HoundER
Acuerdo de Licencia de Usuario Final (EULA)
Fecha de Revisión: 21/08/2025
El presente acuerdo se celebra entre HOUNDER S.L. (en adelante, el PROVEEDOR), sociedad mercantil de nacionalidad española, con CIF B19468222 y domicilio social en Zaragoza, Calle Jerónimo Zurita Nº 18, Entresuelo Izquierda (“PROVEEDOR”) y el cliente firmante (“CLIENTE”).
El presente acuerdo, regula la propuesta relativa a la Solución de HoundER preparada para el CLIENTE (“PROPUESTA”). Este Contrato concede al CLIENTE una licencia limitada para utilizar la Solución de HoundER.
LEA ATENTAMENTE ESTE ACUERDO. ESTE ACUERDO DE LICENCIA DE USUARIO FINAL DE HOUNDER, JUNTO CON LA PROPUESTA, CONSTITUYE UN CONTRATO VINCULANTE PARA EL USO DE LA SOLUCIÓN DE HOUNDER.
SI USTED NO ACEPTA QUEDAR VINCULADO POR TODAS LAS DISPOSICIONES DE ESTE ACUERDO DE LICENCIA DE USUARIO FINAL, ENTONCES NO ACCEDA NI UTILICE LA SOLUCIÓN DE HOUNDER.
El uso por parte del CLIENTE de la Solución de HoundER se regirá por el Acuerdo de Licencia de Usuario Final de HoundER que se muestra a continuación.
PRIMERA.- Definiciones
a) Superficie de ataque: Para los propósitos de este acuerdo, se entiende por "superficie de ataque" el conjunto de todas las características expuestas y accesibles en un sistema, red o software, que son susceptibles de ser explotadas por agentes maliciosos. Esto incluye, pero no se limita a, todas las interfaces de usuario y de programación de aplicaciones (API), puertos, servicios en funcionamiento, puntos de entrada de red y cualquier otro punto donde el sistema interactúa con el mundo exterior o procesa datos de entrada. La superficie de ataque se considera como el espectro total de vulnerabilidades potenciales que un atacante podría explotar para comprometer la seguridad del sistema o para obtener acceso no autorizado a datos y recursos.
b) Deep Web: Para los propósitos de este acuerdo, se entiende por "Deep Web" todas aquellas partes del Internet que no son indexadas por los motores de búsqueda convencionales, incluyendo la "Dark Web". La Deep Web comprende páginas web, bases de datos y otros contenidos digitales que requieren credenciales de acceso específicas, como nombres de usuario y contraseñas, o que son accesibles únicamente a través de conexiones seguras y autenticadas. Incluye también páginas que son generadas dinámicamente en respuesta a consultas específicas en bases de datos y que están configuradas para evitar la indexación por métodos estándar de rastreo de motores de búsqueda, ya sea mediante configuraciones técnicas o mediante la inclusión de directivas específicas en los archivos robots.txt. Dentro de la Deep Web, la "Dark Web" se refiere específicamente a aquellas partes del Internet diseñadas para ser inaccesibles mediante los navegadores web convencionales y que requieren el uso de software especializado, como Tor, que facilita el anonimato del usuario y el acceso a través de redes cifradas.
c) Activos expuestos a Internet: Para los propósitos de este acuerdo, se entiende por "Activos expuestos a Internet" (en adelante, “Activos”) todos aquellos recursos del CLIENTE que son accesibles directa o indirectamente desde Internet. Esto incluye, pero no se limita a, servidores web, aplicaciones web, interfaces de programación de aplicaciones (APIs), sistemas de gestión de bases de datos, dispositivos de red (como routers y switches), y cualquier otro componente tecnológico que tenga una dirección IP pública o que sea accesible a través de Internet. Los Activos expuestos a Internet también comprenden aquellos sistemas y servicios que, aunque no estén directamente expuestos, pueden ser alcanzados o afectados a través de otros sistemas que sí lo están. Esta definición tiene el objetivo de identificar claramente los puntos de la infraestructura del CLIENTE que requieren medidas de seguridad reforzadas debido a su accesibilidad desde y hacia el entorno externo.
d) Plataforma HOUNDER (en adelante, la PLATAFORMA): Es un servicio de ciberseguridad, ofrecido por el PROVEEDOR bajo la modalidad de “software as a service”, consistente en una serie de herramientas que escanean y monitorizan de forma periódica los Activos expuestos a Internet pertenecientes a una serie de dominios y rangos de direcciones IP configurados en la PLATAFORMA. Los escáneres de la PLATAFORMA ejecutan de forma periódica una serie de comprobaciones para detectar posibles vulnerabilidades y riesgos de ciberseguridad de los Activos sujetos a monitorización, suministrando los resultados a sus clientes a través de múltiples canales, tales como aplicaciones web, correo electrónico, APIs de consulta, informes en formato PDF o integraciones con otras herramientas digitales. Además, la PLATAFORMA ofrece otras funcionalidades relacionadas, tales como la construcción de un mapa de Activos expuestos a Internet; clasificación de vulnerabilidades de acuerdo con su nivel de criticidad; detalles y fichas técnicas de vulnerabilidades detectadas; posibles remedios y parches para dichas vulnerabilidades, etc.
Adicionalmente, la PLATAFORMA dispone de una herramienta para monitorizar filtraciones de datos y credenciales relacionadas con los dominios objeto de monitorización, que hayan sido objeto de publicación en la Deep Web. Específicamente, esta herramienta pone a disposición de sus clientes las credenciales de acceso que hayan sufrido una filtración y que correspondan con cuentas de correo corporativo bajo el dominio del CLIENTE, tanto si dichas credenciales corresponden a servicios bajo dicho dominio o cualquier otro; así como las credenciales filtradas que correspondan a cualquier servicio bajo el dominio del CLIENTE, independientemente de si las cuentas de correo asociadas a dichos servicios corresponden o no a dicho dominio.
Las diferentes herramientas y funcionalidades pueden ofrecerse a los clientes de forma conjunta o separada, en virtud de los específicos términos contractuales que en cada caso se establezcan.
Asimismo, la PLATAFORMA podrá ser objeto de actualizaciones que añadan nuevas herramientas y funcionalidades, y su disponibilidad para el CLIENTE se hará en virtud de los términos particulares que se establezcan en este acuerdo.
e) Software as a Service (SaaS): A los efectos de este acuerdo, "Software as a Service" (SaaS) se refiere a un modelo de entrega de software en el que el PROVEEDOR aloja y mantiene las aplicaciones de software centrales, así como la infraestructura asociada, realiza actualizaciones de software y parches de seguridad, y hace que el software esté disponible para sus clientes a través de Internet a cambio de una tarifa regular, en forma de suscripción. Este modelo permite a los usuarios acceder y utilizar funcionalidades de software completas sin necesidad de instalar o ejecutar las aplicaciones en sus propios sistemas informáticos. En cambio, los clientes acceden al software mediante un navegador web, aplicación móvil o de escritorio, correo electrónico, APIs o mediante integraciones en otras herramientas digitales de terceros. SaaS elimina la necesidad de que las organizaciones manejen el mantenimiento del software, la operación diaria y el soporte técnico, permitiéndoles concentrarse en el uso del software en lugar de su gestión técnica.
f) Cuenta de usuario: A los efectos de este acuerdo, el término "Cuenta de usuario" designa el conjunto de recursos y servicios de la PLATAFORMA que se proporcionan al CLIENTE de manera unitaria e indivisible. Dichos recursos y servicios son gestionados colectivamente bajo un único conjunto de credenciales de acceso, aun cuando los Activos objeto de monitorización puedan pertenecer a múltiples dominios. Cada cuenta de usuario se configura de manera específica y uniforme para todos los Activos incluidos en ella, sujetos a límites de uso aplicables globalmente a dichos Activos y con interfaces de usuario comunes para todos ellos. La cuenta constituye la base de una relación contractual y operativa exclusiva entre el CLIENTE y el PROVEEDOR. Esta estructura de cuenta se mantiene constante y efectiva, independientemente de que el CLIENTE la utilice para gestionar la ciberseguridad de Activos pertenecientes a infraestructuras tecnológicas independientes entre sí.
SEGUNDA.- Objeto del acuerdo
El PROVEEDOR concede al CLIENTE una licencia de uso de la PLATAFORMA, bajo el régimen de Software as a Service (SaaS), para que éste pueda utilizarla junto con la documentación correspondiente. Además, el PROVEEDOR se obliga a prestar los servicios de mantenimiento vinculados al sistema estándar, módulos y licencias que se hubieran solicitado, en los demás términos y condiciones que se señalan en este contrato.
Para este fin, el PROVEEDOR habilitará una Cuenta de usuario de la PLATAFORMA, la cual podrá ser utilizada por el CLIENTE con el único fin de administrar la ciberseguridad de cualquier activo expuesto a Internet de su titularidad directa. Dicha utilización podrá ser realizada por personal propio del CLIENTE o por parte de terceros contratados específicamente por éste para tal efecto, sin que este último supuesto exima al CLIENTE de responsabilidad alguna respecto del cumplimiento de los términos del presente contrato.
Las concretas herramientas y funcionalidades que se habilitarán para el CLIENTE en la PLATAFORMA se definen en la PROPUESTA preparada para el CLIENTE.
En virtud de este servicio, el PROVEEDOR configurará una cuenta de usuario de acceso exclusivo para el CLIENTE, configurando unas primeras credenciales de acceso a partir de la cuenta de correo electrónico corporativo que designe el CLIENTE a tal efecto; quedando permitida al CLIENTE la creación, edición y cancelación de cuantas otras credenciales de acceso precise para administrar las herramientas de la PLATAFORMA.
La licencia objeto del presente acuerdo se concede al CLIENTE de manera no exclusiva e intransferible. Esta licencia de uso no supone venta de la PLATAFORMA ni sus componentes, ni de ninguno de los derechos que el PROVEEDOR ostenta sobre la misma, por lo que el CLIENTE no podrá vender, revender, distribuir, publicar en línea, sublicenciar, alquilar, prestar, proporcionar, regalar, enajenar, ceder o transferir de cualquier otro modo la totalidad o parte de la PLATAFORMA, el objeto de este acuerdo y/o cualesquiera derechos relacionados con el mismo a terceros.
TERCERA.- Límites de uso
La cuenta de usuario quedará sujeta a las limitaciones de uso establecidas en la PROPUESTA preparada para el CLIENTE, la cual establece:
Para el control del cumplimiento de los límites de uso establecidos en el presente contrato, el PROVEEDOR se reserva el derecho de implementar medidas técnicas automáticas que impidan sobrepasarlas. No obstante, con la finalidad de dotar de una razonable flexibilidad al CLIENTE en el cumplimiento de sus fines, dichas medidas estarán de inicio deshabilitadas, entendiéndose que el CLIENTE solamente puede aprovechar esta flexibilidad sobre la base de un "fair-use", en virtud del cual los excesos de consumo deben ser siempre puntuales, por razones justificadas y siempre manteniendo un razonable equilibrio con el volumen de recursos contratados. A este respecto, no debe entenderse en ningún caso que el hecho de que la PLATAFORMA permita técnicamente exceder cualquiera de los límites establecidos en este contrato suponga la aceptación tácita por parte del PROVEEDOR del incumplimiento de dichos límites.
