volver a Legal

Acuerdo de procesamiento de datos

Última actualización:
2024-11-21

Acuerdo de Procesamiento de Datos de Botpress (DPA)

Este DPA complementa y forma parte integral del acuerdo entre la entidad del grupo Botpress identificada en los Términos de Servicio y el Cliente. Este DPA entra en vigor al incorporarse a dicho acuerdo por referencia.

1. Definiciones

1.a Los términos en mayúscula que no se definan aquí tendrán el significado que se les atribuye en el Acuerdo.

1.b En este DPA:

(a) “Acuerdo” tiene el significado asignado a dicho término en los Términos de Servicio.

(b) “Grupo Botpress” significa Botpress y cualquiera de sus afiliadas.

(c) “Información Personal de California” significa los Datos Personales sujetos a la protección de la CCPA.

(d) “Leyes Canadienses de Protección de Datos” significa la Ley de Protección de Información Personal y Documentos Electrónicos, SC 2000, c 5 y la Ley relativa a la protección de información personal en el sector privado, CQLR c P-39.1, según sean modificadas, reemplazadas o sustituidas.

(e) “CCPA” significa el Código Civil de California Sec. 1798.100 y siguientes (también conocida como Ley de Privacidad del Consumidor de California de 2018).

(f) “Consumidor”, “Empresa”, “Vender” y “Proveedor de Servicios” tendrán los significados establecidos en la CCPA.

(g) “Responsable” significa cualquier Persona que, sola o junto con otras, determine los fines y medios del Tratamiento de Datos Personales.

(h) “Leyes de Protección de Datos” significa toda la legislación aplicable a nivel mundial relacionada con la protección de datos y la privacidad que aplique a una parte de este DPA, incluyendo, sin limitación, las Leyes Europeas de Protección de Datos, las Leyes Canadienses de Protección de Datos y la CCPA, en cada caso según sean modificadas, derogadas, consolidadas o reemplazadas periódicamente.

(i) “Sujeto de Datos” significa la persona a la que se refieren los Datos Personales.

(j) “Europa” significa la Unión Europea, el Espacio Económico Europeo y/o sus estados miembros, Suiza y el Reino Unido.

(k) “Leyes Europeas de Protección de Datos” significa las leyes de protección de datos aplicables en Europa, según sean modificadas, reemplazadas o sustituidas.

(l) “Datos Europeos” significa los Datos Personales sujetos a la protección de las Leyes Europeas de Protección de Datos.

(m) “Afiliadas Permitidas” significa aquellas Afiliadas del Cliente que (i) tienen permitido usar los Servicios de Software conforme al Acuerdo, (ii) califican como Responsables de los Datos Personales tratados por Botpress, y (iii) están sujetas a las Leyes Europeas de Protección de Datos.

(n) “Persona” debe interpretarse de manera amplia e incluye cualquier individuo, corporación, sociedad de responsabilidad limitada, sociedad limitada, empresa, asociación, sociedad, fideicomiso o patrimonio, empresa conjunta, entidad gubernamental o subdivisión política de la misma, o cualquier otra entidad.

(o) “Datos Personales” significa cualquier información relacionada con una persona identificada o identificable.

(p) “Tratamiento” o “Tratar” significa cualquier operación o conjunto de operaciones realizadas por un Encargado sobre Datos Personales, ya sea por medios automatizados o no;

(q) “Encargado” significa una Persona que Trata Datos Personales en nombre de un Responsable.

(r) “Regulador” significa, según corresponda, cualquier Persona o agencia de cumplimiento de la ley u otra agencia con autoridad regulatoria, supervisora o gubernamental (ya sea bajo un régimen legal o de otro tipo) sobre todo o parte del Tratamiento de Datos Personales en relación con la prestación o recepción de los Servicios, incluyendo, sin limitación, las autoridades supervisoras de protección de datos europeas;

(s) “Incidente de Seguridad” significa una violación de la seguridad que provoque la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilícito a Datos Personales transmitidos, almacenados o tratados de otro modo por Botpress y/o Subencargados en relación con la prestación de los Servicios, sin incluir eventos que no comprometan la seguridad de los Datos Personales, como intentos fallidos de inicio de sesión, pings, escaneos de puertos, ataques de denegación de servicio y otros ataques de red a cortafuegos o sistemas conectados en red.

