Constancia de protección de datos de Lumen

1. Aplicabilidad. Aplicabilidad. Esta Constancia de protección de datos ("Constancia PD") forma parte del Acuerdo entre el Cliente y CenturyLink y es aplicable a la prestación de determinados Servicios de CenturyLink. En caso de que existiese un conflicto entre el Acuerdo, las Constancias de servicios vigentes y esta Constancia PD, los términos de esta Constancia PD prevalecerán.
2. Definiciones. Definiciones. En esta Constancia PD, se aplican las siguientes definiciones:
   • "Controlador de datos" "Procesador de datos" "Personas interesadas" "Datos personales" y "Violación de datos personales" tendrán los significados que se les asigne en el GDPR.
   • "Leyes de protección de datos" se refiere a las disposiciones de las leyes vigentes que regulan el uso y el procesamiento de datos relacionados con personas, tal como pueda definirse en dichas disposiciones, esto incluye a) antes del 0 de mayo de 1, la Directiva de Protección de Datos de la Unión Europea 2/3/EC, b) después del 4 de mayo de 5, el Reglamento General de Protección de Datos de la Unión Europea (Reglamento 6/7) ("GDPR"), c) la Directiva de Protección de Datos y Comunicaciones Electrónicas 8/9/EC, los Reglamentos sobre la Privacidad y las Comunicaciones Electrónicas (Directiva CE 10 y d) cualquier otra ley y reglamentación vigente relacionada con el procesamiento de datos personales.
   • "Servicios" se refiere a los Servicios de CenturyLink que se prestarán al Cliente conforme al Acuerdo y las Constancias de servicios aplicables.
3. Cumplimiento con las Leyes de protección de datos.
   1. CenturyLink y el Cliente aceptan que el Cliente es un Controlador de datos independiente con respecto al procesamiento de Datos personales que son necesarios para el funcionamiento de los Servicios, y CenturyLink es un Controlador de datos independiente con respecto al procesamiento de facturación, utilización, patrones/cálculos/estadísticas de uso, datos de tráfico y otra información relacionada con la cuenta del Cliente (por ejemplo, nombre, dirección, dirección de email) en la medida en que sean Datos personales, que sea necesaria para el cumplimiento de las obligaciones de CenturyLink conforme al Acuerdo y las Constancias de servicios aplicables o con respecto a los Datos personales que se almacenen para fines comerciales generales.
   2. CenturyLink y el Cliente cumplirán en todo momento con sus obligaciones conforme a las Leyes de protección de datos con respecto a los Datos personales que se procesen conforme al Acuerdo.
4. Procesamiento de datos.
   1. CenturyLink reconoce que es un Procesador de datos que actúa en nombre del Cliente con el fin de prestar Servicios y cumplir con sus obligaciones relacionadas (esto incluye resolución de incidentes, soporte o servicios de consultoría). El contenido, la duración y la naturaleza del procesamiento, los tipos de Datos personales y las Personas interesadas correspondientes se describen en las Constancias de servicios aplicables.
   2. En la medida en que CenturyLink procese Datos personales en nombre del Cliente como Procesador de datos, CenturyLink hará (y procurará que los afiliados de CenturyLink hagan) lo siguiente:
      • Solo se procesarán Datos personales conforme a las instrucciones documentadas del Cliente, que incluyen lo establecido en el Acuerdo y en esta Constancia PD, y se asegurará que el personal de CenturyLink procese Datos personales solo de acuerdo a dichas instrucciones del Cliente, a menos que una ley de la Unión Europea o de un estado miembro a la cual CenturyLink esté sujeto requiera el procesamiento, en cuyo caso CenturyLink, en la medida en que lo permita dicha ley, informará al Cliente acerca de ese requerimiento legal antes de procesar esos Datos personales;
      • Restringirá la divulgación y el procesamiento de Datos personales en la medida necesaria para prestar los Servicios o que esté permitido conforme al Acuerdo y esta Constancia PD, o que lo permita el Cliente por escrito, y solo divulgará Datos personales en virtud del principio de necesidad de conocimiento en relación con los Servicios a quienes hayan asumido un compromiso de confidencialidad o si así lo requiere la ley vigente.
