Acuerdo de Tratamiento de Datos

Documento
DPA-2026.1
Fecha de entrada en vigor
2026-05-07
Cobertura
RGPD Art. 28, UK GDPR, LGPD, CCPA
Encargado
SOMA9 Holdings, LLC

El presente Acuerdo de Tratamiento de Datos (el «DPA») forma parte integrante del Contrato Marco de Servicios, las Condiciones de Servicio o cualquier otro acuerdo escrito (el «Contrato») celebrado entre SOMA9 Holdings, LLC («SOMA9», «Encargado del Tratamiento») y el Cliente (el «Responsable del Tratamiento»), y resulta aplicable cuando SOMA9 trate Datos Personales por cuenta del Cliente en el marco de la prestación de los Servicios.

Resumen en lenguaje sencillo

El Cliente decide qué datos personales se cargan en sus servicios alojados o se generan a través de ellos, y con qué finalidad. SOMA9 almacena, transmite, respalda y protege dichos datos por cuenta del Cliente, sin analizarlos, monetizarlos ni utilizarlos para ningún otro fin. El presente DPA es el documento legal que recoge estas obligaciones por escrito conforme exige el artículo 28 del Reglamento General de Protección de Datos europeo, su equivalente en el Reino Unido, la LGPD brasileña y la normativa estadounidense estatal en materia de privacidad.

1. Definiciones

Los términos en mayúsculas que se utilizan en el presente DPA y no se definen en este documento tendrán el significado atribuido en el Contrato o, cuando se trate de términos definidos en la normativa de protección de datos aplicable, el significado que dicha normativa les confiera.

«Filial» significa toda entidad que controle, sea controlada por, o se encuentre bajo control común, directa o indirectamente, con cualquiera de las partes.

«Datos Personales del Cliente» significa los Datos Personales tratados por SOMA9 por cuenta del Cliente en el marco de la prestación de los Servicios.

«Normativa de Protección de Datos» significa la totalidad de leyes y reglamentos aplicables al tratamiento de los Datos Personales del Cliente, incluidos el Reglamento General de Protección de Datos europeo 2016/679 («RGPD»), la Data Protection Act 2018 británica y el UK GDPR, la Lei Geral de Proteção de Dados brasileña («LGPD») y la California Consumer Privacy Act, modificada por la California Privacy Rights Act («CCPA/CPRA»).

«CCT UE» significa las cláusulas contractuales tipo aprobadas por la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea, de 4 de junio de 2021.

«Datos Personales», «Tratamiento», «Responsable», «Encargado», «Interesado», «Violación de Datos Personales» y «Autoridad de Control» tendrán el significado atribuido en el RGPD.

«Servicios» significa los servicios de alojamiento, infraestructura, correo electrónico, copias de seguridad, seguridad y servicios afines prestados por SOMA9 al Cliente al amparo del Contrato.

«Subencargado» significa cualquier tercero contratado por SOMA9 para tratar Datos Personales del Cliente por cuenta de SOMA9 en relación con los Servicios.

«UK IDTA» significa el International Data Transfer Agreement y la adenda a las CCT UE emitidos por la Information Commissioner's Office del Reino Unido conforme a la sección 119A de la Data Protection Act 2018.

2. Ámbito, roles y orden de prelación

2.1 Roles

Las partes reconocen que, en relación con los Datos Personales del Cliente tratados al amparo del Contrato: (a) el Cliente es el Responsable; (b) SOMA9 es el Encargado; (c) SOMA9 podrá contratar Subencargados conforme a la cláusula 7; y (d) cuando el Cliente actúe a su vez como Encargado por cuenta de un Responsable de nivel superior, SOMA9 actuará como Subencargado de dicho Responsable de nivel superior y las referencias en el presente DPA al «Responsable» se interpretarán en consecuencia.

