Seguridad

Opere con la confianza que otorga la seguridad. Vea nuestro compromiso de mantener la seguridad de sus datos en reposo y en tránsito para las implementaciones de nube, híbridas y locales.

Privacidad

Mantenga el control. Vea nuestras políticas que le permiten decidir la forma de acceder a sus datos y de utilizarlos.

Conformidad

Haga realidad la conformidad generalizada en todas las regiones. Vea nuestra lista completa de estándares y normativas de conformidad.

Flexibilidad

Manténgase informado sobre el estado de las soluciones. Acceda a una vista transparente de la disponibilidad global de productos y servicios.

Razones para usar la seguridad de VMware Cloud

Ya sea en los entornos de nube, híbridos o en las instalaciones, la seguridad es una prioridad.
Amplia experiencia en seguridad

VMware tiene una larga trayectoria como partner de confianza en los entornos que requieren mayor confidencialidad en todo el mundo, desde la administración pública y la defensa, hasta los mayores centros de datos. Ahora hemos ampliado esta reputación a nuestras soluciones de nube.

 

Conformidad integrada

En VMware integramos la seguridad en la base de cada una de nuestras soluciones de nube. Esto significa que nuestras soluciones cumplen las principales certificaciones de conformidad para mantener estándares ajustados a las prácticas recomendadas del sector.

 

Aumento del ritmo sin correr riesgos

Muévase con agilidad y confianza tanto si está migrando a la nube, como si está desarrollando aplicaciones modernas, ampliando su centro de datos o automatizando operaciones multinube.

 

Funciones de seguridad de VMware Cloud

Seguridad del software

Mediante colaboraciones de primera línea en materia de seguridad y un proceso líder de ciclo de vida para desarrollo de seguridad, VMware garantiza que los controles operativos y de seguridad de la nube se ajusten a las referencias y las prácticas recomendadas del sector.

Seguridad de los datos

VMware mantiene estrictos estándares de protección de los datos para garantizar un correcto procesamiento en cada nivel de clasificación, desde el tratamiento y el almacenamiento hasta la transmisión y la destrucción de datos. La responsabilidad de los datos en la nube es compartida, y establecemos controles para garantizar que el cliente mantenga la propiedad y la administración de los datos de su organización.



Seguridad de la red

Las soluciones de nube de VMware se crean sobre la base de la seguridad de red proporcionada por nuestros partners de infraestructura como servicio (IaaS). Los entornos de red se separan de forma lógica y se protegen mediante cortafuegos para salvaguardar los requisitos de seguridad empresarial y garantizar una protección y un aislamiento adecuados.

Gestión de identidades y accesos

Basándose en el principio de privilegios mínimos, las soluciones de nube de VMware usan controles de gestión de identidades y del acceso para garantizar el nivel de acceso adecuado para todo el personal, a fin de mantener la seguridad y la protección de los datos y los sistemas.

 

Gestión de vulnerabilidades y parches

El programa integral de gestión de vulnerabilidades de VMware incluye detección de vulnerabilidades y pruebas de intrusión de terceros en las capas de red, aplicaciones y sistema operativo local para ayudarle a anticiparse a las brechas de seguridad nuevas y emergentes.

Gestión de las operaciones

Las soluciones de nube de VMware recopilan y supervisan continuamente los registros del entorno relacionados con las fuentes de amenazas públicas y privadas para detectar actividades sospechosas e inusuales. Para ello, estamos en contacto permanente con los organismos del sector, con las organizaciones dedicadas a la gestión de riesgos y conformidad y con los organismos reguladores, a fin de garantizar una rápida detección de nuevas amenazas.

Recursos relacionados

Blog VMware Security

Asegúrese de que su empresa esté protegida con las últimas tendencias, sugerencias y tecnologías de los líderes y expertos en seguridad de VMware.

Descripción de la seguridad de VMware Cloud Services

Para conocer en profundidad el enfoque de VMware de la seguridad de la nube lea nuestro documento técnico sobre los controles de seguridad implementados en VMware Cloud Services.

Cómo protegemos los datos que tratamos como empresa

Transparencia sobre recogida, utilización, revelación, transferencia y almacenamiento de datos personales.

Aviso de productos y servicios

Se aplica a los datos personales que VMware recoge y utiliza según el uso que usted haga de los productos y servicios de VMware, como:

 

  • Cookies y tecnologías de seguimiento similares que podemos usar al proporcionar los productos o servicios.
  • Datos que recogemos para mejorar nuestros productos y servicios, así como su experiencia de cliente.

