Adaptación a DORA
Contexto
Las entidades financieras de la Unión Europea (UE) y sus proveedores de tecnologías de la información y la comunicación (TIC) críticas deben cumplir el Reglamento (UE) sobre la resiliencia operativa digital (DORA) antes del 17 de enero de 2025. En GoTo hemos desarrollado este documento para ayudar a nuestros clientes del sector de los servicios financieros a cumplir las obligaciones de DORA.
Adaptaciones al artículo 30 (Cláusulas contractuales fundamentales):
En GoTo hemos creado este documento para ayudar a nuestros clientes del sector de los servicios financieros a evaluar cómo se alinean nuestros servicios con los requisitos del artículo 30 de DORA. En este documento se hace lo siguiente:
- Describir los elementos contractuales obligatorios especificados en el artículo 30.
- Demostrar cómo se adaptan nuestros servicios y nuestra documentación a cada requisito.
- Proporcionar comentarios que ayuden a comprender cómo se pueden abordar los requisitos usando los servicios de GoTo o los documentos de GoTo a los que se hace referencia a continuación.
A continuación se hace referencia a los siguientes documentos:
- Términos del servicio de GoTo y Documentación del pedido (forma el Acuerdo de servicios de GoTo o el Contrato de servicios)
- Descripciones de los servicios
- Suplemento regional
- Medidas técnicas y organizativas (TOM)
- Información sobre subencargados del tratamiento
- Anexo de tratamiento de datos (DPA) de GoTo
- Código de conducta y ética empresarial
A continuación se hace referencia a los siguientes recursos de GoTo:
- Trust & Privacy Center de GoTo, que incluye lo siguiente: TOM específicas de productos, información sobre subencargados del tratamiento y DPA ejecutables
- Asistencia VIP*: póngase en contacto con nuestros representantes comerciales si desea más información https://www.goto.com/company/contact-us
* Tenga en cuenta que la asistencia VIP puede no estar disponible para todos los productos y servicios - Página de estado: https://www.goto.com/company/trust/status
| N.º | Estándar | Referencia de marco | Descripción | Comentario de GoTo | Referencia contractual y recursos de GoTo |
|---|---|---|---|---|---|
| 1 | Contrato de servicios | Artículo 30 (1) | Los derechos y las obligaciones de la entidad financiera y del proveedor de servicios externo de TIC se asignarán y establecerán claramente por escrito. El contrato completo incluirá los acuerdos de nivel de servicio y estará documentado en un documento escrito disponible para las partes en papel, o en un documento con otro formato descargable, duradero y accesible. | Los derechos y las obligaciones de cada
parte se establecen por escrito en el contrato Términos
del servicio de GoTo, lo que incluye las Descripciones
de los servicios incorporadas a dicho contrato y la
documentación del pedido, todo disponible para
el cliente en el momento de la adquisición o cuando
se solicite. Para gestionar el riesgo de las TIC, los clientes que sean entidades financieras tienen la opción de adquirir nuestra asistencia VIP, que ofrece garantías y documentación sobre el tiempo de respuesta y resolución. Para ello, deben ponerse en contacto con nuestros representantes comerciales y solicitar más información en https://www.goto.com/company/contact-us. Los clientes también pueden supervisar la disponibilidad del servicio visitando https://www.goto.com/company/trust/status. |
Términos del servicio
Documentación del pedido
Descripciones de los servicios
Asistencia VIP* Página de estado |
| 2 | Subcontratación | Artículo 30 (2) (a) | Los acuerdos contractuales sobre el uso de servicios de TIC deben incluir una descripción clara y completa de todas las funciones y servicios de TIC que prestará el proveedor de servicios externo de TIC, que indique si se permite la subcontratación de un servicio de TIC para una función crítica o importante, o para partes sustanciales de ella y, cuando así sea, las condiciones que se aplican a dicha subcontratación. | El Pedido expone los servicios adquiridos
e incorpora los Términos del servicio de GoTo,
que incluyen la referencia a nuestra Descripción
de los servicios, en la que se describen cada