2.2 Ámbito

El presente DPA se aplica únicamente al tratamiento de Datos Personales del Cliente por SOMA9 por cuenta del Cliente en el marco de la prestación de los Servicios. No se aplica a los Datos Personales tratados por SOMA9 como Responsable (por ejemplo, datos de facturación, datos de contacto del administrador de la cuenta o telemetría de seguridad tratada para la protección de los Servicios y de otros clientes), que se rigen por la Política de Privacidad de SOMA9.

2.3 Orden de prelación

En caso de conflicto entre el Contrato, el presente DPA y las CCT UE o la UK IDTA, prevalecerán por este orden: (i) las CCT UE / UK IDTA, cuando resulten aplicables; (ii) el presente DPA; (iii) el Contrato.

3. Descripción del tratamiento

El objeto, la duración, la naturaleza y la finalidad del tratamiento, los tipos de Datos Personales del Cliente y las categorías de Interesados se describen en el Anexo I.

4. Instrucciones del Cliente

4.1 Instrucciones documentadas

SOMA9 tratará los Datos Personales del Cliente únicamente conforme a instrucciones documentadas del Cliente, incluidas las recogidas en el Contrato, el presente DPA y las opciones de configuración que el Cliente realice a través de los Servicios (por ejemplo, ubicación del servidor, periodos de conservación, ajustes de uso compartido e integraciones de salida).

4.2 Instrucciones fuera del Contrato

Cuando SOMA9 reciba del Cliente una instrucción no contemplada en el Contrato y que requiera trabajo adicional de ingeniería, SOMA9 podrá repercutir un coste razonable por su implementación o, cuando la instrucción resulte técnicamente inviable o incompatible con los Servicios estándar, denegarla y notificarlo al Cliente por escrito.

4.3 Conflicto con la legislación

Cuando SOMA9 esté obligada por la legislación de los Estados Unidos, del Estado de Wyoming u otra normativa aplicable a tratar los Datos Personales del Cliente de forma distinta a las instrucciones de éste, SOMA9 informará al Cliente de dicha obligación legal antes del tratamiento, salvo que la legislación lo prohíba por motivos importantes de interés público.

4.4 Aviso de instrucciones contrarias a la normativa

SOMA9 notificará al Cliente sin demora, por escrito, cuando, a juicio razonable de SOMA9, una instrucción del Cliente infrinja la Normativa de Protección de Datos. SOMA9 no asume obligación alguna de verificar de forma independiente la legalidad de las instrucciones del Cliente.

5. Confidencialidad del personal

SOMA9 garantizará que el personal autorizado a tratar Datos Personales del Cliente esté sujeto a obligaciones de confidencialidad jurídicamente exigibles, reciba formación sobre la protección de datos personales adecuada a sus funciones y acceda a los Datos Personales del Cliente con arreglo al principio de necesidad de conocer.

6. Seguridad del tratamiento

6.1 Medidas técnicas y organizativas

Atendiendo al estado de la técnica, los costes de aplicación, la naturaleza, alcance, contexto y fines del tratamiento, así como al riesgo para los Interesados, SOMA9 implementará y mantendrá las medidas técnicas y organizativas descritas en el Anexo II para garantizar un nivel de seguridad adecuado al riesgo.

6.2 Actualización de las medidas

SOMA9 podrá actualizar el Anexo II de manera periódica siempre que las actualizaciones no disminuyan de forma significativa el nivel global de seguridad. SOMA9 publicará la versión vigente del Anexo II en soma9.cloud/legal/data-processing-agreement.

7. Subencargados

7.1 Autorización general

El Cliente concede a SOMA9 una autorización general para contratar Subencargados que traten Datos Personales del Cliente, en las condiciones previstas en la presente cláusula 7.

7.2 Condiciones de la contratación

Cuando SOMA9 contrate a un Subencargado: (a) SOMA9 celebrará con éste un contrato escrito que imponga obligaciones en materia de protección de datos sustancialmente equivalentes a las recogidas en el presente DPA; (b) SOMA9 seguirá siendo responsable frente al Cliente de las acciones y omisiones del Subencargado como si fueran propias; y (c) SOMA9 garantizará que el Subencargado quede vinculado a un nivel de seguridad al menos equivalente al descrito en el Anexo II.

