Acuerdo de Procesamiento de Datos

Este ACUERDO DE PROCESAMIENTO DE DATOS (en adelante, “DPA”) que incluye sus anexos describe las obligaciones de las Partes, incluso bajo las leyes de protección de datos aplicables, con respecto al procesamiento de datos personales (según se define a continuación). El DPA está incorporado en el Acuerdo de Usuario.

Este DPA es entre la Organización (en adelante, “Controlador”)

y 

Mollie B.V., una sociedad de responsabilidad limitada (besloten vennootschap) con domicilio social en Ámsterdam, en Keizersgracht 126, 1015 CW Ámsterdam, Países Bajos y registrada en la Cámara de Comercio Holandesa bajo el número 30204462, (en adelante, “Mollie” o “Procesador”)

y 

Mollie UK Ltd., una sociedad de responsabilidad limitada con domicilio social en Londres, 7 Pancras Square, Londres N1C 4AG, Reino Unido y registrada en la Companies House bajo el número 14013554, (en adelante, “Mollie” o “Procesador”),

cada uno una “Parte” y conjuntamente “Partes”. 

Definiciones 

En este DPA, los siguientes términos tienen el significado establecido a continuación. Los términos en mayúsculas utilizados pero no definidos aquí tendrán el significado establecido en el Acuerdo.

Acuerdo: El acuerdo entre el Controlador y el Procesador para la provisión de servicios (“Acuerdo de Usuario”).

Reglas Corporativas Vinculantes: Políticas de protección de datos personales que son respetadas por un controlador o procesador establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de Datos Personales a un controlador o procesador en uno o más terceros países dentro de un grupo de empresas u organizaciones que realizan una actividad económica conjunta.

Controlador: Persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determina el propósito y medio del Procesamiento de los Datos Personales.

Cliente: Clientes de la Organización que desean pagar por productos y/o servicios proporcionados por la Organización a través del Módulo de Pago de Mollie.

Violación de datos: Una violación de seguridad que conduce a la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilegal a Datos Personales transmitidos, almacenados o de otro modo procesados. 

Acuerdo de Procesamiento de Datos: Este acuerdo, incluidos todos los anexos.

Autoridad de Supervisión: Agencia gubernamental independiente responsable de supervisar el cumplimiento de las leyes aplicables relacionadas con el Procesamiento de Datos Personales. En los Países Bajos, es la Autoridad de Protección de Datos.

Evaluación de Impacto de Protección de Datos: Una evaluación del impacto potencial de las operaciones de procesamiento previstas sobre la protección de los Datos Personales.

Leyes de Protección de Datos: Toda la legislación aplicable relacionada con la protección de datos y la privacidad que incluye, sin limitación, el Reglamento General de Protección de Datos de la UE, todas las leyes y regulaciones locales que enmiendan o reemplazan cualquiera de ellas, junto con cualquier ley nacional de implementación en cualquier Estado Miembro del Espacio Económico Europeo (EEE), en la medida aplicable, en cualquier otro país, enmendada, derogada, consolidada o reemplazada de vez en cuando.

Sujeto de Datos: La persona natural a la que se refieren los Datos Personales (por ejemplo, Clientes).

GDPR: El Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 sobre la protección de las personas físicas en cuanto al procesamiento de Datos Personales y sobre la libre circulación de dichos datos. 

Datos Personales: Cualquier información relacionada con una persona física identificada o identificable; una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular mediante un identificador como un nombre, un número de identificación, datos de localización, un identificador en línea o a uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona. 

Procesamiento: Cualquier operación o conjunto de operaciones realizadas en Datos Personales o conjuntos de Datos Personales, ya sea o no por medios automatizados, como la recopilación, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión o puesta a disposición de otra manera, alineación o combinación, restricción, borrado o destrucción. Esta lista no es exhaustiva. Los términos “proceso”, “procesos” y “procesado” se interpretarán en consecuencia. 

Procesador: Una persona física o jurídica, autoridad pública, agencia u otro organismo que Procesa (Datos Personales) en nombre del Controlador.

Organización: La organización que utiliza el Módulo de Pago de Mollie para fines que incluyen, pero no se limitan, a la venta de productos y/o servicios a Clientes.