(t) “Servicios” significa los Servicios de Software o Servicios Profesionales proporcionados por cualquier entidad del Grupo Botpress al Cliente o a sus Afiliadas.

(u) “Cláusulas Contractuales Tipo” significa las cláusulas contractuales tipo anexas a la Decisión (UE) 2021/914 de la Comisión Europea de 4 de junio de 2021; según sean modificadas, reemplazadas o sustituidas.

(v) “Subencargado del tratamiento” significa cualquier Encargado contratado por Botpress o sus Afiliadas para ayudar a cumplir con las obligaciones de Botpress respecto a la prestación de los Servicios bajo el Acuerdo. Los Subencargados pueden incluir terceros o Afiliadas de Botpress, pero no incluirán a individuos empleados o contratados por Botpress.

(w) “Tercer País” significa una jurisdicción o destinatario: (i) no reconocido por la Comisión Europea como que ofrece un nivel adecuado de protección de datos personales; y (ii) no cubierto por un marco adecuado reconocido por las autoridades o tribunales competentes como que ofrece un nivel adecuado de protección de datos personales;

(x) “Datos de Uso” significa los datos relacionados con el uso del Software por parte de los Usuarios Autorizados, que pueden contener Datos Personales cuando sea necesario identificar usuarios individuales, excluyendo cualquier Dato de Conversación. Los Datos de Uso pueden incluir Datos Personales sobre empleados y contratistas del Cliente, pero no sobre usuarios finales que interactúan con los Bots del Cliente.

2. Rol de las partes

2.a Al tratar Datos de Conversación a través de los Servicios, las partes reconocen y acuerdan que el Cliente actúa como Responsable y que Botpress actúa como Encargado.

2.b Si el Cliente actúa como Encargado en nombre de un Responsable, Botpress se considerará subencargado del Cliente.

2.c Botpress será Responsable respecto a los Datos de Uso.

3. Cumplimiento de las Leyes de Protección de Datos

3.a Cada parte llevará a cabo cualquier tratamiento de Datos Personales en cumplimiento de todas las Leyes de Protección de Datos aplicables.

3.b Botpress no es responsable del cumplimiento de ninguna Ley de Protección de Datos aplicable al Cliente o a la industria del Cliente que no sea generalmente aplicable a Botpress.

3.c Si Botpress toma conocimiento de que no puede Tratar Datos Personales conforme a las instrucciones del Cliente debido a un requisito legal bajo cualquier ley aplicable, Botpress (i) notificará de inmediato al Cliente sobre dicho requisito legal en la medida en que la ley lo permita; y (ii) cuando sea necesario, detendrá todo Tratamiento (excepto el mero almacenamiento y mantenimiento de la seguridad de los Datos Personales afectados) hasta que el Cliente emita nuevas instrucciones en cumplimiento con la ley aplicable. Si se invoca esta disposición, Botpress no será responsable ante el Cliente bajo el Acuerdo por cualquier incumplimiento en la prestación de los Servicios de Software o Servicios Profesionales aplicables hasta que Botpress determine razonablemente que las instrucciones del Cliente son legales.

4. Obligaciones de Botpress

4.a Botpress solo Tratará Datos Personales para los fines descritos en este DPA o según se acuerde dentro del alcance de las instrucciones legales recibidas del Cliente, salvo que la ley aplicable exija lo contrario.

4.b Botpress implementará y mantendrá medidas técnicas y organizativas apropiadas para proteger los Datos Personales de Incidentes de Seguridad, incluyendo lo descrito en el Anexo 2 de este DPA (“Medidas de Seguridad”). Botpress podrá modificar o actualizar las Medidas de Seguridad a su discreción, siempre que dicha modificación o actualización no implique una degradación material en la protección ofrecida por las Medidas de Seguridad.