      • Teniendo en cuenta el nivel tecnológico, los costos de implementación y la naturaleza, el alcance, el contexto y los fines del procesamiento, así como también el riesgo de distinta probabilidad y severidad para los derechos y las libertades de las personas físicas, implementará y conservará las medidas técnicas y organizativas adecuadas que se hayan diseñado para proteger los Datos personales contra destrucción accidental o ilegítima o pérdida accidental, alteración, divulgación o acceso no autorizados y contra todas las demás formas ilegítimas de procesamiento y garantizará un nivel de seguridad adecuado al riesgo que presente el procesamiento;
      • Se asegurará de que solo se otorgue acceso a los Datos personales al personal que lo necesite y que dicho acceso se otorgue solo para la prestación adecuada de los Servicios; y
      • En el caso y en la medida en que CenturyLink conserve una copia de Datos personales, no conservará esos Datos personales por más tiempo del que sea necesario para prestar los Servicios y a elección del Cliente, destruirá en forma segura o devolverá dichos Datos personales, excepto donde una ley o una reglamentación requiera que se conserven los Datos personales. Las partes aceptan que CenturyLink no procesará de manera activa dichos Datos personales y que estarán sujetas a las disposiciones de esta Constancia PD con respecto a los Datos personales que se conserven. CenturyLink eliminará dichos datos inmediatamente después de que deje de tener la obligación de conservarlos y solo los procesará en la medida en que sea necesario para cumplir con las leyes vigentes.
5. Subprocesamiento.
   1. Generalmente, el Cliente autoriza a CenturyLink a designar subprocesadores conforme a las restricciones que se incluyan en esta Constancia PD y el Acuerdo.
   2. Antes de divulgar Datos personales a un subprocesador, CenturyLink se asegurará de llevar a cabo las diligencias correspondientes con respecto a dicho subprocesador y también se asegurará de que el subprocesador firme un acuerdo escrito en el que acepte la condición de que el subprocesador tenga obligaciones equivalentes a las que se establecen en esta Constancia PD. CenturyLink seguirá teniendo responsabilidad absoluta ante el Cliente con respecto a cualquier violación de las obligaciones por parte del subprocesador.
   3. CenturyLink conservará una lista actualizada de sus subprocesadores e informará al Cliente en forma detallada con respecto a cualquier cambio previsto en los subprocesadores con al menos 30 días de anticipación a dicho cambio. El Cliente puede objetar la designación o el reemplazo de un subprocesador por parte de CenturyLink antes de su designación o su reemplazo, siempre y cuando dicha objeción se base en argumentos razonables relacionados con la protección de datos. En ese caso, CenturyLink no designará o no reemplazará al subprocesador o, si esto no es posible, el Cliente puede poner fin a la Constancia de servicio correspondiente (sin perjuicio de los cargos generados por el Cliente antes de la finalización). CenturyLink no usará los servicios de dicho subprocesador hasta que se hayan resuelto las objeciones o hasta que el Cliente haya puesto fin a la Constancia de servicio correspondiente.
6. Cooperación.
   1. CenturyLink, en la medida en que sea posible, notificará de inmediato al Cliente con respecto a una consulta, un aviso de queja u otra comunicación que reciba de un ente de control o de una Persona interesada en relación con los Servicios (esto incluye solicitudes para obtener acceso, corregir, eliminar, bloquear o restringir el acceso a Datos personales o recibir una copia legible por máquina de estos) y, en la medida en que sea posible y técnicamente viable, asistirá al Cliente en su obligación de responder ante una notificación o los derechos de la Persona interesada conforme a los plazos establecidos en las Leyes de protección de datos.
   2. Si el Cliente cree de manera razonable que es probable que el procesamiento de Datos personales por parte de CenturyLink dé lugar a un riesgo alto para los derechos de protección de datos y las libertades de las Personas interesadas, CenturyLink, por pedido del Cliente, lo asistirá en lo que se refiere a evaluaciones del impacto de la protección de datos y las consultas previas, las cuales podrían estar sujetas a cargos y términos adicionales, que puedan requerirse conforme a las Leyes de protección de datos, teniendo en cuenta la naturaleza del procesamiento y la información que CenturyLink tiene a su disposición.