Encontrará aquí detalles sobre la mejora de la experiencia del cliente de VMware y los programas de análisis relacionados con los productos y servicios de VMware.

Aviso de privacidad

Describe los datos personales recogidos cuando:

 

  • Usted visita, utiliza o interactúa con cualquiera de nuestros sitios web, páginas de redes sociales, aplicaciones móviles (en los que existan enlaces a este Aviso de privacidad), anuncios en línea o comunicaciones comerciales.
  • Usted visita, utiliza o interactúa con cualquiera de nuestros eventos o actividades comerciales, promocionales o de otro tipo de forma presencial.
  • Usted compra productos y servicios de VMware, y proporciona datos personales relacionados con su cuenta.

Aviso sobre cookies

Describe cómo usa VMware las cookies y tecnologías de seguimiento similares cuando usted usa e interactúa con nuestros sitios web y nuestras propiedades en línea.

Avisos adicionales

VMware puede publicar avisos de privacidad adicionales para sitios web, eventos o aplicaciones móviles específicos, incluidos avisos puntuales y avisos de privacidad en el producto. Estos avisos pueden complementar o aclarar las prácticas de privacidad de VMware, o pueden proporcionar opciones adicionales para el tratamiento de los datos llevado a cabo por VMware.

Cómo protegemos los datos como proveedor de servicios

Le ayudamos a cumplir los requisitos de protección y privacidad de los datos.

Tratamiento del Contenido del cliente

VMware trata, almacena y aloja el contenido que usted o sus usuarios finales han cargado en los servicios de VMware, y que denominamos «Contenido del cliente» (según lo establecido en las Condiciones de prestación de servicios de VMware o en otro acuerdo relevante). VMware trata los datos personales incluidos en el Contenido del cliente como «proveedor de servicios» o un «encargado del tratamiento» que actúa en su nombre. Consulte nuestras preguntas frecuentes para obtener más información.

Anexo sobre el tratamiento de los datos

Las obligaciones y los compromisos de VMware como encargado del tratamiento de los datos se exponen en el Anexo sobre el tratamiento de los datos de VMware. VMware trata los datos personales incluidos en el Contenido del cliente en conformidad con lo establecido en este anexo y en los acuerdos aplicables. Encontrará los acuerdos estándar para cada producto y servicio en nuestros Términos y condiciones para el usuario final.

Normas corporativas vinculantes

VMware ha conseguido la aprobación de las normas corporativas vinculantes (BCR) como encargado del tratamiento de los datos, lo que confirma que cumplimos las normas del Reglamento general de protección de datos de la UE para transferencias internacionales de datos personales incluidos en los contenidos de los clientes.

Subencargados del tratamiento de los datos

VMware puede usar terceras empresas para proporcionar determinados servicios en su nombre. Los proveedores de servicios de terceros que tratan los datos personales incluidos en el Contenido del cliente (subencargados del tratamiento de los datos) deberán firmar acuerdos escritos y poner en marcha mecanismos de transferencia de datos para proteger los datos personales según lo establecido en el Anexo sobre el tratamiento de los datos

 

Seguridad de VMware Cloud

VMware cuenta con programas, políticas y prácticas para garantizar una protección adecuada de los datos personales incluidos en el Contenido del cliente (como formación periódica y contratos de confidencialidad para los empleados encargados del tratamiento de los datos) y ayudar a identificar, evitar y solucionar vulnerabilidades de seguridad en nuestros productos y servicios. Estos programas se revisan y actualizan continuamente.

 

 

Gestión unificada de terminales

VMware ofrece soluciones que le permiten proteger la información y los sistemas de su organización, y utilizar controles de gestión para acceder a ella y disponer de ella en dispositivos corporativos o de uso personal. Obtenga información sobre el programa de privacidad y seguridad de Workspace ONE, y sobre la divulgación de datos recopilados y utilizados por el servicio.

 

Recursos relacionados

Privacidad de CloudHealth by VMware

Descubra cómo trata y protege VMware los datos personales en la plataforma de confianza para optimizar entornos multinube.

Privacidad de VMware Carbon Black Cloud

Conozca los tipos de datos personales recogidos por esta solución de seguridad nativa de nube, y cómo los trata y protege VMware.

Privacidad de VMware SD-WAN by VeloCloud

Conozca los tipos de datos personales que recoge esta solución de superposición de red y la función que desempeña VMware en su protección.

 

Privacidad de VMware Workspace ONE

Conozca los tipos de datos personales recogidos por esta plataforma de área de trabajo digital, y cómo los trata y protege VMware.