4.c Botpress tratará los Datos Personales como información confidencial del Cliente y se asegurará de que cualquier empleado o contratista autorizado para acceder o Tratar Datos Personales esté sujeto a obligaciones de confidencialidad apropiadas (contractuales o legales) respecto a dichos Datos Personales.

4.d Botpress eliminará o devolverá todos los Datos Personales tratados conforme a este DPA, al finalizar o expirar el Acuerdo. Botpress podrá conservar copias de los Datos Personales cuando así lo exija la ley aplicable, o cuando los Datos Personales hayan sido archivados en sistemas de respaldo; dichos datos serán aislados de manera segura y protegidos de cualquier tratamiento adicional, y eliminados conforme a las prácticas de eliminación aplicables.

5. Obligaciones del Cliente

5.a El Cliente es responsable de asegurar que su uso de los Servicios de Software o el Software cumpla con todas las Leyes de Protección de Datos aplicables, incluyendo asegurarse de que (i) está autorizado para designar a Botpress para tratar Datos Personales en su nombre conforme a este DPA, (ii) tiene derecho a transferir o dar acceso a los Datos Personales a Botpress para su tratamiento conforme a los términos del Acuerdo (incluido este DPA), (iii) asegurar que las instrucciones del Cliente respecto al tratamiento de Datos Personales cumplen con las leyes aplicables, incluidas las Leyes de Protección de Datos;

5.b El Cliente deberá notificar a Botpress por escrito de manera inmediata si tiene motivos para creer, o si ha sido notificado, que el tratamiento de Datos Personales realizado por el Cliente a través de los Servicios infringe o podría infringir la ley aplicable, incluidas las Leyes de Protección de Datos.

5.c El Cliente es responsable de determinar si las medidas de seguridad implementadas por Botpress cumplen adecuadamente con las obligaciones del Cliente bajo las Leyes de Protección de Datos aplicables. El Cliente también es responsable de asegurar que su acceso a los Servicios de Software esté protegido y reservado únicamente al personal autorizado.

6. Incidente de seguridad

6.a Botpress notificará al Cliente de manera inmediata si tiene conocimiento de algún Incidente de Seguridad y proporcionará información oportuna relacionada con dicho incidente a medida que se conozca o según lo solicite razonablemente el Cliente.

6.b A solicitud, Botpress proporcionará de manera oportuna la asistencia razonable necesaria al Cliente para permitirle notificar un Incidente de Seguridad a las Autoridades Reguladoras y/o a los Titulares de los Datos afectados, si dicha notificación es requerida por las Leyes de Protección de Datos.

7. Subencargados del tratamiento

7.a Botpress puede contratar Subencargados del tratamiento para tratar Datos Personales. Los Subencargados del tratamiento actuales se encuentran listados en el Anexo 3; cualquier cambio en los Subencargados del tratamiento será notificado al Cliente.

7.b Botpress selecciona Subencargados del tratamiento que ofrecen compromisos de protección de datos que proporcionan al menos el mismo nivel de protección para los Datos Personales que los establecidos en este DPA (incluyendo, cuando corresponda, las Cláusulas Contractuales Tipo), en la medida en que sea aplicable a la naturaleza de los servicios prestados por dichos Subencargados del tratamiento. Botpress sigue siendo responsable del cumplimiento de cada Subencargado del tratamiento con las obligaciones de este DPA y de cualquier acto u omisión de dicho Subencargado del tratamiento que cause un incumplimiento de las obligaciones de Botpress bajo este DPA.

7.c Si Botpress trata Datos Europeos en nombre del Cliente, el Cliente podrá oponerse a un nuevo Subencargado, por motivos razonables relacionados con la protección de datos. Si se notifica dicha objeción, Botpress acuerda discutir el asunto de buena fe para lograr una solución comercialmente razonable. Si no se puede alcanzar una solución, Botpress podrá optar por no designar al nuevo Subencargado, o permitir que el Cliente cancele su suscripción a la parte de los Servicios de Software que dependa de dicho Subencargado, sin responsabilidad para ninguna de las partes (pero sin perjuicio de las tarifas incurridas antes de la cancelación).