producto y cada servicio que ofrecemos. La sección 4.2 de los Términos del servicio de GoTo establece que la información sobre tratamiento de datos se expone de forma más detallada en nuestro Trust & Privacy Center (https://www.goto.com/company/trust), donde puede consultar las correspondientes ubicaciones de tratamiento de datos e información sobre subencargados del tratamiento, así como información de servicios específicos sobre nuestras medidas de seguridad técnicas y organizativas (que se encuentra en la documentación sobre Medidas técnicas y organizativas o "TOM"). |
Documentación del pedido Términos del servicio Descripciones de los servicios Información sobre subencargados del tratamiento TOM |
| 3 | Ubicación | Artículo 30 (2) (b) | Los acuerdos contractuales sobre el uso de servicios de TIC deben incluir las ubicaciones, es decir, las regiones o los países en los que se proporcionarán las funciones y los servicios de TIC contratados o subcontratados y en los que se tratarán los datos, lo que incluye la ubicación de almacenamiento. También deben incluir el requisito de que el proveedor de servicios externo de TIC notifique a la entidad financiera por adelantado si prevé cambiar dichas ubicaciones. | Las ubicaciones de los subencargados del tratamiento de GoTo están disponibles en el Trust & Privacy Center (https://www.goto.com/company/trust). En el DPA de GoTo se describen los compromisos y las obligaciones de GoTo en relación con sus subencargados del tratamiento, lo que incluye el proceso de nombramiento, el aviso sobre cambios y los derechos de oposición. La infraestructura de GoTo está diseñada para aumentar la fiabilidad del servicio y reducir el riesgo de inactividad. Como se describe en el DPA de GoTo, el Cliente puede suscribirse a avisos de cambios de nuestros subencargados del tratamiento o nuestras TOM en el Trust & Privacy Center de GoTo, aquí https://www.goto.com/company/trust. |
Información sobre subencargados del tratamiento DPA |
| 4 | Datos y seguridad | Artículo 30 (2) (c) | Los acuerdos contractuales sobre el uso de servicios de TIC deben incluir disposiciones sobre disponibilidad, autenticidad, integridad y confidencialidad en relación con la protección de datos, incluidos los datos personales. | Las TOM de GoTo garantizan que GoTo mantenga
sólidos programas globales de privacidad y seguridad
y medidas de protección organizativas,
administrativas y técnicas diseñadas para: (i) asegurar
la confidencialidad, la integridad y la disponibilidad del
Contenido del cliente; (ii) proteger
contra amenazas y peligros la seguridad del
Contenido del cliente; (iii) proteger contra
pérdidas, usos indebidos, accesos no autorizados, revelaciones,
modificaciones y destrucciones el
Contenido del cliente; y (iv) preservar el cumplimiento de
las leyes y las normativas aplicables, incluidas las leyes
de protección de datos y privacidad. |
TOM |
| 5 | Datos y seguridad | Artículo 30 (2) (d) | Los acuerdos contractuales sobre el uso de servicios de TIC deben incluir disposiciones sobre la garantía del acceso, la recuperación y la devolución en un formato fácilmente accesible en relación con los datos personales y no personales tratados por la entidad financiera en caso de insolvencia, disolución o interrupción de las operaciones comerciales del proveedor de servicios externo de TIC, o en caso de rescisión de los acuerdos contractuales. | El DPA de GoTo establece que, previa solicitud por escrito del Cliente y si lo permite la ley, GoTo devolverá al Cliente el Contenido del cliente o indicará al Cliente cómo realizar una exportación de datos de autoservicio. Las correspondientes TOM de GoTo también proporcionan esta información (Eliminación y devolución de contenido). Los Términos del servicio de GoTo, sección 3.3, también establecen un periodo para que el Cliente recupere su Contenido tras la rescisión del contrato. | DPA TOM Términos del servicio |
| 6 | Servicios y nivel de servicio | Artículo 30 (2) (e) | Los acuerdos contractuales sobre el uso de servicios de TIC deben incluir descripciones del nivel de servicio, incluidas sus actualizaciones y sus revisiones. | Para gestionar el riesgo de las TIC, los clientes que sean entidades financieras
tienen la opción de adquirir nuestra asistencia VIP, que ofrece garantías y documentación sobre el tiempo de respuesta y resolución. Póngase en contacto con nuestros representantes comerciales si desea más información https://www.goto.com/company/contact-us. Los clientes también pueden supervisar la disponibilidad del servicio visitando https://www.goto.com/company/trust/status. |