En el supuesto de que el CLIENTE precise ampliar los límites aplicables a la licencia objeto de este contrato, podrá solicitar presupuesto al respecto al PROVEEDOR, el cual deberá hacer su mejor esfuerzo para ofrecerle condiciones preferenciales. En estos casos no será necesaria la suscripción de un nuevo acuerdo entre las partes, sino que se entenderá que el presente acuerdo quedará ampliado con los servicios adicionales que se convengan.
CUARTA.- Duración
La licencia de uso y mantenimiento de la PLATAFORMA objeto del acuerdo se concede por el plazo de doce (12) meses a partir de la firma de la PROPUESTA. Este plazo será de obligado cumplimiento para las partes.
Llegado el término de vencimiento, el acuerdo se entenderá prorrogado tácitamente por periodos sucesivos de un (1) año, siempre y cuando se haya procedido al abono de la nueva factura, salvo que cualquiera de las partes comunique por escrito a la otra su voluntad en contrario, con una antelación mínima de dos (2) meses respecto de la fecha de terminación inicial o de cualquiera de las prórrogas.
Salvo pacto en contrario expreso y por escrito, cada prórroga automática a la que se refiere el párrafo anterior conllevará la actualización de los precios establecidos en la PROPUESTA, en un importe equivalente al incremento interanual del Índice de Precios al Consumidor publicado por el Instituto Nacional de Estadística de España.
En el supuesto de que el CLIENTE contratara en el futuro cualquier módulo adicional de tal modo que la fecha de expiración del mismo no coincida con la del resto de módulos o la PLATAFORMA estándar, el CLIENTE podrá seguir utilizando dicho módulo hasta el final de la fecha convenida para éste, pero no disfrutará del resto de módulos y servicios que hubieran expirado y que no fueran objeto de renovación.
QUINTA.- Precio y condiciones de pago
La contraprestación que el CLIENTE debe satisfacer al PROVEEDOR por la licencia de uso de la PLATAFORMA será la establecida en la PROPUESTA. A estos efectos, se establece un precio fijo para el uso de la herramienta de monitorización de superficie de ataque de Activos expuestos a Internet, mientras que el precio por la herramienta de monitorización de filtraciones de datos y credenciales se determinará de forma lineal en función del número de dominios para los que se vaya activando, de acuerdo con el precio unitario establecido en la PROPUESTA. Todo ello, de acuerdo con las limitaciones establecidas en las diferentes cláusulas de este contrato.
Cualquier otro servicio distinto de los recogidos en este contrato, así como el consumo que exceda los límites establecidos, serán objeto de facturación adicional, de acuerdo con los precios previstos en la PROPUESTA o a los acuerdos por escrito que alcancen las partes.
Los precios establecidos no incluyen los impuestos aplicables y, por ello, los precios facturados serán incrementados con los impuestos repercutibles según la legislación aplicable en vigor el día de la facturación.
El CLIENTE deberá satisfacer el precio correspondiente a cada herramienta en cuotas mensuales de igual cuantía, por anticipado, dentro de los quince (15) primeros días de cada mes. Para ello, el PROVEEDOR deberá remitir al CLIENTE, por escrito, la factura correspondiente a las cuotas mensuales, con desglose detallado de los conceptos incluidos en la misma, no más tarde del día 15 del mes en el que deba abonarse la factura.
Los pagos se realizarán por el CLIENTE mediante recibo domiciliado a la vista en la cuenta comunicada por el CLIENTE por medio de orden de domiciliación SEPA CORE (recurrente) anexada a la PROPUESTA.
El retraso en el pago del precio estipulado por parte del CLIENTE devengará a favor del PROVEEDOR un interés de demora igual al resultado de aplicar a las cantidades pendientes de pago el interés legal del dinero más dos (2) puntos porcentuales.
SEXTA.- Obligaciones del CLIENTE
El CLIENTE será responsable de la concesión y obtención de los permisos necesarios por parte de los titulares de los servidores y servicios que sean objeto de monitorización a través de las herramientas de la PLATAFORMA tecnológica objeto del presente acuerdo, así como del buen uso de la información obtenida mediante su utilización. El PROVEEDOR entenderá que dichos permisos han sido concedidos y/o recabados por el CLIENTE por el mero hecho de que éste solicite la adición de un dominio o dirección IP a la lista de Activos a monitorizar, recayendo en el CLIENTE la responsabilidad al respecto.
En ningún caso el PROVEEDOR asumirá responsabilidad alguna por las fugas o filtraciones de datos que puedan producirse como consecuencia de una mala praxis por parte del CLIENTE.
En particular, en virtud del presente contrato, queda prohibido que el CLIENTE lleve a cabo las siguientes actividades:
El CLIENTE queda obligado a comunicar al PROVEEDOR cualquier error, fallo, vulnerabilidad o incidencia que detecte en las herramientas de la PLATAFORMA, a la máxima brevedad posible y con su mejor diligencia, para que el PROVEEDOR pueda proceder a su mitigación y resolución. El CLIENTE no podrá comunicar a terceros, por ningún medio, la existencia de dichas incidencias, incluso una vez resueltas, debiendo garantizar frente al PROVEEDOR la confidencialidad.
El CLIENTE tomará las medidas adecuadas para impedir accesos indebidos a la PLATAFORMA, en especial la debida custodia de las credenciales de acceso, así como la confidencialidad y cadena de custodia de la información suministrada por la PLATAFORMA acerca del estado y vulnerabilidades detectadas en los Activos digitales objeto de monitorización mediante la PLATAFORMA.
Asimismo, el CLIENTE deberá guardar la debida confidencialidad respecto de cualquier información acerca del PROVEEDOR y la PLATAFORMA objeto de este contrato, que pudiera obtener en el marco de la presente relación contractual. En particular, este deber incluye, de manera no exclusiva, la arquitectura y diseño de los servicios y tecnologías que integrar las herramientas de la PLATAFORMA; los algoritmos, métodos y procesos utilizados para la prestación de los servicios; las configuraciones personalizadas o específicas implementadas para el CLIENTE; así como cualquier dato, documento, especificación técnica o información relativa al know-how del PROVEEDOR, ya sea que esta información sea compartida de manera verbal, escrita o electrónica.
El CLIENTE asume la obligación de comunicar a los titulares y administradores de los Activos objeto de monitorización todos los descubrimientos acerca de vulnerabilidades que sean detectados mediante el uso de las herramientas de la PLATAFORMA, actuando con la diligencia debida para que dichas vulnerabilidades sean corregidas de manera efectiva en el menor tiempo posible.
SÉPTIMA.- Obligaciones del PROVEEDOR
OCTAVA.- Garantía y servicio de asistencia técnica
El PROVEEDOR garantiza que los servicios prestados a través de la PLATAFORMA cumplirán con los niveles de calidad y funcionalidad descritos en este acuerdo, comprometiéndose a subsanar cualquier defecto, error o incidencia que afecte al uso adecuado de la PLATAFORMA, siempre que dicho defecto no sea consecuencia de un uso indebido por parte del CLIENTE o de terceros. No obstante, el CLIENTE acepta la PLATAFORMA en su estado actual ("as is"), reconociendo que, aunque el PROVEEDOR realizará esfuerzos razonables para garantizar su correcto funcionamiento, pueden existir limitaciones o características inherentes al sistema que no se considerarán incumplimientos contractuales, siempre que no afecten de manera sustancial a los servicios contratados.
El PROVEEDOR ofrecerá un servicio de asistencia técnica destinado a resolver incidencias, atender consultas y proporcionar soporte relacionado con el uso de la PLATAFORMA, sus módulos y herramientas. Este servicio estará disponible todos los días de la semana, de lunes a domingo, en el siguiente horario: de 8:00 a 20:00 (hora de España).
El PROVEEDOR pondrá a disposición del CLIENTE los siguientes canales para solicitar asistencia técnica:
El PROVEEDOR podrá habilitar nuevos canales de soporte y atención al CLIENTE tales como plataformas de tickets, portales de soporte en línea, herramientas de mensajería, etc. a su propia discreción.
El PROVEEDOR se compromete a responder a las solicitudes de asistencia técnica en un plazo máximo de 24 horas desde su recepción, dentro del horario de atención establecido. El tiempo para la resolución de incidencias dependerá de la gravedad del problema y será comunicado de manera estimativa al CLIENTE en el momento de la respuesta inicial.
El PROVEEDOR no será responsable de prestar asistencia ni de garantizar el funcionamiento del servicio en los siguientes supuestos:
El servicio de asistencia técnica quedará limitado al uso y funcionamiento de la PLATAFORMA y sus módulos, herramientas y servicios. En ningún caso se entenderá comprendida dentro de esta asistencia ninguna cuestión relacionada con la mitigación, corrección o resolución de las vulnerabilidades de ciberseguridad detectadas por la PLATAFORMA en la infraestructura del CLIENTE o cualquier otra cuestión que exceda las prestaciones concretas de la PLATAFORMA. Todo ello sin perjuicio de que el PROVEEDOR, por iniciativa propia y sin obligación alguna, pueda comunicar a sus clientes información relevante relativa a nuevos riesgos y vulnerabilidades de alcance global de las que haya tenido conocimiento.
No obstante lo anterior, el CLIENTE podrá solicitar a HoundER la prestación de asistencia puntual para la resolución de incidentes de ciberseguridad, así como la corrección y mitigación de vulnerabilidades en la infraestructura, aplicando para estos casos las tarifas que se establezcan en la PROPUESTA.
El PROVEEDOR informará al CLIENTE con antelación suficiente acerca de cualquier mantenimiento preventivo que pueda afectar temporalmente la disponibilidad de la PLATAFORMA, procurando minimizar el impacto sobre el uso del servicio.
NOVENA.- Actualizaciones
La monitorización de vulnerabilidades y filtraciones que afecten a los Activos objeto de este acuerdo se realizará siempre de acuerdo con el listado completo y actualizado de tests, exploits y fuentes del que disponga el PROVEEDOR y que está en continua evolución y crecimiento, garantizando que el CLIENTE disponga de la protección más reciente y eficaz frente a posibles riesgos de seguridad, sin coste adicional. En ningún caso el PROVEEDOR aplicará restricciones, limitaciones o demoras sobre dicho listado para la prestación del servicio objeto del contrato, ni podrá requerir el pago de ninguna cuota adicional para disfrutar de actualizaciones relativas a este listado.
Adicionalmente, el PROVEEDOR garantizará al CLIENTE el acceso gratuito a las actualizaciones estándar de la PLATAFORMA, que pueden incluir mejoras de rendimiento, parches de seguridad y correcciones de errores. Estas actualizaciones se implementarán de forma continua y sin coste adicional durante toda la vigencia del contrato.
No obstante, el PROVEEDOR podrá incorporar nuevas funcionalidades y herramientas que no formen parte del alcance inicial del servicio contratado. El acceso a dichas mejoras estará sujeto a condiciones económicas específicas que serán notificadas previamente al CLIENTE, quien podrá decidir si desea contratarlas.
El PROVEEDOR se compromete a informar al CLIENTE de cualquier actualización que pueda requerir ajustes operativos o que pueda afectar temporalmente la disponibilidad de la PLATAFORMA, asegurando una planificación adecuada para minimizar impactos.
El PROVEEDOR garantizará, en la medida de lo posible, la compatibilidad de las actualizaciones con la configuración inicial de la PLATAFORMA, informando al CLIENTE de cualquier cambio en los requisitos técnicos necesarios para su correcto funcionamiento.
El acceso gratuito a las actualizaciones no incluye desarrollos personalizados, adaptaciones específicas ni funcionalidades adicionales que no formen parte del servicio base contratado. Estos servicios estarán sujetos a condiciones económicas separadas.
