sistemas de las obligaciones contraídascontrol y administración que “EL INDEP” tenga vigentes; de igual forma, y, en todo caso, limitándose a los datos se tendrá que resulten estrictamente necesarios. – Inexistencia de comunicación. El acceso por identificar como parte del contratista a los tratamientos con datos personal técnico de carácter personal facilitados no se considerará una comunicación “EL PROVEEDOR”, mediante su credencial de datosidentificación oficial. – Instrucciones La prestación del tratamiento. El tratamiento servicio será realizada en las instalaciones de dichos datos responderá a las instrucciones recibidas “EL INDEP”, sito en Xxxxxxx Xxxxxxxxxxx Xxx 0000, Xxxxxxx Xxxxxxxxx Inn, Alcaldía Xxxxxx Xxxxxxx, Código Postal 00000 Xxxxxx xx XXXXX (Encargada del Tratamiento), en los términos del contrato que se formalice. – Uso de los datos. Toda la información a la que el contratista tenga accesoXxxxxx, y en especialsu caso se utilizará el modo de video conferencia, los datos de carácter personal, no será utilizada bajo ninguna circunstancia para un fin distinto al establecido en el contrato que se formalice a partir del presente documento. – Los tratamientos con datos de carácter personal se pondrán a disposición del contratista con el único fin de realizar las tareas necesarias para la prestación de los trabajos y/o de las obligaciones establecidas en la presente contratación, quedando prohibido para el contratista siempre y el personal que ejecute la prestación del servicio, destinarla a cualquier otro fin. – Prohibición de comunicación de los datos a terceros. Los datos de carácter personal o documentos objeto del tratamiento no podrán ser comunicados a un tercero bajo ningún concepto, sin el consentimiento previo xx XXXXX, aunque sea para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario, sin perjuicio de las excepciones previstas en el RGPD y en la LOPDGDD. – Una vez cumplida la prestación contractual, los datos de carácter personal utilizados deberán ser destruidos o devueltos x XXXXX, al igual que cualquier soporte o documentos utilizados según las condiciones que se indican en la presente cláusula. – Cesión. El contratista no podrá comunicar los datos cedidos, accedidos o tratados a terceros, ni siquiera para su conservación. – Transferencias Internacionales de datos. Sin perjuicio de cuando lo anterior, se prohíbe el tratamiento de los datos de carácter personal en terceros países sin un nivel de protección equiparable al otorgado por la normativa de protección de datos de carácter personal vigente en España, salvo que se cumpla con las exigencias establecidas en el RGPD para las transferencias internacionales de datos (art. 44 y ss. RGPD). – Medidas de seguridad. En los tratamientos con datos de carácter personal objeto de la licitación, el contratista deberá aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. El contratista debe garantizar que, el personal involucrado en la prestación del servicio, conoce y se compromete a cumplir lo dispuesto en el RGPD y en la LOPDGDD. – Control y Auditoria. El contratista autorizará x XXXXX, en caso de ser necesario, a la realización de controles o auditorias, incluyendo el acceso al establecimiento donde se estén tratando los datos, a la documentación y a los equipos. El contratista debe proporcionar x XXXXX los mecanismos de control y seguimiento que le sean solicitados e información suficiente sobre las medidas de seguridad que estén siendo aplicadas en el desarrollo de los trabajos contratados. – Ante inspecciones que pudieran sucederse o requerimientos de la Agencia Española de Protección de Datos x XXXXX, el contratista se compromete a proporcionar la información requerida para facilitar en todo momento la actuaciones previstas en los plazos legales establecidos y a adoptar las medidas que se consideren oportunas derivadas de dichas actuaciones. – Devolución o Destrucción de datos. Una vez finalizados los trabajos, el contratista procederá a dar un destino adecuado a la información recabada, ya sea su destrucción o borrado, bien la devolución, de cualquier dato personal entregado por XXXXX, así como también cualquier soporte o documento en que conste algún dato de carácter personal objeto de tratamiento. Conforme a lo establecido en el artículo 33 de la Ley Orgánica 3/2018, de Protección de Datos Personales y Garantía de Derechos Digitales, no procederá la destrucción de los datos cuando exista una previsión legal que obligue a su conservación, en cuyo caso deberán ser devueltos x XXXXX, que garantizará su conservación mientras tal obligación persista. El adjudicatario podrá conservar, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con XXXXX. – Responsabilidad del contratista. En el caso de que el contratista destine los datos a otra finalidad, los comunique o los utilice incumpliendo las obligaciones especificadas, o cualesquiera otras exigibles por la normativa, será considerado Responsable del Tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente, estando sujeto, en su caso, al régimen sancionador establecido de conformidad con lo dispuesto en los artículos del 70 al 78 de la LOPDGDD así como a cualquier daño y perjuicio que su acción pueda provocar x XXXXX. – Comunicación de incidencia-brecha de seguridad: El contratista trasladará x XXXXX, de forma inmediata y, en todo caso, en un plazo inferior a 24 horas, cualquier incidencia acontecida durante la prestación del servicio y que pueda tener como consecuencia la alteración, la pérdida o el acceso a datos de carácter personal por parte de terceros no autorizados. – En el caso de que el tratamiento de datos se realice en los locales de la empresa adjudicataria, el encargado del tratamiento adoptará las medidas de seguridad necesarias apropiadas para garantizar un nivel de seguridad adecuado al riesgo. En Gijón, a la fecha del certificado digital, 09287620J XXXX XXXXX Firmado digitalmente por 09287620J XXXX XXXXX XXXXX (R: JOFDdoA.: RD.(JRos:é ÁngAe7l4J0ó6d1a1r77P)xxxxx Gerente dFeecShEaR: 2P0A22.03.25 12:11:49 +01'00' Servicios jurídicos XXXXXautorice “EL INDEP”.

SEGURIDAD DE LA INFORMACIÓN. Dando cumplimiento El servicio de seguridad de la información se encarga de proteger la información que maneja el ICETEX para cumplir con su misión y objetivos institucionales. Todas las actividades del servicio giran en torno a las obligaciones establecidas en el Reglamento (UE) 2016/679 del Parlamento Europeo mantener la disponibilidad, confidencialidad, integridad, no repudio, análisis y del Consejo, tratamiento de 27 xx xxxxx de 2016 relativo a la protección de datos personales (RGPD) y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de Derechos Digitales (LOPDGDD), y resto de normativa de desarrollo, las partes acuerdan someterse a las siguientes condiciones: – Permiso de acceso y tratamiento. El contratista tendrá acceso y podrá tratar los datos de carácter personal contenidos en los tratamientos riesgos a los que se le dé acceso, siempre que resulte imprescindible para la prestación de los trabajos y/o de las obligaciones contraídas, y, en todo caso, limitándose a los datos que resulten estrictamente necesarios. – Inexistencia de comunicación. El acceso por parte del contratista a los tratamientos con datos de carácter personal facilitados no se considerará una comunicación de datos. – Instrucciones del tratamiento. El tratamiento de dichos datos responderá a las instrucciones recibidas xx XXXXX (Encargada del Tratamiento), en los términos del contrato que se formalice. – Uso de los datos. Toda expone la información a institucional. A su vez este servicio debe garantizar la que el contratista tenga accesoprotección y correcto acceso y uso de todos los servicios informáticos, y en especialla divulgación, los datos intercepción o destrucción no autorizada de carácter personal, no será utilizada bajo ninguna circunstancia para un fin distinto al establecido en el contrato que se formalice a partir del presente documentoinformación. – Los tratamientos con datos de carácter personal se pondrán a disposición del contratista con el único fin de realizar las tareas necesarias para la prestación de los trabajos y/o de las obligaciones establecidas en la presente contratación, quedando prohibido para el contratista y el personal que ejecute la prestación del servicio, destinarla a cualquier otro fin. – Prohibición de comunicación de los datos a terceros. Los datos de carácter personal o documentos objeto del tratamiento no podrán ser comunicados a un tercero bajo ningún concepto, sin el consentimiento previo xx XXXXX, aunque sea EL CONTRATISTA debe proveer como recurso principal para el cumplimiento de fines directamente relacionados la Administración de la Seguridad Informática, el Recurso Humano descrito en el ANEXO 8. “FUNCIONES DE PERSONAL EN SITIO” en especial el relacionado con las funciones legítimas ADMINISTRADOR SEGURIDAD DE LA INFORMACION. Sin embargo, cualquier requerimiento en la materia, que no pueda ser resuelto en primera instancia de acuerdo con los alcances del cedente y presente pliego, deben ser reforzados por personal especializado de parte del cesionarioCONTRATISTA, sin perjuicio que esto implique costos adicionales a los presentados en los anexos 2 al 7 y 22 requeridos en el presente pliego de condiciones. El ICETEX cuenta actualmente con un firewall en cluster (marca check point) de seguridad perimetral configurado “activo activo” en el Centro de Cómputo Principal actual en el sector de Santa Xxxxxxx y su equivalente en el edificio de la Dirección General en el sector de Aguas (Bogotá) que realiza inspección de paquetes, la solución. Cualquier solución de telecomunicaciones y seguridad deberá considerar la integración con estos equipos y sus funcionalidades. La configuración y características funcionales de operación de estos equipos se deben revisar en el ANEXO 20 “CARACTERISTICAS TECNICAS FIRE WALL ACTUAL ICETEX CENTRO DE COMPUTO”. El CONTRATISTA debe proveer un Fire Wall o su equivalente para el Centro de Cómputo Alterno que permita todas las funcionalidades de seguridad descritas en el ANEXO 20 “CARACTERISTICAS TECNICAS FIRE WALL ACTUAL ICETEX DATA CENTER”. La configuración, implementación, puesta en operación y mantenimiento serán completa responsabilidad del CONTRATISTA. Cualquier cambio requerido por el ICETEX será analizado y puesto en operación mediante “Control de Cambio” según las buenas prácticas ITIL. EL CONTRATISTA en conjunto con el ICETEX debe diseñar, documentar y aplicar sobre el Firewall, las políticas de seguridad asociadas a la infraestructura tecnológica que se encuentran dentro del alcance y debe realizar como mínimo las siguientes actividades: ⮚ Suministrar y realizar la administración, mantenimiento y actualización de las excepciones previstas políticas de seguridad en el RGPD los firewalls de la red en coordinación y en con autorización de la LOPDGDDDirección de Tecnología del ICETEX. – Una vez cumplida ⮚ Realizar administración, mantenimiento y actualizaciones a los equipos Hardware que soportan la prestación contractual, los datos de carácter personal utilizados deberán ser destruidos o devueltos x XXXXX, al igual que cualquier soporte o documentos utilizados según las condiciones que se indican en la presente cláusula. – Cesión. El contratista no podrá comunicar los datos cedidos, accedidos o tratados a terceros, ni siquiera para su conservación. – Transferencias Internacionales de datos. Sin perjuicio de lo anterior, se prohíbe el tratamiento operación de los datos de carácter