7.d Si la ley o las Cláusulas Contractuales Tipo lo requieren, Botpress hará esfuerzos razonables para poner a disposición del Cliente la información necesaria sobre los acuerdos de Botpress con los Subencargados. El Cliente acepta que parte de la información puede ser redactada o proporcionada de forma confidencial.

8. Transferencia de Datos Personales

8.a El tratamiento de Datos Personales distintos de los Datos Europeos por parte de entidades del Grupo Botpress se realizará en cualquier jurisdicción donde dicho tratamiento esté permitido por las leyes aplicables de la Jurisdicción de Privacidad.

8.b El tratamiento de Datos Europeos se realizará exclusivamente:

a) Dentro de Europa;

b) en una jurisdicción que ofrezca un nivel de protección adecuado según una decisión de la Comisión Europea basada en las Leyes de Protección de Datos aplicables;

c) en cualquier jurisdicción, por una organización o entidad que ofrezca garantías adecuadas, incluyendo mediante las Cláusulas Contractuales Tipo;

d) en cualquier jurisdicción, con el consentimiento escrito del Cliente o del Titular de los Datos correspondiente.

8.c Cuando el tratamiento de Datos Europeos se realice en un Tercer País, se considerará que las partes han celebrado las Cláusulas Contractuales Tipo únicamente respecto a los Datos Personales y el tratamiento relevante. Las partes acuerdan que, a efectos de las Cláusulas Contractuales Tipo:

a) Si el Cliente es Responsable y Botpress es Encargado, aplicará el Módulo 2 (Responsable a Encargado).

b) Si el Cliente es Encargado y Botpress es subencargado, aplicará el Módulo 3 (Encargado a Encargado).

c) Respecto a los Datos de Uso, aplicará el Módulo 1 (Responsable a Responsable).

d) en la Cláusula 7 de las Cláusulas Contractuales Tipo, la cláusula opcional de adhesión no aplicará;

e) en la Cláusula 9 de las Cláusulas Contractuales Tipo, aplicará la Opción 2 y el plazo de notificación previa por escrito de cambios de subencargados será de 10 días;

f) en la Cláusula 11 de las Cláusulas Contractuales Tipo, el lenguaje opcional no aplicará;

g) en la Cláusula 17 (Opción 1), las Cláusulas Contractuales Tipo se regirán por la ley irlandesa;

h) en la Cláusula 18(b) de las Cláusulas Contractuales Tipo, las disputas se resolverán ante los tribunales de Irlanda;

i) Botpress será el "importador de datos" y el Cliente será el "exportador de datos" (en nombre propio y de las Filiales Autorizadas);

j) la información relevante establecida en el Anexo 1 y el Anexo 2 de este DPA se considerará incluida en los Anexos de las Cláusulas Contractuales Tipo;

k) si y en la medida en que las Cláusulas Contractuales Tipo entren en conflicto con alguna disposición de este DPA, prevalecerán las Cláusulas Contractuales Tipo en la medida de dicho conflicto.

8.d Transferencias a Suiza y Reino Unido. En la medida en que una transferencia de Datos Personales entre el Cliente y Botpress y/o un Subencargado esté sujeta a las Leyes de Protección de Datos de Suiza o del Reino Unido, se considerará que las Cláusulas Contractuales Tipo se modifican para reflejar los requisitos de las Leyes de Protección de Datos suizas y británicas aplicables, incluyendo referencias a la legislación, la ley aplicable y las autoridades y tribunales competentes.

9. Tratamiento bajo la CCPA

9.a Al tratar Información Personal de California conforme a las instrucciones del Cliente, las partes reconocen y acuerdan que el Cliente es una Empresa y Botpress es un Proveedor de Servicios a efectos de la CCPA. Las partes acuerdan que Botpress tratará la Información Personal de California como Proveedor de Servicios únicamente para prestar los Servicios de Software y Servicios Profesionales bajo el Acuerdo (el “Propósito Comercial”) o según lo permita la CCPA.

10. Solicitudes de terceros

10.a El Cliente será responsable de atender cualquier solicitud de un Titular de los Datos o Regulador respecto a sus Datos Personales y deberá utilizar las funciones disponibles en los Servicios de Software para recuperar la información relevante sobre el tratamiento de Datos Personales.