Privacidad de VMware Cloud on AWS

Sepa quién es responsable de los datos personales en los centros de datos definidos por software (SDDC) de VMware Cloud on AWS y cómo protege VMware los datos de su dominio.

Trabajemos juntos para mantener la conformidad

VMware supervisa continuamente los estándares y requisitos de seguridad actuales y emergentes, e integra aquellos que sean aplicables en los programas de conformidad para el servicio de nube. Igual que VMware colabora con usted a la hora de garantizar su conformidad como cliente, es obligatorio que usted garantice también que el Servicio cumpla con sus obligaciones y regulaciones.

Si tiene alguna pregunta acerca de la conformidad normativa, le recomendamos que hable con su comercial de VMware sobre sus metas y objetivos empresariales.

Programas de conformidad de nube existentes

Información actualizada continuamente en los programas de conformidad más relevantes para usted.
Para obtener información sobre la conformidad de los productos de VMware, haga clic aquí.
Filter by
Filter by

 

 

Información adicional sobre conformidad

Gracias por su interés en la información sobre conformidad de VMware.

Póngase en contacto con su comercial de VMware si necesita más información sobre nuestros programas de conformidad. El comercial también podrá ayudarle a acceder a los informes de conformidad que no se encuentran disponibles para su descarga inmediata.

Service Status

Service Location

Service Status

Preguntas frecuentes

Trust Center

Para obtener más información relacionada con VMware Cloud Trust Center, le recomendamos que se ponga en contacto con su comercial de VMware. El comercial podrá obtener la información que mejor responda a su solicitud.

Privacidad

«Su contenido» o el «Contenido del cliente» es cualquier contenido que usted, como cliente, cargue en un Servicio según lo establecido en su acuerdo con VMware (p. ej., las Condiciones de prestación de servicios de VMware). Esto incluye todos los archivos de texto, sonido, vídeo o imagen, y software (incluidas las imágenes de máquinas) o información de otro tipo que usted o alguno de los usuarios finales cargue en el Servicio para su tratamiento, almacenamiento o alojamiento en relación con la cuenta que usted tiene con nosotros. Por ejemplo, el Contenido del cliente incluye los datos que usted o sus usuarios finales almacenen en Workspace ONE. Es importante que tenga en cuenta que la información de su cuenta, incluidos los nombres, los nombres de usuario, los números de teléfono y la información de facturación asociados con su cuenta no se incluyen en la definición de «Contenido del cliente», como tampoco se incluye ninguna otra información que recojamos en relación con su uso de nuestros Servicios. VMware gestionará esa información de conformidad con nuestro Aviso de privacidad.

Usted siempre será propietario de su Contenido de cliente. Usted determina qué Servicios de VMware desea utilizar para el tratamiento, almacenamiento y alojamiento del Contenido del cliente, y qué información desea cargar en el Servicio como Contenido del cliente. Además, no accederemos a su Contenido del cliente ni lo utilizaremos para ningún fin salvo que sea necesario hacerlo para proporcionarle el Servicio y según lo establecido y permitido en las Condiciones de prestación de servicios de VMware acordadas con usted. Por último, no utilizaremos el Contenido del cliente para fines de marketing o publicidad.

 

VMware asume los siguientes compromisos contractuales con respecto a cómo gestionará las citaciones, las resoluciones judiciales, las medidas de un organismo u otros requisitos normativos o jurídicos para revelar el Contenido de cualquier cliente, tal como se establece en la sección sobre divulgación obligatoria de las Condiciones de prestación de servicios:

Cuando notificar al cliente no esté prohibido por ley, VMware:

- Notificará al cliente: notificaremos cualquier solicitud presentada para revelar el Contenido del cliente.

- Indicará a la agencia gubernamental que se dirija al cliente: informaremos a la autoridad pública pertinente de que VMware es un proveedor de servicios que actúa en nombre del cliente y que todas las peticiones de acceso al Contenido del cliente deben dirigirse por escrito a la persona de contacto que el cliente haya establecido con nosotros o al departamento jurídico del cliente. 

- Limitará el acceso: solo proporcionaremos acceso al contenido del cliente con su autorización. Si el cliente lo solicita, a sus expensas, tomaremos medidas razonables para impugnar cualquier solicitud. 

En caso de que a VMware se le prohíba por ley notificar al cliente, VMware:

- Evaluará la validez legal: evaluaremos la solicitud de divulgación para determinar si es legalmente válida y vinculante. 