personal en terceros países sin un nivel de protección equiparable al otorgado por la normativa de protección de datos de carácter personal vigente en España, salvo que se cumpla con las exigencias establecidas en el RGPD para las transferencias internacionales de datos (art. 44 y ss. RGPD). – Medidas de seguridad. En los tratamientos con datos de carácter personal objeto de la licitación, el contratista deberá aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. El contratista debe garantizar que, el personal involucrado en la prestación del servicio, conoce y se compromete a cumplir lo dispuesto en el RGPD y en la LOPDGDD. – Control y Auditoria. El contratista autorizará x XXXXX, en caso de ser necesario, a la realización de controles o auditorias, incluyendo el acceso al establecimiento donde se estén tratando los datos, a la documentación y a los equipos. El contratista debe proporcionar x XXXXX los mecanismos de control y seguimiento que le sean solicitados e información suficiente sobre las medidas de seguridad que estén siendo aplicadas en el desarrollo de los trabajos contratados. – Ante inspecciones que pudieran sucederse o requerimientos de la Agencia Española de Protección de Datos x XXXXX, el contratista se compromete a proporcionar la información requerida para facilitar en todo momento la actuaciones previstas en los plazos legales establecidos y a adoptar las medidas que se consideren oportunas derivadas de dichas actuaciones. – Devolución o Destrucción de datos. Una vez finalizados los trabajos, el contratista procederá a dar un destino adecuado a la información recabada, ya sea su destrucción o borrado, bien la devolución, de cualquier dato personal entregado por XXXXX, así como también cualquier soporte o documento en que conste algún dato de carácter personal objeto de tratamiento. Conforme a lo establecido en el artículo 33 de la Ley Orgánica 3/2018, de Protección de Datos Personales y Garantía de Derechos Digitales, no procederá la destrucción de los datos cuando exista una previsión legal que obligue a su conservación, en cuyo caso deberán ser devueltos x XXXXX, que garantizará su conservación mientras tal obligación persista. El adjudicatario podrá conservar, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con XXXXX. – Responsabilidad del contratista. En el caso de que el contratista destine los datos a otra finalidad, los comunique o los utilice incumpliendo las obligaciones especificadas, o cualesquiera otras exigibles por la normativa, será considerado Responsable del Tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente, estando sujeto, en su caso, al régimen sancionador establecido de conformidad con lo dispuesto en los artículos del 70 al 78 de la LOPDGDD así como a cualquier daño y perjuicio que su acción pueda provocar x XXXXX. – Comunicación de incidencia-brecha de seguridad: El contratista trasladará x XXXXX, de forma inmediata y, en todo caso, en un plazo inferior a 24 horas, cualquier incidencia acontecida durante la prestación del servicio y que pueda tener como consecuencia la alteración, la pérdida o el acceso a datos de carácter personal por parte de terceros no autorizados. – En el caso de que el tratamiento de datos se realice en los locales de la empresa adjudicataria, el encargado del tratamiento adoptará las medidas de seguridad necesarias apropiadas para garantizar un nivel de seguridad adecuado al riesgo. En Gijón, a la fecha del certificado digital, 09287620J XXXX XXXXX Firmado digitalmente por 09287620J XXXX XXXXX XXXXX (R: JOFDdoA.: RD.(JRos:é ÁngAe7l4J0ó6d1a1r77P)xxxxx Gerente dFeecShEaR: 2P0A22.03.25 12:11:49 +01'00' Servicios jurídicos XXXXXfirewalls.

SEGURIDAD DE LA INFORMACIÓN. Dando cumplimiento Si fuera preciso por el PROVEEDOR el acceso y la utilización de los sistemas tecnológicos del BANCO entendidos estos como el conjunto de elementos de software (programas), hardware (máquinas) y de soportes de la información electrónica implantados, el PROVEEDOR se obliga a cumplir en todo momento con la Política de Seguridad de los Sistemas de Información que el BANCO tenga establecida en cada momento y en particular, en la actualidad, con el vigente Protocolo de Utilización de la Tecnología de la Información y de las obligaciones establecidas Comunicaciones en el Reglamento (UE) 2016/679 Grupo Sabadell. Con tal finalidad, el BANCO entrega en este acto al PROVEEDOR una copia del Parlamento Europeo citado Protocolo, acusando éste recibo de su entrega y del Consejo, surtiendo plena eficacia para el PROVEEDOR a los efectos de 27 xx xxxxx de 2016 relativo a la protección de datos personales (RGPD) lo dispuesto en esta cláusula y en la Ley Orgánica 3/2018cláusula “Responsabilidades”, de 5 de diciembre, de Protección de Datos Personales y Garantía de Derechos Digitales (LOPDGDD), y resto de normativa de desarrollo, las partes acuerdan someterse a las siguientes condiciones: – Permiso de desde el momento en que el acceso y tratamiento. El contratista tendrá acceso y podrá tratar los datos de carácter personal contenidos en los tratamientos a los que se le dé acceso, siempre que resulte imprescindible para la prestación utilización de los trabajos y/o de las obligaciones contraídassistemas tecnológicos, y, en todo caso, limitándose a los datos que resulten estrictamente necesarios. – Inexistencia de comunicación. El acceso por parte del contratista a los tratamientos con datos de carácter personal facilitados no según se considerará una comunicación de datos. – Instrucciones del tratamiento. El tratamiento de dichos datos responderá a las instrucciones recibidas xx XXXXX (Encargada del Tratamiento), en los términos del contrato que se formalice. – Uso de los datos. Toda la información a la que el contratista tenga acceso, y en especial, los datos de carácter personal, no será utilizada bajo ninguna circunstancia para un fin distinto al establecido definen en el contrato que Protocolo, se formalice lleven a partir cabo por el PROVEEDOR. En este sentido, el PROVEEDOR se compromete a informar a sus empleados sobre el contenido del presente documento. – Los tratamientos con datos protocolo antes de carácter personal se pondrán a disposición del contratista con el único fin de realizar las tareas necesarias para la prestación de los trabajos y/o de las obligaciones establecidas en la presente contratación, quedando prohibido para el contratista y el personal que ejecute iniciar la prestación del servicio, destinarla a cualquier otro fin. – Prohibición de comunicación de los datos a terceros. Los datos de carácter personal o documentos servicio objeto del tratamiento no podrán ser comunicados a un tercero bajo ningún concepto, sin el consentimiento previo xx XXXXX, aunque sea para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario, sin perjuicio de las excepciones previstas en el RGPD y en la LOPDGDD. – Una vez cumplida la prestación contractual, los datos de carácter personal utilizados deberán ser destruidos o devueltos x XXXXX, al igual que cualquier soporte o documentos utilizados según las condiciones que se indican en la presente cláusula. – Cesión. El contratista no podrá comunicar los datos cedidos, accedidos o tratados a terceros, ni siquiera para su conservación. – Transferencias Internacionales de datos. Sin perjuicio de lo anterior, se prohíbe el tratamiento de los datos de carácter personal en terceros países sin un nivel de protección equiparable al otorgado por la normativa de protección de datos de carácter personal vigente en España, salvo que se cumpla con las exigencias establecidas en el RGPD para las transferencias internacionales de datos (art. 44 y ss. RGPD). – Medidas de seguridad. En los tratamientos con datos de carácter personal objeto de la licitación, el contratista deberá aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. El contratista debe garantizar que, el personal involucrado en la prestación del servicio, conoce y se compromete a cumplir lo dispuesto en el RGPD y en la LOPDGDD. – Control y Auditoria. El contratista autorizará x XXXXX, en caso de ser necesario, a la realización de controles o auditorias, incluyendo el acceso al establecimiento donde se estén tratando los datos, a la documentación y a los equipos. El contratista debe proporcionar x XXXXX los mecanismos de control y seguimiento que le sean solicitados e información suficiente sobre las medidas de seguridad que estén siendo aplicadas en el desarrollo de los trabajos contratados. – Ante inspecciones que pudieran sucederse o requerimientos de la Agencia Española de Protección de Datos x XXXXX, el contratista se compromete a proporcionar la información requerida para facilitar en todo momento la actuaciones previstas en los plazos legales establecidos y a adoptar las medidas que se consideren oportunas derivadas de dichas actuaciones. – Devolución o Destrucción de datos. Una vez finalizados los trabajos, el contratista procederá a dar un destino adecuado a la información recabada, ya sea su destrucción o borrado, bien la devolución, de cualquier dato personal entregado por XXXXX, así como también cualquier soporte o documento en que conste algún dato de carácter personal objeto de tratamiento. Conforme a lo establecido en el artículo 33 de la Ley Orgánica 3/2018, de Protección de Datos Personales y Garantía de Derechos Digitales, no procederá la destrucción de los datos cuando exista una previsión legal que obligue a su conservación, en cuyo caso deberán ser devueltos x XXXXX, que garantizará su conservación mientras tal obligación persista. El adjudicatario podrá conservar, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con XXXXX. – Responsabilidad del contratistacontrato. En el caso de que en la prestación de los servicios el contratista destine PROVEEDOR deba tener acceso y utilización de los datos sistemas tecnológicos del BANCO, el PROVEEDOR aplicará en cada caso las medidas de seguridad establecidas en las Cláusulas de Seguridad de la Información para el Servicio/Proveedor de Tipo A, B o C conforme a otra finalidad, los comunique o los utilice incumpliendo las obligaciones especificadas, o cualesquiera otras exigibles por la normativa, será considerado Responsable del Tratamiento, respondiendo redacción de las infracciones mismas que consta protocolizado en que hubiera incurrido personalmenteescritura otorgada ante el Xxxxxxx xx Xxxxxxxx D. Xxxxxx Xxxx Xxxxx en fecha 28 de noviembre de 2017, estando sujetobajo el número de su protocolo 11.193, en su caso, al régimen sancionador establecido de conformidad con lo dispuesto en los artículos del 70 al 78 fotocopia de la LOPDGDD así como cual el PROVEEDOR declara haber recibido con antelación suficiente para su valoración y validación de su aplicación con anterioridad a cualquier daño y perjuicio que su acción pueda provocar x XXXXXla firma del presente contrato. – Comunicación De implicar el servicio contratado desarrollos de incidencia-brecha de seguridad: El contratista trasladará x XXXXX, de forma inmediata y, en todo caso, en un plazo inferior a 24 horas, cualquier incidencia acontecida durante la prestación del servicio y que pueda tener como consecuencia la alteración, la pérdida o el acceso a datos de carácter personal software por parte del PROVEEDOR, éste deberá cumplir adicionalmente con las medidas establecidas en la CLÁUSULA CONDICIONADA A SERVICIOS DE DESARROLLO de terceros no autorizadosdicha escritura. – En el caso de que para la prestación de sus servicios el tratamiento PROVEEDOR realice subcontratación de los mismos, ya sea de forma