10.b Si el Cliente no puede atender por sí mismo una solicitud de un Titular de los Datos o Regulador (“Solicitud”), Botpress proporcionará la asistencia razonable necesaria al Cliente para responder a dichas solicitudes relacionadas con el tratamiento de Datos Personales bajo el Acuerdo. Salvo cuando y en la medida en que una solicitud se base en el incumplimiento por parte de Botpress de sus obligaciones bajo este DPA, el Cliente reembolsará a Botpress los gastos razonables en que incurra al prestar dicha asistencia.

10.c Si una Solicitud u otra comunicación relacionada con el tratamiento de Datos Personales bajo el Acuerdo se dirige directamente a Botpress, Botpress informará de inmediato al Cliente y aconsejará al Titular de los Datos o Regulador que presente su Solicitud directamente al Cliente. El Cliente será el único responsable de responder de manera sustantiva a dichas Solicitudes o comunicaciones relacionadas con Datos Personales.

11. Auditoría relacionada con datos personales

11.a A solicitud y con previo aviso razonable a Botpress, el Cliente está autorizado, a su propio costo, a realizar las verificaciones necesarias para asegurarse de que los Datos Personales procesados por Botpress en nombre del Cliente se tratan conforme a las instrucciones del Cliente. A petición del Cliente, Botpress permitirá la auditoría e inspección del tratamiento realizado por Botpress. Dicha auditoría podrá ser realizada por el Cliente y/o por un tercero (seleccionado por el Cliente y razonablemente aceptado por Botpress) actuando en nombre del Cliente. El Cliente deberá tomar todas las medidas necesarias para evitar causar cualquier daño o interrupción en las instalaciones, equipos, personal y operaciones de las entidades del Grupo Botpress.

11.b El Cliente y Botpress deberán acordar previamente la naturaleza, alcance y duración de cualquier auditoría por parte del Cliente, y el Cliente reembolsará a Botpress todos los costos razonables asociados a dicha auditoría, los cuales podrán ser estimados a solicitud del Cliente antes de iniciar la auditoría. En la medida de lo posible, cualquier requisito de auditoría del Cliente se cumplirá mediante informes de auditoría de terceros proporcionados por Botpress, si estuvieran disponibles.

11.c Si Botpress procesa Datos Europeos en nombre del Cliente, Botpress proporcionará al Cliente, previa solicitud razonable (y de manera confidencial) (i) una copia resumida de sus informes de pruebas de seguridad y (ii) respuestas escritas a todas las solicitudes razonables de información realizadas por el Cliente necesarias para confirmar el cumplimiento de Botpress con este DPA, siempre que el Cliente no ejerza este derecho más de una vez por año calendario, a menos que el Cliente pueda demostrar motivos razonables para sospechar el incumplimiento del DPA por parte de Botpress.

12. Limitación de responsabilidad

12.a La responsabilidad de Botpress y sus Afiliadas, en conjunto, derivada de o relacionada con este DPA (y cualquier otro DPA entre las partes) y las Cláusulas Contractuales Tipo (cuando correspondan), ya sea por contrato, agravio o bajo cualquier otra teoría de responsabilidad, estará limitada al monto total de las Tarifas pagadas por el Cliente a Botpress por los Servicios durante los 12 meses previos al hecho que dio origen a la responsabilidad.

13. Jurisdicción

A menos que las Leyes de Protección de Datos aplicables exijan lo contrario, este DPA se regirá e interpretará de acuerdo con las leyes aplicables al Acuerdo y cualquier disputa relacionada con este Acuerdo será resuelta por los tribunales competentes de la jurisdicción indicada en la Propuesta.

En la medida en que las Leyes de Protección de Datos requieran que este DPA se rija por las leyes de un estado miembro de la Unión Europea, este DPA se regirá por las leyes de Irlanda y las disputas relacionadas con este Acuerdo serán resueltas por los tribunales irlandeses.