7.3 Listado de Subencargados

El listado vigente de Subencargados autorizados se recoge en el Anexo III y se publica en soma9.cloud/legal/subprocessors.

7.4 Notificación de cambios

SOMA9 notificará al Cliente cualquier cambio previsto en relación con la incorporación o sustitución de Subencargados con una antelación mínima de treinta (30) días naturales respecto a la fecha de efectos, mediante la actualización del listado publicado en la URL anterior y, cuando el Cliente esté suscrito a la lista de notificaciones de Subencargados en soma9.cloud/legal/subprocessors#subscribe, mediante correo electrónico.

7.5 Derecho de oposición

El Cliente podrá oponerse a la incorporación de un nuevo Subencargado por motivos razonables relacionados con la protección de datos mediante notificación escrita a privacy@soma9.cloud dentro de los quince (15) días naturales siguientes a la notificación. Las partes negociarán de buena fe. Si no se alcanzase una solución, el Cliente, como único remedio, podrá resolver el Servicio afectado sin penalización mediante comunicación escrita. La utilización continuada del Servicio una vez que el nuevo Subencargado inicie el tratamiento se considerará aceptación.

8. Asistencia en los derechos de los Interesados

8.1 Responsabilidad del Cliente

El Cliente es el único responsable de atender las solicitudes de los Interesados para el ejercicio de sus derechos al amparo de la Normativa de Protección de Datos (incluidos los derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición).

8.2 Asistencia de SOMA9

Atendida la naturaleza del tratamiento, SOMA9 asistirá al Cliente, mediante medidas técnicas y organizativas adecuadas y en la medida de lo posible, en el cumplimiento de su obligación de atender las solicitudes de los Interesados. Las herramientas estándar de autoservicio facilitadas a través de los Servicios (exportaciones de cPanel, acceso IMAP/SMTP, exportaciones de MySQL, acceso al sistema de archivos y supresión de cuenta) se considerarán suficientes para cumplir esta obligación en el curso ordinario.

8.3 Solicitudes directas

Cuando un Interesado se dirija directamente a SOMA9 con una solicitud relativa a Datos Personales del Cliente, SOMA9 redirigirá sin demora al Interesado al Cliente y no responderá a la solicitud salvo para acusar recibo y comunicar la redirección, salvo obligación legal en contrario.

8.4 Coste

La asistencia que exceda de las herramientas estándar de autoservicio y requiera trabajo de ingeniería significativo podrá estar sujeta a una tarifa razonable.

9. Notificación de violaciones de Datos Personales

9.1 Notificación al Cliente

SOMA9 notificará al Cliente sin dilación indebida, y en todo caso dentro de las setenta y dos (72) horas siguientes, el conocimiento de una Violación de Datos Personales que afecte a Datos Personales del Cliente.

9.2 Contenido de la notificación

La notificación describirá, en la medida en que la información se encuentre disponible: (a) la naturaleza de la Violación de Datos Personales; (b) las categorías y el número aproximado de Interesados y registros afectados; (c) las consecuencias probables; y (d) las medidas adoptadas o propuestas para subsanar la Violación de Datos Personales y mitigar sus posibles efectos adversos.

9.3 Sin reconocimiento de responsabilidad

La notificación de una Violación de Datos Personales no constituye, ni se interpretará como, un reconocimiento de culpa o responsabilidad de SOMA9 respecto de la misma.

9.4 Obligaciones de notificación del Cliente

El Cliente es responsable de cualesquiera notificaciones que deba realizar a las Autoridades de Control o a los Interesados afectados al amparo de la Normativa de Protección de Datos.

10. Evaluaciones de impacto en la protección de datos

Atendida la naturaleza del tratamiento y la información disponible para SOMA9, ésta prestará asistencia razonable al Cliente en la realización de evaluaciones de impacto y consultas previas a las Autoridades de Control conforme a los artículos 35 y 36 RGPD. Dicha asistencia se limitará al suministro de información relevante que SOMA9 ya posea sobre los Servicios.