Cláusulas Contractuales Estándar: Cláusulas Contractuales Estándar de la Comisión Europea para Procesadores de Datos (2010/87/UE) o Decisión de Implementación de la Comisión (UE) 2021/914 del 4 de junio de 2021 sobre cláusulas contractuales estándar para la transferencia de datos personales a terceros países de acuerdo con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (C/2021/3972).
Sub-procesador cualquier persona, entidad o empresa tercera comprometida por el Procesador para procesar Datos Personales en la prestación de servicios bajo el Acuerdo.

SECCIÓN A: PROPÓSITO 

Artículo A.1 Alcance

El Procesador ha acordado proporcionar servicios al Controlador de acuerdo con los términos del Acuerdo de Usuario. Al prestar servicios, el Procesador procesará Datos Personales en nombre del Controlador según lo identificado en este DPA. El Procesador, como institución financiera, también procesa Datos Personales actuando como controlador de datos. 

Las Partes reconocen y aceptan que en la medida en que Mollie procesa Datos Personales involucrados en transacciones de pago para: i) ejecutar el Acuerdo de Usuario con el Controlador; ii) monitorear, prevenir y detectar transacciones de pago fraudulentas; iii) cumplir con obligaciones legales o regulatorias aplicables al procesamiento y retención de datos de pago a los que Mollie está sujeto, incluidas las evaluaciones de cumplimiento contra el lavado de dinero y obligaciones de conocer a su cliente (KYC); y iv) mejorar los productos y servicios de Mollie, Mollie actúa como controlador de datos y tiene la autoridad exclusiva para determinar los propósitos y medios de procesamiento de los Datos Personales que recibe de o a través del Controlador (prestando servicios a este).

Las actividades de procesamiento, Datos Personales y categorías de Sujetos de Datos para las cuales el Procesador procesa Datos Personales en nombre del Controlador están identificadas en el Anexo A. 

SECCIÓN B: OBLIGACIONES 

Artículo B.1 Obligaciones del Controlador 

El Controlador es responsable de los Datos Personales que el Procesador procesará y garantizará el cumplimiento de todas las Leyes de Protección de Datos, incluidos los requisitos relacionados con la transferencia de los Datos Personales bajo este DPA y el Acuerdo de Usuario. El Controlador garantiza tener el derecho de Procesar los Datos Personales y posee el derecho de nombrar al Procesador para que procese los datos en nombre del Controlador.

El Controlador acepta que, sin limitación de las obligaciones del Procesador en virtud de este DPA, el Controlador es el único responsable de su uso de los servicios, incluyendo (a) hacer un uso apropiado de los servicios para asegurar un nivel de seguridad adecuado al riesgo con respecto a los Datos Personales; (b) asegurar las credenciales de autenticación de la cuenta, sistemas y dispositivos que el Controlador utiliza para acceder a los servicios; (c) asegurar los sistemas y dispositivos del Controlador que utiliza con los servicios; y (d) mantener sus propias copias de seguridad de los Datos Personales.

Artículo B.2 Obligaciones del Procesador 

El Procesador se compromete a: 

1. procesar los Datos Personales solo de acuerdo con las instrucciones documentadas del Controlador y tomará las medidas necesarias para garantizar que cualquier persona que actúe bajo su autoridad y que tenga acceso a los Datos Personales no procese los Datos Personales excepto siguiendo las instrucciones del Controlador;

2. informar de inmediato al Controlador si alguna de las instrucciones sobre el Procesamiento de Datos Personales proporcionadas al Procesador por el Controlador infringe alguna Ley de Protección de Datos aplicable o las disposiciones establecidas en este DPA;

3. implementar procedimientos técnicos y organizativos apropiados para proteger los Datos Personales, considerando el estado de la técnica, los costos de implementación y la naturaleza, alcance, contexto y propósitos de procesamiento, así como el riesgo de probabilidad y severidad variables para los derechos y libertades de las personas físicas; y

4. informar sin demora indebida al Controlador si recibe una queja o solicitud relacionada con las obligaciones de cualquiera de las Partes bajo las Leyes de Protección de Datos relevantes para este DPA, incluyendo cualquier reclamación de compensación de un Sujeto de Datos o cualquier aviso, investigación u otra acción de una Autoridad Supervisora y proporcionar al Controlador todos los detalles de dicha investigación, queja o solicitud a menos que no esté permitido por la ley o por solicitud de la Autoridad Supervisora.