14. General

14.a Prevalencia. En caso de cualquier inconsistencia entre las disposiciones de este DPA y cualquier otra disposición del Acuerdo, las disposiciones del DPA siempre prevalecerán, salvo y en la medida en que se estipule expresamente que otra disposición del Acuerdo prevalecerá o que una disposición de este DPA será dejada sin efecto o modificada.

14.b Modificaciones. Botpress podrá modificar este DPA para reflejar cambios en sus prácticas de tratamiento de datos. Cualquier modificación distinta a cambios para clarificar el lenguaje (los cuales serán comunicados rutinariamente al Cliente) será presentada al Cliente y no aplicará salvo que el Cliente la acepte. Si una modificación de este DPA es requerida por la ley aplicable, el Cliente tendrá la opción de aceptar dicha modificación o cancelar su suscripción a los Servicios de Software.

14.c  Divisibilidad. Si alguna disposición individual de este DPA se considera inválida o inaplicable, la validez y aplicabilidad de las demás disposiciones de este DPA no se verán afectadas.


Anexo 1 – Detalles del Tratamiento

Identificación del Responsable

El Cliente

Persona de contacto: la persona identificada en la Propuesta aceptada por el Cliente.

Identificación del Encargado

Si el Cliente se encuentra en Canadá: Technologies Botpress Inc. Si el Cliente se encuentra en otro lugar: Botpress, Inc.

Persona de contacto:

Jean-Bernard Perron [email protected]

Categorías de Titulares de los Datos

El Cliente puede enviar Datos Personales durante el uso del Servicio de Software, cuyo alcance es determinado y controlado exclusivamente por el Cliente, sujeto a los términos de servicio aplicables, y que puede incluir, entre otros, Datos Personales relacionados con las siguientes categorías de Titulares de los Datos:

  • Personas que utilizan el Software en nombre del Cliente
  • Usuarios finales de los Bots del Cliente

Categorías de Datos Personales

El Cliente puede enviar Datos Personales a los Servicios de Software y puede permitir que los Usuarios Finales envíen Datos Personales a los Servicios de Software, cuyo alcance es determinado y controlado exclusivamente por el Cliente, sujeto a los términos de servicio aplicables.

El Servicio de Software no está diseñado para el tratamiento de datos sensibles; el Cliente debe determinar la idoneidad de los Servicios de Software para tratar datos sensibles.

Botpress procesará información de contacto de los Usuarios Autorizados (nombre, correo electrónico, teléfono) y datos de uso y comportamiento sobre el uso del producto para soporte técnico y fines estadísticos.

Naturaleza del Tratamiento

  • Almacenamiento y otros tratamientos necesarios para proporcionar, mantener y mejorar los Servicios ofrecidos al Cliente;
  • Divulgación conforme al Acuerdo (incluido este DPA) y/o según lo exijan las leyes aplicables;
  • Botpress tratará los Datos Personales según sea necesario para prestar los Servicios conforme al Acuerdo, y según las instrucciones adicionales del Cliente en su uso de los Servicios.
  • Botpress trata los Datos de Uso para brindar soporte técnico y con fines estadísticos (para la mejora y desarrollo del producto).

Período de conservación de los Datos Personales

Sujeto a la obligación de Botpress de eliminar o devolver los datos al Cliente, según el Acuerdo, Botpress tratará los Datos Personales durante la vigencia del Acuerdo, salvo que se acuerde lo contrario por escrito.

Anexo 2 – Medidas de seguridad

1. Gobernanza

Botpress implementa políticas y procedimientos adecuados respecto a los Datos Personales, incluyendo:

  • Procedimientos de Seguridad de la Información;
  • Políticas sobre el uso de Datos Personales;
  • Procedimiento para la notificación de incidentes de Seguridad y Privacidad;
  • Mecanismos de Evaluación de Riesgos;
  • Procedimientos de Auditoría Interna;
  • Medidas Contractuales;

