Contrato de tramitación de pedidos CCM19 / AVV

También puede descargar aquí el texto que figura a continuación en formato PDF. Sólo tiene que enviar el documento cumplimentado a info@ccm19.de.

Acuerdo entre el cliente de

y el

Papoo Software & Media GmbH
Fabricante CCM19
Auguststr. 4
53229 Bonn
(en adelante, el "Contratista")

sobre el tratamiento de datos personales. Las definiciones que figuran en las CGC o en la descripción del servicio también se aplican en este Acuerdo de Procesamiento de Datos DPA.

1. 1.Objeto y duración del pedido
1.1 Objeto del pedido
El objeto del acuerdo de procesamiento de pedidos es la realización de las siguientes tareas por parte del Contratista de acuerdo con la descripción del servicio en la oferta: Recopilación, administración, documentación y transferencia del consentimiento de los usuarios del Cliente para el procesamiento de datos y, si procede, otros servicios.
El Contratista procesa datos personales para el Cliente en el sentido del Art. 4 No. 2 y Art. 28 GDPR sobre la base de las CGC.

1.2. duración del encargo
La duración del presente encargo (plazo) corresponde a la duración del contrato.

2.Contenido del contrato
2.1 Alcance, tipo y propósito
El alcance, tipo y propósito de la recopilación, procesamiento y / o uso de datos personales por parte del contratista para el cliente se describen específicamente en la descripción del servicio en la oferta.

2.2. tipo de datos
El objeto de la recogida, tratamiento y/o uso de datos personales son los siguientes datos:
- Datos del cliente: Datos de configuración e inicio de sesión
- Datos de usuario:
- Datos de consentimiento (ID de consentimiento, momento del consentimiento, opt-in. Opt-out, idioma del banner, configuración del cliente en el banner - Datos de consentimiento, plantilla)
- Datos del dispositivo (agente HTTP, HTTP referrer, página HTTP)
- Datos IP anonimizados, dirección IP en rollover de 24h en archivos de registro
- Al utilizar estadísticas extendidas u otros plugins estadísticos: datos del navegador (versión)
2.3 A quién afecta
Afecta a las siguientes personas:
1. visitantes del sitio web o usuarios de la app,
2. clientes / usuarios registrados

3. 3.Autorización del cliente para dar instrucciones / lugar de tratamiento de los datos
3.1. Los datos especificados solo se tratarán en el marco de los acuerdos celebrados y de conformidad con las instrucciones documentadas del cliente (cf. Art. 28 párr. 3 lit. a GDPR). El cliente se reserva el derecho a dar instrucciones exhaustivas sobre el tipo, el alcance y el procedimiento del tratamiento de datos en el marco de la descripción del pedido establecida en el presente acuerdo, que podrá concretar mediante instrucciones individuales. Las modificaciones del objeto del tratamiento y los cambios de procedimiento deberán acordarse y documentarse. Cualquier gasto adicional en que se incurra deberá ser remunerado por el cliente. El Contratista sólo podrá facilitar información a terceros o al interesado con el consentimiento previo por escrito del Cliente.

3.2. el contratista tratará los datos personales exclusivamente en el marco de los acuerdos celebrados y de conformidad con las instrucciones del cliente. Cualquier otro tratamiento sólo estará permitido en la
medida en que el Contratista esté obligado a tratar los datos de forma diferente en virtud de la legislación de la Unión Europea o de los Estados miembros a los que esté sujeto el Contratista. En tal caso, el Contratista notificará al Cliente estos requisitos legales antes del tratamiento, a menos que la ley en cuestión prohíba dicha notificación.

3.3. el contratista deberá informar inmediatamente al cliente, de conformidad con el art. 28, apartado 3, párrafo 2 del GDPR, si considera que una instrucción infringe la normativa sobre protección de datos. El contratista tendrá derecho a suspender la aplicación de la instrucción correspondiente hasta que sea confirmada o modificada por el responsable del tratamiento en el cliente. 4. El tratamiento de los datos del cliente se considerará confidencial.