SECCIÓN C: TRANSFERENCIAS Y SUB-PROCESADORES

Artículo C.1 Transferencia de Datos Personales 

Cuando los Datos Personales relacionados con un Sujeto de Datos de la UE se transfieran fuera del EEE, serán procesados por una entidad: (i) ubicada en un tercer país o territorio reconocido por la Comisión de la UE como teniendo un nivel adecuado de protección; o (ii) que esté sujeto a Cláusulas Contractuales Estándar de la UE y/o a un Acuerdo Internacional de Transferencia de Datos del Reino Unido o el Anexo de SCC’s del Reino Unido; o (iii) que tenga otras salvaguardias apropiadas legalmente reconocidas, como las Reglas Corporativas Vinculantes, que garanticen el mismo nivel de protección y salvaguardias que este DPA. 

Artículo C.2 Sub-procesadores 

El Controlador consiente el uso por parte del Procesador de Sub-procesadores especificados en el Anexo B. Esta lista puede ser actualizada por el Procesador de vez en cuando de acuerdo con este DPA.

El Procesador proporcionará al Controlador la posibilidad de oponerse a cada nuevo Sub-procesador que se involucrará únicamente en el ámbito de las actividades de procesamiento de datos identificadas en el Anexo A. 

Antes de contratar a un nuevo Sub-procesador, el Procesador notificará al Controlador y proporcionará al Controlador al menos diez (10) días calendario para oponerse, excepto cuando el Procesador razonablemente crea que contratar a un nuevo Sub-procesador de manera expedita es necesario para proteger la confidencialidad, integridad o disponibilidad de los Datos Personales o evitar una interrupción material en los servicios prestados. En ese caso, el Procesador dará aviso tan pronto como sea razonablemente factible. Si dentro de los cinco (5) días calendario posteriores a dicho aviso, el Controlador notifica al Procesador por escrito que el Controlador se opone a la designación de un nuevo Sub-procesador por parte del Procesador basado en preocupaciones razonables de protección de datos, las partes discutirán de buena fe esas preocupaciones y si pueden resolverse. Las objeciones a nuevos Sub-procesadores deberán enviarse a privacy@mollie.com. 

El Controlador reconoce que los Sub-procesadores son esenciales para proporcionar los servicios y que oponerse al uso de un Sub-procesador puede impedir al Procesador ofrecer los servicios al Controlador. Si las partes no llegan a un acuerdo mutuo sobre la resolución de esas preocupaciones, el Controlador, como su único y exclusivo remedio, puede dar por terminado el DPA por conveniencia.

Todos los Sub-procesadores que procesen Datos Personales en la provisión de servicios al Controlador cumplirán con las obligaciones establecidas en este DPA. El Procesador, antes de la divulgación de Datos Personales a cualquier Sub-procesador, llevará a cabo una debida diligencia adecuada para asegurar que el Sub-procesador sea capaz de proporcionar el nivel de protección requerido para los Datos Personales del Controlador según este DPA y celebrará un acuerdo con ese Sub-procesador en el que este acuerde cumplir con las obligaciones equivalentes a las establecidas en este DPA. 

SECCIÓN D: SEGURIDAD

Artículo D.1 Medidas de seguridad

El Procesador implementará medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo, entre otros, cuando sea apropiado:

1. la seudonimización y encriptación de Datos Personales; 

2. la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia continua de los sistemas y servicios de procesamiento; 

3. la capacidad de restaurar la disponibilidad y el acceso a los Datos Personales de manera oportuna en caso de incidente físico o técnico; y 

4. un proceso para probar, evaluar y evaluar regularmente la efectividad de las medidas técnicas y organizativas para garantizar la seguridad del Procesamiento. Al evaluar el nivel adecuado 

   de seguridad, se prestará especial atención a los riesgos presentados por el procesamiento, en particular por la destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o acceso a Datos Personales transmitidos, almacenados o de otro modo procesados.

   
   

Artículo D.2 Notificación de Violación de Datos

El Procesador notificará al Controlador sin demora indebida de cualquier destrucción, pérdida, alteración o divulgación no autorizada o acceso a Datos Personales después del descubrimiento, en la medida en que la Violación de Datos esté relacionada únicamente con el procesamiento de Datos Personales por parte del Procesador como procesador. Si y donde la Violación de Datos concierne a Datos Personales para los cuales el Procesador se considera Controlador como se describe en el Aviso de Privacidad del Procesador, el Procesador se reserva el derecho de tratar la Violación de Datos como controlador. 