- Impugnará las peticiones ilegales: impugnaremos la resolución si tenemos un motivo razonable para creer que esta no cumple la ley aplicable. 

- Limitará el alcance de la divulgación: limitaremos el alcance de cualquier divulgación para que solo incluya la información que se nos exige revelar y la divulgaremos de acuerdo con la ley aplicable.

VMware se compromete a proteger el Contenido de sus clientes a la vez que cumple la ley aplicable. En consecuencia, ha establecido compromisos en sus Condiciones de prestación de servicios de VMware (en la sección sobre divulgación obligatoria) y en la Política para encargados del tratamiento de los datos sobre las normas corporativas vinculantes (BCR). Estos compromisos se refieren a la manera en que VMware responderá a las peticiones de acceso presentadas por la administración pública, tal como se detalla a continuación. VMware ha preparado unos Principios de VMware para gestionar las peticiones de la administración pública para acceder al Contenido del cliente, diseñados para ayudar a los clientes a comprender mejor los compromisos y procesos de VMware para gestionar estas peticiones, incluidos los compromisos establecidos en las BCR de VMware

VMware asume específicamente los siguientes compromisos contractuales con respecto a cómo gestionará las peticiones de acceso de la administración pública, tal como se establece en la sección sobre divulgación obligatoria de las Condiciones de prestación de servicios de VMware:

Cuando notificar al cliente no esté prohibido por ley, VMware:

- Notificará al cliente: notificaremos cualquier solicitud para revelar el Contenido del cliente.

- Indicará a la agencia gubernamental que se dirija al cliente: informaremos a la autoridad pública pertinente de que VMware es un proveedor de servicios que actúa en nombre del cliente y que todas las peticiones de acceso al Contenido del cliente deben dirigirse por escrito a la persona de contacto que el cliente haya establecido con nosotros o al departamento jurídico del cliente. 

- Limitará el acceso: solo proporcionaremos acceso al contenido del cliente con su autorización. Si el cliente lo solicita, a sus expensas, tomaremos medidas razonables para impugnar cualquier solicitud.

En caso de que a VMware se le prohíba por ley notificar al cliente, VMware:

- Evaluará la validez legal: evaluaremos la solicitud de divulgación para determinar si es legalmente válida y vinculante.

- Impugnará las peticiones ilegales: impugnaremos la resolución si tenemos un motivo razonable para creer que esta no cumple la ley aplicable.

- Limitará el alcance de la divulgación: limitaremos el alcance de cualquier divulgación para que solo incluya la información que se nos exige revelar y la divulgaremos de acuerdo con la ley aplicable.

En ningún caso VMware divulgará Datos personales de forma masiva, desproporcionada e indiscriminada que exceda lo necesario en una sociedad democrática.

Además, tras la decisión del Tribunal de Justicia de la Unión Europea (TJUE) en el caso C-311/18, Data Protection Commissioner contra Facebook Ireland Limited y Maximillian Schrems (Schrems II), VMware ha preparado la Declaración de VMware con respecto a la aplicación de la Sección 702 de la Ley de Vigilancia de Inteligencia Exterior y la Orden Ejecutiva 12333 dado el caso Schrems II. Con esta declaración pretendemos abordar las preocupaciones que suscita el hecho de que las agencias de inteligencia estadounidenses tengan acceso a los datos que transitan de la Unión Europea a los Estados Unidos, así como ayudar a los clientes a comprender la posible aplicación de dos disposiciones estadounidenses: la Orden Ejecutiva 12333 y la Sección 702 de la Ley de Vigilancia de Inteligencia Extranjera. VMware cree firmemente que es poco probable que se vea sujeto a la Sección 702 de la Orden Ejecutiva 12333 en relación con la prestación de servicios, dada la naturaleza de estos servicios.

VMware es una empresa global y está sujeta a leyes internacionales. En las listas de subencargados del tratamiento de los datos (identificadas aquí), se establecen los países en los que los Datos personales incluidos en el Contenido del cliente se tratan en relación con un Servicio concreto. VMware no tiene conocimiento de ninguna ley aplicable que pueda afectar su capacidad de cumplir sus compromisos relacionados con las peticiones de acceso de la administración pública y las divulgaciones obligatorias según lo establecido en las Condiciones de prestación de servicios de VMware.