parcial o completa, aquel deberá cumplir adicionalmente con los principios establecidos en el apartado CLÁUSULA CONDICIONADA A LA SUBCONTRATACIÓN TOTAL O PARCIAL DEL SERVICIO CONTRATADO asimismo incluido en dicho documento. En el supuesto de que para la prestación de sus servicios el PROVEEDOR use, total o parcialmente, servicios de computación en la nube, será de aplicación lo siguiente, que en cada caso se especificará en el correspondiente Contrato Particular: - si se trata de nube pública, privada, híbrida o comunitaria y su ubicación geográfica. - el BANCO podrá requerir el PROVEEDOR un plan de continuidad de negocio apropiado a los servicios prestados bajo el presente Contrato así como el cumplimiento de las siguientes obligaciones de auditoría y derecho de acceso, conforme a las Recomendaciones de EBA EBA/REC/2017/03 de 28 xx Xxxxx de 2018 o cualesquiera otras que puedan modificarlas o complementarlas en el futuro, adicionalmente a las establecidas en la Cláusula “Control y Supervisión”. - Por ello, el PROVEEDOR se obliga a proporcionar al BANCO, al auditor legal del mismo, al Supervisor, o a cualquier tercero designado a tal fin por cualquiera de ellos, acceso pleno a las instalaciones (oficinas centrales y centros de operaciones), incluida toda la gama de dispositivos, sistemas, redes y datos se realice utilizados para prestar los servicios (derecho de acceso), así como derechos ilimitados de inspección y auditoría en relación con los locales servicios (derecho de auditoría). Ningún acuerdo contractual obstaculizará ni limitará el ejercicio efectivo de ambos derechos ni limitará que el BANCO y/o el Supervisor puedan llevar a cabo su función y/o sus objetivos de supervisión. La parte que tenga intención de ejercer su derecho de acceso deberá informar con un periodo de tiempo razonable de la empresa adjudicatariavisita in situ prevista antes de su realización, a menos que no sea posible notificar la visita con antelación debido a una situación de emergencia o crisis. El PROVEEDOR deberá colaborar plenamente con el BANCO, el encargado auditor legal del tratamiento adoptará mismo, el Supervisor o cualquier tercero designado por cualquiera de ellos en relación con la visita in situ. Asimismo el BANCO podrá considerar en todo momento la adopción de medidas específicas por parte de el PROVEEDOR, las medidas de seguridad necesarias apropiadas para garantizar un nivel de seguridad adecuado al riesgo. En Gijóncuales una vez notificadas el PROVEEDOR se obliga a implantar, a la fecha del certificado digitalfin de proteger los datos en tránsito, 09287620J XXXX XXXXX Firmado digitalmente por 09287620J XXXX XXXXX XXXXX (R: JOFDdoA.: RD.(JRos:é ÁngAe7l4J0ó6d1a1r77P)xxxxx Gerente dFeecShEaR: 2P0A22.03.25 12:11:49 +01'00' Servicios jurídicos XXXXXlos datos en memoria y los datos en reposo, como el uso de tecnologías de cifrado combinadas con una arquitectura de gestión de claves adecuada.

SEGURIDAD DE LA INFORMACIÓN. Dando cumplimiento El adjudicatario se obliga a cumplir la normativa legal aplicable en materia de seguridad de la información en el marco de los servicios prestados. Con carácter general el adjudicatario se comprometerá a ajustar su actividad y prestar sus servicios con arreglo a las obligaciones establecidas previsiones del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el Reglamento (UE) 2016/679 del Parlamento Europeo ámbito de la Administración Electrónica y del Consejoel Real Decreto 951/2015, de 27 xx xxxxx 23 de 2016 relativo octubre, de modificación del anterior. La prestación del servicio quedará sujeta a la protección Política de datos personales (RGPD) seguridad en el ámbito de los sistemas de información del Consejo de Seguridad Nuclear y en demás documentos de seguridad derivados de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de Derechos Digitales (LOPDGDD), y resto de normativa de desarrollo, las partes acuerdan someterse a las siguientes condiciones: – Permiso de acceso y tratamientomisma. El contratista tendrá acceso adjudicatario y podrá tratar los su equipo de trabajo quedan pues obligados al cumplimiento de todas las normas de seguridad del CSN y, en particular: - A no registrar datos de carácter personal contenidos en ficheros que no reúnan las condiciones que se determinen por el RD 1720/2007 respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas. (Artículo 9.2. LOPD). - A no realizar pruebas con datos de carácter personal. - A no transferir ningún tipo de datos, de carácter personal o no, de documentación o código fuente de los sistemas de información del CSN a soportes de almacenamiento extraíbles sin el expreso consentimiento del CSN. - A no extraer del CSN ningún tipo de información mediante redes de comunicaciones o servicios de almacenamiento externos al CSN, como los disponibles en el “Cloud Computing”, o a las propias instalaciones del contratista. - A notificar cualquier incidencia de seguridad al responsable de Seguridad del CSN según los procedimientos de seguridad del organismo. - A disponer en sus equipos de un sistema de protección antivirus, actualizado periódicamente y de forma automática, que deberá utilizarse sobre cualquier fichero, soporte y software antes de que cualquiera de éstos resida o se instale en los tratamientos sistemas de información del CSN. La frecuencia de actualización será como mínimo semanal. - A no compartir las cuentas de correo asignadas de forma personal ni desviar de forma automática el correo a los cuentas particulares o propias de la empresa adjudicataria. - A mantener cifrada y debidamente custodiada, y a no compartir cualquier tipo de información confidencial que se le dé acceso, siempre que resulte imprescindible pueda ser facilitada para la prestación de los trabajos y/o servicios contratados. El equipo de trabajo será informado y concienciado por el personal del CSN en los aspectos de seguridad del organismo y cada miembro deberá firmar el reconocimiento de la formación recibida en materia de seguridad. El jefe de proyecto del adjudicatario será el responsable del cumplimiento de las obligaciones contraídas, y, en todo caso, limitándose a los datos que resulten estrictamente necesarios. – Inexistencia medidas de comunicación. El acceso seguridad por parte del contratista equipo de trabajo. Cuando el adjudicatario acceda de forma remota a los tratamientos con datos infraestructuras del CSN se compromete a: - Custodiar debidamente la información de carácter personal facilitados no se considerará una comunicación acceso que le facilite el CSN para la conexión durante el periodo de datosvigencia del contrato, y a destruirla extinguido el mismo. – Instrucciones - No habilitar ni utilizar las funciones de las aplicaciones o sistemas operativos que permitan guardar o recordar las credenciales de acceso de forma automática. - Mantener convenientemente aisladas, lógica y físicamente, las infraestructuras del tratamiento. El tratamiento de dichos datos responderá a las instrucciones recibidas xx XXXXX (Encargada del Tratamiento), en los términos del contrato adjudicatario que se formalice. – Uso de los datos. Toda la información utilicen para acceder a la red corporativa del CSN. Entre cada red, subred o servicio de comunicaciones se implantarán cortafuegos (firewalls) que el contratista tenga accesodeberán estar configurados con la política del menor privilegio, y en especial, los datos bloqueando o denegando cualquier tipo de carácter personal, tráfico no será utilizada bajo ninguna circunstancia para un fin distinto al establecido en el contrato que se formalice a partir del presente documento. – Los tratamientos con datos de carácter personal se pondrán a disposición del contratista con el único fin de realizar las tareas necesarias autorizado o innecesario para la prestación del servicio. De la misma forma se permitirán únicamente los puertos, protocolos o servicios autorizados por el CSN. Cualquier puerto, protocolo o servicio no especificado como autorizado se denegará por defecto. En el marco de la ejecución del contrato, y respecto a los sistemas de información objeto del mismo, las siguientes actividades están específicamente prohibidas: - La utilización de los sistemas de información para la realización de actividades ilícitas o no autorizadas, como la comunicación, distribución o cesión de datos, medios u otros contenidos a los que se tenga acceso en virtud de la ejecución de los trabajos y/, especialmente, los que estén protegidos por disposiciones de carácter legislativo o normativo. - La instalación no autorizada de software, la modificación de las configuraciones o la conexión a redes. - La modificación no autorizada del sistema de información o del software instalado, o el uso del sistema distinto al de su propósito. - La sobrecarga, prueba, o desactivación de los mecanismos de seguridad y las redes, así como la monitorización de redes o teclados. - La reubicación física y los cambios de configuración de los sistemas de información o de las obligaciones establecidas en la presente contrataciónsus redes de comunicación. - La instalación de dispositivos o sistemas ajenos al desarrollo del contrato sin autorización previa, quedando prohibido para el contratista y el personal que ejecute la prestación del serviciotales como dispositivos USB, destinarla a soportes externos, ordenadores portátiles, puntos de acceso inalámbricos o PDA. - La posesión, distribución, cesión, revelación o alteración de cualquier otro fin. – Prohibición de comunicación de los datos a terceros. Los datos de carácter personal o documentos objeto del tratamiento no podrán ser comunicados a un tercero bajo ningún concepto, información sin el consentimiento previo xx XXXXXexpreso del propietario de la misma. - Compartir cuentas e identificadores personales (incluyendo contraseñas y PIN) o permitir el uso de mecanismos de acceso, aunque sea para sean locales o remotos, a usuarios no autorizados. - Inutilizar o suprimir cualquier elemento de seguridad o protección o la información que generen. El adjudicatario adquirirá el cumplimiento compromiso de fines directamente relacionados con las funciones legítimas del cedente y del cesionarioser auditado por personal autorizado por el CSN, sin perjuicio de las excepciones previstas en cualquier momento en el RGPD y en desarrollo del contrato, con el fin de verificar la LOPDGDD. – Una vez cumplida la prestación contractualseguridad implementada, los datos de carácter personal utilizados deberán ser destruidos o devueltos x XXXXX, al igual que cualquier soporte o documentos utilizados según las condiciones comprobando que se indican en la presente cláusula. – Cesión. El contratista no podrá comunicar los datos cedidos, accedidos o tratados a terceros, ni siquiera para su conservación. – Transferencias Internacionales de datos. Sin perjuicio de lo anterior, se prohíbe el tratamiento de los datos de carácter personal en terceros países sin un nivel cumplen las recomendaciones de protección equiparable al otorgado por la normativa de protección de datos de carácter personal vigente en España, salvo que se cumpla con las exigencias establecidas en el RGPD para las transferencias internacionales de datos (art. 44 y ss. RGPD). – Medidas de seguridad. En los tratamientos con datos de carácter personal objeto de la licitación, el contratista deberá aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. El contratista debe garantizar que, el personal involucrado en la prestación del servicio, conoce y se compromete a cumplir lo dispuesto en el RGPD y en la