7. Informe de violaciones. CenturyLink notificará al Cliente sin demora a fin de que tome conocimiento de una violación de datos personales que afecte los Datos personales procesados en nombre del Cliente que usa los Servicios y, en adelante, cooperará con el Cliente y ofrecerá la asistencia que razonablemente pueda necesitar el Cliente para la investigación, la remediación y la atenuación de dicha violación. CenturyLink ofrecerá asistencia razonable al Cliente con respecto a las obligaciones de denunciar una violación que el Cliente pueda tener y suministrará información adicional en relación con dicha violación, si así lo requiere de manera razonable el Cliente. Las partes acordarán por adelantado y por escrito las responsabilidades de remediación material y los costos que superen el proceso estándar de respuesta ante incidentes de CenturyLink.
8. Auditorias. CenturyLink conservará toda la información necesaria para demostrar el cumplimiento de sus obligaciones identificadas en esta Constancia PD y un registro escrito de todos los procesamientos de Datos personales hechos en nombre del Cliente y, por un pedido razonable, otorgará al Cliente y a sus auditores y agentes el derecho a tener acceso y obtener copias de los registros relacionados con el cumplimiento y todos los procesamientos de dichos Datos personales hechos en nombre del Cliente con el fin de evaluar si CenturyLink cumplió con sus obligaciones en lo que se refiere al procesamiento de Datos personales. Previa notificación razonable, CenturyLink permitirá al Cliente o, cuando corresponda, cooperará con el Cliente y con los terceros proveedores de CenturyLink para organizar el acceso a las instalaciones, a otros materiales y al personal, y proporcionará asistencia razonable para ayudar al Cliente a ejercer sus derechos de auditoría en virtud de esta cláusula siempre que: (i) dicho acceso ocurra en un momento mutuamente acordado y el alcance de la visita se acuerde mutuamente; (ii) dicho acceso no interfiera de forma injustificada con las operaciones de CenturyLink; y (iii) el acceso a las instalaciones y sistemas de CenturyLink esté sujeto a los requisitos de acceso y políticas de seguridad razonables de CenturyLink y no ponga en peligro ninguna información confidencial a la que el Cliente no tenga derecho de acceder.
9. Transferencias. CenturyLink no transferirá Datos personales fuera del EEE, a menos que el Cliente lo autorice de la siguiente manera:
   1. En la fecha de esta Constancia de PD, el Cliente autoriza a CenturyLink a transferir Datos personales a Estados Unidos para el fin específico de prestar Servicios y cumplir con sus obligaciones en virtud de este Acuerdo y la Constancia de servicio correspondiente. Las partes aceptan celebrar las Cláusulas contractuales estándar (en la forma adoptada por la decisión 2010/87/EU del 5 de febrero 2010) con los afiliados de CenturyLink en representación y en nombre del Cliente con el fin de ofrecer protección adecuada para dichos Datos personales, con el Apéndice 1 y el Apéndice 2 de dichas Cláusulas en la forma incluida en el presente; y
   2. Si luego de la fecha de esta Constancia PD, CenturyLink (o cualquier afiliado o subcontratista) propone transferir Datos personales fuera del EEE, que no sean los autorizados anteriormente, CenturyLink (o cualquier afiliado o subcontratista) obtendrá el consentimiento del Cliente antes de dicha transferencia. Dicho consentimiento puede estar condicionado a que las partes pertinentes hayan celebrado un acuerdo que garantice que esos Datos personales estarán correctamente protegidos conforme a lo que requieren las Leyes de protección de datos.
10. Límite de los daños. SIN PERJUICIO DE QUE SE DIGA LO CONTRARIO EN ALGUNA PARTE DE ESTE ACUERDO, LA RESPONSABILIDAD TOTAL DE CADA PARTE QUE SURJA O SE RELACIONE CON ESTA CONSTANCIA ESTARÁ LIMITADA A LO QUE SEA MENOR DE: (I) LOS CARGOS MENSUALES RECURRENTES Y LOS CARGOS DE USO QUE HAYA PAGADO O QUE DEBA PAGAR EL CLIENTE A CENTURYLINK EN LOS 12 MESES INMEDIATAMENTE POSTERIORES A QUE OCURRA EL EVENTO DEL CUAL SURGE EL RECLAMO O (II) DOS MILLONES DE DÓLARES. ASIMISMO, CENTURYLINK NO ASUMIRÁ EN VIRTUD DEL PRESENTE UNA RESPONSABILIDAD QUE HAYA SIDO OCASIONADA POR, O SEA ATRIBUIBLE A, UNA PARTE QUE NO SEA CENTURYLINK O SUS SUBPROCESADORES.
11. Enmiendas futuras. Las partes pueden enmendar esta Constancia PD en cualquier momento durante el plazo del Acuerdo mediante un acuerdo escrito, si es necesario, para cumplir con un requerimiento legal o con las directrices de un ente de control, o si se requiere para tomar debida nota de cualquier cambio en el procesamiento de Datos personales en virtud de este Acuerdo y las Constancias de servicios correspondientes.