En relación con la prestación de servicios de VMware a un cliente, VMware puede transferir Datos personales incluidos en el Contenido del cliente (según las condiciones definidas en el Anexo sobre tratamiento de datos de VMware) del Espacio Económico Europeo (EEE), Suiza y el Reino Unido a terceros países en calidad de encargado del tratamiento de los datos. El Reglamento General de Protección de Datos (RGPD) se ha incorporado a la legislación nacional del Reino Unido y, por lo tanto, el mecanismo de transferencia de datos permitido por el RGPD para transferencias de datos personales fuera del EEE también se aplicará a las transferencias procedentes del Reino Unido. Con respecto a Suiza, la Ley Federal de Protección de Datos (DSG) sigue un marco similar al RGPD y, por lo tanto, se aplican los mismos mecanismos de transferencia de datos a las transferencias procedentes de Suiza (con las enmiendas necesarias para tener en cuenta cualquier diferencia).

Entre los destinatarios o importadores de Datos personales del cliente se encuentran las entidades del Grupo VMware y determinados proveedores externos que empleemos y que traten los Datos personales en nuestro nombre para proporcionar nuestros servicios (los «subencargados del tratamiento de los datos»). Aquí encontrará una lista de las entidades del Grupo VMware y de los subencargados que utilizamos para tratar los Datos personales de nuestros clientes en relación con nuestros servicios y el servicio de atención al cliente, junto con los detalles de su ubicación.

Transferencias intragrupo: Siempre que VMware, en calidad de encargado, comparta Datos personales generados en el EEE, lo hará basándose en su Comisariado irlandés de protección de datos y conforme a las normas corporativas vinculantes aprobadas conocidas como Normas corporativas vinculantes de VMware («BCR de VMware para el EEE»), que establecen una protección adecuada de dichos Datos personales y son legalmente vinculantes para el Grupo VMware.

Las BCR de VMware fueron aprobadas por las Autoridades europeas de protección de datos el 23 de mayo de 2018. Puede confirmar que esta revisión ya se ha completado aquí. Para obtener información adicional sobre las Normas corporativas vinculantes de VMware y para acceder a la Política de VMware para encargados del tratamiento de los datos sobre BCR para el EEE, consulte las Normas corporativas vinculantes de VMware para encargados del tratamiento de los datos. Para ver una lista de empresas filiales de VMware que han firmado un Acuerdo intragrupo para las BCR de VMware, haga clic aquí. Para obtener más información, haga clic aquí.

La aplicación por parte de VMware de las Normas corporativas vinculantes en el Reino Unido («BCR de VMware para el Reino Unido») se encuentra pendiente, y el Anexo sobre el tratamiento de los datos de VMware se actualizará cuando las BCR para el Reino Unido entren en vigor. Consulte la pregunta frecuente «Dado el Brexit, ¿cuál es la estrategia de transferencia de datos de VMware?» para obtener más información.

Transferencias a subencargados externos del tratamiento de los datos: VMware cuenta con Acuerdos de tratamiento de datos (DPA) establecidos con sus subencargados del tratamiento de los datos, en los que se incorpora la versión actual de las cláusulas contractuales tipo (SCC) entre responsables y encargados para garantizar la seguridad, la protección y la legalidad de las trasferencias de datos procedentes del EEE, Suiza y el Reino Unido y para proteger cualquier transferencia subsiguiente. La Comisión Europea ha publicado una nueva versión preliminar de las SCC, disponible aquí. Una vez estén aprobadas y vigentes, VMware tomará las medidas necesarias para que sus subencargados del tratamiento de los datos las implementen de acuerdo con los nuevos requisitos establecidos por la Comisión Europea.

VMware ha preparado una pregunta frecuente, «El Brexit y las transferencias internacionales de datos» (disponible aquí), para abordar las preocupaciones de los clientes en cuanto a la estrategia de transferencia de datos de VMware a la luz del Brexit. En concreto, se aborda el uso de normas corporativas vinculantes (BCR) y cláusulas contractuales tipo (SCC).

Para obtener información adicional sobre los mecanismos que VMware ha implementado para garantizar la protección adecuada para la transferencia de datos personales, consulte la pregunta frecuente «¿Qué mecanismo ha implementado VMware para garantizar los métodos de protección adecuados para transferir datos personales fuera del EEE, Suiza y el Reino Unido, donde VMware actúe en calidad de encargado del tratamiento de los datos?».

La seguridad de nuestros Servicios es de máxima importancia para VMware. Para ver una lista de las medidas de seguridad implementadas en relación con nuestros Servicios, visite la página Seguridad de Trust Center.