DÉCIMA.- Propiedad intelectual e industrial
El PROVEEDOR es y seguirá siendo el titular exclusivo de todos los derechos de propiedad intelectual e industrial sobre la PLATAFORMA, incluyendo, pero sin limitarse a, su diseño, arquitectura, códigos fuente, algoritmos, bases de datos, documentación técnica, materiales formativos, marcas, logotipos y cualquier otra creación relacionada. La suscripción del presente contrato no implica en ningún caso la transmisión o cesión de dichos derechos al CLIENTE, salvo lo expresamente estipulado en este contrato.
El PROVEEDOR garantiza que la PLATAFORMA y sus componentes no infringen derechos de propiedad intelectual o industrial de terceros. En caso de reclamaciones por parte de terceros, el PROVEEDOR se compromete a asumir la defensa legal y a indemnizar al CLIENTE por cualquier daño o perjuicio derivado, siempre que el CLIENTE haya notificado dicha reclamación de manera inmediata.
El PROVEEDOR otorga al CLIENTE una licencia no exclusiva, intransferible y limitada al período de vigencia del contrato, para acceder y utilizar la PLATAFORMA exclusivamente con fines relacionados con el objeto del presente contrato. El CLIENTE no podrá sublicenciar, vender, distribuir, modificar, desensamblar, realizar ingeniería inversa ni usar la PLATAFORMA con fines no autorizados.
El CLIENTE se compromete a no utilizar los elementos protegidos por derechos de propiedad intelectual o industrial del PROVEEDOR más allá del alcance permitido en este contrato. Cualquier uso no autorizado será considerado un incumplimiento grave y dará lugar a las responsabilidades legales correspondientes.
Los datos introducidos por el CLIENTE en la PLATAFORMA serán de su exclusiva propiedad. El PROVEEDOR únicamente actuará como encargado de su tratamiento conforme a lo establecido en el contrato y en la normativa aplicable, sin que pueda utilizar, modificar o acceder a dichos datos para fines distintos a los pactados.
El CLIENTE reconoce y acepta que el PROVEEDOR podrá implementar medidas tecnológicas de protección para salvaguardar sus derechos de propiedad intelectual e industrial. Cualquier intento de eludir dichas medidas será considerado una violación del presente contrato.
UNDÉCIMA.- Cesión de posición contractual
Ninguna de las partes podrá ceder, transferir ni delegar su posición contractual, total o parcialmente, a terceros sin el consentimiento previo, expreso y por escrito de la otra parte. No obstante, el PROVEEDOR podrá ceder su posición contractual en caso de fusión, escisión, adquisición o reestructuración societaria, siempre que la nueva entidad garantice la continuidad del servicio en los mismos términos y condiciones establecidos en el presente contrato, notificándolo previamente al CLIENTE.
En caso de que una parte desee ceder su posición contractual, deberá comunicarlo a la otra parte con una antelación mínima de 30 días, proporcionando toda la información necesaria sobre el cesionario para evaluar la viabilidad de la cesión. El consentimiento de la otra parte no será injustificadamente denegado, salvo que existan motivos razonables para ello. Cualquier cesión realizada sin la autorización exigida será considerada nula e ineficaz, sin perjuicio de las responsabilidades legales y contractuales que pudieran derivarse para la parte que incumpla esta cláusula.
En caso de producirse cesión de cualquier tipo, la parte cedente será responsable frente a la otra parte por cualquier incumplimiento de las obligaciones contractuales ocurrido antes de la cesión. Además, la parte cesionaria deberá asumir plenamente los derechos y obligaciones derivados del presente contrato, quedando obligada a cumplir con los términos y condiciones establecidos en el mismo.
La subcontratación de cualquier obligación derivada de este contrato será permitida únicamente en los términos y condiciones establecidos en éste y no implicará, en ningún caso, la cesión de la posición contractual.
DUODÉCIMA.- Exención de responsabilidad
El PROVEEDOR no asume ninguna responsabilidad sobre la eficacia y seguridad de los parches y remedios que ponga a disposición del CLIENTE para cualquier vulnerabilidad que sea detectada durante la monitorización de Activos. El CLIENTE o, en su caso, los titulares de dichos Activos, deberán tomar las medidas adecuadas para analizar cualquier vulnerabilidad que les afecte, así como diseñar e implementar las medidas de mitigación y resolución adecuadas para la resolución del problema, sin que el PROVEEDOR ofrezca garantía alguna de que la mera aplicación de los parches y remedios que eventualmente pudiera ofrecer a través de su PLATAFORMA resulten adecuados y/o suficientes para el caso específico que se trate. El PROVEEDOR tampoco se hace responsable de la eficacia de los remedios sugeridos por el PROVEEDOR por cualquier otro medio, salvo que se haga constar lo contrario en un contrato específico entre PROVEEDOR y CLIENTE para atender la resolución de una vulnerabilidad concreta, cuestión en todo caso ajena al objeto del presente contrato.
El PROVEEDOR no se hace responsable por las omisiones que pudieran producirse en la información facilitada al CLIENTE acerca de las vulnerabilidades detectadas. En particular, el PROVEEDOR no puede asegurar que toda vulnerabilidad identificada disponga de información publicada en la PLATAFORMA acerca de posibles remedios.
El PROVEEDOR no asumirá responsabilidad alguna por la no detección de cualquier vulnerabilidad existente en los Activos sujetos a monitorización. El PROVEEDOR garantiza al CLIENTE su mejor esfuerzo para mantener actualizada en cuasi tiempo real su directorio de vulnerabilidades y exploits, pero no puede asegurar que este directorio comprenda la totalidad de posibles incidencias a las que se enfrenta cualquier Activo expuesto a la red, especialmente en lo referido a zero-day exploits (vulnerabilidades cuya existencia es desconocida para la comunidad de ciberseguridad).
El PROVEEDOR tampoco asume ninguna responsabilidad sobre la monitorización efectiva de ningún activo que resulte inalcanzable para los escáneres de la PLATAFORMA, ya sea por incompatibilidad con la PLATAFORMA o cualquier otro motivo. En todo caso, será responsabilidad del CLIENTE y/o los titulares de los Activos verificar el alcance de la monitorización que lleva a cabo la PLATAFORMA, pudiendo utilizar para ello la información suministrada por ésta.
El PROVEEDOR no asumirá responsabilidad alguna por la veracidad o precisión de los datos suministrados al CLIENTE a través de la PLATAFORMA acerca de filtraciones de datos y credenciales en la Deep web. En particular, el PROVEEDOR no se hace responsable de cualquier posible error o imprecisión en los datos de las filtraciones, ni su grado de actualización. Asimismo, el PROVEEDOR no se hace responsable de que pudieran existir filtraciones de datos y credenciales no detectadas por la PLATAFORMA.
El PROVEEDOR no asume ninguna responsabilidad derivada de la falta de acción del CLIENTE respecto de las vulnerabilidades detectadas ni de su posible explotación a partir de información generada por la PLATAFORMA y que no haya sido custodiada de forma diligente por el CLIENTE.
El PROVEEDOR tampoco asume ninguna responsabilidad derivada del mal funcionamiento de la infraestructura tecnológica del CLIENTE, o existencia de incompatibilidades de cualquier tipo, que impida la correcta ejecución de los procesos de escaneo de vulnerabilidades.
El PROVEEDOR no asume responsabilidad por cualesquiera incidencias que respondan a causas de fuerza mayor y que impidan la prestación del servicio objeto de este contrato, ya sea de manera puntual o prolongada en el tiempo. En todo caso, el PROVEEDOR informará al CLIENTE de la existencia de estas circunstancias tan pronto como tenga constancia de las mismas.
El CLIENTE reconoce que no ha confiado en ninguna declaración, promesa o representación hecha o dada por o en nombre del PROVEEDOR que no esté establecido explícitamente en este Contrato.
DECIMOTERCERA.- Protección de datos
Los datos de carácter personal de los firmantes y/o interlocutores de las Partes incluidos en el Contrato, en la/s factura/s, así como cualesquiera otros documentos que sean facilitados a lo largo de la relación contractual entre las Partes, serán tratados por éstas (cuyos datos de identificación y contacto constan en el encabezamiento del presente contrato) para la gestión adecuada de los servicios contratados, incluyendo la gestión administrativa, económica y contable.
La base legal para el tratamiento es el interés legítimo de las partes, reconocido en el artículo 19 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Igualmente, el tratamiento está amparado en la ejecución de un contrato, de manera que la falta de aportación de los datos personales podría dar lugar a la imposibilidad de la ejecución de la relación entre ambas partes.
Los datos personales se conservarán por el tiempo necesario para dar debida satisfacción a este contrato. Cuando ya no sean necesarios, se podrán conservar mientras las Partes estén obligadas a su conservación en cumplimiento de una obligación legal y/o para la atención de posibles responsabilidades nacidas durante el tratamiento. Con carácter general, no se compartirán los datos personales con terceros, salvo por imperativo legal.
En cualquier momento, los interesados pueden ejercitar los derechos de acceso, rectificación, supresión, oposición y limitación del tratamiento y portabilidad de sus datos personales, así como a no ser objeto de una decisión basada únicamente en el tratamiento automatizado (incluida la elaboración de perfiles), conforme al Reglamento General de Protección de Datos, dirigiéndose por escrito a cada una de las Partes, en la dirección postal o electrónica indicada en el presente Contrato. En particular, se les informa del derecho que les asiste de presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es) si consideran que el tratamiento no se ajusta a la normativa vigente o no han obtenido satisfacción en el ejercicio de derechos.
En el marco del presente contrato, el PROVEEDOR podría acceder a datos personales responsabilidad del CLIENTE, por lo que ambas Partes suscriben un contrato de encargo de tratamiento, de conformidad con lo dispuesto en el Reglamento General de Protección de Datos, el cual se acompaña como Anexo II.
El CLIENTE acepta que durante el proceso de escaneo de vulnerabilidades y filtraciones de datos el PROVEEDOR podría tener acceso a datos de carácter personal que estuvieran alojados en la infraestructura tecnológica del CLIENTE. En estos casos, el PROVEEDOR tomará las medidas técnicas oportunas para que dichos datos no sean almacenados por ningún medio, de forma que sean destruidos tan pronto como finalice la ejecución del escáner, y que esa información no podrá ser consultada por ninguna persona.
El PROVEEDOR adoptará las siguientes medidas técnicas y organizativas para asegurar la protección de datos de carácter personal a los que pudiera tener acceso en virtud de la prestación de este servicio:
DECIMOCUARTA.- Confidencialidad
Las Partes acuerdan tratar de forma confidencial los datos, documentación e información respectivos que estén identificados como confidenciales o que, por su naturaleza, lo sean, y a utilizar la información obtenida únicamente para la ejecución del objeto del contrato.
Los conocimientos y el know-how inherentes a la PLATAFORMA, así como los conocimientos utilizados para su configuración, son información confidencial del PROVEEDOR. El CLIENTE lo reconoce y asume toda la responsabilidad por el uso fraudulento o copia ilegal de dicho software o know-how, incluyendo por parte de sus propios empleados o, en su caso, subcontratados, comprometiéndose a adoptar las medidas necesarias para que sólo las personas autorizadas tengan acceso a esta información protegida.