LOPDGDD. – Control y Auditoria. El contratista autorizará x XXXXX, en caso de ser necesario, a la realización de controles o auditorias, incluyendo el acceso al establecimiento donde se estén tratando los datos, a la documentación y a los equipos. El contratista debe proporcionar x XXXXX los mecanismos de control y seguimiento que le sean solicitados e información suficiente sobre las medidas de seguridad que estén siendo aplicadas en el desarrollo de los trabajos contratados. – Ante inspecciones que pudieran sucederse o requerimientos de la Agencia Española distinta normativa, en función de Protección las condiciones de Datos x XXXXXaplicación en cada caso. Asimismo, el contratista CSN se compromete a proporcionar reserva la información requerida para facilitar en todo momento posibilidad de monitorizar la actuaciones previstas en los plazos legales establecidos y a adoptar las medidas que se consideren oportunas derivadas actividad del equipo de dichas actuaciones. – Devolución o Destrucción de datos. Una vez finalizados los trabajos, el contratista procederá a dar un destino adecuado a la información recabada, ya sea su destrucción o borrado, bien la devolución, de cualquier dato personal entregado por XXXXX, así como también cualquier soporte o documento en que conste algún dato de carácter personal objeto de tratamiento. Conforme a lo establecido en el artículo 33 de la Ley Orgánica 3/2018, de Protección de Datos Personales y Garantía de Derechos Digitales, no procederá la destrucción de los datos cuando exista una previsión legal que obligue a su conservación, en cuyo caso deberán ser devueltos x XXXXX, que garantizará su conservación mientras tal obligación persista. El adjudicatario podrá conservar, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con XXXXX. – Responsabilidad trabajo del contratista. En el caso de que el contratista destine los datos a otra finalidad, los comunique o los utilice incumpliendo las obligaciones especificadas, o cualesquiera otras exigibles por la normativa, será considerado Responsable del Tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente, estando sujeto, en su caso, al régimen sancionador establecido de conformidad con lo dispuesto en los artículos del 70 al 78 de la LOPDGDD así como a cualquier daño y perjuicio que su acción pueda provocar x XXXXX. – Comunicación de incidencia-brecha de seguridad: El contratista trasladará x XXXXX, de forma inmediata y, en todo caso, en un plazo inferior a 24 horas, cualquier incidencia acontecida durante la prestación del servicio y que pueda tener como consecuencia la alteración, la pérdida o el acceso a datos de carácter personal por parte de terceros no autorizados. – En el caso de que el tratamiento de datos se realice en los locales de la empresa adjudicataria, el encargado del tratamiento adoptará las medidas de seguridad necesarias apropiadas para garantizar un nivel de seguridad adecuado al riesgo. En Gijón, a la fecha del certificado digital, 09287620J XXXX XXXXX Firmado digitalmente por 09287620J XXXX XXXXX XXXXX (R: JOFDdoA.: RD.(JRos:é ÁngAe7l4J0ó6d1a1r77P)xxxxx Gerente dFeecShEaR: 2P0A22.03.25 12:11:49 +01'00' Servicios jurídicos XXXXXadjudicatario.

SEGURIDAD DE LA INFORMACIÓN. Dando cumplimiento a Sin limitar las obligaciones establecidas del Vendedor en otras partes de esta Orden, el Reglamento (UE) 2016/679 del Parlamento Europeo Vendedor implementará salvaguardas y del Consejocontroles de seguridad de referencia que no sean menos rigurosos de lo aceptado en las prácticas de la industria, de 27 xx xxxxx de 2016 relativo a la protección de datos personales (RGPD) y específicamente los establecidos en la Ley Orgánica 3/2018última versión publicada de (i) la Publicación Especial 800-53 del Instituto Nacional de Estándares y Tecnología (National Instiute of Standards and Technology, o (ii) o publicación de 5 la Organización de diciembreNormalización Internacional / Comisión Electrotécnica Internacional (ISO/IEC) 27001, con el fin de Protección de Datos Personales y Garantía de Derechos Digitales (LOPDGDD)proteger la Información Confidencial del Comprador, cualquier otro dato del Comprador o su personal, y resto los sistemas del Comprador (todo lo anterior se conoce colectivamente como "Datos y Sistemas del Comprador"). Tras un aviso razonable al Vendedor, el Comprador tendrá derecho a revisar las políticas, procesos, controles y resultados del Vendedor de normativa de desarrollo, las partes acuerdan someterse a las siguientes condiciones: – Permiso de acceso y tratamiento. El contratista tendrá acceso y podrá tratar los datos de carácter personal contenidos en los tratamientos a los que se le dé acceso, siempre que resulte imprescindible para la prestación de los trabajos revisiones internas y/o externas de los procesos y controles asociados con los Datos y Sistemas del Comprador (colectivamente, "Procesos y Controles del Vendedor") antes y durante la ejecución de esta Orden, incluso inmediatamente en cualquier momento después de cualquier incidente de seguridad incurrido por el Vendedor que pueda afectar los Datos y Sistemas del Comprador. Tras el descubrimiento de cualquier incidente de seguridad, el Vendedor deberá informar al Comprador dentro de las obligaciones contraídasveinticuatro (24) horas siguientes sobre el incidente y la naturaleza de su impacto en los Datos y Sistemas del Comprador. Además, yel Comprador bajo su propio costo tendrá derecho a realizar, o mandar hacer por un tercero independiente, una auditoría in situ de los Procesos y Controles del Vendedor. En lugar de una auditoría en todo casoel sitio, limitándose a petición del Comprador, el Vendedor acepta completar, dentro de los datos que resulten estrictamente necesarios. – Inexistencia veinte (20) días posteriores a la recepción, un cuestionario de comunicaciónauditoría proporcionado por el Comprador con respecto al programa de seguridad de la información del Vendedor. El acceso por parte del contratista a los tratamientos con datos de carácter personal facilitados no se considerará una comunicación de datos. – Instrucciones del tratamiento. El tratamiento de dichos datos responderá a las instrucciones recibidas xx XXXXX (Encargada del Tratamiento), en los términos del contrato que se formalice. – Uso de los datos. Toda la información a la que el contratista tenga acceso, y en especial, los datos de carácter personal, no será utilizada bajo ninguna circunstancia para un fin distinto al establecido en el contrato que se formalice a partir del presente documento. – Los tratamientos con datos de carácter personal se pondrán a disposición del contratista con el único fin de realizar las tareas necesarias para la prestación de los trabajos y/o de las obligaciones establecidas en la presente contratación, quedando prohibido para el contratista y el personal que ejecute la prestación del servicio, destinarla a cualquier otro fin. – Prohibición de comunicación de los datos a terceros. Los datos de carácter personal o documentos objeto del tratamiento no podrán ser comunicados a un tercero bajo ningún concepto, sin el consentimiento previo xx XXXXX, aunque sea para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario, sin perjuicio de las excepciones previstas en el RGPD y en la LOPDGDD. – Una vez cumplida la prestación contractual, los datos de carácter personal utilizados deberán ser destruidos o devueltos x XXXXX, al igual que cualquier soporte o documentos utilizados según las condiciones que se indican en la presente cláusula. – Cesión. El contratista no podrá comunicar los datos cedidos, accedidos o tratados a terceros, ni siquiera para su conservación. – Transferencias Internacionales de datos. Sin perjuicio de lo anterior, se prohíbe el tratamiento de los datos de carácter personal en terceros países sin un nivel de protección equiparable al otorgado por la normativa de protección de datos de carácter personal vigente en España, salvo que se cumpla con las exigencias establecidas en el RGPD para las transferencias internacionales de datos (art. 44 y ss. RGPD). – Medidas de seguridad. En los tratamientos con datos de carácter personal objeto de la licitación, el contratista deberá aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. El contratista debe garantizar que, el personal involucrado en la prestación del servicio, conoce y se compromete a cumplir lo dispuesto en el RGPD y en la LOPDGDD. – Control y Auditoria. El contratista autorizará x XXXXX, en caso de ser necesario, a la realización de controles o auditorias, incluyendo el acceso al establecimiento donde se estén tratando los datos, a la documentación y a los equipos. El contratista debe proporcionar x XXXXX los mecanismos de control y seguimiento que le sean solicitados e información suficiente sobre Vendedor implementará las medidas de seguridad que estén siendo aplicadas en requeridas según lo identificado por el desarrollo Comprador o las auditorías del programa de los trabajos contratados. – Ante inspecciones que pudieran sucederse o requerimientos seguridad de la Agencia Española de Protección de Datos x XXXXX, el contratista se compromete a proporcionar la información requerida para facilitar en todo momento la actuaciones previstas en los plazos legales establecidos y a adoptar las medidas que se consideren oportunas derivadas de dichas actuaciones. – Devolución o Destrucción de datos. Una vez finalizados los trabajos, el contratista procederá a dar un destino adecuado a la información recabada, ya sea su destrucción o borrado, bien la devolución, de cualquier dato personal entregado por XXXXX, así como también cualquier soporte o documento en que conste algún dato de carácter personal objeto de tratamiento. Conforme a lo establecido en el artículo 33 de la Ley Orgánica 3/2018, de Protección de Datos Personales y Garantía de Derechos Digitales, no procederá la destrucción de los datos cuando exista una previsión legal que obligue a su conservación, en cuyo caso deberán ser devueltos x XXXXX, que garantizará su conservación mientras tal obligación persista. El adjudicatario podrá conservar, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con XXXXX. – Responsabilidad del contratista. En el caso de que el contratista destine los datos a otra finalidad, los comunique o los utilice incumpliendo las obligaciones especificadas, o cualesquiera otras exigibles por la normativa, será considerado Responsable del Tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente, estando sujeto, en su caso, al régimen sancionador establecido de conformidad con lo dispuesto en los artículos del 70 al 78 de la LOPDGDD así como a cualquier daño y perjuicio que su acción pueda provocar x XXXXX. – Comunicación de incidencia-brecha de seguridad: El contratista trasladará x XXXXX, de forma inmediata y, en todo caso, en un plazo inferior a 24 horas, cualquier incidencia acontecida durante la prestación del servicio y que pueda tener como consecuencia la alteración, la pérdida o el acceso a datos de carácter personal por parte de terceros no autorizados. – En el caso de que el tratamiento de datos se realice en los locales de la empresa adjudicataria, el encargado del tratamiento adoptará las medidas de seguridad necesarias apropiadas para garantizar un nivel de seguridad adecuado al riesgo. En Gijón, a la fecha del certificado digital, 09287620J XXXX XXXXX Firmado digitalmente por 09287620J XXXX XXXXX XXXXX (R: JOFDdoA.: RD.(JRos:é ÁngAe7l4J0ó6d1a1r77P)xxxxx Gerente dFeecShEaR: 2P0A22.03.25 12:11:49 +01'00' Servicios jurídicos XXXXXinformación.