11. Transferencias internacionales

11.1 Mecanismo de transferencia

Cuando se transfieran a SOMA9 en los Estados Unidos, o a un Subencargado situado en un país sin decisión de adecuación, Datos Personales del Cliente procedentes del Espacio Económico Europeo, el Reino Unido o Suiza, las partes celebrarán las CCT UE (Módulo 2: Responsable a Encargado, o Módulo 3: Encargado a Subencargado, según corresponda) y la UK IDTA, que se entienden incorporadas al presente DPA por referencia.

11.2 Cláusula de adhesión a las CCT

Cuando el Cliente actúe a su vez como Encargado por cuenta de un Responsable de nivel superior situado en el EEE, el Reino Unido o Suiza, será de aplicación el Módulo 3 de las CCT UE y SOMA9 acepta quedar vinculada al Responsable de nivel superior a través de la cláusula de adhesión de las CCT UE.

11.3 Solicitudes de acceso por autoridades públicas

SOMA9: (a) notificará al Cliente sin demora cualquier solicitud jurídicamente vinculante de revelación de Datos Personales del Cliente por parte de autoridades públicas, salvo prohibición legal; (b) impugnará las solicitudes que resulten ilegales o desproporcionadas; y (c) facilitará la cantidad mínima de información permisible al responder a una solicitud vinculante, en cada caso en la medida en que lo permita la legislación aplicable.

11.4 Medidas suplementarias

Las medidas técnicas y organizativas suplementarias aplicadas por SOMA9 para proteger los Datos Personales del Cliente frente al acceso por autoridades públicas se describen en el Anexo II.

12. Auditorías e inspecciones

12.1 Informes de auditoría

SOMA9 pondrá a disposición del Cliente, previa solicitud por escrito, los informes de auditoría de terceros independientes, las certificaciones de seguridad y los resúmenes de pruebas de penetración más recientes razonablemente disponibles, con sujeción a obligaciones de confidencialidad.

12.2 Auditorías por el Cliente

En la medida en que la información facilitada conforme a la cláusula 12.1 resulte insuficiente para que el Cliente acredite el cumplimiento de la Normativa de Protección de Datos, el Cliente podrá realizar una auditoría sobre las actividades de tratamiento de SOMA9 a su costa, en las siguientes condiciones: (a) la auditoría se realizará como máximo una vez cada doce (12) meses, salvo requerimiento de una Autoridad de Control o tras una Violación de Datos Personales; (b) la auditoría será realizada por un auditor independiente, cualificado y tercero, sujeto a obligaciones escritas de confidencialidad; (c) el Cliente notificará a SOMA9 con un preaviso mínimo de treinta (30) días naturales por escrito; (d) la auditoría se realizará en horario laboral ordinario y no interferirá de manera irrazonable con las operaciones de SOMA9 ni con la seguridad o disponibilidad de los Servicios para otros clientes; (e) el auditor no accederá a Datos Personales de otros clientes, a sistemas de infraestructura compartidos con otros clientes ni a información que constituya secreto empresarial de SOMA9.

12.3 Auditorías de Autoridades de Control

SOMA9 cooperará con las auditorías e inspecciones de las Autoridades de Control en la medida en que resulte legalmente exigible.

13. Devolución y supresión de datos

13.1 A la finalización

A la terminación o expiración de los Servicios, SOMA9, a elección del Cliente, devolverá la totalidad de los Datos Personales del Cliente o procederá a su supresión, salvo en la medida en que la conservación venga exigida por la legislación aplicable.

13.2 Plazos estándar de conservación

Salvo instrucción escrita en contrario del Cliente dentro de los quince (15) días naturales siguientes a la terminación, los Datos Personales del Cliente se suprimirán de los sistemas en producción dentro de los treinta (30) días naturales y de las copias de seguridad cifradas dentro de los noventa (90) días naturales, transcurridos los cuales no resultarán recuperables.