3.4. el tratamiento de los datos del cliente por parte del contratista tiene lugar dentro de la UE. El tratamiento y/o la transferencia a un tercer país fuera del territorio de la UE o a una organización internacional requiere el consentimiento previo por escrito del Cliente. En tal caso, el Contratista está obligado adicionalmente a garantizar un nivel adecuado de protección de datos en el lugar del tratamiento de datos de conformidad con los requisitos legalmente aplicables y las interpretaciones judiciales y oficiales de los mismos, o -a discreción del Cliente- a dar al Cliente la oportunidad de garantizar un nivel adecuado de protección de datos, incluso mediante la celebración o adhesión a cláusulas contractuales tipo de la UE.

3.5 Los destinatarios de las instrucciones en el Contratista son empleados de la Empresa.

4.Confidencialidad
El Contratista garantiza que los empleados implicados en el tratamiento de datos personales y otras personas que trabajen para el Contratista tienen prohibido el tratamiento de los datos personales al margen de las instrucciones. Además, el Contratista garantiza que las personas autorizadas a tratar los datos personales se han comprometido a mantener la confidencialidad o están sujetas a una obligación legal apropiada de confidencialidad. La obligación de confidencialidad/secreto seguirá aplicándose incluso después de la finalización del encargo.

5. 5. Medidas técnicas y organizativas
5.1 El Contratista diseñará la organización interna en su ámbito de responsabilidad de forma que cumpla los requisitos especiales de protección de datos. Tomará las medidas técnicas y organizativas adecuadas para proteger los datos personales del Cliente que cumplan los requisitos del art. 32 GDPR. En particular, las medidas técnicas y organizativas deberán adoptarse de forma que se garantice a largo plazo la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios relacionados con el tratamiento de datos. Estas medidas técnicas y organizativas se describen en el Anexo 1 del presente Acuerdo. El Contratista conoce estas medidas técnicas y organizativas y es responsable de garantizar que ofrecen un nivel de protección adecuado para los riesgos de los datos que se van a tratar.

5.2 Las medidas técnicas y organizativas están sujetas a avances técnicos y a un desarrollo posterior. A este respecto, el contratista está autorizado a aplicar medidas alternativas adecuadas. Al hacerlo, el nivel de seguridad de las medidas especificadas no podrá verse menoscabado. Los cambios significativos deben documentarse.

El Dr. Carsten Euwens, 0228 2805668, ha sido nombrado responsable de protección de datos del contratista. El cliente debe ser informado inmediatamente de cualquier cambio de responsable de protección de datos.

6. 6.Relaciones de subcontratación
6.1 La participación y/o modificación de subcontratistas por parte del Contratista sólo está permitida con el consentimiento del Cliente. Por la presente, el Cliente consiente el uso de subcontratistas de la siguiente manera:
6.1.1 Por la presente, el Cliente consiente el uso de los subcontratistas enumerados en el Anexo 2 del presente Contrato.

6.1.2 El Cliente acepta el cambio o la adición de otros subcontratistas si el Contratista notifica al Cliente respectivo por escrito (el correo electrónico es suficiente) del uso o cambio 1 mes / (30) días antes del inicio del procesamiento de datos. El Cliente podrá oponerse al uso de un subcontratista nuevo/modificado. Si no se presenta ninguna objeción dentro del plazo, se considerará que se ha dado el consentimiento para el uso o el cambio. El cliente reconoce que, en determinados casos, el servicio ya no puede prestarse sin recurrir a un subcontratista específico. En tales casos, cualquiera de las partes tendrá derecho a rescindir el contrato sin previo aviso.
Si existe una razón importante en virtud de la ley de protección de datos para la objeción y no se puede encontrar una solución mutuamente aceptable entre las partes, se concederá al cliente un derecho especial de rescisión. El Cliente deberá declarar su intención de rescindir el contrato por escrito al Contratista en el plazo de una semana a partir de la imposibilidad de negociar una solución amistosa. El Contratista podrá subsanar la objeción en el plazo de dos semanas a partir de la recepción de la declaración de intenciones. Si no se subsana la objeción, el Cliente podrá declarar la rescisión especial, que surtirá efecto en el momento de su recepción.

6.2. el contratista redactará los acuerdos contractuales con el subcontratista o subcontratistas de forma que contengan las mismas obligaciones de protección de datos que las acordadas en el presente pedido, teniendo en cuenta el tipo y el alcance del tratamiento de datos en el ámbito del subcontrato. La obligación del subencargado del tratamiento deberá constar por escrito o en formato electrónico.