SEGURIDAD DE LA INFORMACIÓN. Dando cumplimiento En lo relacionado a temas de seguridad de la información se evaluará a cada proponente a través de las obligaciones establecidas respuestas a los requerimientos establecidos en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, capítulo III “arquitectura de 27 xx xxxxx de 2016 relativo a la protección de datos personales (RGPD) y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de Derechos Digitales (LOPDGDD), y resto de normativa de desarrollo, las partes acuerdan someterse a las siguientes condiciones: – Permiso de acceso y tratamiento. El contratista tendrá acceso y podrá tratar los datos de carácter personal contenidos en los tratamientos a los seguridad” que se le dé accesoencuentra en el Anexo No.10 “Requerimientos Técnicos para el desarrollo de una plataforma” Para acreditar la experiencia exigida, siempre que resulte imprescindible para la prestación cada Proponente deberá aportar certificaciones, o contratos con sus respectivas actas de los trabajos liquidación y/o de las obligaciones contraídasterminaciones expedidas por sus clientes, ycorrespondientes a empresas que operen en Colombia, en todo caso, limitándose a las cuales se hayan prestado los datos que resulten estrictamente necesariosservicios antes mencionados. – Inexistencia Las certificaciones o contratos con sus respectivas actas de comunicación. El acceso por parte del contratista a los tratamientos con datos de carácter personal facilitados no se considerará una comunicación de datos. – Instrucciones del tratamiento. El tratamiento de dichos datos responderá a las instrucciones recibidas xx XXXXX (Encargada del Tratamiento), en los términos del contrato que se formalice. – Uso de los datos. Toda la información a la que el contratista tenga acceso, y en especial, los datos de carácter personal, no será utilizada bajo ninguna circunstancia para un fin distinto al establecido en el contrato que se formalice a partir del presente documento. – Los tratamientos con datos de carácter personal se pondrán a disposición del contratista con el único fin de realizar las tareas necesarias para la prestación de los trabajos liquidación y/o terminación deberán contener como mínimo la siguiente información: • Nombre o razón social del Contratante • Nombre o razón social del Contratista • Objeto del servicio o contrato • Datos de las obligaciones establecidas en contacto del Contratante • Fecha inicio • Fecha de terminación No se entenderá como acreditación de experiencia una lista donde se relacione la presente contratación, quedando prohibido para el contratista y el personal que ejecute la prestación del servicio, destinarla a cualquier otro fin. – Prohibición de comunicación de los datos a terceros. Los datos de carácter personal o documentos objeto del tratamiento no podrán ser comunicados a un tercero bajo ningún conceptoexperiencia, sin el consentimiento previo xx XXXXXque se aporten las respectivas certificaciones, aunque sea para el cumplimiento contratos con sus respectivas actas de fines directamente relacionados con las funciones legítimas del cedente y del cesionario, sin perjuicio de las excepciones previstas liquidación o terminación. El Proponente deberá relacionar la experiencia que se certificará conforme a lo indicado en el RGPD y en la LOPDGDDpresente numeral, diligenciando el Anexo No.7 Formato Experiencia del Proponente. – Una vez cumplida la prestación contractual, los datos de carácter personal utilizados deberán ser destruidos o devueltos x XXXXX, Bancóldex podrá solicitar información al igual que cualquier soporte o documentos utilizados según las condiciones que se indican en la presente cláusula. – Cesión. El contratista no podrá comunicar los datos cedidos, accedidos o tratados a terceros, ni siquiera para su conservación. – Transferencias Internacionales de datos. Sin perjuicio de lo anterior, se prohíbe el tratamiento de los datos de carácter personal en terceros países sin un nivel de protección equiparable al otorgado por la normativa de protección de datos de carácter personal vigente en España, salvo que se cumpla con las exigencias establecidas en el RGPD para las transferencias internacionales de datos (art. 44 y ss. RGPD). – Medidas de seguridad. En los tratamientos con datos de carácter personal objeto de la licitación, el contratista deberá aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. El contratista debe garantizar que, el personal involucrado en la prestación del servicio, conoce y se compromete a cumplir lo dispuesto en el RGPD y en la LOPDGDD. – Control y Auditoria. El contratista autorizará x XXXXXproponente, en caso de ser necesario, requerir aclaraciones o ampliar información respecto a la realización experiencia específica. Sólo serán válidas las certificaciones expedidas por diferentes entidades o empresas. En caso de controles no lograr obtener esta información durante el tiempo de apertura del proceso, la certificación podrá ser remplazada por la copia del contrato, siempre y cuando también se anexe la respectiva acta de terminación y/o auditoriasacta de liquidación, incluyendo el acceso al establecimiento donde se estén tratando debidamente suscrita por la entidad contratante, que en conjunto cumplan con los datoscontenidos y requisitos establecidos anteriormente, a la documentación y a los equiposde lo contrario no será tenida en cuenta. El contratista acta de liquidación debidamente suscrita por las partes servirá para acreditar la experiencia del proponente, siempre que en ella conste la información de nombre del contratante, objeto, vigencia y valor del contrato. El proveedor proponente deberá facilitar el contacto con las entidades o empresas certificadoras, con el fin de validar la experiencia presentada. El Proponente debe proporcionar x XXXXX los mecanismos de control y seguimiento que le sean solicitados e información suficiente sobre las medidas de seguridad que estén siendo aplicadas en dar respuesta puntual a cada numeral del Anexo No.10 “Requerimientos Técnicos para el desarrollo de una plataforma” que incluye la lista de verificación de requerimientos técnicos que se deben entregar, indicando si su propuesta cumple con los trabajos contratadosmismos, explicando y argumentando técnicamente cómo cumplirá con cada uno de los puntos solicitados y en qué página de su propuesta se desarrolla el respectivo requerimiento. – Ante inspecciones Aquel proponente que pudieran sucederse o requerimientos no cumpla con lo definido en alguno de los numerales deberá explicar técnicamente las razones por la cuales no cumple con dichos requerimientos. El puntaje para este criterio se asignará así: Puntaje Ítem Descripción Evaluación Puntos 27 Arquitectura de Software El diseño de la Agencia Española solución presentado está diseñado bajo una arquitectura orientada a servicios La arquitectura está alineada a un patrón orientada a servicios 2 puntos, otra arquitectura que cumple con los requerimientos del banco 1 punto 2 Se presenta un diagrama de Protección componentes del sistema donde se entienden claramente las capas y los componentes que conforman el sistema Presentan diagrama con la descripción de Datos x XXXXX, el contratista se compromete a proporcionar la información requerida para facilitar en todo momento la actuaciones previstas en los plazos legales establecidos las capas y a adoptar las medidas que se consideren oportunas derivadas de dichas actuaciones. – Devolución o Destrucción de datos. Una vez finalizados los trabajos, el contratista procederá a dar un destino adecuado a la información recabada, ya sea su destrucción o borrado, bien la devolución, de cualquier dato personal entregado por XXXXX, así como también cualquier soporte o documento en que conste algún dato de carácter personal objeto de tratamiento. Conforme a lo establecido en el artículo 33 de la Ley Orgánica 3/2018, de Protección de Datos Personales y Garantía de Derechos Digitalescomponentes del sistema 5 puntos, no procederá presenta 0 puntos 5 El proveedor presenta un diagrama de tecnologías de software Presentan diagrama con las tecnologías de software 4 e infraestructura a implementar en cada una de las capas del sistema alineadas a las tecnologías solicitadas por el banco e infraestructura 4 puntos, no presenta 0 puntos Se presenta diagrama de despliegue del sistema donde se entienden claramente como están desplegadas las capas y componentes del sistema Presentan diagrama de despliegue donde se entiende claramente como está desplegada la destrucción solución a nivel de los datos cuando exista una previsión legal que obligue a su conservaciónsus capas y componentes 4 puntos, en cuyo caso deberán ser devueltos x XXXXXno presenta 0 puntos 4 El proceso de desarrollo del software se encuentra implementado bajo un esquema DevOps donde se evidencia la automatización de las tareas El proceso de desarrollo tiene un esquema DevOps 5 puntos, que garantizará su conservación mientras tal obligación persista. El adjudicatario podrá conservar, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con XXXXX. – Responsabilidad del contratista. no lo tiene 0 puntos 5 En el caso proceso de que el contratista destine los datos a otra finalidaddesarrollo se implementa la automatización de pruebas del sistema El proceso contempla automatización de pruebas 3 puntos no, los comunique o los utilice incumpliendo las obligaciones especificadas, o cualesquiera otras exigibles por la normativa, será considerado Responsable del Tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente, estando sujeto, en su caso, al régimen sancionador establecido de conformidad con lo dispuesto en los artículos del 70 al 78 de la LOPDGDD así como a cualquier daño y perjuicio que su acción pueda provocar x XXXXX. – Comunicación de incidencia-brecha de seguridad: El contratista trasladará x XXXXX, de forma inmediata y, en todo caso, en un plazo inferior a 24 horas, cualquier incidencia acontecida durante la prestación del servicio y que pueda tener como consecuencia la alteración, la pérdida o el acceso a datos de carácter personal por parte de terceros no autorizados. – En el caso de que el tratamiento de datos se realice en los locales de la empresa adjudicataria, el encargado del tratamiento adoptará las medidas de seguridad necesarias apropiadas para garantizar un nivel de seguridad adecuado al riesgo. En Gijón, a la fecha del certificado digital, 09287620J XXXX XXXXX Firmado digitalmente por 09287620J XXXX XXXXX XXXXX (R: JOFDdoA.: RD.(JRos:é ÁngAe7l4J0ó6d1a1r77P)xxxxx Gerente dFeecShEaR: 2P0A22.03.25 12:11:49 +01'00' Servicios jurídicos XXXXXimplementa 0 puntos 3