13.3 Certificado de supresión

SOMA9 emitirá certificado escrito de supresión a solicitud del Cliente.

14. Responsabilidad e indemnización

La responsabilidad de cada parte derivada del presente DPA o relacionada con éste, ya sea contractual, extracontractual o sobre cualquier otra base, queda sujeta a las limitaciones y exclusiones recogidas en el Contrato. Nada en el presente DPA limitará ni excluirá la responsabilidad de cualquiera de las partes por: (a) dolo o conducta intencionada; (b) responsabilidades que no puedan limitarse o excluirse en virtud de la legislación aplicable; o (c) infracción de los derechos de propiedad intelectual de la otra parte.

15. Disposiciones específicas por región

15.1 Espacio Económico Europeo y Suiza

Las disposiciones del presente DPA, junto con las CCT UE referidas en la cláusula 11, satisfacen las exigencias del artículo 28(3) del RGPD.

15.2 Reino Unido

Para los Datos Personales sujetos al UK GDPR, las referencias a las disposiciones del RGPD en el presente DPA se interpretarán como referencias a las disposiciones equivalentes del UK GDPR, y la UK IDTA se aplicará a las transferencias internacionales desde el Reino Unido.

15.3 Brasil (LGPD)

Cuando el Cliente esté sujeto a la LGPD: (a) SOMA9 actuará como operador y el Cliente como controlador; (b) serán de aplicación las bases jurídicas del artículo 7 LGPD; y (c) la autoridad supervisora será la Autoridade Nacional de Proteção de Dados (ANPD).

15.4 California (CCPA/CPRA)

Para los Datos Personales sujetos a la CCPA/CPRA, SOMA9 ostenta la condición de «service provider» según se define en §1798.140(ag) del Cal. Civ. Code. SOMA9 no: (a) venderá ni compartirá Información Personal; (b) conservará, utilizará ni divulgará Información Personal con fines distintos de los fines de negocio especificados en el Contrato; ni (c) combinará la Información Personal recibida del Cliente con Información Personal procedente de cualquier otra fuente. SOMA9 declara comprender y comprometerse a cumplir tales restricciones.

16. Vigencia, supervivencia y ley aplicable

16.1 Vigencia

El presente DPA entrará en vigor en la fecha de entrada en vigor del Contrato y mantendrá su vigencia mientras dure el Contrato y mientras SOMA9 trate Datos Personales del Cliente.

16.2 Supervivencia

Las cláusulas 9, 11, 13, 14 y 16, así como toda disposición que por su naturaleza esté llamada a sobrevivir, mantendrán su vigencia tras la terminación o expiración del Contrato y del presente DPA.

16.3 Ley aplicable

El presente DPA se rige por las leyes del Estado de Wyoming, Estados Unidos, sin atender a sus normas de conflicto, salvo que las CCT UE y la UK IDTA se rijan por sus propias disposiciones de elección de ley cuando ello venga exigido por la legislación.

Anexo I — Descripción del tratamiento

A. Lista de partes

Exportador de datos: el Cliente, según se identifica en el Contrato. El Cliente actúa como Responsable (o como Encargado por cuenta de un Responsable de nivel superior).

Importador de datos: SOMA9 Holdings, LLC, 1021 E Lincolnway Unit #1657, Cheyenne, WY 82001, Estados Unidos. Contacto: privacy@soma9.cloud. SOMA9 actúa como Encargado.

B. Descripción de la transferencia

Categorías de Interesados: determinadas por el Cliente; típicamente incluyen visitantes del sitio web del Cliente, usuarios de aplicaciones, clientes registrados, empleados, contratistas, suscriptores y remitentes/destinatarios de correo electrónico.