Al usar los Servicios, usted es responsable de configurar e implementar los controles técnicos, organizativos y administrativos necesarios que le permitan cumplir las leyes aplicables a su uso de los Servicios, que pueden depender de los tipos de datos que decida procesar mediante los Servicios. Sus responsabilidades en cuanto a la seguridad de su Contenido de cliente se establecen en el acuerdo correspondiente e incluyen: (a) controlar el acceso que proporciona a sus usuarios; (b) configurar adecuadamente el Servicio; (c) garantizar la seguridad del Contenido del cliente mientras esté en tránsito a y desde el Servicio; (d) usar la tecnología de cifrado que estime necesaria para proteger el Contenido del cliente, y (e) realizar copias de seguridad del Contenido del cliente.

VMware mantiene un programa de gestión de la seguridad de la información que sigue el estándar ISO 27001 (según proceda) y se revisa como mínimo una vez al año para garantizar la disponibilidad de los controles, las prácticas y los procedimientos apropiados. Para ver una lista de las medidas de seguridad implementadas en relación con nuestros Servicios, visite la página Seguridad de Trust Center.

VMware emplea y utiliza a terceros para que lleven a cabo servicios en su nombre en relación con la prestación de servicios en general o de servicios de soporte y suscripción de VMware. Consulte los detalles aquí. En relación con el empleo de terceros que tratan Datos personales como subencargados (según las condiciones definidas en el Anexo sobre el tratamiento de los datos), VMware ha implementado los siguientes procesos y procedimientos:

1. Compromiso contractual y transferencias internacionales de datos: VMware celebra acuerdos de tratamiento de datos con todos sus subencargados, los cuales obligan a los subencargados a mantener la privacidad, seguridad y confidencialidad adecuadas de los Datos personales bajo unas condiciones sustancialmente similares a los compromisos contractuales que VMware establece con sus propios clientes en el Anexo sobre el tratamiento de los datos. VMware se basa en las cláusulas contractuales tipo de la UE, a menos que exista otro mecanismo legítimo de transferencia de datos y el subencargado establezca los compromisos contractuales adecuados.

2. Proceso de revisión de la privacidad y privacidad inherente: VMware ha establecido un proceso centralizado integral de gestión de proveedores externos para incorporar nuevos proveedores. En él se incluye la puesta en marcha de revisiones externas de seguridad y privacidad, su realización y su seguimiento mediante herramientas centralizadas para ayudar con las iniciativas de conformidad. El equipo de privacidad de VMware lleva a cabo detalladas revisiones de la privacidad de los servicios prestados por los subencargados del tratamiento de los datos para, entre otras cosas, determinar las categorías de Datos personales que se tratan y los propósitos del tratamiento. Las revisiones incluyen la implementación de controles de privacidad para mitigar los riesgos asociados con el acceso y tratamiento de los Datos personales por parte de los subencargados y garantizar el cumplimiento normativo.

3. Proceso de revisión de la seguridad: VMware mantiene una política y un proceso para llevar a cabo revisiones de seguridad de los subencargados del tratamiento de los datos. El equipo de seguridad de VMware lleva a cabo una revisión de seguridad inicial de cualquier subencargado del tratamiento de los datos que se incorpore y lo supervisa de forma continuada según el nivel de riesgo de seguridad que se identifique.

4. Lista de subencargados del tratamiento de los datos y notificación de nuevas incorporaciones: VMware mantiene una lista de los subencargados utilizados en Servicios concretos y en relación con los Servicios de soporte y suscripción. Aquí puede acceder a la lista de cada Servicio. VMware proporciona un aviso previo al Cliente sobre cualquier incorporación de un subencargado si el Cliente se ha suscrito para recibir una notificación de un Servicio concreto a través de los mecanismos que VMware proporciona. Si desea recibir notificaciones de nuevos subencargados, vaya aquí y active las notificaciones de las listas de subencargados correspondientes.

VMware ha implementado un marco de privacidad inherente para garantizar que sus servicios y productos locales se diseñen de manera que cumplan los principios y los requisitos legales aplicables en materia de privacidad. Se ha implementado un proceso de revisión de la privacidad en el ciclo de vida del diseño de los servicios y productos locales de VMware. Este proceso incluye instrucciones documentadas para enviar un producto o servicio a una revisión de privacidad, asesoría jurídica designada para llevar a cabo revisiones de privacidad, evaluaciones de impacto del tratamiento de datos (según sean necesarias) y los requisitos generales de privacidad para diseñar productos y servicios de conformidad con las leyes de privacidad y protección de datos correspondientes.