El CLIENTE se compromete a notificar inmediatamente al PROVEEDOR cualquier posesión, uso o conocimiento no autorizado del código objeto de la PLATAFORMA. El CLIENTE deberá proporcionar inmediatamente al PROVEEDOR todos los detalles relativos a la supuesta posesión, uso o conocimiento no autorizado, así como ayudar a prevenir cualquier nueva violación de la confidencialidad y cooperar con el PROVEEDOR y/o sus representantes legales en cualquier litigio u otro procedimiento que se considere necesario para proteger sus derechos.
Las obligaciones de confidencialidad y no uso de la información confidencial por las Partes no se extinguirán y continuarán en vigor hasta tanto la información confidencial no sea de dominio público sin que en ello haya mediado incumplimiento de las obligaciones de la parte receptora.
DECIMOQUINTA.- Notificaciones
Las comunicaciones y notificaciones entre las Partes que se requieran por aplicación del contenido de este contrato, serán válidas y surtirán plenos efectos siempre que se realicen por escrito y de forma que permita probar razonablemente que la comunicación fue efectuada y el destinatario debió recibirla, tales como correo electrónico con acuse de recibo o burofax.
Las comunicaciones ordinarias y operativas del día a día podrán llevarse a cabo por correo electrónico o por comunicación telefónica. Cualquier otra notificación exigida por este acuerdo deberá realizarse por escrito y entregarse personalmente, por correo postal o mediante mensajería urgente a la dirección especificada en la PROPUESTA (o a cualquier otra dirección que se haya indicado por escrito de conformidad con esta Subsección).
DECIMOSEXTA.- Causas de terminación anticipada
Constituyen justas causas de terminación anticipada del presente Contrato las siguientes:
DECIMOSÉPTIMA.- Efectos de la terminación del Contrato
Con la terminación del presente contrato, cesarán todas las obligaciones de las Partes, salvo aquellas que, por su naturaleza o disposición expresa en este contrato, deban subsistir tras la resolución, incluyendo pero no limitándose a las obligaciones de confidencialidad, protección de datos y derechos de propiedad intelectual e industrial.
En el plazo máximo de quince (15) días naturales desde la fecha efectiva de la terminación, cada Parte deberá devolver a la otra toda la información, documentación y materiales que le hubiesen sido proporcionados en el marco del presente contrato, salvo que por normativa aplicable sea necesario conservarlos por un periodo adicional.
El CLIENTE perderá el acceso a la PLATAFORMA y a los servicios proporcionados por el PROVEEDOR a partir de la fecha de terminación del contrato. No obstante, el PROVEEDOR se compromete a facilitar al CLIENTE, durante un período de quince (15) días naturales desde la terminación, el acceso a sus datos para que puedan ser descargados o transferidos, siempre y cuando no se deba a una resolución por impago o incumplimiento grave del CLIENTE.
Cualquier cantidad pendiente de pago por parte del CLIENTE deberá ser abonada de manera inmediata a la terminación del contrato, salvo que la terminación sea atribuible a un incumplimiento del PROVEEDOR, en cuyo caso no se exigirá el pago de las cuotas futuras. El PROVEEDOR se reserva el derecho de reclamar cualquier daño y perjuicio ocasionado por el incumplimiento contractual del CLIENTE.
En caso de resolución por incumplimiento grave de cualquiera de las Partes, la Parte perjudicada podrá reclamar los daños y perjuicios derivados de dicho incumplimiento, incluyendo los costes legales y otros gastos relacionados con la defensa de sus derechos.
En los casos de terminación por fuerza mayor o imposibilidad técnica, el PROVEEDOR hará todo lo posible por mitigar el impacto al CLIENTE y proporcionará una transición ordenada del servicio en la medida de sus capacidades.
Tras la terminación del Contrato, el CLIENTE no podrá seguir utilizando la PLATAFORMA, los materiales ni las herramientas proporcionadas por el PROVEEDOR. Cualquier uso posterior será considerado una infracción de los derechos de propiedad intelectual e industrial del PROVEEDOR, y podrá dar lugar a las acciones legales correspondientes.
DECIMOCTAVA.- Jurisdicción
El cumplimiento, ejecución e interpretación del presente contrato estará sujeto a la legislación española y, en caso de controversia, ambas Partes acuerdan someterse, con renuncia expresa a cualquier otro fuero que pudiera corresponderles, a la jurisdicción de los juzgados y tribunales de Zaragoza.
El presente acuerdo, regula la propuesta relativa a la Solución de HoundER preparada para el CLIENTE (“PROPUESTA”). Este Contrato concede al CLIENTE una licencia limitada para utilizar la Solución de HoundER.
LEA ATENTAMENTE ESTE ACUERDO. ESTE ACUERDO DE LICENCIA DE USUARIO FINAL DE HOUNDER, JUNTO CON LA PROPUESTA, CONSTITUYE UN CONTRATO VINCULANTE PARA EL USO DE LA SOLUCIÓN DE HOUNDER.
SI USTED NO ACEPTA QUEDAR VINCULADO POR TODAS LAS DISPOSICIONES DE ESTE ACUERDO DE LICENCIA DE USUARIO FINAL, ENTONCES NO ACCEDA NI UTILICE LA SOLUCIÓN DE HOUNDER.
El uso por parte del CLIENTE de la Solución de HoundER se regirá por el Acuerdo de Licencia de Usuario Final de HoundER que se muestra a continuación.
PRIMERA.- Definiciones
a) Superficie de ataque: Para los propósitos de este acuerdo, se entiende por "superficie de ataque" el conjunto de todas las características expuestas y accesibles en un sistema, red o software, que son susceptibles de ser explotadas por agentes maliciosos. Esto incluye, pero no se limita a, todas las interfaces de usuario y de programación de aplicaciones (API), puertos, servicios en funcionamiento, puntos de entrada de red y cualquier otro punto donde el sistema interactúa con el mundo exterior o procesa datos de entrada. La superficie de ataque se considera como el espectro total de vulnerabilidades potenciales que un atacante podría explotar para comprometer la seguridad del sistema o para obtener acceso no autorizado a datos y recursos.
b) Deep Web: Para los propósitos de este acuerdo, se entiende por "Deep Web" todas aquellas partes del Internet que no son indexadas por los motores de búsqueda convencionales, incluyendo la "Dark Web". La Deep Web comprende páginas web, bases de datos y otros contenidos digitales que requieren credenciales de acceso específicas, como nombres de usuario y contraseñas, o que son accesibles únicamente a través de conexiones seguras y autenticadas. Incluye también páginas que son generadas dinámicamente en respuesta a consultas específicas en bases de datos y que están configuradas para evitar la indexación por métodos estándar de rastreo de motores de búsqueda, ya sea mediante configuraciones técnicas o mediante la inclusión de directivas específicas en los archivos robots.txt. Dentro de la Deep Web, la "Dark Web" se refiere específicamente a aquellas partes del Internet diseñadas para ser inaccesibles mediante los navegadores web convencionales y que requieren el uso de software especializado, como Tor, que facilita el anonimato del usuario y el acceso a través de redes cifradas.
c) Activos expuestos a Internet: Para los propósitos de este acuerdo, se entiende por "Activos expuestos a Internet" (en adelante, “Activos”) todos aquellos recursos del CLIENTE que son accesibles directa o indirectamente desde Internet. Esto incluye, pero no se limita a, servidores web, aplicaciones web, interfaces de programación de aplicaciones (APIs), sistemas de gestión de bases de datos, dispositivos de red (como routers y switches), y cualquier otro componente tecnológico que tenga una dirección IP pública o que sea accesible a través de Internet. Los Activos expuestos a Internet también comprenden aquellos sistemas y servicios que, aunque no estén directamente expuestos, pueden ser alcanzados o afectados a través de otros sistemas que sí lo están. Esta definición tiene el objetivo de identificar claramente los puntos de la infraestructura del CLIENTE que requieren medidas de seguridad reforzadas debido a su accesibilidad desde y hacia el entorno externo.
d) Plataforma HOUNDER (en adelante, la PLATAFORMA): Es un servicio de ciberseguridad, ofrecido por el PROVEEDOR bajo la modalidad de “software as a service”, consistente en una serie de herramientas que escanean y monitorizan de forma periódica los Activos expuestos a Internet pertenecientes a una serie de dominios y rangos de direcciones IP configurados en la PLATAFORMA. Los escáneres de la PLATAFORMA ejecutan de forma periódica una serie de comprobaciones para detectar posibles vulnerabilidades y riesgos de ciberseguridad de los Activos sujetos a monitorización, suministrando los resultados a sus clientes a través de múltiples canales, tales como aplicaciones web, correo electrónico, APIs de consulta, informes en formato PDF o integraciones con otras herramientas digitales. Además, la PLATAFORMA ofrece otras funcionalidades relacionadas, tales como la construcción de un mapa de Activos expuestos a Internet; clasificación de vulnerabilidades de acuerdo con su nivel de criticidad; detalles y fichas técnicas de vulnerabilidades detectadas; posibles remedios y parches para dichas vulnerabilidades, etc.
Adicionalmente, la PLATAFORMA dispone de una herramienta para monitorizar filtraciones de datos y credenciales relacionadas con los dominios objeto de monitorización, que hayan sido objeto de publicación en la Deep Web. Específicamente, esta herramienta pone a disposición de sus clientes las credenciales de acceso que hayan sufrido una filtración y que correspondan con cuentas de correo corporativo bajo el dominio del CLIENTE, tanto si dichas credenciales corresponden a servicios bajo dicho dominio o cualquier otro; así como las credenciales filtradas que correspondan a cualquier servicio bajo el dominio del CLIENTE, independientemente de si las cuentas de correo asociadas a dichos servicios corresponden o no a dicho dominio.
Las diferentes herramientas y funcionalidades pueden ofrecerse a los clientes de forma conjunta o separada, en virtud de los específicos términos contractuales que en cada caso se establezcan.
Asimismo, la PLATAFORMA podrá ser objeto de actualizaciones que añadan nuevas herramientas y funcionalidades, y su disponibilidad para el CLIENTE se hará en virtud de los términos particulares que se establezcan en este acuerdo.
e) Software as a Service (SaaS): A los efectos de este acuerdo, "Software as a Service" (SaaS) se refiere a un modelo de entrega de software en el que el PROVEEDOR aloja y mantiene las aplicaciones de software centrales, así como la infraestructura asociada, realiza actualizaciones de software y parches de seguridad, y hace que el software esté disponible para sus clientes a través de Internet a cambio de una tarifa regular, en forma de suscripción. Este modelo permite a los usuarios acceder y utilizar funcionalidades de software completas sin necesidad de instalar o ejecutar las aplicaciones en sus propios sistemas informáticos. En cambio, los clientes acceden al software mediante un navegador web, aplicación móvil o de escritorio, correo electrónico, APIs o mediante integraciones en otras herramientas digitales de terceros. SaaS elimina la necesidad de que las organizaciones manejen el mantenimiento del software, la operación diaria y el soporte técnico, permitiéndoles concentrarse en el uso del software en lugar de su gestión técnica.
f) Cuenta de usuario: A los efectos de este acuerdo, el término "Cuenta de usuario" designa el conjunto de recursos y servicios de la PLATAFORMA que se proporcionan al CLIENTE de manera unitaria e indivisible. Dichos recursos y servicios son gestionados colectivamente bajo un único conjunto de credenciales de acceso, aun cuando los Activos objeto de monitorización puedan pertenecer a múltiples dominios. Cada cuenta de usuario se configura de manera específica y uniforme para todos los Activos incluidos en ella, sujetos a límites de uso aplicables globalmente a dichos Activos y con interfaces de usuario comunes para todos ellos. La cuenta constituye la base de una relación contractual y operativa exclusiva entre el CLIENTE y el PROVEEDOR. Esta estructura de cuenta se mantiene constante y efectiva, independientemente de que el CLIENTE la utilice para gestionar la ciberseguridad de Activos pertenecientes a infraestructuras tecnológicas independientes entre sí.