Cláusulas contractuales estándar

Apéndice 1

Este Apéndice forma parte de las Cláusulas y las Partes deberán cumplirlo.

Exportador de datos: el Exportador de datos es un Cliente, un cliente comercial del Importador de datos que tiene domicilio en Estados Unidos, que procesa datos personales como actividad comercial normal y que desea obtener servicios de procesamiento, tal como lo autorizan sus Afiliados del EEE y sus respectivas sucursales, que son controladores con sede en el EEE.

Importador de datos: el Importador de datos es CenturyLink Communications, una compañía que se dedica a la prestación de servicios de comunicaciones y que presta servicios de procesamiento de datos al Exportador de datos.

Personas interesadas: los datos personales transferidos conciernen a los empleados, usuarios y clientes actuales, anteriores y futuros y partes similares vinculadas con el Exportador de datos.

Categorías de datos: los datos personales transferidos pueden incluir, entre otras cosas, nombre, dirección, email, número de teléfono y otros datos personales que puedan transferirse del controlador de datos al procesador de datos para prestar servicios de procesamiento.

Categorías especiales de datos: los datos personales transferidos pueden referirse a categorías especiales de datos.

Operaciones del procesador: el Importador del datos prestará, a través de personal autorizado, los siguientes servicios de procesamiento: hosting en la nube y servicios de comunicaciones que pueda pedir en forma particular el Exportador de datos y que puedan describirse con más detalles en órdenes de servicios, constancias de servicio y documentación contractual similar.

Cláusulas contractuales estándar

Apéndice 2

CenturyLink ha implementado las medidas de seguridad de datos descritas en este Apéndice y conservará dichas medidas, o una medida igualmente segura, durante el plazo vigente de los Servicios. Estas medidas, en general, se aplican a los servicios de CenturyLink, y es posible que determinadas medidas no se apliquen o que puedan aplicarse de manera distinta a servicios, configuraciones o entornos personalizados que el Cliente pida o implemente. Estas medidas fueron implementadas por CenturyLink para proteger, directa o indirectamente, la confidencialidad, la integridad y la disponibilidad de los Datos del cliente. Como se expresa en este Apéndice, “Datos del cliente” se refiere a los datos, el contenido o la información de un Cliente o sus usuarios finales que se almacenan, se transmiten o se procesan de algún modo usando los servicios de CenturyLink.

1. CUMPLIMIENTO CON LA LEY, INFORME DE AUDITORÍA. CenturyLink adoptó e implementó un programa de seguridad de la información corporativa, como se describe a continuación, el cual está sujeto a cambios razonables por parte de CenturyLink de vez en cuando. CenturyLink llevó a cabo un informe de auditoría de tipo II autorizado por AICPA (SSAE18/ISAE3402 SOC 1 o SOC 2) para determinados espacios/servicios y continuará haciendo dichas auditorías conforme a un estándar actualmente aprobado o a uno posterior. El Cliente tendrá derecho a recibir una copia del informe que esté disponible en ese momento, si lo solicita; dicho informe es Información confidencial de CenturyLink. El Cliente puede facilitar dicho informe a sus usuarios finales, sujeto a los términos de confidencialidad provistos por CenturyLink. El Cliente se asegurará de que todos los Datos del cliente cumplan con todas las leyes vigentes y las prácticas de seguridad de la información correspondientes y ninguna parte del presente eximirá al Cliente de su responsabilidad de elegir e implementar dichas prácticas.
2. PROGRAMA DE SEGURIDAD DE LA INFORMACIÓN. CenturyLink implementó un programa de seguridad de la información (el “Programa”) que incluye medidas razonables diseñadas para: (1) garantizar la confidencialidad y la integridad de los Datos del cliente; (2) en la medida en que se relacione con los Servicios y la infraestructura de CenturyLink, proteger contra amenazas previsibles a la seguridad o la integridad de los Datos del cliente; (3) proteger contra el acceso no autorizado, la divulgación o el uso no autorizado de los Datos del cliente, y (4) asegurarse de que los empleados de CenturyLink tengan presente la necesidad de conservar la confidencialidad, la integridad y la seguridad de los Datos del cliente. CenturyLink limitará el acceso a los Datos del cliente a únicamente aquellos empleados, agentes, contratistas o proveedores de servicio de CenturyLink que necesiten la información para llevar a cabo los fines para los cuales se comunicaron los Datos del cliente a CenturyLink.
   El Programa de CenturyLink está diseñado conforme al sistema de gestión de seguridad de la información (“ISMS”, por sus siglas en inglés) basado en la norma ISO 27001:2013, que establece las pautas y los principios generales que se usan para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la protección de la información de CenturyLink y los Datos del cliente. El Programa de CenturyLink, en consonancia con el ISMS, está diseñado con el fin de seleccionar controles de seguridad adecuados y proporcionados para proteger la información y ofrece orientación general con respecto a objetivos comúnmente aceptados de manejo de la seguridad de la información y prácticas de control estándar en las siguientes áreas de manejo de la seguridad de la información:
   