6.3. Los servicios que el contratista utilice de terceros como servicio auxiliar para apoyar la ejecución del pedido no deben entenderse como relaciones de subcontratación en el sentido de esta disposición. Se trata, por ejemplo, de servicios de telecomunicaciones, mantenimiento y atención al usuario de "sistemas no informáticos", personal de limpieza o inspectores. No obstante, el contratista está obligado a establecer acuerdos contractuales adecuados y conformes a la ley y a adoptar medidas de control para garantizar la protección y la seguridad de los datos del cliente, incluso en el caso de servicios auxiliares contratados externamente.

7. Derechos de los interesados

7.(1) El contratista apoyará al cliente dentro de sus posibilidades en el cumplimiento de las solicitudes y reclamaciones de los interesados de conformidad con el capítulo III del GDPR.

7.2) El Contratista sólo facilitará información sobre los datos tratados en nombre del Cliente, corregirá o suprimirá estos datos o restringirá el tratamiento de datos en consecuencia, de conformidad con las instrucciones del Cliente. Si un interesado se pone en contacto directamente con el Contratista para solicitar información, corrección o supresión de sus datos o en relación con la restricción del tratamiento de datos, el Contratista transmitirá esta solicitud al Cliente sin demora.

8. 8.Obligaciones del Contratista de cooperar
8.1 El Contratista apoyará al Cliente en el cumplimiento de las obligaciones establecidas en los artículos 32 a 36 del GDPR en relación con la seguridad de los datos personales, las obligaciones de notificación en caso de violación de datos, las evaluaciones de impacto sobre la protección de datos y las consultas previas.

8.2. Con respecto a las obligaciones de información y notificación del cliente de conformidad con los artículos 33 y 34 del RGPD, se aplicará lo siguiente: El Contratista está obligado (i) a informar al Cliente sin demora indebida de cualquier violación de datos personales y (ii) en caso de tal violación, a proporcionar asistencia razonable, si es necesario, con sus obligaciones en virtud del Art. 33 y 34 GDPR (Art. 28 párrafo 3 frase 2 lit. f GDPR). Las notificaciones de conformidad con el Art. 33 o 34 GDPR (informes y notificaciones en caso de violación de datos personales) para el Cliente solo podrán ser realizadas por el Contratista previa instrucción de conformidad con la Sección 3 de este Acuerdo.

8.3. en la medida en que el Cliente tenga obligaciones de notificación o informe en caso de incidente de seguridad en el Cliente, el Contratista se compromete a apoyar al Cliente.

9. 9.Otras obligaciones del Contratista
9.1 En la medida en que lo exija la ley, el Contratista designará a un responsable de la protección de datos que pueda desempeñar sus funciones de conformidad con el art. 38 y 39 GDPR, §§ 38, 6 BDSG. Actualmente, no se aplica ninguna de las normativas legales que exigen un responsable de la protección de datos. No obstante, esta actividad la realiza actualmente el Dr. Carsten Euwens.

9.2. el contratista informará inmediatamente al cliente de las acciones y medidas de control adoptadas por la autoridad de control de conformidad con el art. 58 GDPR. Esto también se aplicará si una autoridad competente investiga al Contratista de conformidad con el Art. 83 GDPR.

9.3. el Contratista garantizará la aplicación del control del pedido mediante auditorías periódicas por parte del Contratista en relación con la ejecución o el cumplimiento del contrato, en particular el cumplimiento y, en caso necesario, la adaptación de las normas y medidas para la ejecución del pedido.

10. 10.Derechos de información e inspección del cliente
10.1 El cliente tiene derecho a solicitar la información requerida en virtud del art. 28 párr. 3 h) GDPR para demostrar el cumplimiento de las obligaciones acordadas del contratista y a llevar a cabo inspecciones de acuerdo con el contratista o a que las lleven a cabo auditores que se designarán en casos concretos.

10.2. las partes acuerdan que el Contratista tiene derecho a presentar documentación significativa al Cliente como prueba del cumplimiento de sus obligaciones y de la aplicación de las medidas técnicas y organizativas. La documentación significativa puede proporcionarse mediante la presentación de un certificado vigente o informes o extractos de informes de organismos independientes (por ejemplo, auditor, auditoría, responsable de protección de datos), o una certificación adecuada a través de una auditoría de seguridad informática o de protección de datos (por ejemplo, de conformidad con la norma ISO 27001) o una certificación aprobada por las autoridades de supervisión responsables.