SEGUNDA.- Objeto del acuerdo
El PROVEEDOR concede al CLIENTE una licencia de uso de la PLATAFORMA, bajo el régimen de Software as a Service (SaaS), para que éste pueda utilizarla junto con la documentación correspondiente. Además, el PROVEEDOR se obliga a prestar los servicios de mantenimiento vinculados al sistema estándar, módulos y licencias que se hubieran solicitado, en los demás términos y condiciones que se señalan en este contrato.
Para este fin, el PROVEEDOR habilitará una Cuenta de usuario de la PLATAFORMA, la cual podrá ser utilizada por el CLIENTE con el único fin de administrar la ciberseguridad de cualquier activo expuesto a Internet de su titularidad directa. Dicha utilización podrá ser realizada por personal propio del CLIENTE o por parte de terceros contratados específicamente por éste para tal efecto, sin que este último supuesto exima al CLIENTE de responsabilidad alguna respecto del cumplimiento de los términos del presente contrato.
Las concretas herramientas y funcionalidades que se habilitarán para el CLIENTE en la PLATAFORMA se definen en la PROPUESTA preparada para el CLIENTE.
En virtud de este servicio, el PROVEEDOR configurará una cuenta de usuario de acceso exclusivo para el CLIENTE, configurando unas primeras credenciales de acceso a partir de la cuenta de correo electrónico corporativo que designe el CLIENTE a tal efecto; quedando permitida al CLIENTE la creación, edición y cancelación de cuantas otras credenciales de acceso precise para administrar las herramientas de la PLATAFORMA.
La licencia objeto del presente acuerdo se concede al CLIENTE de manera no exclusiva e intransferible. Esta licencia de uso no supone venta de la PLATAFORMA ni sus componentes, ni de ninguno de los derechos que el PROVEEDOR ostenta sobre la misma, por lo que el CLIENTE no podrá vender, revender, distribuir, publicar en línea, sublicenciar, alquilar, prestar, proporcionar, regalar, enajenar, ceder o transferir de cualquier otro modo la totalidad o parte de la PLATAFORMA, el objeto de este acuerdo y/o cualesquiera derechos relacionados con el mismo a terceros.
TERCERA.- Límites de uso
La cuenta de usuario quedará sujeta a las limitaciones de uso establecidas en la PROPUESTA preparada para el CLIENTE, la cual establece:
- El número máximo de dominios y subdominios que pueden configurarse en la PLATAFORMA para su monitorización simultánea.
- El plazo mínimo que debe respetarse para sustituir cualquiera de los dominios objeto de monitorización por otros distintos, salvo en casos de error material del CLIENTE.
- El número máximo de Activos que pueden monitorizarse en total para todos los dominios configurados en cada momento en la PLATAFORMA.
Para el control del cumplimiento de los límites de uso establecidos en el presente contrato, el PROVEEDOR se reserva el derecho de implementar medidas técnicas automáticas que impidan sobrepasarlas. No obstante, con la finalidad de dotar de una razonable flexibilidad al CLIENTE en el cumplimiento de sus fines, dichas medidas estarán de inicio deshabilitadas, entendiéndose que el CLIENTE solamente puede aprovechar esta flexibilidad sobre la base de un "fair-use", en virtud del cual los excesos de consumo deben ser siempre puntuales, por razones justificadas y siempre manteniendo un razonable equilibrio con el volumen de recursos contratados. A este respecto, no debe entenderse en ningún caso que el hecho de que la PLATAFORMA permita técnicamente exceder cualquiera de los límites establecidos en este contrato suponga la aceptación tácita por parte del PROVEEDOR del incumplimiento de dichos límites.
En el supuesto de que el CLIENTE precise ampliar los límites aplicables a la licencia objeto de este contrato, podrá solicitar presupuesto al respecto al PROVEEDOR, el cual deberá hacer su mejor esfuerzo para ofrecerle condiciones preferenciales. En estos casos no será necesaria la suscripción de un nuevo acuerdo entre las partes, sino que se entenderá que el presente acuerdo quedará ampliado con los servicios adicionales que se convengan.
CUARTA.- Duración
La licencia de uso y mantenimiento de la PLATAFORMA objeto del acuerdo se concede por el plazo de doce (12) meses a partir de la firma de la PROPUESTA. Este plazo será de obligado cumplimiento para las partes.
Llegado el término de vencimiento, el acuerdo se entenderá prorrogado tácitamente por periodos sucesivos de un (1) año, siempre y cuando se haya procedido al abono de la nueva factura, salvo que cualquiera de las partes comunique por escrito a la otra su voluntad en contrario, con una antelación mínima de dos (2) meses respecto de la fecha de terminación inicial o de cualquiera de las prórrogas.
Salvo pacto en contrario expreso y por escrito, cada prórroga automática a la que se refiere el párrafo anterior conllevará la actualización de los precios establecidos en la PROPUESTA, en un importe equivalente al incremento interanual del Índice de Precios al Consumidor publicado por el Instituto Nacional de Estadística de España.
En el supuesto de que el CLIENTE contratara en el futuro cualquier módulo adicional de tal modo que la fecha de expiración del mismo no coincida con la del resto de módulos o la PLATAFORMA estándar, el CLIENTE podrá seguir utilizando dicho módulo hasta el final de la fecha convenida para éste, pero no disfrutará del resto de módulos y servicios que hubieran expirado y que no fueran objeto de renovación.
QUINTA.- Precio y condiciones de pago
La contraprestación que el CLIENTE debe satisfacer al PROVEEDOR por la licencia de uso de la PLATAFORMA será la establecida en la PROPUESTA. A estos efectos, se establece un precio fijo para el uso de la herramienta de monitorización de superficie de ataque de Activos expuestos a Internet, mientras que el precio por la herramienta de monitorización de filtraciones de datos y credenciales se determinará de forma lineal en función del número de dominios para los que se vaya activando, de acuerdo con el precio unitario establecido en la PROPUESTA. Todo ello, de acuerdo con las limitaciones establecidas en las diferentes cláusulas de este contrato.
Cualquier otro servicio distinto de los recogidos en este contrato, así como el consumo que exceda los límites establecidos, serán objeto de facturación adicional, de acuerdo con los precios previstos en la PROPUESTA o a los acuerdos por escrito que alcancen las partes.
Los precios establecidos no incluyen los impuestos aplicables y, por ello, los precios facturados serán incrementados con los impuestos repercutibles según la legislación aplicable en vigor el día de la facturación.
El CLIENTE deberá satisfacer el precio correspondiente a cada herramienta en cuotas mensuales de igual cuantía, por anticipado, dentro de los quince (15) primeros días de cada mes. Para ello, el PROVEEDOR deberá remitir al CLIENTE, por escrito, la factura correspondiente a las cuotas mensuales, con desglose detallado de los conceptos incluidos en la misma, no más tarde del día 15 del mes en el que deba abonarse la factura.
Los pagos se realizarán por el CLIENTE mediante recibo domiciliado a la vista en la cuenta comunicada por el CLIENTE por medio de orden de domiciliación SEPA CORE (recurrente) anexada a la PROPUESTA.
El retraso en el pago del precio estipulado por parte del CLIENTE devengará a favor del PROVEEDOR un interés de demora igual al resultado de aplicar a las cantidades pendientes de pago el interés legal del dinero más dos (2) puntos porcentuales.
SEXTA.- Obligaciones del CLIENTE
El CLIENTE será responsable de la concesión y obtención de los permisos necesarios por parte de los titulares de los servidores y servicios que sean objeto de monitorización a través de las herramientas de la PLATAFORMA tecnológica objeto del presente acuerdo, así como del buen uso de la información obtenida mediante su utilización. El PROVEEDOR entenderá que dichos permisos han sido concedidos y/o recabados por el CLIENTE por el mero hecho de que éste solicite la adición de un dominio o dirección IP a la lista de Activos a monitorizar, recayendo en el CLIENTE la responsabilidad al respecto.
En ningún caso el PROVEEDOR asumirá responsabilidad alguna por las fugas o filtraciones de datos que puedan producirse como consecuencia de una mala praxis por parte del CLIENTE.
En particular, en virtud del presente contrato, queda prohibido que el CLIENTE lleve a cabo las siguientes actividades:
- Monitorizar mediante las herramientas de la PLATAFORMA cualquier tipo de activo para los que no haya obtenido los permisos necesarios, de forma expresa y por escrito, por parte del titular de los mismos. Esta prohibición se extiende a cualquier tipo de monitorización prospectiva, con cualquier fin, de demostración o de cualquier otro tipo. El CLIENTE será el único responsable de verificar la legitimación de cuantas partes intervengan en sus operaciones con la PLATAFORMA.
- Emplear cualesquiera datos o credenciales que fueran proporcionados por la herramienta de monitorización de filtraciones en la Deep Web de la PLATAFORMA, para cualquier otro fin que no sea la resolución de la incidencia de ciberseguridad. En particular, el CLIENTE se abstendrá de realizar ningún intento de intrusión mediante el uso de las credenciales y datos suministrados por la PLATAFORMA, incluso cuando se trate una mera verificación. En ningún caso el PROVEEDOR será responsable por el uso que haga el CLIENTE o el titular de los Activos de esta información, incluyendo la falta de custodia y confidencialidad en el tratamiento de las mismas.
- Comunicar cualquier tipo de información, total o parcial, sobre el estado y vulnerabilidades de los Activos monitorizados a través de las herramientas de la PLATAFORMA tecnológica objeto de este contrato a cualquier persona física o jurídica distinta de la titular de dichos Activos.
- Ceder o revender, incluso a título gratuito, el acceso temporal o permanente a las herramientas de la PLATAFORMA o cualquier información procedente de la misma, a cualquier persona física o jurídica distintas de las previstas en el presente contrato.
- Otorgar credenciales de acceso, o transmitir las existentes, a cualquier persona ajena al CLIENTE, independientemente de la finalidad con la que se realice.
- Modificar o alterar total o parcialmente el funcionamiento de cualquier herramienta de la PLATAFORMA, así como su base de código, por cualquier medio y modalidad, incluyendo sus interfaces; o realizar acciones de ingeniería inversa sobre cualesquiera componentes de la PLATAFORMA.
- Interactuar con cualesquiera servicios o herramientas de la PLATAFORMA de una forma diferente a aquellas para las que ha sido diseñada, de acuerdo con su documentación técnica, o emplear herramientas automatizadas de cualquier tipo para llevar a cabo dicha interacción, salvo permiso expreso y por escrito del PROVEEDOR.
- Copiar, alterar, adaptar, corregir, traducir, actualizar, desarrollar nuevas versiones o crear/desarrollar trabajos derivados de la PLATAFORMA o de cualquiera de sus partes o componentes, salvo en los casos expresamente contemplados en este contrato.
- Explotar comercialmente, al margen de los términos de este contrato, cualquier información de la que tuviera conocimiento mediante el uso de la PLATAFORMA y sus herramientas, salvo autorización expresa y por escrito del PROVEEDOR. Esta prohibición incluye, pero no se limita a, la relación y detalles de vulnerabilidades detectadas y/o existentes; contenido y detalle de exploits, parches y/o medidas de mitigación y corrección de vulnerabilidades, y en general cualquier otro dato que la PLATAFORMA ponga a disposición del CLIENTE.