Además, VMware ha establecido un proceso centralizado integral de gestión de proveedores externos para incorporar nuevos proveedores. En él se incluye la puesta en marcha de revisiones externas de seguridad y privacidad, su realización y su seguimiento mediante herramientas centralizadas para ayudar con las iniciativas de conformidad. El equipo de privacidad de VMware lleva a cabo detalladas revisiones de la privacidad de los servicios prestados por los subencargados del tratamiento de los datos para, entre otras cosas, determinar las categorías de Datos personales que se tratan y los propósitos del tratamiento. Las revisiones incluyen la implementación de controles de privacidad para mitigar los riesgos asociados con el acceso y tratamiento de los Datos personales por parte de los subencargados y garantizar el cumplimiento normativo.

VMware dispone de un delegado de protección de datos que es abogado y director de una consultora externa de protección de datos. El papel del delegado de protección de datos (DPD) se describe en los Artículos 38 y 39 del RGPD. El DPD debe estar involucrado en todos los asuntos relacionados con la protección de datos personales, asesorar a la organización sobre sus obligaciones de acuerdo con el RGPD, supervisar su cumplimiento, orientar sobre cualquier evaluación de impacto de la protección de datos y ser un punto de contacto para las autoridades de supervisión. El equipo de privacidad de VMware emplea a su DPD según corresponda. Para ponerse en contacto con el DPD de VMware, envíe un correo electrónico a dpo@vmware.com. El equipo de privacidad de VMware abordará la consulta o empleará a su DPD, según corresponda.

Según el Reglamento General de Protección de Datos (RGPD), VMware es el «encargado del tratamiento de los datos» en lo referente al Contenido del cliente. Las obligaciones y los compromisos de VMware como encargado del tratamiento de los datos en conformidad con el RGPD se definen en nuestro Anexo sobre el tratamiento de los datos. VMware tratará los datos personales incluidos en el Contenido del cliente según el acuerdo aplicable y el Anexo sobre el tratamiento de los datos. VMware ha obtenido la aprobación de las Normas corporativas vinculantes (BCR) para los datos personales que procesa en calidad de encargado del tratamiento de los datos. Una copia de las BCR de VMware está disponible aquí y una prueba de la aprobación de VMware está disponible en el sitio web de la Comisión Europea.

VMware proporciona soluciones empresariales que permiten a sus clientes crear, gestionar, proteger y ejecutar aplicaciones en múltiples sistemas y entornos. Si bien VMware cree que la naturaleza de los Servicios que presta a sus clientes, por lo general, no garantizará que se apruebe una petición directa de la administración pública para acceder al Contenido del cliente, VMware ha implementado las siguientes medidas para cumplir la sentencia Schrems II y ayudar a los clientes en sus propias iniciativas de conformidad en relación con los datos que trata como responsable del tratamiento:

Refuerzo de los compromisos contractuales con respecto a las peticiones de acceso por parte de la administración pública

VMware ha actualizado la sección sobre divulgación obligatoria presente en sus Condiciones de prestación de servicios para aclarar cómo gestiona las peticiones de acceso por parte de la administración pública. Para ello, ha añadido los siguientes compromisos:

Cuando notificar al cliente no esté prohibido por ley, VMware:

- Notificará al cliente: notificaremos cualquier solicitud para revelar el Contenido del cliente.

- Indicará a la agencia gubernamental que se dirija al cliente: informaremos a la autoridad pública pertinente de que VMware es un proveedor de servicios que actúa en nombre del cliente y que todas las peticiones de acceso al Contenido del cliente deben dirigirse por escrito a la persona de contacto que el cliente haya establecido con nosotros o al departamento jurídico del cliente.

- Limitará el acceso: solo proporcionaremos acceso al contenido del cliente con su autorización. Si el cliente lo solicita, a sus expensas, tomaremos medidas razonables para impugnar cualquier solicitud.

En caso de que a VMware se le prohíba por ley notificar al cliente, VMware:

- Evaluará la validez legal: evaluaremos la solicitud de divulgación para determinar si es legalmente válida y vinculante.

- Impugnará las peticiones ilegales: impugnaremos la resolución si tenemos un motivo razonable para creer que esta no cumple la ley aplicable.

- Limitará el alcance de la divulgación: limitaremos el alcance de cualquier divulgación para que solo incluya la información que se nos exige revelar y la divulgaremos de acuerdo con la ley aplicable.

Transparencia durante el proceso para gestionar las peticiones de acceso por parte de la administración pública y las autoridades estadounidenses

Para ayudar a los clientes a comprender mejor los compromisos y el proceso de VMware para gestionar las peticiones de acceso por parte de la administración pública, incluidos los compromisos establecidos en las BCR de VMware, hemos preparado los Principios de VMware para gestionar las peticiones de la administración pública para acceder al Contenido del cliente.