Asistencia VIP* Página de estado |
| 7 | Continuidad de las actividades y resiliencia operativa | Artículo 30 (2) (f) | Los acuerdos contractuales sobre el uso de servicios de TIC deben incluir la obligación del proveedor de servicios externo de TIC de proporcionar asistencia a la entidad financiera sin coste adicional, o a un coste determinado con anterioridad, cuando se produzca un incidente de TIC relacionado con el servicio de TIC prestado a la entidad financiera. | El DPA de GoTo describe la asistencia que GoTo
proporcionará al cliente en caso de incidente de
TIC sin coste adicional. También especifica
la obligación de GoTo de notificar al cliente
dicho incidente. Los clientes también pueden supervisar la disponibilidad del servicio visitando https://www.goto.com/company/trust/status. |
Página de estado DPA |
| 8 | Autoridades supervisoras | Artículo 30 (2) (g) | Los acuerdos contractuales sobre el uso de servicios de TIC deben incluir la obligación del proveedor de servicios externo de TIC de cooperar plenamente con las autoridades competentes y las autoridades de resolución de la entidad financiera, incluidas las personas nombradas por ellas. | La sección 5 de los Términos del servicio de GoTo establece
que, si es necesario y de acuerdo con
la legislación aplicable, GoTo cooperará con las autoridades públicas locales,
regionales, estatales e internacionales
con respecto a los Servicios. Además, el DPA de GoTo también establece que GoTo cooperará plenamente con las autoridades supervisoras, las autoridades de resolución y las personas designadas por ellas que ejerzan sus derechos de información y auditoría en relación con los Servicios. |
Términos del servicio DPA |
| 9 | Rescisión | Artículo 30 (2) (h) | Los acuerdos contractuales sobre el uso de servicios de TIC deben incluir derechos de rescisión y los correspondientes periodos de notificación mínimos para la rescisión de los acuerdos contractuales, de acuerdo con las expectativas de las autoridades competentes y las autoridades de resolución. | Los periodos de notificación aplicables a la
rescisión de los Servicios se establecen en la
sección 3.1 de los Términos del servicio de GoTo y
el Suplemento regional incorporado, que incluye requisitos específicos de cada país. |
Términos del servicio Suplemento regional |
| 10 | Continuidad de las actividades y resiliencia operativa | Artículo 30 (2) (i) | Los acuerdos contractuales sobre el uso de servicios de TIC deben incluir las condiciones de la participación de proveedores de servicios externos de TIC en los programas de concienciación sobre seguridad de las TIC de las entidades financieras y en la formación sobre resiliencia operativa digital de acuerdo con el artículo 13(6). | El DPA de GoTo especifica nuestras obligaciones, nuestras responsabilidades y nuestros deberes en materia de formación interna en relación con la seguridad y la privacidad. Las TOM de GoTo proporcionan información acerca de los programas de concienciación sobre privacidad y seguridad de GoTo y, específicamente, establecen que los empleados recién contratados, los contratistas y los becarios deben recibir información sobre las políticas de seguridad y el Código de conducta y ética empresarial de GoTo durante su incorporación. Además, todos los empleados, contratistas y filiales de GoTo deben consultar y cumplir el Código de conducta y ética empresarial de GoTo. | DPA TOM Código de conducta y ética empresarial |
| 11 | Servicios y nivel de servicio | Artículo 30 (3) (a) | Los acuerdos contractuales sobre el uso de servicios de TIC relacionados con funciones críticas o importantes deben incluir descripciones completas del nivel de servicio, incluidas sus actualizaciones y sus revisiones, con objetivos de rendimiento cuantitativos y cualitativos precisos dentro de los niveles de servicio acordados para permitir una supervisión eficaz por parte de la entidad financiera de los servicios de TIC y la adopción de acciones correctivas sin dilaciones indebidas cuando no se cumplan los niveles de servicio acordados. | Para gestionar el riesgo de las TIC, los clientes que sean entidades financieras
tienen la opción de adquirir nuestra asistencia VIP,
que ofrece garantías y documentación
sobre el tiempo de respuesta y resolución.