Un retraso en dar aviso de Violación de Datos solicitado por las fuerzas del orden público y/o en consideración de las necesidades legítimas del Procesador para investigar o remediar el asunto antes de proporcionar aviso no constituirá un retraso indebido. Dichos avisos describirán, en la medida de lo posible, los detalles de la Violación de Datos, incluidos los pasos tomados para mitigar los riesgos potenciales. Sin perjuicio de las obligaciones del Procesador en virtud de esta Sección D.1, el Controlador es el único responsable de cumplir con las leyes de notificación de Violación de Datos aplicables al Controlador y de cumplir con cualquier obligación de notificación a terceros relacionada con cualquier Violación de Datos. La notificación del Procesador de una Violación de Datos o la respuesta al respecto bajo esta Sección D.1 no se interpretará como un reconocimiento por parte del Procesador de ninguna culpa o responsabilidad con respecto a la Violación de Datos.

Cualquier costo incurrido en resolver la Violación de Datos y en la implementación de medidas necesarias para prevenir tal Violación de Datos en el futuro será asumido por la Parte que incurra en los costos.

SECCIÓN E: AUDITORÍA

Artículo E.1 Derecho a la Auditoría 

El Controlador tendrá el derecho de solicitar, previa notificación razonable, informes de auditoría del Procesador relacionados con el Procesamiento de Datos Personales dentro del alcance de los servicios prestados bajo este DPA.

Los informes de auditoría, como se hace referencia en esta cláusula, incluirán, entre otros, informes relacionados con la seguridad, confidencialidad y medidas de protección de datos implementadas por el Procesador en relación con el Procesamiento de Datos Personales. Estos informes también pueden cubrir el cumplimiento de las Leyes de Protección de Datos relevantes.

Las solicitudes de informes de auditoría deberán hacerse por escrito y enviarse a privacy@mollie.com, especificando el alcance y propósito de la solicitud. El Procesador reconocerá la recepción de tales solicitudes de manera oportuna.

La recepción de informes de auditoría estará sujeta a la obligación profesional de confidencialidad. El Controlador puede usar los informes de auditoría solo para los propósitos de cumplir con los requisitos de auditoría regulatoria del Controlador y confirmar que el Procesamiento de Datos Personales del Procesador cumple con este DPA. Los informes de auditoría no podrán ser compartidos externamente.

SECCIÓN F: EVALUACIONES DE IMPACTO EN LA PROTECCIÓN DE DATOS Y CONSULTAS PREVIAS

Artículo F.1 Asistencia

El Procesador asistirá al Controlador con llevar a cabo una evaluación del impacto del Procesamiento de Datos Personales (artículo 35 RGPD) y con cualquier consulta con una Autoridad Supervisora (artículo 36 RGPD), si y en la medida en que se requiera llevar a cabo una evaluación o consulta según las Leyes de Protección de Datos y donde el Procesador esté permitido y/o requerido a cooperar.

SECCIÓN G: DERECHOS DEL SUJETO DE DATOS

Artículo G.1 Asistencia

Si el Procesador recibe una solicitud de un Sujeto de Datos en relación con Datos Personales del Controlador, el Procesador aconsejará al Sujeto de Datos que presente su solicitud al Controlador y/o remitirá la solicitud al Controlador, y el Controlador será responsable de responder a cualquier solicitud de este tipo.

Tras la solicitud del Controlador y a cargo del Controlador, el Procesador proporcionará al Controlador la asistencia que razonablemente pueda requerir para cumplir con las obligaciones bajo las Leyes de Protección de Datos para responder a solicitudes de los sujetos de datos para ejercer sus derechos bajo las Leyes de Protección de Datos (por ejemplo, derechos de acceso a datos, rectificación, borrado, restricción, portabilidad y objeción) en casos donde el Controlador no pueda razonablemente cumplir con dichas solicitudes de manera independiente a través de su acceso a los productos y servicios del Procesador.

SECCIÓN H: VARIOS 

Artículo H.1 Confidencialidad 

El Procesador mantendrá confidenciales todos los Datos Personales y garantizará que todos los empleados, agentes, oficiales y contratistas que tengan acceso o estén involucrados con el Procesamiento de Datos Personales sean conscientes de la naturaleza confidencial de los Datos Personales y estén contractualmente obligados a mantener la confidencialidad de los Datos Personales y sean informados y cumplan con las obligaciones de este DPA.