Además, hemos preparado la Declaración de VMware con respecto a la aplicación de la Sección 702 de la Ley de Vigilancia de Inteligencia Exterior y la Orden Ejecutiva 12333 dado el caso Schrems II. Con esta declaración pretendemos abordar las preocupaciones que suscita el hecho de que las agencias de inteligencia estadounidenses tengan acceso a los datos que transitan de la Unión Europea a los Estados Unidos, así como ayudar a los clientes a comprender la posible aplicación de dos disposiciones estadounidenses: la Orden Ejecutiva 12333 y la Sección 702 de la Ley de Vigilancia de Inteligencia Extranjera. VMware cree firmemente que es poco probable que se vea sujeto a la Sección 702 de la Orden Ejecutiva 12333 en relación con la prestación de servicios, dada la naturaleza de estos servicios.

Actualización de los contratos con los subencargados del tratamiento de los datos para garantizar la base legal de las transferencias de datos personales

Desde que se invalidara el Escudo de la privacidad UE-EE. UU., VMware ha implementado Cláusulas contractuales tipo con todos sus subencargados del tratamiento de los datos que anteriormente se apoyaban en el Escudo como mecanismo de transferencia de datos. En calidad de encargado del tratamiento de los datos, VMware se apoya en las Normas corporativas vinculantes para transferir Datos personales fuera de la UE en relación con la prestación de los Servicios de VMware aplicables tal como se establece en el Anexo sobre el tratamiento de los datos de VMware. Puede encontrar información adicional sobre las BCR de VMware aquí y en VMware Trust Center

Medidas técnicas y organizativas

VMware confirma su compromiso de implementar y mantener las medidas técnicas y organizativas adecuadas, tal como se establece en el Anexo sobre el tratamiento de los datos de VMware. En el sitio web de VMware Trust Center se describen las certificaciones y auditorías externas que VMware mantiene en relación con sus Servicios. Dada la naturaleza de los Servicios de VMware, los clientes también controlan la manera en la que configuran los Servicios. Además, pueden implementar los controles administrativos y técnicos necesarios para proteger los datos que se tratan en relación con su uso de los Servicios correspondientes. En muchos casos, VMware proporciona soluciones tanto locales como alojadas para que los clientes elijan a la hora de gestionar sus sistemas e infraestructura.

Transparencia con respecto a los tipos de datos tratados por el servicio de VMware: Fichas

El Comité Europeo de Protección de Datos (CEPD), en sus preguntas frecuentes sobre Schrems II, señaló que es necesario tener en cuenta los tipos de datos transferidos como un factor para determinar si existe un nivel adecuado de protección en torno a la transferencia de datos personales fuera de la UE, y que los responsables del tratamiento de datos deberían realizar un análisis según cada caso para determinar los riesgos que plantea dicha transferencia. Para ayudar a los clientes a comprender los tipos de datos que se tratan en relación con su uso de los Servicios de VMware, VMware proporciona descripciones de cada servicio, disponibles aquí, y pone a disposición fichas para ciertos Servicios en la sección sobre privacidad de VMware Trust Center. En el caso de los Servicios de Workspace ONE, VMware también pone a disposición la Declaración sobre Workspace ONE.

La Ley de privacidad de los consumidores de California (CCPA) se aplica a las empresas que proporcionan servicios a los consumidores en California. Ofrece a las personas determinados derechos con respecto al tratamiento de sus datos personales. Según la CCPA, VMware actúa como «proveedor de servicios» del cliente con respecto al tratamiento de los datos personales incluidos en el contenido del cliente. VMware no accederá a dichos datos personales ni los utilizará para ningún fin salvo cuando sea necesario para proporcionar los servicios al cliente según lo establecido en el acuerdo aplicable, y ayudará al cliente a responder a las peticiones de acceso a los datos de la persona interesada conforme a la CCPA y según lo establecido en nuestro Anexo sobre el tratamiento de los datos. Cuando VMware actúe como «empresa» según la CCPA, la Notificación de privacidad para California de VMware y otras notificaciones de privacidad proporcionan información relacionada con el modo en que VMware gestiona dichos datos personales como empresa, incluidas las divulgaciones obligatorias correspondientes a las categorías de datos que se recopilan y se utilizan y la venta de información personal. Para obtener información más detallada sobre el ámbito de aplicación de la CCPA a la prestación de servicios por parte de VMware, haga clic aquí.

¿Preparado para empezar?