Póngase en contacto con nuestros representantes comerciales si desea más
información
https://www.goto.com/company/contact-us. Los clientes también pueden supervisar la disponibilidad de los servicios de GoTo visitando https://www.goto.com/company/trust/status. |
Asistencia VIP* Página de estado |
| 12 | Supervisión y notificación | Artículo 30 (3) (b) | Los acuerdos contractuales sobre el uso de servicios de TIC relacionados con funciones críticas o importantes deben incluir los periodos de notificación y las obligaciones de información del proveedor de servicios externo de TIC para con la entidad financiera, lo que incluye la notificación de cualquier acontecimiento que pueda tener una importante repercusión en la capacidad del proveedor de servicios externo de TIC para prestar eficazmente los servicios de TIC relacionados con funciones críticas o importantes de conformidad con los niveles de servicio acordados. | Las notificaciones y las alertas relacionadas con los servicios se publican en
https://www.goto.com/company/trust/status. Otras obligaciones de notificación se establecen en el DPA de GoTo (notificaciones sobre subencargados del tratamiento y notificaciones de Incidentes de seguridad en relación con el Contenido del cliente). |
Página de estado DPA |
| 13 | Continuidad de las actividades y resiliencia operativa | Artículo 30 (3) (c) | Los acuerdos contractuales sobre
el uso de servicios de TIC
relacionados con funciones críticas
o importantes deben incluir los requisitos para que el proveedor de servicios externo de TIC implemente y pruebe planes de contingencia empresariales y cuente con medidas de seguridad, herramientas y políticas de TIC que proporcionen un nivel adecuado de seguridad para la prestación de servicios por parte de la entidad financiera de acuerdo con su marco normativo. |
El DPA de GoTo afirma que GoTo implementará
y mantendrá medidas técnicas y
organizativas apropiadas para proteger la
seguridad (lo que incluye protección contra
Incidentes de seguridad), la confidencialidad y la integridad
del Contenido del cliente, como se expone en las Medidas técnicas
y organizativas aplicables (anexo 4). Las TOM de GoTo establecen que la implementación de medidas de protección, funciones y prácticas por parte de GoTo incluye: I. Fabricar productos que tengan en cuenta la seguridad y la privacidad por diseño y de forma predeterminada e incluir capas adicionales de seguridad para proteger el Contenido del cliente. II. Mantener controles organizativos que pongan en práctica las políticas y los procedimientos internos relacionados con el cumplimiento de normas, la gestión de incidentes, la seguridad de las aplicaciones, la seguridad del personal y los programas de formación continua. III. Garantizar la existencia de prácticas de privacidad que rijan el manejo y la gestión de los datos de acuerdo con la legislación aplicable, lo que incluye el RGPD, la CCPA, la LGPD, así como nuestro propio Anexo de tratamiento de datos (DPA) y las políticas y los compromisos correspondientes de GoTo. Incluyendo medidas de protección de la seguridad en el producto, nos esforzamos por proteger el Contenido del cliente de GoTo de las amenazas y garantizar que los controles de seguridad sean apropiados para la naturaleza y el alcance de los Servicios. |
DPA TOM |
| 14 | Datos y seguridad | Artículo 30 (3) (d) | Los acuerdos contractuales sobre el uso de servicios de TIC relacionados con funciones críticas o importantes deben incluir la obligación del proveedor de servicios externo de TIC de participar y cooperar plenamente en las TLPT de la entidad financiera tal como se contempla en los artículos 26 y 27. | Las TOM de GoTo especifican que, además de realizar pruebas internas, GoTo contrata a empresas externas para que lleven a cabo periódicamente evaluaciones de la seguridad o pruebas de penetración. | TOM |
| 15 | Auditoría, acceso e información | Artículo 30 (3) (e) | Los acuerdos contractuales sobre
el uso de servicios de TIC
relacionados con funciones críticas
o importantes deben incluir el derecho
a supervisar de forma permanente
el rendimiento del proveedor de servicios
externo de TIC, lo que
supone lo siguiente: •
Derechos ilimitados de acceso,
inspección y auditoría para la entidad financiera o el auditor externo que esta nombre, y para la autoridad competente. Estos derechos no estarán limitados por
otros acuerdos contractuales
o