10.3. esto no afectará al derecho del cliente a realizar inspecciones in situ. No obstante, el Cliente deberá considerar si una inspección in situ sigue siendo necesaria tras la presentación de documentación significativa, en particular teniendo en cuenta el mantenimiento del correcto funcionamiento del Contratista.

10.4. el Comitente tendrá derecho a cerciorarse del cumplimiento del presente Contrato por parte del Contratista en sus operaciones comerciales mediante inspecciones in situ, que por lo general deberán notificarse con la debida antelación. El Contratista se compromete a facilitar al Cliente, a petición de éste, la información necesaria para el cumplimiento de su obligación de control y a poner a su disposición las pruebas correspondientes.

11.Eliminación de datos y devolución de soportes de datos
Tras la finalización del trabajo contractual, el Contratista deberá, a su discreción, entregar al Cliente o destruir en cumplimiento de la normativa de protección de datos todos los datos, documentos y resultados de procesamiento o utilización que hayan llegado a su posesión o a la de los subcontratistas en relación con la relación contractual. Se proporcionarán pruebas al cliente a petición de éste.

12.Responsabilidad
Las disposiciones legales de conformidad con el Art. 82 GDPR se aplican a la responsabilidad en la relación externa.

Bonn, 02.05.2022
Lugar, fecha, firma Cliente Papoo Software & Media GmbH
Dr. Carsten Euwens, Director General

Anexo 1 - Medidas técnicas y organizativas/concepto de seguridad de Papoo Software & Media GmbH
El contratista ha implementado las siguientes medidas técnicas y organizativas y las ha acordado con el cliente

1.Garantizar la confidencialidad
Las medidas para aplicar el requisito de confidencialidad incluyen medidas para el acceso, el control de acceso y el control de acceso. Las medidas técnicas y organizativas adoptadas en este contexto tienen por objeto garantizar la seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra la pérdida, destrucción o daño accidentales.

Medidas aplicadas por Papoo Software & Media GmbH para impedir el acceso no autorizado a los sistemas de procesamiento de datos:

- Acceso de los empleados a los locales de la oficina únicamente con una llave individual
- Acceso de los visitantes únicamente con acompañamiento individual de empleados debidamente autorizados y únicamente a las zonas de visitantes autorizadas.
- Inicio de sesión personal e individual del usuario al conectarse al sistema
- Procedimiento de contraseña (especificación de los parámetros de la contraseña en cuanto a complejidad e intervalo de actualización)
- Inicio de sesión adicional en el sistema para determinadas aplicaciones - Inicio de sesión automático para determinadas aplicacionesInicio de sesión para determinadas aplicaciones
- Bloqueo automático de clientes tras un determinado periodo de tiempo sin actividad del usuario (también salvapantallas protegido por contraseña o pausa automática)
- Documentación electrónica de todas las contraseñas y cifrado de esta documentación para protegerla contra accesos no autorizados
- Autenticación de dos factores si es técnicamente posible
- Actualizaciones periódicas del software
- Análisis periódicos de vulnerabilidades

Los servidores están alojados en OVH GmbH en Frankfurt (Alemania) o en Hetzner Online GmbH en Gunzenhausen (Alemania). Ambos hosters garantizan la fiabilidad y la protección contra el acceso no autorizado a la infraestructura física. Las medidas aplicadas por los subcontratistas pueden consultarse aquí:
https://www.ovh.de/support/agb/Auftragsverarbeitungsvertrag.pdf
https://docs.hetzner.com/de/general/general-terms-and-conditions/data-privacy-faq/#auftragsverarbeitung

2.Garantizar la integridad de
Medidas de protección contra el tratamiento no autorizado o ilícito, la destrucción o los daños accidentales.