SEGURIDAD DE LA INFORMACIÓN. Dando El CONTRATISTA en cumplimiento del contrato deberá cumplir los siguientes deberes: Adoptará las medidas de índole técnica y organizativas necesarias para garantizar la confidencialidad, integridad y disponibilidad de la información y evitar su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o de fenómenos físicos o naturales. A estos efectos el CONTRATISTA deberá aplicar los aspectos establecidos en la Norma ISO 27001:2013, de acuerdo con la naturaleza de los datos que trate. La información revelada será dirigida al CONTRATISTA y los contenidos serán sólo para el uso de quienes haya sido dirigida, y no deberá divulgarse a terceras personas. El CONTRATISTA se hará responsable ante terceros a quienes se haya divulgado esta información sin previo consentimiento. Asegurará que, como producto de este contrato, entregará a la Fiduciaria una solución que garantice confidencialidad, integridad y disponibilidad de la información relacionada con el objeto de este. Garantizará que toda actualización y modificación a la infraestructura tecnológica de la fiduciaria será validada y aprobada en forma previa por la Gerencia de Informática y Tecnología de PROCOLOMBIA. Garantizará que cualquier interrupción programada de la solución o servicio contratado con fines de actualización y mejoras debe ser administrada bajo un acuerdo de nivel de servicios previamente acordada con PROCOLOMBIA, principalmente con el fin de mantener informados a sus clientes y usuarios en los términos que establece la ley. Utilizará los recursos tecnológicos que le entregue PROCOLOMBIA, en forma exclusiva para el desarrollo de la labor para la cual fue contratado. Cumplirá con especial cuidado, el principio de buen uso y confidencialidad de los medios de acceso que ha entregado PROCOLOMBIA para el desarrollo del objeto del contrato. Garantizará a PROCOLOMBIA que el personal asignado por el CONTRATISTA para la atención del contrato conoce y cumple las políticas contenidas en este contrato y responde por cualquier inobservancia de estas. Dará cumplimiento a lo estipulado en la política de Seguridad de la información para las obligaciones establecidas relaciones con proveedores, relacionado con: Se autoriza a PROCOLOMBIA a evaluar y auditar los controles de seguridad implementados por el proveedor, en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 xx xxxxx de 2016 relativo forma periódica o cuando se presenten cambios significativos en los controles o en la relación contractual entre ambas partes. El CONTRATISTA se obliga a informar a PROCOLOMBIA sobre cualquier violación a la protección seguridad de datos personales (RGPD) la información que afecte sus operaciones o sus negocios. El CONTRATISTA comunicará a PROCOLOMBIA los planes de tratamiento que contempla ante posibles violaciones de la seguridad y los tiempos en que tendrán efecto esas acciones. El CONTRATISTA informará a PROCOLOMBIA, todos los cambios en su entorno que afecten el negocio o la operación de su cliente, en forma oportuna. El CONTRATISTA comunicará a PROCOLOMBIA los cambios o modificaciones programados de los servicios prestados, los cuales serán previamente autorizados por la Fiduciaria. Los cambios serán documentados por el CONTRATISTA. El CONTRATISTA puede tener la necesidad de aplicar a otras organizaciones con las que suscriba acuerdos, las mismas políticas y condiciones que a él le ha impuesto PROCOLOMBIA, en la Ley Orgánica 3/2018medida en la que se conforme una cadena de suministro. En caso de que los funcionarios del proveedor tengan acceso, procesen o almacenen, información de 5 la Fiduciaria, se les brindará el programa de diciembreconcientización y capacitación sobre seguridad de la entidad. Los recursos que PROCOLOMBIA pone a disposición del personal externo, de Protección de Datos Personales y Garantía de Derechos Digitales independientemente del tipo que sean (LOPDGDDinformáticos, datos (físicos o lógicos), y resto software, redes, sistemas de normativa de desarrollocomunicación, las partes acuerdan someterse a las siguientes condiciones: – Permiso de acceso y tratamiento. El contratista tendrá acceso y podrá tratar los datos de carácter personal contenidos en los tratamientos a los que se le dé accesoetc.), siempre que resulte imprescindible están disponibles exclusivamente para la prestación de los trabajos y/o el cumplimiento de las obligaciones contraídasy propósito de la operativa para la que fueron contratados. Si la información de propiedad de PROCOLOMBIA es administrada por un tercero, yse requiere contar con procedimientos y compromisos que garanticen un manejo seguro de la información durante la vigencia del contrato. Si para fines de su labor el CONTRATISTA debe tener acceso a información sensible de PROCOLOMBIA o administrada por éste, en todo casoestá se proporcionará con las medidas de seguridad necesarias, limitándose con el fin de que no pueda ser modificada o alterada por el CONTRATISTA. No revelará a los datos que resulten estrictamente necesarios. – Inexistencia de comunicación. El acceso por parte del contratista a los tratamientos con datos de carácter personal facilitados no se considerará una comunicación de datos. – Instrucciones del tratamiento. El tratamiento de dichos datos responderá a las instrucciones recibidas xx XXXXX (Encargada del Tratamiento), en los términos del contrato que se formalice. – Uso de los datos. Toda terceros la información a la que el contratista tenga acceso, y en especial, los datos de carácter personal, no será utilizada bajo ninguna circunstancia para un fin distinto al establecido en el contrato que se formalice a partir del presente documento. – Los tratamientos con datos de carácter personal se pondrán a disposición del contratista con el único fin de realizar las tareas necesarias para la prestación de los trabajos y/o de las obligaciones establecidas en la presente contratación, quedando prohibido para el contratista y el personal que ejecute la prestación del servicio, destinarla a cualquier otro fin. – Prohibición de comunicación de los datos a terceros. Los datos de carácter personal o documentos objeto del tratamiento no podrán ser comunicados a un tercero bajo ningún concepto, sin el consentimiento previo xx XXXXX, aunque sea para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario, sin perjuicio de las excepciones previstas en el RGPD y en la LOPDGDD. – Una vez cumplida la prestación contractual, los datos de carácter personal utilizados deberán ser destruidos o devueltos x XXXXX, al igual que cualquier soporte o documentos utilizados según las condiciones que se indican en la presente cláusula. – Cesión. El contratista no podrá comunicar los datos cedidos, accedidos o tratados a terceros, ni siquiera para su conservación. – Transferencias Internacionales de datos. Sin perjuicio de lo anterior, se prohíbe el tratamiento de los datos de carácter personal en terceros países sin un nivel de protección equiparable al otorgado por la normativa de protección de datos de carácter personal vigente en España, salvo que se cumpla con las exigencias establecidas en el RGPD para las transferencias internacionales de datos (art. 44 y ss. RGPD). – Medidas de seguridad. En los tratamientos con datos de carácter personal objeto de la licitación, el contratista deberá aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. El contratista debe garantizar que, el personal involucrado en la prestación del servicio, conoce y se compromete a cumplir lo dispuesto en el RGPD y en la LOPDGDD. – Control y Auditoria. El contratista autorizará x XXXXX, en caso de ser necesario, a la realización de controles o auditorias, incluyendo el acceso al establecimiento donde se estén tratando los datos, a la documentación y a los equipos. El contratista debe proporcionar x XXXXX los mecanismos de control y seguimiento que le sean solicitados e información suficiente sobre las medidas de seguridad que estén siendo aplicadas en el desarrollo de los trabajos contratados. – Ante inspecciones que pudieran sucederse o requerimientos de la Agencia Española de Protección de Datos x XXXXX, el contratista se compromete a proporcionar la información requerida para facilitar en todo momento la actuaciones previstas en los plazos legales establecidos y a adoptar las medidas que se consideren oportunas derivadas de dichas actuaciones. – Devolución o Destrucción de datos. Una vez finalizados los trabajos, el contratista procederá a dar un destino adecuado a la información recabada, ya sea su destrucción o borrado, bien la devolución, de cualquier dato personal entregado por XXXXX, así como también cualquier soporte o documento en que conste algún dato de carácter personal objeto de tratamiento. Conforme a lo establecido en el artículo 33 de la Ley Orgánica 3/2018, de Protección de Datos Personales y Garantía de Derechos Digitales, no procederá la destrucción de los datos cuando exista una previsión legal que obligue a su conservación, en cuyo caso deberán ser devueltos x XXXXX, que garantizará su conservación mientras tal obligación persista. El adjudicatario podrá conservar, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con XXXXX. – Responsabilidad del contratista. En el caso de que el contratista destine los datos a otra finalidad, los comunique o los utilice incumpliendo las obligaciones especificadas, o cualesquiera otras exigibles por la normativa, será considerado Responsable del Tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente, estando sujeto, en su caso, al régimen sancionador establecido de conformidad con lo dispuesto en los artículos del 70 al 78 de la LOPDGDD así como a cualquier daño y perjuicio que su acción pueda provocar x XXXXX. – Comunicación de incidencia-brecha de seguridad: El contratista trasladará x XXXXX, de forma inmediata y, en todo caso, en un plazo inferior a 24 horas, cualquier incidencia acontecida durante la prestación del servicio Al terminar el contrato, el CONTRATISTA deberá devolver equipos, software o la información entregada por PROCOLOMBIA ya sea en formato electrónico o papel o en su defecto destruirla previa autorización de éste y que pueda conforme a las políticas de disposición final de documentos. Los funcionarios del CONTRATISTA no podrán tener como consecuencia la alteración, la pérdida o el acceso a datos áreas o zonas seguras de carácter personal por parte PROCOLOMBIA. Sí fuera necesario su ingreso a determinadas áreas será necesario la autorización de terceros no autorizados. – En el caso de que el tratamiento de datos se realice en los locales un funcionario de la empresa adjudicatariaentidad el cual deberá acompañar al CONTRATISTA durante el tiempo que este permanezca en dicha área. El funcionario del CONTRATISTA dejará el registro de la visita en las bitácoras dispuestas para tal fin. Los funcionarios del CONTRATISTA se anunciarán en la recepción de PROCOLOMBIA a su ingreso y salida, el encargado del tratamiento adoptará las medidas y registrarán los equipos necesarios para la realización de seguridad necesarias apropiadas para garantizar un nivel de seguridad adecuado al riesgo. En Gijón, a su labor en la fecha del certificado digital, 09287620J XXXX XXXXX Firmado digitalmente por 09287620J XXXX XXXXX XXXXX (R: JOFDdoA.: RD.(JRos:é ÁngAe7l4J0ó6d1a1r77P)xxxxx Gerente dFeecShEaR: 2P0A22.03.25 12:11:49 +01'00' Servicios jurídicos XXXXXentidad.