Artículo H.2 Responsabilidad

Cualquier y toda responsabilidad que surja de este DPA será regida por las disposiciones relevantes del Acuerdo de Usuario, incluyendo limitaciones de responsabilidad. 

Sin perjuicio de las disposiciones del Acuerdo de Usuario, cada Parte será responsable ante la otra Parte por cualquier daño que cause a la otra Parte por cualquier incumplimiento de este DPA. Estos daños deberán demostrarse claramente. El Procesador solo será responsable por el daño causado por el procesamiento cuando no haya cumplido con las obligaciones de las Leyes de Protección de Datos dirigidas específicamente a los procesadores de datos o cuando haya actuado fuera de o contrario a las instrucciones legales del Controlador como se describe en este DPA. En ese contexto, el Procesador solo será responsable si el Controlador demuestra que el Procesador es responsable del evento que dio lugar al daño.

El Controlador será el único responsable ante el Sujeto de Datos, y el Sujeto de Datos tendrá derecho a recibir compensación, por cualquier daño material o inmaterial que el Controlador o el Procesador (o sus Sub-procesadores) cause al Sujeto de Datos al violar este DPA.

Artículo H.3 Término y Terminación 

El término de este DPA coincidirá con el comienzo del Acuerdo de Usuario y/o el uso del producto o servicio específico incluido en el Anexo A.

Este DPA terminará automáticamente junto con la terminación del Acuerdo de Usuario y/o el uso del producto o servicio específico incluido en el Anexo A, lo que ocurra primero.

Tras la terminación de este DPA, el Procesador, a solicitud del Controlador, devolverá los Datos Personales al Controlador o a un Procesador nominado por el Controlador, o eliminará los Datos Personales, a menos que el Procesador esté obligado a retener una copia de acuerdo con cualquier ley de la Unión Europea o cualquier estado miembro de la Unión Europea.

SECCIÓN I: DISPOSICIONES FINALES 

Artículo I.1 Acuerdo Completo 

Este DPA constituye una parte del Acuerdo de Usuario. Todos los derechos y obligaciones derivados del Acuerdo de Usuario también son aplicables a este DPA. El Anexo A constituye una parte integral de este DPA.

Artículo I.2 Enmienda solo por Acuerdo 

Ninguna variación de este DPA será válida a menos que esté por escrito y firmada por representantes autorizados de cada Parte. 

Artículo I.3 Separabilidad 

Cada una de las disposiciones de este DPA son distintas y separables, y si alguna disposición o parte de una disposición es considerada inaplicable, ilegal o nula en su totalidad o en parte por cualquier tribunal, autoridad reguladora u otra autoridad competente, se considerará en la medida que sea parte de este DPA y la aplicabilidad, legalidad y validez del resto de este DPA no se verá afectada. Las Partes acuerdan intentar sustituir cualquier disposición inválida o inaplicable por una disposición válida o aplicable que logre en la mayor medida posible el mismo efecto que habría sido logrado por la disposición inválida o inaplicable. A excepción de las enmiendas implementadas por este DPA, el Acuerdo de Usuario permanece inalterado y en pleno vigor y efecto.

Artículo I.4 Derecho de Asignación 

Las Partes solo pueden transferir este DPA de acuerdo con el Acuerdo de Usuario (cláusula 8.9). 

Artículo I.5 Ley Aplicable 

Este DPA se regirá e interpretará de acuerdo con las leyes de los Países Bajos. Cada Parte consiente en la jurisdicción exclusiva de los tribunales de Ámsterdam para resolver cualquier disputa que surja de este DPA. Si algún tribunal o cuerpo administrativo de jurisdicción competente encuentra alguna disposición de este DPA inválida, inaplicable o ilegal, las otras disposiciones de este DPA permanecerán en pleno vigor y efecto.

ANEXO A - ESPECIFICACIÓN DEL PROCESAMIENTO DE DATOS PERSONALES 

1. PROPÓSITO DEL PROCESAMIENTO

El procesamiento de Datos Personales está directamente relacionado con la prestación de los servicios prestados bajo el Acuerdo de Usuario.