Categorías de Datos Personales: determinadas por el Cliente; pueden incluir identificadores (nombres, nombres de usuario, identificaciones), datos de contacto (direcciones de correo electrónico, direcciones postales, números de teléfono), datos de autenticación (contraseñas con hash, tokens de sesión), datos comerciales (pedidos, transacciones), datos de contenido (archivos cargados, contenido de buzones, registros de bases de datos) y metadatos de conexión (direcciones IP, marcas temporales, agentes de usuario). Corresponde al Cliente determinar si se cargan en los Servicios datos de las categorías especiales del artículo 9 RGPD y garantizar la base jurídica adecuada.

Frecuencia: continua, de forma transaccional, durante toda la vigencia del Contrato.

Naturaleza del tratamiento: alojamiento, almacenamiento, transmisión, copia de seguridad, restauración, escaneo de seguridad, detección de abusos y operaciones técnicas accesorias necesarias para la prestación de los Servicios.

Finalidad: prestación de los Servicios conforme a lo descrito en el Contrato.

Duración: durante la vigencia del Contrato, más los plazos de conservación de la cláusula 13.2.

C. Autoridad de Control competente

Para Clientes del EEE: la Autoridad de Control del Estado miembro del establecimiento principal del Cliente. Para Clientes del Reino Unido: la Information Commissioner's Office (ICO).

Anexo II — Medidas técnicas y organizativas

SOMA9 mantiene las siguientes medidas, susceptibles de actualización siempre que no se reduzca de forma significativa el nivel global de seguridad.

1. Seudonimización y cifrado

  • En tránsito: TLS 1.2 o superior (TLS 1.3 preferente) para todos los servicios accesibles por el Cliente. HTTP Strict Transport Security con un max-age mínimo de 6 meses para los dominios bajo control de SOMA9. SMTP STARTTLS con DANE/MTA-STS cuando el servidor receptor lo admita.
  • En reposo: cifrado de disco completo (LUKS/dm-crypt) en los volúmenes de respaldo. Las credenciales de autenticación de bases de datos y los tokens de API se almacenan como hashes salados PBKDF2-SHA-256 o Argon2id; nunca en texto claro.
  • Secretos de autenticación: doble factor obligatorio para todas las cuentas administrativas. Herramientas operativas protegidas con PIN. PGP para las comunicaciones del canal de seguridad.

2. Confidencialidad

  • Aislamiento del sistema de archivos por usuario mediante CageFS (CloudLinux). Los archivos, procesos y espacio de nombres de red de cada Cliente quedan aislados respecto a los demás.
  • Control de acceso basado en roles para el personal de SOMA9 con aprovisionamiento de mínimo privilegio. Revisiones de acceso trimestrales.
  • Inicio de sesión único con segundo factor respaldado por hardware para los sistemas de producción.
  • Todo el personal está sujeto a obligaciones escritas de confidencialidad que sobreviven a la terminación del vínculo.

3. Integridad

  • Monitorización de integridad de archivos (Imunify360 PROACTIVE_DEFENCE en modo KILL, ModSecurity OWASP CRS, firmas ClamAV).
  • Registros de auditoría de sólo añadir, con replicación externa para los eventos relevantes de seguridad.
  • Controles de cadena de suministro de software: verificación de firmas de paquetes, mirrors restringidos y monitorización automatizada de CVE con alertas vía Telegram.

4. Disponibilidad y resiliencia

  • Copias de seguridad cifradas diarias conservadas conforme a la Política de Copias de Seguridad publicada.
  • Procedimientos de restauración probados trimestralmente.
  • Monitorización fuera de banda con sistema de alertas (Telegram, correo electrónico).
  • Procedimientos documentados de recuperación ante desastres.

5. Procedimientos para restaurar la disponibilidad

  • Restauraciones iniciadas por el Cliente desde la interfaz JetBackup en cPanel cuando esté disponible.
  • Restauraciones asistidas por operador para recuperación de cuenta completa, base de datos parcial o nivel de archivo bajo solicitud.
  • Política de Respuesta a Incidentes documentada con plazos objetivo de restauración por nivel de gravedad.