- Comunicar de manera pública, sin permiso del titular de los Activos sujetos a monitorización, cualquier información acerca de vulnerabilidades detectadas mediante el uso de la PLATAFORMA, mientras éstas no hubieran sido corregidas de manera efectiva.
- Comunicar de manera pública, sin permiso del PROVEEDOR, los detalles específicos de vulnerabilidades, exploits o parches y medidas de mitigación de las que tuviera conocimiento a través de la PLATAFORMA.
- En general, cualquier uso de las herramientas de la PLATAFORMA que contravengan la finalidad de proporcionar un mayor nivel de protección y seguridad a los Activos objeto de monitorización, previo consentimiento de sus titulares.
- Proveer servicios de cualquier tipo a personas o entidades sujetas a sanciones en legislaciones, regulaciones, directrices, resoluciones, programas o medidas restrictivas en materia de sanciones económico-financieras internacionales, impuestas por las Naciones Unidas, Unión Europea o cualquiera de sus Estados Miembros, incluido el Reino de España, el Reino Unido y/o el U.S. Department of the Treasury’s Office of Foreign Assets Control. Esta prohibición también será aplicable para entidades participadas o controladas por una persona sancionada o cuando actúen directa o indirectamente para o en representación de una persona sancionada.
- Proveer servicios de cualquier tipo a personas o entidades que estén constituidas, localizadas o con sede operativa o residente en un país o territorio, o cuyo gobierno esté y/o conste sujeto a sanciones en legislaciones, regulaciones, directrices, resoluciones, programas o medidas restrictivas en materia de sanciones económico-financieras internacionales, impuestas por las Naciones Unidas, Unión Europea o cualquiera de sus Estados Miembros, incluido el Reino de España, el Reino Unido y/o el U.S. Department of the Treasury’s Office of Foreign Assets Control.
- Cualquier uso de las herramientas de la PLATAFORMA que contravenga la legislación aplicable en la jurisdicción correspondiente.
El CLIENTE queda obligado a comunicar al PROVEEDOR cualquier error, fallo, vulnerabilidad o incidencia que detecte en las herramientas de la PLATAFORMA, a la máxima brevedad posible y con su mejor diligencia, para que el PROVEEDOR pueda proceder a su mitigación y resolución. El CLIENTE no podrá comunicar a terceros, por ningún medio, la existencia de dichas incidencias, incluso una vez resueltas, debiendo garantizar frente al PROVEEDOR la confidencialidad.
El CLIENTE tomará las medidas adecuadas para impedir accesos indebidos a la PLATAFORMA, en especial la debida custodia de las credenciales de acceso, así como la confidencialidad y cadena de custodia de la información suministrada por la PLATAFORMA acerca del estado y vulnerabilidades detectadas en los Activos digitales objeto de monitorización mediante la PLATAFORMA.
Asimismo, el CLIENTE deberá guardar la debida confidencialidad respecto de cualquier información acerca del PROVEEDOR y la PLATAFORMA objeto de este contrato, que pudiera obtener en el marco de la presente relación contractual. En particular, este deber incluye, de manera no exclusiva, la arquitectura y diseño de los servicios y tecnologías que integrar las herramientas de la PLATAFORMA; los algoritmos, métodos y procesos utilizados para la prestación de los servicios; las configuraciones personalizadas o específicas implementadas para el CLIENTE; así como cualquier dato, documento, especificación técnica o información relativa al know-how del PROVEEDOR, ya sea que esta información sea compartida de manera verbal, escrita o electrónica.
El CLIENTE asume la obligación de comunicar a los titulares y administradores de los Activos objeto de monitorización todos los descubrimientos acerca de vulnerabilidades que sean detectados mediante el uso de las herramientas de la PLATAFORMA, actuando con la diligencia debida para que dichas vulnerabilidades sean corregidas de manera efectiva en el menor tiempo posible.
SÉPTIMA.- Obligaciones del PROVEEDOR
- El PROVEEDOR deberá prestar los servicios objeto del presente contrato de forma efectiva, garantizando su funcionamiento adecuado y conforme a los estándares de calidad y profesionalidad aplicables en el ámbito del software de ciberseguridad.
- La PLATAFORMA se alojará en los servidores del PROVEEDOR, quien será responsable de su mantenimiento, actualización y gestión, asegurando la máxima disponibilidad y el correcto funcionamiento de todos los servicios, salvo en casos de fuerza mayor o incidencias técnicas debidamente justificadas.
- El PROVEEDOR deberá atender y resolver, en los plazos establecidos en este contrato, cualquier incidencia, error o fallo técnico relacionado con la PLATAFORMA, aplicando las mejores prácticas y recursos disponibles para minimizar el impacto en el CLIENTE.
- El PROVEEDOR facilitará al CLIENTE la documentación técnica necesaria para el uso y comprensión de la PLATAFORMA, así como formación inicial sobre su funcionamiento, en los términos y condiciones establecidos en el contrato.
- El PROVEEDOR ofrecerá servicio técnico al CLIENTE conforme a los términos y niveles de servicio (SLA) definidos en este contrato, asegurando la disponibilidad de asistencia en los horarios y condiciones acordados.
- El PROVEEDOR se compromete a emitir las facturas correspondientes al servicio prestado, de acuerdo con las condiciones económicas pactadas, detallando los conceptos y garantizando el cumplimiento de las disposiciones legales aplicables.
- El PROVEEDOR implementará actualizaciones, parches de seguridad y mejoras de la PLATAFORMA conforme a los términos del contrato, informando al CLIENTE previamente cuando dichas actualizaciones puedan afectar temporalmente la disponibilidad del servicio.
- El PROVEEDOR se obliga a cumplir con todas las normativas legales y reglamentarias aplicables al servicio, incluyendo, pero sin limitarse a, las leyes de protección de datos personales, ciberseguridad, propiedad intelectual y comercio electrónico.
- El PROVEEDOR garantizará la confidencialidad de la información del CLIENTE, comprometiéndose a no divulgar ni utilizar dicha información para fines distintos a los previstos en el contrato, implementando medidas técnicas y organizativas adecuadas para protegerla contra accesos no autorizados, pérdidas o daños.
- El PROVEEDOR informará al CLIENTE, con la debida antelación, sobre cualquier interrupción planificada en el servicio, tales como mantenimiento programado, así como sobre cualquier incidencia técnica que pueda afectar a la disponibilidad del sistema.
- El PROVEEDOR adoptará las medidas necesarias para proteger la PLATAFORMA contra ataques cibernéticos, accesos no autorizados y otras amenazas de seguridad, garantizando el uso de tecnologías actualizadas y procedimientos de gestión de riesgos adecuados.
- El PROVEEDOR proporcionará soporte prioritario en caso de situaciones de emergencia que afecten significativamente al CLIENTE, implementando medidas inmediatas para mitigar el impacto y restaurar el servicio.
- El PROVEEDOR asegurará que la solución sea compatible, en la medida de lo posible, con sistemas, entornos y estándares tecnológicos actuales, facilitando la integración con otras plataformas que el CLIENTE pueda utilizar.
- El PROVEEDOR se compromete a no subcontratar ninguna parte esencial de los servicios objeto del presente contrato sin previa comunicación y consentimiento por escrito del CLIENTE. Asimismo, se prohíbe la cesión del contrato, total o parcial, a cualquier otra persona jurídica diferente de la que suscribe el presente contrato, salvo en los términos establecidos al respecto en este contrato.
OCTAVA.- Garantía y servicio de asistencia técnica
El PROVEEDOR garantiza que los servicios prestados a través de la PLATAFORMA cumplirán con los niveles de calidad y funcionalidad descritos en este acuerdo, comprometiéndose a subsanar cualquier defecto, error o incidencia que afecte al uso adecuado de la PLATAFORMA, siempre que dicho defecto no sea consecuencia de un uso indebido por parte del CLIENTE o de terceros. No obstante, el CLIENTE acepta la PLATAFORMA en su estado actual ("as is"), reconociendo que, aunque el PROVEEDOR realizará esfuerzos razonables para garantizar su correcto funcionamiento, pueden existir limitaciones o características inherentes al sistema que no se considerarán incumplimientos contractuales, siempre que no afecten de manera sustancial a los servicios contratados.
El PROVEEDOR ofrecerá un servicio de asistencia técnica destinado a resolver incidencias, atender consultas y proporcionar soporte relacionado con el uso de la PLATAFORMA, sus módulos y herramientas. Este servicio estará disponible todos los días de la semana, de lunes a domingo, en el siguiente horario: de 8:00 a 20:00 (hora de España).
El PROVEEDOR pondrá a disposición del CLIENTE los siguientes canales para solicitar asistencia técnica:
- Correo electrónico dedicado, que será el canal por defecto para la solicitud de asistencia técnica: support@hounder.io.
- Teléfono directo de emergencias.
El PROVEEDOR podrá habilitar nuevos canales de soporte y atención al CLIENTE tales como plataformas de tickets, portales de soporte en línea, herramientas de mensajería, etc. a su propia discreción.
El PROVEEDOR se compromete a responder a las solicitudes de asistencia técnica en un plazo máximo de 24 horas desde su recepción, dentro del horario de atención establecido. El tiempo para la resolución de incidencias dependerá de la gravedad del problema y será comunicado de manera estimativa al CLIENTE en el momento de la respuesta inicial.
El PROVEEDOR no será responsable de prestar asistencia ni de garantizar el funcionamiento del servicio en los siguientes supuestos:
- Uso no autorizado o contrario a las instrucciones facilitadas.
- Fallos causados por infraestructuras externas al PROVEEDOR, tales como redes de internet del CLIENTE.
- Alteraciones o modificaciones realizadas por el CLIENTE sin autorización del PROVEEDOR.
El servicio de asistencia técnica quedará limitado al uso y funcionamiento de la PLATAFORMA y sus módulos, herramientas y servicios. En ningún caso se entenderá comprendida dentro de esta asistencia ninguna cuestión relacionada con la mitigación, corrección o resolución de las vulnerabilidades de ciberseguridad detectadas por la PLATAFORMA en la infraestructura del CLIENTE o cualquier otra cuestión que exceda las prestaciones concretas de la PLATAFORMA. Todo ello sin perjuicio de que el PROVEEDOR, por iniciativa propia y sin obligación alguna, pueda comunicar a sus clientes información relevante relativa a nuevos riesgos y vulnerabilidades de alcance global de las que haya tenido conocimiento.
No obstante lo anterior, el CLIENTE podrá solicitar a HoundER la prestación de asistencia puntual para la resolución de incidentes de ciberseguridad, así como la corrección y mitigación de vulnerabilidades en la infraestructura, aplicando para estos casos las tarifas que se establezcan en la PROPUESTA.
El PROVEEDOR informará al CLIENTE con antelación suficiente acerca de cualquier mantenimiento preventivo que pueda afectar temporalmente la disponibilidad de la PLATAFORMA, procurando minimizar el impacto sobre el uso del servicio.