SEGURIDAD DE LA INFORMACIÓN. Dando cumplimiento El adjudicatario se obliga a las obligaciones establecidas cumplir la normativa legal aplicable en materia de seguridad de la información en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, marco de 27 xx xxxxx de 2016 relativo los servicios prestados. Con carácter general deberá prestar especial atención a la protección observancia de datos personales (RGPD) y en la Ley Orgánica 3/201815/1999, de 5 13 de diciembre, de Protección de Datos Personales y Garantía de Derechos Digitales (LOPDGDD)Carácter Personal; el Real Decreto 1720/2007, y resto de normativa 21 de desarrollodiciembre, las partes acuerdan someterse a las siguientes condiciones: – Permiso por el que se aprueba el Reglamento de desarrollo de la anterior; la Ley 11/2007, de 22 xx xxxxx, de acceso electrónico de los ciudadanos a los Servicios Públicos; el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y tratamientoReal Decreto 951/2015, de 23 de octubre, de modificación del anterior. La prestación del servicio quedará sujeta a la Política de seguridad en el ámbito de los sistemas de información del Consejo de Seguridad Nuclear y demás documentos de seguridad derivados de la misma. El contratista tendrá acceso adjudicatario y podrá tratar los datos su equipo de carácter personal contenidos en los tratamientos a los que se le dé acceso, siempre que resulte imprescindible para la prestación trabajo quedan pues obligados al cumplimiento de los trabajos y/o todas las normas de las obligaciones contraídas, seguridad del CSN y, en todo caso, limitándose a los datos que resulten estrictamente necesarios. – Inexistencia de comunicación. El acceso por parte del contratista a los tratamientos con datos de carácter personal facilitados particular: - A no se considerará una comunicación de datos. – Instrucciones del tratamiento. El tratamiento de dichos datos responderá a las instrucciones recibidas xx XXXXX (Encargada del Tratamiento), en los términos del contrato que se formalice. – Uso de los datos. Toda la información a la que el contratista tenga acceso, y en especial, los datos de carácter personal, no será utilizada bajo ninguna circunstancia para un fin distinto al establecido en el contrato que se formalice a partir del presente documento. – Los tratamientos con datos de carácter personal se pondrán a disposición del contratista con el único fin de realizar las tareas necesarias para la prestación de los trabajos y/o de las obligaciones establecidas en la presente contratación, quedando prohibido para el contratista y el personal que ejecute la prestación del servicio, destinarla a cualquier otro fin. – Prohibición de comunicación de los datos a terceros. Los datos de carácter personal o documentos objeto del tratamiento no podrán ser comunicados a un tercero bajo ningún concepto, sin el consentimiento previo xx XXXXX, aunque sea para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario, sin perjuicio de las excepciones previstas en el RGPD y en la LOPDGDD. – Una vez cumplida la prestación contractual, los datos de carácter personal utilizados deberán ser destruidos o devueltos x XXXXX, al igual que cualquier soporte o documentos utilizados según las condiciones que se indican en la presente cláusula. – Cesión. El contratista no podrá comunicar los datos cedidos, accedidos o tratados a terceros, ni siquiera para su conservación. – Transferencias Internacionales de datos. Sin perjuicio de lo anterior, se prohíbe el tratamiento de los registrar datos de carácter personal en terceros países sin un nivel de protección equiparable al otorgado por la normativa de protección de datos de carácter personal vigente en España, salvo ficheros que no reúnan las condiciones que se cumpla con determinen por el RD 1720/2007 respecto a su integridad y seguridad y a las exigencias establecidas en el RGPD para las transferencias internacionales de datos los centros de tratamiento, locales, equipos, sistemas y programas. (artArtículo 9.2. 44 y ss. RGPDLOPD). – Medidas de seguridad. En los tratamientos - A no realizar pruebas con datos de carácter personal. - A no transferir ningún tipo de datos, de carácter personal objeto o no, de documentación o código fuente de los sistemas de información del CSN a soportes de almacenamiento extraíbles sin el expreso consentimiento del CSN. - A no extraer del CSN ningún tipo de información mediante redes de comunicaciones o servicios de almacenamiento externos al CSN, como los disponibles en el “Cloud Computing”, o a las propias instalaciones del contratista. - A notificar cualquier incidencia de seguridad al responsable de Seguridad del CSN según los procedimientos de seguridad del organismo. - A disponer en sus equipos de un sistema de protección antivirus, actualizado periódicamente y de forma automática, que deberá utilizarse sobre cualquier fichero, soporte y software antes de que cualquiera de éstos resida o se instale en los sistemas de información del CSN. La frecuencia de actualización será como mínimo semanal. - A no compartir las cuentas de correo asignadas de forma personal ni desviar de forma automática el correo a cuentas particulares o propias de la licitación, empresa adjudicataria. El equipo de trabajo será informado y concienciado por el contratista personal del CSN en los aspectos de seguridad del organismo y cada miembro deberá aplicar firmar el reconocimiento de la formación recibida en materia de seguridad. El gestor del servicio del adjudicatario será el responsable del cumplimiento de las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgopor parte del equipo de trabajo. El contratista debe garantizar queCuando el adjudicatario acceda de forma remota a infraestructuras del CSN se compromete a: - Custodiar debidamente la información de acceso que le facilite el CSN para la conexión durante el periodo de vigencia del contrato, y a destruirla extinguido el personal involucrado en mismo. - No habilitar ni utilizar las funciones de las aplicaciones o sistemas operativos que permitan guardar o recordar las credenciales de acceso de forma automática. - Mantener convenientemente aisladas, lógica y físicamente, las infraestructuras del adjudicatario que se utilicen para acceder a la red corporativa del CSN. Entre cada red, subred o servicio de comunicaciones se implantarán cortafuegos (firewalls) que deberán estar configurados con la política del menor privilegio, bloqueando o denegando cualquier tipo de tráfico no autorizado o innecesario para la prestación del servicio. De la misma forma se permitirán únicamente los puertos, conoce protocolos o servicios autorizados por el CSN. Cualquier puerto, protocolo o servicio no especificado como autorizado se denegará por defecto. En el marco de la ejecución del contrato, y se compromete respecto a cumplir lo dispuesto en el RGPD y en la LOPDGDD. – Control y Auditoria. El contratista autorizará x XXXXXlos sistemas de información objeto del mismo, en caso las siguientes actividades están específicamente prohibidas: - La utilización de ser necesario, a los sistemas de información para la realización de controles actividades ilícitas o auditoriasno autorizadas, incluyendo el acceso al establecimiento donde se estén tratando los como la comunicación, distribución o cesión de datos, a la documentación y medios u otros contenidos a los equiposque se tenga acceso en virtud de la ejecución de los trabajos y, especialmente, los que estén protegidos por disposiciones de carácter legislativo o normativo. El contratista debe proporcionar x XXXXX - La instalación no autorizada de software, la modificación de las configuraciones o la conexión a redes. - La modificación no autorizada del sistema de información o del software instalado, o el uso del sistema distinto al de su propósito. - La sobrecarga, prueba, o desactivación de los mecanismos de control seguridad y seguimiento las redes, así como la monitorización de redes o teclados. - La reubicación física y los cambios de configuración de los sistemas de información o de sus redes de comunicación. - La instalación de dispositivos o sistemas ajenos al desarrollo del contrato sin autorización previa, tales como dispositivos USB, soportes externos, ordenadores portátiles, puntos de acceso inalámbricos, etc. - La posesión, distribución, cesión, revelación o alteración de cualquier información sin el consentimiento expreso del propietario de la misma. - Compartir cuentas e identificadores personales (incluyendo contraseñas y PIN) o permitir el uso de mecanismos de acceso, sean locales o remoto a usuarios no autorizados. - Inutilizar o suprimir cualquier elemento de seguridad o protección o la información que le sean solicitados e información suficiente sobre generen. El adjudicatario adquirirá el compromiso de ser auditado por personal autorizado por el CSN, en cualquier momento en el desarrollo del contrato, con el fin de verificar la seguridad implementada, comprobando que se cumplen las recomendaciones de protección y las medidas de seguridad que estén siendo aplicadas en el desarrollo de los trabajos contratados. – Ante inspecciones que pudieran sucederse o requerimientos de la Agencia Española distinta normativa, en función de Protección las condiciones de Datos x XXXXXaplicación en cada caso. Asimismo, el contratista CSN se compromete a proporcionar reserva la información requerida para facilitar en todo momento posibilidad de monitorizar la actuaciones previstas en los plazos legales establecidos y a adoptar las medidas que se consideren oportunas derivadas actividad del equipo de dichas actuaciones. – Devolución o Destrucción de datos. Una vez finalizados los trabajos, el contratista procederá a dar un destino adecuado a la información recabada, ya sea su destrucción o borrado, bien la devolución, de cualquier dato personal entregado por XXXXX, así como también cualquier soporte o documento en que conste algún dato de carácter personal objeto de tratamiento. Conforme a lo establecido en el artículo 33 de la Ley Orgánica 3/2018, de Protección de Datos Personales y Garantía de Derechos Digitales, no procederá la destrucción de los datos cuando exista una previsión legal que obligue a su conservación, en cuyo caso deberán ser devueltos x XXXXX, que garantizará su conservación mientras tal obligación persista. El adjudicatario podrá conservar, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con XXXXX. – Responsabilidad del contratista. En el caso de que el contratista destine los datos a otra finalidad, los comunique o los utilice incumpliendo las obligaciones especificadas, o cualesquiera otras exigibles por la normativa, será considerado Responsable del Tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente, estando sujeto, en su caso, al régimen sancionador establecido de conformidad con lo dispuesto en los artículos del 70 al 78 de la LOPDGDD así como a cualquier daño y perjuicio que su acción pueda provocar x XXXXX. – Comunicación de incidencia-brecha de seguridad: El contratista trasladará x XXXXX, de forma inmediata y, en todo caso, en un plazo inferior a 24 horas, cualquier incidencia acontecida durante la prestación del servicio y que pueda tener como consecuencia la alteración, la pérdida o el acceso a datos de carácter personal por parte de terceros no autorizados. – En el caso de que el tratamiento de datos se realice en los locales de la empresa adjudicataria, el encargado del tratamiento adoptará las medidas de seguridad necesarias apropiadas para garantizar un nivel de seguridad adecuado al riesgo. En Gijón, a la fecha del certificado digital, 09287620J XXXX XXXXX Firmado digitalmente por 09287620J XXXX XXXXX XXXXX (R: JOFDdoA.: RD.(JRos:é ÁngAe7l4J0ó6d1a1r77P)xxxxx Gerente dFeecShEaR: 2P0A22.03.25 12:11:49 +01'00' Servicios jurídicos XXXXXtrabajo.