6. Pruebas, evaluación y verificación de eficacia

  • Análisis continuo de vulnerabilidades de la infraestructura subyacente (monitorización CVE frente a versiones de paquetes instaladas).
  • Pruebas de penetración periódicas por terceros sobre el plano de gestión.
  • Revisión interna trimestral de registros de acceso, registros de abuso y ruido de alertas.
  • Política de Divulgación de Vulnerabilidades pública con cláusulas de safe harbour para investigadores de buena fe.

7. Identificación y autorización de usuarios

  • Credenciales únicas obligatorias por usuario administrativo; sin cuentas compartidas.
  • Doble factor obligatorio para administradores de cPanel/WHM.
  • Política estricta de contraseñas con denegación de contraseñas filtradas conocidas.
  • Tiempos de espera de sesión y bloqueos por inactividad en las interfaces de gestión.

8. Protección de los datos durante la transmisión

  • TLS 1.2/1.3 obligatorio para HTTPS, IMAPS, POP3S, SMTPS.
  • Únicamente conjuntos de cifrado modernos (sin RC4, sin 3DES, sin cifrados de exportación).
  • SPF/DKIM/DMARC obligatorios para el correo de salida; alineamiento con políticas más estrictas que el estándar del sector.

9. Protección de los datos durante el almacenamiento

  • Aislamiento equivalente a chroot por cuenta.
  • Volúmenes de copia de seguridad cifrados.
  • Separación geográfica del almacenamiento primario y de respaldo.

10. Seguridad física

  • La infraestructura de alojamiento opera en instalaciones de coubicación con control de accesos (entrada por credencial, videovigilancia, controles ambientales).
  • El desmantelamiento de hardware sigue procedimientos de borrado seguro (multipaso para medios magnéticos, borrado criptográfico para SSD).

11. Registro de eventos

  • Eventos de autenticación, acciones administrativas y alertas de seguridad registrados con marca temporal e identificadores de origen.
  • Los registros se conservan durante el periodo establecido en la Política de Privacidad.

12. Configuración del sistema

  • Líneas base reforzadas del sistema operativo (alineadas con CIS cuando proceda).
  • Aplicación automática de parches de seguridad de paquetes del sistema operativo.
  • Detección de derivas de configuración.

13. Gobernanza interna de TI y seguridad

  • Política de seguridad de la información documentada y revisada anualmente.
  • Contacto de seguridad designado (security@soma9.cloud) y publicación de security.txt.
  • Procedimientos de respuesta a incidentes con clasificación de gravedad y plazos de notificación.

14. Certificación y aseguramiento

  • Los componentes subyacentes de la plataforma CloudLinux/Imunify360/cPanel son evaluados bajo SOC 2 / ISO 27001 por sus respectivos proveedores.
  • Informes de pruebas de penetración independientes disponibles bajo NDA previa solicitud.

15. Minimización y exactitud de datos

  • SOMA9 no conserva los Datos Personales del Cliente más allá de lo necesario para prestar los Servicios y cumplir las obligaciones de conservación.
  • Las herramientas de configuración permiten al Cliente definir y aplicar sus propios periodos de conservación.

16. Rendición de cuentas

  • Registros de actividades de tratamiento mantenidos conforme al artículo 30(2) RGPD.
  • Contacto de protección de datos: privacy@soma9.cloud.

Anexo III — Subencargados autorizados

El listado vigente y oficial de Subencargados se publica en soma9.cloud/legal/subprocessors y se incorpora por referencia. El listado siguiente se reproduce a efectos de comodidad y puede ir hasta treinta (30) días naturales por detrás del listado publicado, que prevalece en caso de discrepancia.

Dónde consultar el listado vigente

SOMA9 mantiene una página de Subencargados actualizada en soma9.cloud/legal/subprocessors con el nombre de cada Subencargado, la ubicación del tratamiento, la naturaleza del servicio prestado y una descripción de las actividades de tratamiento. El Cliente puede suscribirse a las notificaciones de cambios en la misma URL.