NOVENA.- Actualizaciones
La monitorización de vulnerabilidades y filtraciones que afecten a los Activos objeto de este acuerdo se realizará siempre de acuerdo con el listado completo y actualizado de tests, exploits y fuentes del que disponga el PROVEEDOR y que está en continua evolución y crecimiento, garantizando que el CLIENTE disponga de la protección más reciente y eficaz frente a posibles riesgos de seguridad, sin coste adicional. En ningún caso el PROVEEDOR aplicará restricciones, limitaciones o demoras sobre dicho listado para la prestación del servicio objeto del contrato, ni podrá requerir el pago de ninguna cuota adicional para disfrutar de actualizaciones relativas a este listado.
Adicionalmente, el PROVEEDOR garantizará al CLIENTE el acceso gratuito a las actualizaciones estándar de la PLATAFORMA, que pueden incluir mejoras de rendimiento, parches de seguridad y correcciones de errores. Estas actualizaciones se implementarán de forma continua y sin coste adicional durante toda la vigencia del contrato.
No obstante, el PROVEEDOR podrá incorporar nuevas funcionalidades y herramientas que no formen parte del alcance inicial del servicio contratado. El acceso a dichas mejoras estará sujeto a condiciones económicas específicas que serán notificadas previamente al CLIENTE, quien podrá decidir si desea contratarlas.
El PROVEEDOR se compromete a informar al CLIENTE de cualquier actualización que pueda requerir ajustes operativos o que pueda afectar temporalmente la disponibilidad de la PLATAFORMA, asegurando una planificación adecuada para minimizar impactos.
El PROVEEDOR garantizará, en la medida de lo posible, la compatibilidad de las actualizaciones con la configuración inicial de la PLATAFORMA, informando al CLIENTE de cualquier cambio en los requisitos técnicos necesarios para su correcto funcionamiento.
El acceso gratuito a las actualizaciones no incluye desarrollos personalizados, adaptaciones específicas ni funcionalidades adicionales que no formen parte del servicio base contratado. Estos servicios estarán sujetos a condiciones económicas separadas.
DÉCIMA.- Propiedad intelectual e industrial
El PROVEEDOR es y seguirá siendo el titular exclusivo de todos los derechos de propiedad intelectual e industrial sobre la PLATAFORMA, incluyendo, pero sin limitarse a, su diseño, arquitectura, códigos fuente, algoritmos, bases de datos, documentación técnica, materiales formativos, marcas, logotipos y cualquier otra creación relacionada. La suscripción del presente contrato no implica en ningún caso la transmisión o cesión de dichos derechos al CLIENTE, salvo lo expresamente estipulado en este contrato.
El PROVEEDOR garantiza que la PLATAFORMA y sus componentes no infringen derechos de propiedad intelectual o industrial de terceros. En caso de reclamaciones por parte de terceros, el PROVEEDOR se compromete a asumir la defensa legal y a indemnizar al CLIENTE por cualquier daño o perjuicio derivado, siempre que el CLIENTE haya notificado dicha reclamación de manera inmediata.
El PROVEEDOR otorga al CLIENTE una licencia no exclusiva, intransferible y limitada al período de vigencia del contrato, para acceder y utilizar la PLATAFORMA exclusivamente con fines relacionados con el objeto del presente contrato. El CLIENTE no podrá sublicenciar, vender, distribuir, modificar, desensamblar, realizar ingeniería inversa ni usar la PLATAFORMA con fines no autorizados.
El CLIENTE se compromete a no utilizar los elementos protegidos por derechos de propiedad intelectual o industrial del PROVEEDOR más allá del alcance permitido en este contrato. Cualquier uso no autorizado será considerado un incumplimiento grave y dará lugar a las responsabilidades legales correspondientes.
Los datos introducidos por el CLIENTE en la PLATAFORMA serán de su exclusiva propiedad. El PROVEEDOR únicamente actuará como encargado de su tratamiento conforme a lo establecido en el contrato y en la normativa aplicable, sin que pueda utilizar, modificar o acceder a dichos datos para fines distintos a los pactados.
El CLIENTE reconoce y acepta que el PROVEEDOR podrá implementar medidas tecnológicas de protección para salvaguardar sus derechos de propiedad intelectual e industrial. Cualquier intento de eludir dichas medidas será considerado una violación del presente contrato.
UNDÉCIMA.- Cesión de posición contractual
Ninguna de las partes podrá ceder, transferir ni delegar su posición contractual, total o parcialmente, a terceros sin el consentimiento previo, expreso y por escrito de la otra parte. No obstante, el PROVEEDOR podrá ceder su posición contractual en caso de fusión, escisión, adquisición o reestructuración societaria, siempre que la nueva entidad garantice la continuidad del servicio en los mismos términos y condiciones establecidos en el presente contrato, notificándolo previamente al CLIENTE.
En caso de que una parte desee ceder su posición contractual, deberá comunicarlo a la otra parte con una antelación mínima de 30 días, proporcionando toda la información necesaria sobre el cesionario para evaluar la viabilidad de la cesión. El consentimiento de la otra parte no será injustificadamente denegado, salvo que existan motivos razonables para ello. Cualquier cesión realizada sin la autorización exigida será considerada nula e ineficaz, sin perjuicio de las responsabilidades legales y contractuales que pudieran derivarse para la parte que incumpla esta cláusula.
En caso de producirse cesión de cualquier tipo, la parte cedente será responsable frente a la otra parte por cualquier incumplimiento de las obligaciones contractuales ocurrido antes de la cesión. Además, la parte cesionaria deberá asumir plenamente los derechos y obligaciones derivados del presente contrato, quedando obligada a cumplir con los términos y condiciones establecidos en el mismo.
La subcontratación de cualquier obligación derivada de este contrato será permitida únicamente en los términos y condiciones establecidos en éste y no implicará, en ningún caso, la cesión de la posición contractual.
DUODÉCIMA.- Exención de responsabilidad
El PROVEEDOR no asume ninguna responsabilidad sobre la eficacia y seguridad de los parches y remedios que ponga a disposición del CLIENTE para cualquier vulnerabilidad que sea detectada durante la monitorización de Activos. El CLIENTE o, en su caso, los titulares de dichos Activos, deberán tomar las medidas adecuadas para analizar cualquier vulnerabilidad que les afecte, así como diseñar e implementar las medidas de mitigación y resolución adecuadas para la resolución del problema, sin que el PROVEEDOR ofrezca garantía alguna de que la mera aplicación de los parches y remedios que eventualmente pudiera ofrecer a través de su PLATAFORMA resulten adecuados y/o suficientes para el caso específico que se trate. El PROVEEDOR tampoco se hace responsable de la eficacia de los remedios sugeridos por el PROVEEDOR por cualquier otro medio, salvo que se haga constar lo contrario en un contrato específico entre PROVEEDOR y CLIENTE para atender la resolución de una vulnerabilidad concreta, cuestión en todo caso ajena al objeto del presente contrato.
El PROVEEDOR no se hace responsable por las omisiones que pudieran producirse en la información facilitada al CLIENTE acerca de las vulnerabilidades detectadas. En particular, el PROVEEDOR no puede asegurar que toda vulnerabilidad identificada disponga de información publicada en la PLATAFORMA acerca de posibles remedios.
El PROVEEDOR no asumirá responsabilidad alguna por la no detección de cualquier vulnerabilidad existente en los Activos sujetos a monitorización. El PROVEEDOR garantiza al CLIENTE su mejor esfuerzo para mantener actualizada en cuasi tiempo real su directorio de vulnerabilidades y exploits, pero no puede asegurar que este directorio comprenda la totalidad de posibles incidencias a las que se enfrenta cualquier Activo expuesto a la red, especialmente en lo referido a zero-day exploits (vulnerabilidades cuya existencia es desconocida para la comunidad de ciberseguridad).
El PROVEEDOR tampoco asume ninguna responsabilidad sobre la monitorización efectiva de ningún activo que resulte inalcanzable para los escáneres de la PLATAFORMA, ya sea por incompatibilidad con la PLATAFORMA o cualquier otro motivo. En todo caso, será responsabilidad del CLIENTE y/o los titulares de los Activos verificar el alcance de la monitorización que lleva a cabo la PLATAFORMA, pudiendo utilizar para ello la información suministrada por ésta.
El PROVEEDOR no asumirá responsabilidad alguna por la veracidad o precisión de los datos suministrados al CLIENTE a través de la PLATAFORMA acerca de filtraciones de datos y credenciales en la Deep web. En particular, el PROVEEDOR no se hace responsable de cualquier posible error o imprecisión en los datos de las filtraciones, ni su grado de actualización. Asimismo, el PROVEEDOR no se hace responsable de que pudieran existir filtraciones de datos y credenciales no detectadas por la PLATAFORMA.
El PROVEEDOR no asume ninguna responsabilidad derivada de la falta de acción del CLIENTE respecto de las vulnerabilidades detectadas ni de su posible explotación a partir de información generada por la PLATAFORMA y que no haya sido custodiada de forma diligente por el CLIENTE.
El PROVEEDOR tampoco asume ninguna responsabilidad derivada del mal funcionamiento de la infraestructura tecnológica del CLIENTE, o existencia de incompatibilidades de cualquier tipo, que impida la correcta ejecución de los procesos de escaneo de vulnerabilidades.
El PROVEEDOR no asume responsabilidad por cualesquiera incidencias que respondan a causas de fuerza mayor y que impidan la prestación del servicio objeto de este contrato, ya sea de manera puntual o prolongada en el tiempo. En todo caso, el PROVEEDOR informará al CLIENTE de la existencia de estas circunstancias tan pronto como tenga constancia de las mismas.
El CLIENTE reconoce que no ha confiado en ninguna declaración, promesa o representación hecha o dada por o en nombre del PROVEEDOR que no esté establecido explícitamente en este Contrato.
DECIMOTERCERA.- Protección de datos
Los datos de carácter personal de los firmantes y/o interlocutores de las Partes incluidos en el Contrato, en la/s factura/s, así como cualesquiera otros documentos que sean facilitados a lo largo de la relación contractual entre las Partes, serán tratados por éstas (cuyos datos de identificación y contacto constan en el encabezamiento del presente contrato) para la gestión adecuada de los servicios contratados, incluyendo la gestión administrativa, económica y contable.
La base legal para el tratamiento es el interés legítimo de las partes, reconocido en el artículo 19 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Igualmente, el tratamiento está amparado en la ejecución de un contrato, de manera que la falta de aportación de los datos personales podría dar lugar a la imposibilidad de la ejecución de la relación entre ambas partes.
Los datos personales se conservarán por el tiempo necesario para dar debida satisfacción a este contrato. Cuando ya no sean necesarios, se podrán conservar mientras las Partes estén obligadas a su conservación en cumplimiento de una obligación legal y/o para la atención de posibles responsabilidades nacidas durante el tratamiento. Con carácter general, no se compartirán los datos personales con terceros, salvo por imperativo legal.
En cualquier momento, los interesados pueden ejercitar los derechos de acceso, rectificación, supresión, oposición y limitación del tratamiento y portabilidad de sus datos personales, así como a no ser objeto de una decisión basada únicamente en el tratamiento automatizado (incluida la elaboración de perfiles), conforme al Reglamento General de Protección de Datos, dirigiéndose por escrito a cada una de las Partes, en la dirección postal o electrónica indicada en el presente Contrato. En particular, se les informa del derecho que les asiste de presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es) si consideran que el tratamiento no se ajusta a la normativa vigente o no han obtenido satisfacción en el ejercicio de derechos.
En el marco del presente contrato, el PROVEEDOR podría acceder a datos personales responsabilidad del CLIENTE, por lo que ambas Partes suscriben un contrato de encargo de tratamiento, de conformidad con lo dispuesto en el Reglamento General de Protección de Datos, el cual se acompaña como Anexo II.