políticas de implementación. • Derecho a acordar niveles alternativos de garantía si se ven afectados derechos de otros clientes. • Obligación del proveedor de servicios externo TIC de cooperar plenamente durante las inspecciones in situ realizadas por las autoridades competentes, el supervisor principal, la entidad financiera o un tercero designado. • Obligación de proporcionar detalles sobre el alcance de dichas inspecciones y dichas auditorías, los procedimientos que deben seguirse en ellas y su frecuencia. |
El DPA de GoTo, en la sección Certificaciones y auditorías de terceros, establece que GoTo pondrá a disposición de los clientes sus certificaciones de terceros o que el cliente, o un tercero nombrado por él, podrán solicitar una auditoría dentro de lo razonable. GoTo se compromete a encargar a un tercero competente e independiente (como un auditor acreditado por el AICPA o la ISO) una evaluación externa de sus controles de seguridad anualmente como mínimo, como se especifica en la disposición que describe el Cumplimiento de normas de las correspondientes TOM, y proporcionará al Cliente una copia de los resultados de esa evaluación (o una prueba de ellos) una vez cada año natural (si el Cliente no es competencia directa de GoTo y de acuerdo con las obligaciones de confidencialidad aplicables), si el Cliente lo solicita por escrito. | DPA TOM |
| 16 | Rescisión | Artículo 30 (3) (f) | Los acuerdos contractuales sobre el uso de servicios de TIC relacionados con funciones críticas o importantes deben incluir estrategias de salida y, en concreto, el establecimiento de un periodo de transición adecuado obligatorio, durante el que el proveedor de servicios externo de TIC continuará proporcionando las funciones o los servicios de TIC correspondientes con vistas a reducir el riesgo de que se produzcan trastornos en la entidad financiera o a garantizar la eficacia de la resolución y la reestructuración de dicha entidad, • permitiendo a la entidad financiera migrar a otro proveedor de servicios externo de TIC o cambiar a soluciones internas adecuadas a la complejidad del servicio prestado. | La sección 3.3. de los Términos del servicio establece
que, previa solicitud, GoTo proporcionará acceso
limitado a los Servicios durante un periodo no
superior a 30 días para permitirle recuperar su
Contenido de los Servicios.
El DPA de GoTo también establece que, previa solicitud por escrito del Cliente y si lo permite la ley, GoTo devolverá al Cliente el Contenido del cliente o indicará al Cliente cómo realizar una exportación de datos de autoservicio. Además, las correspondientes TOM describen cómo puede solicitar asistencia un Cliente para la devolución o la eliminación del Contenido del cliente. Sin embargo, si una entidad regulada desea asistencia, previa solicitud, GoTo prestará servicios de asesoramiento e implementación para ayudar a migrar cargas de trabajo o de cualquier otro modo en la transición del uso de los Servicios. |
Términos del servicio
DPA TOM Asistencia para la transición |
| 17 | Auditorías | Artículo 30 (3) | Como excepción a lo dispuesto en el punto (e), el proveedor de servicios externo de TIC y la entidad financiera, si es una microempresa, podrán acordar que los derechos de acceso, inspección y auditoría de la entidad financiera puedan delegarse en un tercero independiente, nombrado por el proveedor de servicios externo de TIC, y que la entidad financiera pueda solicitar información y garantía sobre el rendimiento del proveedor de servicios externo de TIC al tercero en cualquier momento. | El DPA de GoTo, en la sección Certificaciones y auditorías de terceros, establece que GoTo pondrá a disposición de los clientes sus certificaciones de terceros o que el cliente, o un tercero nombrado por él, podrán solicitar una auditoría dentro de lo razonable. GoTo se compromete a encargar a un tercero competente e independiente (como un auditor acreditado por el AICPA o la ISO) una evaluación externa de sus controles de seguridad anualmente como mínimo, como se especifica en la disposición que describe el Cumplimiento de normas de las correspondientes TOM, y proporcionará al Cliente una copia de los resultados de esa evaluación (o una prueba de ellos) una vez cada año natural (si el Cliente no es competencia directa de GoTo y de acuerdo con las obligaciones de confidencialidad aplicables), si el Cliente lo solicita por escrito. | DPA TOM |
Asistencia adicional
Este documento se ha creado para ilustrar cómo cumplen nuestros servicios las obligaciones de DORA. Si necesita asistencia adicional en relación con las obligaciones de DORA, lo que incluye para solicitar un anexo DORA firmado para su Contrato de servicios, póngase en contacto con su representante de asistencia de GoTo para obtener más información https://www.goto.com/company/contact-us.