2. Acceso de usuario

  • Las funciones y responsabilidades de los usuarios de Botpress y los perfiles de usuario con acceso a Datos Personales y sistemas de información están claramente definidos.
  • Botpress adopta medidas para informar a sus usuarios sobre las normas de seguridad que afectan el desempeño de sus funciones y las consecuencias en caso de incumplimiento.
  • No se utilizan protocolos en texto claro para acceder o transferir Datos Personales. Solo se acepta el protocolo SSL para estas operaciones.
  • Botpress garantiza la seguridad de los procesos y procedimientos para el manejo o eliminación de soportes físicos o equipos que puedan contener Datos Personales.
  • Los Datos Personales están físicamente separados, o separados lógicamente si se encuentran en una base de datos o entorno virtual, de otros datos de Botpress. Si los Datos Personales no están físicamente separados de otros datos, sistemas o aplicaciones no relacionados con el Cliente, Botpress emplea controles de seguridad apropiados, incluyendo controles de acceso.

3. Control de acceso

Botpress mantiene los servidores, bases de datos relevantes y otros componentes de hardware y/o software que almacenan Datos Personales en un centro de datos seguro con acceso controlado y monitoreado para admitir solo a personal autorizado.

Botpress aplica medidas efectivas de control de acceso lógico en todos los sistemas utilizados para crear, transmitir o procesar Datos Personales, incluyendo, entre otras:

  • Autenticación del usuario, quien debe utilizar identificadores únicos ("ID de usuario") y nombres.
  • Una estrategia de contraseñas suficientemente compleja y robusta.
  • Los derechos/privilegios de acceso de los usuarios a los recursos de información que contienen Datos Personales deben otorgarse en función de la necesidad de conocer relacionada con las funciones y responsabilidades del usuario.
  • El acceso de los usuarios a los sistemas informáticos que permiten el acceso a Datos Personales será eliminado de inmediato cuando el usuario deje la organización o cambie de puesto y el nuevo cargo no requiera acceso.
  • Las contraseñas predeterminadas y las configuraciones de seguridad deben ser cambiadas en los productos/aplicaciones de terceros utilizados para soportar Datos Personales.
  • Los proveedores de servicios externos estarán sujetos a requisitos y obligaciones de seguridad equivalentes a los de los usuarios autorizados de Botpress al procesar Datos Personales.
  • Revalidación anual de la justificación de las cuentas de usuario y las autorizaciones asociadas con acceso a información personal.

4. Arquitectura de seguridad de red

Botpress aplica medidas efectivas de control de acceso a la red en todos los sistemas utilizados para crear, transmitir o procesar Datos Personales, incluyendo, entre otras:

  • Los cortafuegos están operativos en todo momento y se instalan en el perímetro de la red entre la red interna (privada) de Botpress y la red pública (Internet).
  • Se utilizan sistemas de detección y prevención de intrusiones correctamente configurados y monitorizados en la red de Botpress.
  • Solo se habilitan los servicios/procesos y puertos necesarios para ejecutar los programas habituales en las bases de datos y otros sistemas de información utilizados para procesar Datos Personales. Todos los demás servicios/procesos del host están deshabilitados.
  • Todos los sistemas de información, repositorios y otros sistemas utilizados para procesar Datos Personales deben estar ubicados físicamente en un entorno de centro de datos controlado y ser utilizados con el fin de proteger los sistemas de información.
  • Se deben utilizar de forma constante canales seguros (por ejemplo, TLS, SFTP, SSH, IPSEC, etc.) para las comunicaciones con el centro de datos de Botpress.

5. Controles de gestión de vulnerabilidades

Botpress aplica controles efectivos de gestión de vulnerabilidades en todos los sistemas utilizados para crear, transmitir o procesar Datos Personales, incluyendo, entre otros:

  • Implementación de dispositivos de prevención y detección en la red para ayudar a filtrar correos electrónicos de phishing y malware antes de que lleguen a los equipos gestionados por Botpress y que tengan acceso directo o indirecto a Datos Personales.
  • Implementación de software de prevención y detección de virus y malware en todos los equipos gestionados por Botpress y que procesan Datos Personales.
  • Mantener un proceso y práctica estándar de gestión de parches para garantizar la protección de todos los dispositivos utilizados para acceder, procesar o almacenar Datos Personales.
  • Los dispositivos y documentos que contienen Datos Personales deben permitir la identificación de la información accedida, estar inventariados y ser accesibles solo para los usuarios autorizados según el documento de seguridad.
  • Medidas para prevenir el robo, la pérdida o el acceso no autorizado a Datos Personales durante las operaciones de transmisión y transferencia.