El CLIENTE acepta que durante el proceso de escaneo de vulnerabilidades y filtraciones de datos el PROVEEDOR podría tener acceso a datos de carácter personal que estuvieran alojados en la infraestructura tecnológica del CLIENTE. En estos casos, el PROVEEDOR tomará las medidas técnicas oportunas para que dichos datos no sean almacenados por ningún medio, de forma que sean destruidos tan pronto como finalice la ejecución del escáner, y que esa información no podrá ser consultada por ninguna persona.
El PROVEEDOR adoptará las siguientes medidas técnicas y organizativas para asegurar la protección de datos de carácter personal a los que pudiera tener acceso en virtud de la prestación de este servicio:
- Los datos personales serán cifrados en tránsito y en reposo mediante protocolos seguros como TLS 1.3 para comunicaciones y AES-256 para almacenamiento.
- El acceso a las credenciales y datos sensibles estará protegido mediante claves de cifrado almacenadas en módulos de seguridad física (HSM) certificados.
- Autenticación multifactor (MFA) obligatoria para acceder a los sistemas que contienen datos personales.
- Uso de firewalls de última generación y sistemas de detección y prevención de intrusiones (IDS/IPS) para proteger los servidores y bases de datos contra accesos no autorizados.
- Segmentación de redes internas para limitar el alcance de posibles brechas de seguridad.
- Realización periódica de análisis de vulnerabilidades y pruebas de penetración para identificar y mitigar riesgos en la infraestructura tecnológica.
- Implementación de backups automáticos cifrados de los datos personales, con pruebas periódicas de restauración para garantizar la recuperación en caso de incidentes.
- Las copias de seguridad estarán protegidas contra accesos no autorizados y almacenadas en ubicaciones geográficamente redundantes.
- Instalación de soluciones antivirus y antimalware actualizadas regularmente para proteger los sistemas que traten datos personales.
- Configuración de sistemas de monitorización en tiempo real para detectar y alertar sobre posibles incidentes de seguridad relacionados con los datos personales.
- Desarrollo, implementación y actualización continua de políticas internas de tratamiento y protección de datos personales.
- Capacitación periódica del personal en materia de protección de datos, privacidad y ciberseguridad, con formación específica para aquellos con acceso a datos personales.
- Implementación de un plan de respuesta a incidentes de seguridad, que incluirá: Notificación al CLIENTE en un plazo máximo de 72 horas tras la detección de una brecha que afecte a datos personales y Documentación de cada incidente y medidas adoptadas para mitigar sus efectos.
- Realización de evaluaciones de impacto sobre la protección de datos personales cuando las actividades de tratamiento puedan implicar un alto riesgo para los derechos y libertades de las personas afectadas.
- Firma de acuerdos de confidencialidad con todo el personal que tenga acceso a datos personales.
- Realización periódica de auditorías internas y, al menos una vez al año, auditorías externas por un tercero independiente para verificar el cumplimiento de las normativas aplicables.
- Contratos con subcontratistas que incluyan obligaciones específicas en materia de protección de datos, asegurando que adopten medidas equivalentes a las establecidas en este contrato.
- Garantizar que los datos personales tratados por el PROVEEDOR no se mezclen con datos de otros clientes, asegurando un entorno aislado para cada CLIENTE.
- Al finalizar el contrato, los datos personales serán eliminados de forma segura utilizando métodos certificados, como el borrado completo de discos mediante algoritmos aprobados.
- Las medidas técnicas y organizativas descritas serán revisadas y actualizadas periódicamente para garantizar su adecuación a los avances tecnológicos, cambios legislativos y mejores prácticas en materia de protección de datos personales.
DECIMOCUARTA.- Confidencialidad
Las Partes acuerdan tratar de forma confidencial los datos, documentación e información respectivos que estén identificados como confidenciales o que, por su naturaleza, lo sean, y a utilizar la información obtenida únicamente para la ejecución del objeto del contrato.
Los conocimientos y el know-how inherentes a la PLATAFORMA, así como los conocimientos utilizados para su configuración, son información confidencial del PROVEEDOR. El CLIENTE lo reconoce y asume toda la responsabilidad por el uso fraudulento o copia ilegal de dicho software o know-how, incluyendo por parte de sus propios empleados o, en su caso, subcontratados, comprometiéndose a adoptar las medidas necesarias para que sólo las personas autorizadas tengan acceso a esta información protegida.
El CLIENTE se compromete a notificar inmediatamente al PROVEEDOR cualquier posesión, uso o conocimiento no autorizado del código objeto de la PLATAFORMA. El CLIENTE deberá proporcionar inmediatamente al PROVEEDOR todos los detalles relativos a la supuesta posesión, uso o conocimiento no autorizado, así como ayudar a prevenir cualquier nueva violación de la confidencialidad y cooperar con el PROVEEDOR y/o sus representantes legales en cualquier litigio u otro procedimiento que se considere necesario para proteger sus derechos.
Las obligaciones de confidencialidad y no uso de la información confidencial por las Partes no se extinguirán y continuarán en vigor hasta tanto la información confidencial no sea de dominio público sin que en ello haya mediado incumplimiento de las obligaciones de la parte receptora.
DECIMOQUINTA.- Notificaciones
Las comunicaciones y notificaciones entre las Partes que se requieran por aplicación del contenido de este contrato, serán válidas y surtirán plenos efectos siempre que se realicen por escrito y de forma que permita probar razonablemente que la comunicación fue efectuada y el destinatario debió recibirla, tales como correo electrónico con acuse de recibo o burofax.
Las comunicaciones ordinarias y operativas del día a día podrán llevarse a cabo por correo electrónico o por comunicación telefónica. Cualquier otra notificación exigida por este acuerdo deberá realizarse por escrito y entregarse personalmente, por correo postal o mediante mensajería urgente a la dirección especificada en la PROPUESTA (o a cualquier otra dirección que se haya indicado por escrito de conformidad con esta Subsección).
DECIMOSEXTA.- Causas de terminación anticipada
Constituyen justas causas de terminación anticipada del presente Contrato las siguientes:
- El incumplimiento por alguna de las Partes de cualquiera de las disposiciones contenidas en el presente contrato. En este caso, la parte afectada deberá requerir a la parte incumplidora que remedie la situación en un plazo improrrogable de quince (15) días desde la recepción de dicha notificación. Si, transcurrido dicho plazo, la parte incumplidora no hubiera subsanado el incumplimiento, el contrato quedará resuelto de forma automática e inmediata, sin perjuicio de los daños y perjuicios que la parte afectada pueda reclamar.
- La falta de pago de las cantidades correspondientes en la fecha de vencimiento de cada una de ellas. El impago de cualquier cuota emitida por el PROVEEDOR facultará a éste para notificarlo al CLIENTE, otorgándole un plazo de cinco (5) días desde la fecha de la reclamación para subsanar el incumplimiento. Transcurrido dicho plazo sin que el CLIENTE haya realizado el pago, el PROVEEDOR podrá suspender la prestación del servicio y resolver el contrato de forma inmediata, reservándose el derecho a reclamar las cantidades pendientes hasta la finalización del contrato, así como cualquier gasto adicional asociado al incumplimiento.
- La comisión, por cualquiera de las Partes, de una infracción penal o administrativa relacionada con la actividad objeto del presente contrato, que afecte directa o indirectamente a la validez o continuidad del mismo.
- La imposibilidad sobrevenida para la prestación del servicio por parte del PROVEEDOR, siempre que dicha imposibilidad no sea atribuible a éste y obedezca a causas técnicas irremediables, cambios legislativos o cualquier circunstancia ajena a su control que limite o imposibilite total o parcialmente la ejecución del contrato. En este caso, el PROVEEDOR deberá notificar esta circunstancia al CLIENTE con la mayor celeridad posible. El CLIENTE podrá optar por renegociar las condiciones del contrato o resolverlo sin penalización alguna.
- El suministro de información falsa, incompleta o incorrecta por parte de cualquiera de las Partes, siempre que dicho incumplimiento afecte de manera sustancial al desarrollo o cumplimiento de las obligaciones establecidas en este contrato.
- La concurrencia de un evento de fuerza mayor que impida el cumplimiento de las obligaciones de cualquiera de las Partes durante un período continuo de treinta (30) días. En este caso, la parte afectada deberá notificar la situación a la otra parte tan pronto como sea posible. Si las circunstancias de fuerza mayor persisten más allá de dicho período, cualquiera de las Partes podrá resolver el contrato sin que ello dé lugar a reclamaciones de indemnización, salvo aquellas derivadas de obligaciones anteriores a la ocurrencia del evento.
- El presente contrato también podrá resolverse en cualquier momento por mutuo acuerdo entre las Partes, siempre que dicho acuerdo se formalice por escrito y contemple las condiciones para la finalización de la relación contractual.
DECIMOSÉPTIMA.- Efectos de la terminación del Contrato
Con la terminación del presente contrato, cesarán todas las obligaciones de las Partes, salvo aquellas que, por su naturaleza o disposición expresa en este contrato, deban subsistir tras la resolución, incluyendo pero no limitándose a las obligaciones de confidencialidad, protección de datos y derechos de propiedad intelectual e industrial.
En el plazo máximo de quince (15) días naturales desde la fecha efectiva de la terminación, cada Parte deberá devolver a la otra toda la información, documentación y materiales que le hubiesen sido proporcionados en el marco del presente contrato, salvo que por normativa aplicable sea necesario conservarlos por un periodo adicional.
El CLIENTE perderá el acceso a la PLATAFORMA y a los servicios proporcionados por el PROVEEDOR a partir de la fecha de terminación del contrato. No obstante, el PROVEEDOR se compromete a facilitar al CLIENTE, durante un período de quince (15) días naturales desde la terminación, el acceso a sus datos para que puedan ser descargados o transferidos, siempre y cuando no se deba a una resolución por impago o incumplimiento grave del CLIENTE.
Cualquier cantidad pendiente de pago por parte del CLIENTE deberá ser abonada de manera inmediata a la terminación del contrato, salvo que la terminación sea atribuible a un incumplimiento del PROVEEDOR, en cuyo caso no se exigirá el pago de las cuotas futuras. El PROVEEDOR se reserva el derecho de reclamar cualquier daño y perjuicio ocasionado por el incumplimiento contractual del CLIENTE.
En caso de resolución por incumplimiento grave de cualquiera de las Partes, la Parte perjudicada podrá reclamar los daños y perjuicios derivados de dicho incumplimiento, incluyendo los costes legales y otros gastos relacionados con la defensa de sus derechos.
En los casos de terminación por fuerza mayor o imposibilidad técnica, el PROVEEDOR hará todo lo posible por mitigar el impacto al CLIENTE y proporcionará una transición ordenada del servicio en la medida de sus capacidades.
Tras la terminación del Contrato, el CLIENTE no podrá seguir utilizando la PLATAFORMA, los materiales ni las herramientas proporcionadas por el PROVEEDOR. Cualquier uso posterior será considerado una infracción de los derechos de propiedad intelectual e industrial del PROVEEDOR, y podrá dar lugar a las acciones legales correspondientes.
DECIMOCTAVA.- Jurisdicción
El cumplimiento, ejecución e interpretación del presente contrato estará sujeto a la legislación española y, en caso de controversia, ambas Partes acuerdan someterse, con renuncia expresa a cualquier otro fuero que pudiera corresponderles, a la jurisdicción de los juzgados y tribunales de Zaragoza.