Los propósitos del procesamiento son:

• Facilitar el envío de facturas a los Clientes del Controlador a través de los productos y servicios de Mollie 

2. CATEGORÍAS DE SUJETOS DE DATOS 

El Procesador procesará Datos Personales de las siguientes categorías de Sujetos de Datos para el Controlador:

• Clientes del Controlador (es decir, el pagador (consumidores, clientes empresariales))

3. TIPOS DE DATOS PERSONALES 

El Procesador procesará los siguientes tipos de Datos Personales para el Controlador:

• Detalles de contacto básicos (incluye nombre completo, número de teléfono (oficina), dirección de correo electrónico (empresa), dirección residencial/compañía)

• Detalles de la factura (según lo incluido por el Controlador)

No se procesarán categorías especiales de Datos Personales (como se define por el artículo 9 del RGPD) por el Procesador. 

4. MEDIDAS DE SEGURIDAD 

Contexto 

Como institución financiera, los controles de seguridad y procedimientos operativos que Mollie ha creado para nuestras aplicaciones, sistemas y procesos de TI están sujetos a revisión por el Banco Central Holandés (DNB), el cual utiliza directrices de la Autoridad Bancaria Europea (EBA) para estándares técnicos que los titulares de licencias deben cumplir. 

Además, dado que Mollie (también) opera como controlador de datos personales, Mollie está regulada por otra legislación que establece estándares para la seguridad y protección de datos también, aplicados por autoridades adicionales, notablemente el RGPD y su regulador dentro de los Países Bajos (Autoriteit Persoonsgegevens). 

Adicionalmente, los sistemas que procesan datos de tarjetas específicamente son sistemas compatibles con nivel 1 PCI DSS, lo que significa que esta aplicación particular y los procedimientos para desarrollarla y mantenerla están sujetos a las medidas de protección de datos delineadas por el Consejo PCI, cuya cumplimiento Mollie es evaluada anualmente por una parte externa.

Medidas Generales

Todas las aplicaciones, sistemas y procedimientos relacionados con ellos están sujetos a la Política de Seguridad de la Información de Mollie. Aspectos destacados de esta y otras políticas que son relevantes para el alcance de los servicios proporcionados son:

• Cribado de empleados

• Programa de formación en seguridad para desarrolladores

• Programa de concienciación en seguridad

• Separación de funciones

• Gestión del cambio

• Gestión de vulnerabilidades

• Gestión de incidentes

• Gestión de resiliencia y copias de seguridad

• Aplicación estricta del control de acceso (IAM e IGA)

• Revisiones de autorización de usuario

• Estándares de clasificación del sistema

• Estándares de clasificación de datos y política de datos

• Estándares de configuración segura basados en prácticas recomendadas de la industria, aplicación de políticas (endurecimiento)

• Separación de entornos de red físicos y lógicos

• Estándares de encriptación segura

• Gestión de claves de encriptación

• Encriptación (en tránsito, en reposo para entornos de infraestructura compartida como la nube)

• Gestión de riesgos de terceros

• Monitoreo de disponibilidad y errores

• Ciclo de vida de desarrollo seguro

  • Modelado de amenazas en cambios significativos y nuevas funciones

  • Gestión de dependencias y escaneo de vulnerabilidades conocidas

  • Análisis de seguridad de código estático

  • Escaneo de vulnerabilidad interna y externa

• Divulgación voluntaria de vulnerabilidades (CVD) y programa de recompensa de errores

• Programa de inteligencia de amenazas (por ejemplo, participación en el PI-ISAC holandés, centro de información y análisis de instituciones de pago, monitoreo de la web oscura)

• Colaboración con proveedores de servicios de seguridad gestionados (MSSP) para operaciones de seguridad, análisis e investigaciones forenses

• Gestión de Información y Eventos de Seguridad (SIEM)

• Seguridad en dispositivos endpoint del personal

• Seguridad de correo electrónico

Plataforma Mollie

Además de las medidas de seguridad generales descritas anteriormente, la aplicación de la plataforma Mollie está cubierta por las siguientes medidas de seguridad, ya sea como resultado de la implementación de nuestras políticas generales de seguridad o como medida de mitigación para abordar un riesgo identificado en la evaluación de riesgos específica de la aplicación:

• Control de acceso de 2 factores

• Pruebas de penetración por terceros

• Gestión de eventos de incidentes de seguridad

• Mitigación DDoS

• Respuesta a incidentes de seguridad

• Monitoreo de disponibilidad

• Almacenamiento seguro de credenciales

• Infraestructura redundante

• Respaldo de recuperación ante desastres

• Límite de tasa y bloqueo

• Política de seguridad de contenido estricta

• Captcha

• Cortafuegos de aplicaciones web

ANEXO B - RESUMEN DE SUB-PROCESADORES