SEGURIDAD DE LA INFORMACIÓN. Dando cumplimiento El adjudicatario se obliga a las obligaciones establecidas cumplir la normativa legal aplicable en materia de seguridad de la información en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, marco de 27 xx xxxxx de 2016 relativo los servicios prestados. Con carácter general deberá prestar especial atención a la protección observancia de datos personales (RGPD) y en la Ley Orgánica 3/201815/1999, de 5 13 de diciembre, de Protección de Datos Personales y Garantía de Derechos Digitales (LOPDGDD)Carácter Personal; el Real Decreto 1720/2007, y resto de normativa 21 de desarrollodiciembre, las partes acuerdan someterse a las siguientes condiciones: – Permiso por el que se aprueba el Reglamento de desarrollo de la anterior; la Ley 11/2007, de 22 xx xxxxx, de acceso electrónico de los ciudadanos a los Servicios Públicos; el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y tratamientoReal Decreto 951/2015, de 23 de octubre, de modificación del anterior. La prestación del servicio quedará sujeta a la Política de seguridad en el ámbito de los sistemas de información del Consejo de Seguridad Nuclear y demás documentos de seguridad derivados de la misma. El contratista tendrá acceso adjudicatario y podrá tratar los datos su equipo de carácter personal contenidos en los tratamientos a los que se le dé acceso, siempre que resulte imprescindible para la prestación trabajo quedan pues obligados al cumplimiento de los trabajos y/o todas las normas de las obligaciones contraídas, seguridad del CSN y, en todo caso, limitándose a los datos que resulten estrictamente necesarios. – Inexistencia de comunicación. El acceso por parte del contratista a los tratamientos con datos de carácter personal facilitados particular: - A no se considerará una comunicación de datos. – Instrucciones del tratamiento. El tratamiento de dichos datos responderá a las instrucciones recibidas xx XXXXX (Encargada del Tratamiento), en los términos del contrato que se formalice. – Uso de los datos. Toda la información a la que el contratista tenga acceso, y en especial, los datos de carácter personal, no será utilizada bajo ninguna circunstancia para un fin distinto al establecido en el contrato que se formalice a partir del presente documento. – Los tratamientos con datos de carácter personal se pondrán a disposición del contratista con el único fin de realizar las tareas necesarias para la prestación de los trabajos y/o de las obligaciones establecidas en la presente contratación, quedando prohibido para el contratista y el personal que ejecute la prestación del servicio, destinarla a cualquier otro fin. – Prohibición de comunicación de los datos a terceros. Los datos de carácter personal o documentos objeto del tratamiento no podrán ser comunicados a un tercero bajo ningún concepto, sin el consentimiento previo xx XXXXX, aunque sea para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario, sin perjuicio de las excepciones previstas en el RGPD y en la LOPDGDD. – Una vez cumplida la prestación contractual, los datos de carácter personal utilizados deberán ser destruidos o devueltos x XXXXX, al igual que cualquier soporte o documentos utilizados según las condiciones que se indican en la presente cláusula. – Cesión. El contratista no podrá comunicar los datos cedidos, accedidos o tratados a terceros, ni siquiera para su conservación. – Transferencias Internacionales de datos. Sin perjuicio de lo anterior, se prohíbe el tratamiento de los registrar datos de carácter personal en terceros países sin un nivel de protección equiparable al otorgado por la normativa de protección de datos de carácter personal vigente en España, salvo ficheros que no reúnan las condiciones que se cumpla con determinen por el RD 1720/2007 respecto a su integridad y seguridad y a las exigencias establecidas en el RGPD para las transferencias internacionales de datos los centros de tratamiento, locales, equipos, sistemas y programas. (artArtículo 9.2. 44 y ss. RGPDLOPD). – Medidas de seguridad. En los tratamientos - A no realizar pruebas con datos de carácter personal. - A no transferir ningún tipo de datos, de carácter personal objeto o no, de documentación o código fuente de los sistemas de información del CSN a soportes de almacenamiento extraíbles sin el expreso consentimiento del CSN. - A no extraer del CSN ningún tipo de información mediante redes de comunicaciones o servicios de almacenamiento externos al CSN, como los disponibles en el “Cloud Computing”, o a las propias instalaciones del contratista. - A notificar cualquier incidencia de seguridad al responsable de Seguridad del CSN según los procedimientos de seguridad del organismo. - A disponer en sus equipos de un sistema de protección antivirus, actualizado periódicamente y de forma automática, que deberá utilizarse sobre cualquier fichero, soporte y software antes de que cualquiera de éstos resida o se instale en los sistemas de información del CSN. La frecuencia de actualización será como mínimo semanal. - A no compartir las cuentas de correo asignadas de forma personal ni desviar de forma automática el correo a cuentas particulares o propias de la licitación, empresa adjudicataria. El equipo de trabajo será informado y concienciado por el contratista personal del CSN en los aspectos de seguridad del organismo y cada miembro deberá aplicar firmar el reconocimiento de la formación recibida en materia de seguridad. El jefe de proyecto del adjudicatario será el responsable del cumplimiento de las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgopor parte del equipo de trabajo. El contratista debe garantizar queCuando el adjudicatario acceda de forma remota a infraestructuras del CSN se compromete a: - Custodiar debidamente la información de acceso que le facilite el CSN para la conexión durante el periodo de vigencia del contrato, y a destruirla extinguido el personal involucrado en mismo. - No habilitar ni utilizar las funciones de las aplicaciones o sistemas operativos que permitan guardar o recordar las credenciales de acceso de forma automática. - Mantener convenientemente aisladas, lógica y físicamente, las infraestructuras del adjudicatario que se utilicen para acceder a la red corporativa del CSN. Entre cada red, subred o servicio de comunicaciones se implantarán cortafuegos (firewalls) que deberán estar configurados con la política del menor privilegio, bloqueando o denegando cualquier tipo de tráfico no autorizado o innecesario para la prestación del servicio. De la misma forma se permitirán únicamente los puertos, conoce protocolos o servicios autorizados por el CSN. Cualquier puerto, protocolo o servicio no especificado como autorizado se denegará por defecto. En el marco de la ejecución del contrato, y se compromete respecto a cumplir lo dispuesto en el RGPD y en la LOPDGDD. – Control y Auditoria. El contratista autorizará x XXXXXlos sistemas de información objeto del mismo, en caso las siguientes actividades están específicamente prohibidas: - La utilización de ser necesario, a los sistemas de información para la realización de controles actividades ilícitas o auditoriasno autorizadas, incluyendo el acceso al establecimiento donde se estén tratando los como la comunicación, distribución o cesión de datos, a la documentación y medios u otros contenidos a los equiposque se tenga acceso en virtud de la ejecución de los trabajos y, especialmente, los que estén protegidos por disposiciones de carácter legislativo o normativo. El contratista debe proporcionar x XXXXX - La instalación no autorizada de software, la modificación de las configuraciones o la conexión a redes. - La modificación no autorizada del sistema de información o del software instalado, o el uso del sistema distinto al de su propósito. - La sobrecarga, prueba, o desactivación de los mecanismos de control seguridad y seguimiento las redes, así como la monitorización de redes o teclados. - La reubicación física y los cambios de configuración de los sistemas de información o de sus redes de comunicación. - La instalación de dispositivos o sistemas ajenos al desarrollo del contrato sin autorización previa, tales como dispositivos USB, soportes externos, ordenadores portátiles, puntos de acceso inalámbricos o PDA’s. - La posesión, distribución, cesión, revelación o alteración de cualquier información sin el consentimiento expreso del propietario de la misma. - Compartir cuentas e identificadores personales (incluyendo contraseñas y PINs) o permitir el uso de mecanismos de acceso, sean locales o remoto a usuarios no autorizados. - Inutilizar o suprimir cualquier elemento de seguridad o protección o la información que le sean solicitados e información suficiente sobre generen. El adjudicatario adquirirá el compromiso de ser auditado por personal autorizado por el CSN, en cualquier momento en el desarrollo del contrato, con el fin de verificar la seguridad implementada, comprobando que se cumplen las recomendaciones de protección y las medidas de seguridad que estén siendo aplicadas en el desarrollo de los trabajos contratados. – Ante inspecciones que pudieran sucederse o requerimientos de la Agencia Española distinta normativa, en función de Protección las condiciones de Datos x XXXXXaplicación en cada caso. Asimismo, el contratista CSN se compromete a proporcionar reserva la información requerida para facilitar en todo momento posibilidad de monitorizar la actuaciones previstas en los plazos legales establecidos y a adoptar las medidas que se consideren oportunas derivadas actividad del equipo de dichas actuaciones. – Devolución o Destrucción de datos. Una vez finalizados los trabajos, el contratista procederá a dar un destino adecuado a la información recabada, ya sea su destrucción o borrado, bien la devolución, de cualquier dato personal entregado por XXXXX, así como también cualquier soporte o documento en que conste algún dato de carácter personal objeto de tratamiento. Conforme a lo establecido en el artículo 33 de la Ley Orgánica 3/2018, de Protección de Datos Personales y Garantía de Derechos Digitales, no procederá la destrucción de los datos cuando exista una previsión legal que obligue a su conservación, en cuyo caso deberán ser devueltos x XXXXX, que garantizará su conservación mientras tal obligación persista. El adjudicatario podrá conservar, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con XXXXX. – Responsabilidad del contratista. En el caso de que el contratista destine los datos a otra finalidad, los comunique o los utilice incumpliendo las obligaciones especificadas, o cualesquiera otras exigibles por la normativa, será considerado Responsable del Tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente, estando sujeto, en su caso, al régimen sancionador establecido de conformidad con lo dispuesto en los artículos del 70 al 78 de la LOPDGDD así como a cualquier daño y perjuicio que su acción pueda provocar x XXXXX. – Comunicación de incidencia-brecha de seguridad: El contratista trasladará x XXXXX, de forma inmediata y, en todo caso, en un plazo inferior a 24 horas, cualquier incidencia acontecida durante la prestación del servicio y que pueda tener como consecuencia la alteración, la pérdida o el acceso a datos de carácter personal por parte de terceros no autorizados. – En el caso de que el tratamiento de datos se realice en los locales de la empresa adjudicataria, el encargado del tratamiento adoptará las medidas de seguridad necesarias apropiadas para garantizar un nivel de seguridad adecuado al riesgo. En Gijón, a la fecha del certificado digital, 09287620J XXXX XXXXX Firmado digitalmente por 09287620J XXXX XXXXX XXXXX (R: JOFDdoA.: RD.(JRos:é ÁngAe7l4J0ó6d1a1r77P)xxxxx Gerente dFeecShEaR: 2P0A22.03.25 12:11:49 +01'00' Servicios jurídicos XXXXXtrabajo.