6. Copias de seguridad, recuperación y disponibilidad de datos

Botpress implementa los siguientes planes de recuperación ante desastres y continuidad del negocio para minimizar el tiempo máximo de inactividad y la pérdida de datos.

  • Botpress implementa funciones de recuperación ante desastres diseñadas para restaurar la funcionalidad del sistema que contiene Datos Personales en un plazo acordado por las partes o, en su defecto, en un plazo razonable según la naturaleza de los Datos Personales.
  • Botpress garantizará sistemáticamente que los Datos Personales sean inaccesibles salvo para el personal autorizado de Botpress (por ejemplo, las copias de seguridad externas estarán siempre cifradas).
  • Para reducir los riesgos derivados de amenazas ambientales, peligros y oportunidades de acceso no autorizado, los equipos deben ubicarse lejos de lugares con alta probabilidad de riesgos ambientales y complementarse con equipos redundantes ubicados a una distancia razonable.
  • Se implementarán mecanismos de seguridad y redundancias para proteger los equipos frente a interrupciones de servicios públicos (por ejemplo, cortes de energía, interrupciones de red, etc.).
  • Se establecerán políticas y procedimientos para la retención y almacenamiento de datos, y se implementarán mecanismos de copia de seguridad o redundancia para garantizar el cumplimiento de requisitos regulatorios, legales, contractuales o comerciales. La recuperación de copias de seguridad en disco o cinta se probará en intervalos planificados.

7. Auditoría de seguridad

Botpress aplica controles en todos los sistemas utilizados para crear, transmitir o procesar Datos Personales, incluyendo, entre otros:

  • Análisis de vulnerabilidades o auditorías de terceros en dispositivos de infraestructura expuestos externamente (públicos) que contienen Datos Personales.
  • Pruebas de penetración por parte de terceros en los sistemas de Botpress que almacenan y procesan Datos Personales.
  • Evaluaciones periódicas de terceros cuando las aplicaciones o procesos gestionan información financiera.
  • Botpress se compromete a abordar todas las vulnerabilidades identificadas como resultado de las pruebas de penetración y a notificar al Cliente sobre las acciones de remediación.

8. Formación y concienciación

Botpress implementa un programa de concienciación sobre seguridad para sus empleados y proveedores de servicios que interactúan con los sistemas que gestionan Datos Personales, incluyendo:

  • Botpress se asegurará de que su personal comprenda las amenazas y preocupaciones relacionadas con la gestión de riesgos de la información en los Servicios de Botpress y las políticas relevantes de gestión de riesgos de la información.
  • El personal de Botpress recibirá formación y actualizaciones periódicas sobre las políticas y procedimientos relevantes de gestión de riesgos de la información, el esquema estándar de clasificación de riesgos y los procedimientos apropiados.
  • El personal subcontratado será informado sobre el esquema de clasificación de riesgos de la información de Botpress y los procedimientos correspondientes.
  • Se establecerán políticas y procedimientos para eliminar documentos visibles que contengan datos sensibles cuando un espacio de trabajo quede desatendido y para aplicar el cierre de sesión de la estación de trabajo tras un periodo de inactividad.

Anexo 3 – Sub-Procesadores

Botpress mantiene una lista actualizada de Sub-Procesadores en su Centro de Confianza. Salvo que se indique lo contrario, todos los datos se procesan en Estados Unidos.

Firmar Acuerdo de Procesamiento de Datos
Todos los sistemas operativos
SOC 2
Certificado
RGPD
Cumple
© 2025
Hub
Integraciones
Canales
LLMs
Recursos
Contactar Ventas
Documentación
Contrata a un experto
Videos
Historias de clientes
Referencia API
Blog
Estado
Recursos v12
Únete a nuestro Discord
Socios y afiliados
Discord
Empresa
Acerca de
Empleos
Legal
Privacidad