2.1 Control de las transferencias
Medidas para garantizar que los datos personales no puedan ser leídos, copiados, alterados o suprimidos sin autorización durante su transmisión electrónica o durante su transporte o almacenamiento en soportes de datos, y que sea posible verificar y determinar a qué organismos están destinados los datos personales transmitidos por equipos de transmisión de datos:
- Cifrado del correo electrónico si es posible
- Cifrado de CD/DVD-ROM, discos duros externos y/u ordenadores portátiles (~ directorio)
- WLAN segura
- Cifrado SSL/TLS
- Destrucción de datos, soportes de datos e impresiones conforme a la protección de datos
- Registro de la transferencia de datos si es posible
- VPN cuando sea necesario o posible posible

2.2 Control de entrada
Medidas que garanticen la posibilidad de comprobar y determinar posteriormente si se han introducido, modificado o suprimido datos personales en los sistemas de tratamiento de datos, en qué momento y por quién:
- Diseño contractual conforme a la ley de los contratos para el tratamiento de datos personales con subcontratistas con la correspondiente regulación de los mecanismos de control
- Obtención de autoinformes de los proveedores de servicios sobre sus medidas para aplicar los requisitos de protección de datos
- Confirmación por escrito de las instrucciones verbales
- Registro y conservación de los registros adecuados de las acciones realizadas en los sistemas (por ejemplo, archivos de registro) según sea necesario - Garantía de que los sistemas de tratamiento de datos de los proveedores de servicios no son utilizados por terceros. Por ejemplo, archivos de registro)
- Utilización de sistemas de registro y evaluación de registros
- Definición de personas autorizadas para la creación de soportes de datos y el tratamiento de datos

3.Medidas para la seudonimización de datos personales
La seudonimización es la sustitución del nombre y otros rasgos identificativos por un identificador con el fin de excluir o complicar significativamente la identificación del interesado. Las medidas en relación con la seudonimización de datos personales son:
- Privacidad por diseño
- Todos los identificadores de un usuario (consentID, processorID, consentID) se seudonimizan con un hash criptográfico sha-256
- Se dispone de un concepto de seudonimización en forma de programa (que incluye la definición de los datos que deben sustituirse; reglas de seudonimización, descripción del procedimiento, etc.)

4.Garantía de disponibilidad
Medidas para garantizar que los datos personales están protegidos contra la destrucción o pérdida accidental:
- Uso de software estándar probado y aprobado de forma centralizada y procedente de fuentes seguras
- Copias de seguridad periódicas de los datos o uso de procedimientos de duplicación
- El desmantelamiento del hardware (especialmente servidores) tiene lugar tras una comprobación de los soportes de datos utilizados y, si es necesario, tras haber realizado una copia de seguridad de los registros de datos pertinentes. después de haber realizado una copia de seguridad de los registros de datos pertinentes
- Sistema de alimentación ininterrumpida (SAI) en la sala de servidores
- Almacenamiento por separado de los conjuntos de datos recogidos para distintos fines
- Arquitectura multicapa de protección antivirus y cortafuegos
- Planificación de emergencia (plan de emergencia para fallos de seguridad y protección de datos con instrucciones específicas de actuación)
- Sistema de alerta temprana de incendios/agua y temperatura en las salas de servidores
- Puertas cortafuegos

5.Procedimientos para restablecer la disponibilidad de los datos personales tras un incidente físico o técnico
Para garantizar la recuperabilidad, se requieren copias de seguridad suficientes, así como planes de acción que puedan restablecer las operaciones en curso en caso de catástrofe.
Para ello, se adoptan las siguientes medidas, en algunos casos a cargo de los subcontratistas OVH GmbH / Hetzner Online GmbH:
- Copia de seguridad diaria de todo el servidor
- Acuerdos de nivel de servicio (SLA) con los proveedores de servicios
- Procedimientos de copia de seguridad
- Redundancia (por ejemplo, duplicación de discos duros)
- Cortafuegos, IDS/IPS
- Protección contra incendios y agua de extinción
- Supervisión de alarmas
- Planes de avería, emergencia y recuperación

6.Procedimientos para la revisión, valoración y evaluación periódicas de la eficacia de las medidas técnicas y organizativas
La revisión, valoración y evaluación periódicas de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento se llevan a cabo como parte de la aplicación de:
- Revisiones periódicas del concepto de seguridad
- Información sobre nuevas vulnerabilidades y otros factores de riesgo, revisión del análisis y evaluación de riesgos en caso necesario
- Auditorías por parte del responsable de protección de datos y el responsable de seguridad de la información, controles de procesos por parte de la gestión de calidad.

7. Garantía del requisito de separación
En todas las áreas se utilizan sistemas con capacidad multicliente para aislar todos los datos personales entre sí. Los datos están separados lógica y, en algunos casos, físicamente. El propio sistema CCM19 también tiene capacidad multicliente y multiusuario, lo que garantiza la separación completa de los datos personales utilizados en cada caso gracias a la división lógica por usuarios y conceptos de autorización.

Anexo 2 al contrato de tramitación de pedidos AVV
Subcontratistas autorizados

OVH GmbH
St. Johanner Str. 41-43
66111 Saarbrücken
Alemania
Servidor en Alemania
Hoster Sitio web, servicio y bases de datos.

ALL-INKL.COM - Neue Medien Münnich
Propietario: René Münnich
Hauptstraße 68 | D-02742 Friedersdorf
Correo electrónico y otros servicios de servidor

Telekom Deutschland GmbH
Landgrabenweg 151
53227 Bonn
Teléfono / Acceso a Internet

NetCologne Gesellschaft für Telekommunikation mbH
Am Coloneum 9,
50829 Köln
Teléfono / Acceso a Internet

Hetzner Online GmbH
Industriestr. 25
91710 Gunzenhausen
Alemania
Hoster Página web, servicio y bases de datos.

Eliminación de aparatos eléctricos
bonnorange AöR
Lievelingsweg 110
53119 Bonn

Eliminación de soportes de almacenamiento de datos
Shred-it GmbH
Klausnerring 3,
85551 Kirchheim bei München

También puede descargar aquí el texto que figura a continuación en formato PDF. Sólo tiene que enviar el documento cumplimentado a info@ccm19.de.

Acuerdo entre el cliente de

y el

Papoo Software & Media GmbH
Fabricante CCM19
Auguststr. 4
53229 Bonn
(en adelante, el "Contratista")

sobre el tratamiento de datos personales. Las definiciones que figuran en las CGC o en la descripción del servicio también se aplican en el presente Acuerdo de Procesamiento de Datos DPA.

1. 1.Objeto y duración del pedido
1.1 Objeto del pedido
El objeto del acuerdo de procesamiento de pedidos es la realización de las siguientes tareas por parte del Contratista de acuerdo con la descripción del servicio en la oferta: recopilación, administración, documentación y transferencia del consentimiento de los usuarios del Cliente para el procesamiento de datos y, si procede, otros servicios.
El Contratista procesa datos personales para el Cliente en el sentido del art. 4 n.º 2 y el art. 28 GDPR sobre la base de las CGC.

1.2. duración del encargo
La duración del presente encargo (plazo) corresponde a la duración del contrato.

3.5 Los destinatarios de las instrucciones en el Contratista son empleados de la Empresa.

7. Derechos de los interesados

7.(1) El contratista apoyará al cliente dentro de sus posibilidades en el cumplimiento de las solicitudes y reclamaciones de los interesados de conformidad con el capítulo III del GDPR.

8.3. en la medida en que el Cliente tenga obligaciones de notificación o informe en caso de incidente de seguridad en el Cliente, el Contratista se compromete a apoyar al Cliente.

12.Responsabilidad
Las disposiciones legales de conformidad con el Art. 82 GDPR se aplican a la responsabilidad en la relación externa.

Bonn, 02.05.2022
Lugar, fecha, firma Cliente Papoo Software & Media GmbH
Dr. Carsten Euwens, Director General

Medidas aplicadas por Papoo Software & Media GmbH para impedir el acceso no autorizado a los sistemas de procesamiento de datos:

- Acceso de los empleados a los locales de la oficina únicamente con una llave individual
- Acceso de los visitantes únicamente con acompañamiento individual de empleados debidamente autorizados y únicamente a las zonas de visitantes autorizadas.
- Inicio de sesión personal e individual del usuario al conectarse al sistema
- Procedimiento de contraseña (especificación de los parámetros de la contraseña en cuanto a complejidad e intervalo de actualización)
- Inicio de sesión adicional en el sistema para determinadas aplicaciones - Inicio de sesión automático para determinadas aplicacionesInicio de sesión para determinadas aplicaciones
- Bloqueo automático de clientes tras un determinado periodo de tiempo sin actividad del usuario (también salvapantallas protegido con contraseña o pausa automática)
- Documentación electrónica de todas las contraseñas y cifrado de esta documentación para protegerla contra accesos no autorizados
- Autenticación de dos factores si es técnicamente posible
- Actualizaciones periódicas del software
- Análisis periódicos de vulnerabilidades