   • Política de seguridad
   • Organización de la seguridad de la información
   • Gestión de activos
   • Seguridad de recursos humanos
   • Seguridad física y ambiental
   • Manejo de comunicaciones y operaciones
   • Seguridad de las comunicaciones
   • Control de acceso
   • Adquisición, desarrollo y mantenimiento de sistemas de información
   • Manejo de incidentes de seguridad de la información
   • Gestión de continuidad de las operaciones
   • Cumplimiento
   • Criptografía
   • Relaciones con los proveedores
   
   CenturyLink también implementó una política formal de seguridad de la información, así como también métodos y procedimientos de soporte, estándares técnicos y procesos para reafirmar la importancia de la seguridad de la información en toda la organización (“Política de seguridad de la información”). La Política de seguridad de la información está en consonancia con la norma ISO 27002:2013 y está aprobada por el director de seguridad de la información. La Política de seguridad de la información describe los requisitos necesarios para mantener una seguridad razonable para los Servicios. Tantos los empleados como los contratistas que tienen acceso a información corporativa y Datos del cliente deben llevar a cabo una capacitación anual sobre seguridad basada en la Política de seguridad de la información. La Política de seguridad de la información incluye lo siguiente:
   
   • Política de seguridad física para data centers y oficinas
   • Política de uso electrónico, incluido:
   • Uso de email
   • Redes inalámbricas
   • Internet Access
   • Control antivirus
   • Administración de contraseñas
   • Trabajo a distancia y residencial
   • Plan de respuesta ante incidentes de seguridad informática
   • Protección de la información
   • Acuerdos sobre conexiones de terceros
   • Acceso de terceros
   • Escaneo inalámbrico
   • Gestión de riesgos
   • Gestión de proveedores
3. CONTROLES DE SEGURIDAD ESPECÍFICOS. Los controles de seguridad de CenturyLink incluyen:
   
   • Controles de acceso lógicos para manejar el acceso a Datos del cliente mediante privilegios mínimos y necesidad de conocer, esto incluye el uso de niveles de autoridad definidos y funciones del puesto, identificaciones especiales y contraseñas, autenticación fuerte (por ejemplo, dos factores) para sistemas de acceso remoto (y en cualquier otro lugar que corresponda) y revocación o cambio de acceso inmediatos en respuesta a suspensiones o cambios en las funciones del puesto.
   • Controles de contraseñas para manejar y controlar la complejidad y el vencimiento de las contraseñas. Toda contraseña de control de acceso a la infraestructura de CenturyLink debe tener una longitud y una complejidad mínimas.
   • Procedimientos y controles operativos para establecer que los sistemas de tecnología e información se configuren y se mantengan conforme a estándares internos estipulados.
   • Controles de seguridad de redes, esto incluye el uso de firewalls, DMZ en capas y sistemas actualizados de detección/prevención de intrusión para ayudar a proteger los sistemas de la intrusión o limitar el alcance o el éxito de un ataque o un intento de acceso no autorizado.
   • Procedimientos y tecnologías de manejo de la vulnerabilidad para identificar, evaluar, mitigar y proteger contra vulnerabilidades y amenazas de seguridad tanto nuevas como actuales, entre ellas, virus, robots informáticos y otros códigos maliciosos.
   • El software antisoftware malicioso aprobado se instala en un equipo CenturyLink apto para ejecutarlo cuando el riesgo de infección sea alto. Se configura para evitar que los usuarios desactiven el software cuando sea posible o que alteren su configuración sin autorización. Se llevan a cabo evaluaciones periódicas para verificar si los sistemas siguen requiriendo (o no) un software antivirus.
   • Procedimientos de gestión de cambios que indican que las modificaciones de la tecnología de CenturyLink y los recursos de información se prueban, aprueban, se registran y se monitorizan.
   • Gestión organizativa diseñada para garantizar el desarrollo y el mantenimiento adecuados de políticas, procedimientos y estándares de seguridad de la información y tecnología.
   • Organizaciones específicas con responsabilidad global para todas las operaciones de seguridad físicas, los sistemas de seguridad, la administración del acceso y los controles de seguridad que estén dentro de instalaciones y data centers que pertenezcan a CenturyLink. Los data centers de terceros se usan para determinados servicios y, en esos casos, CenturyLink analiza determinados controles de seguridad física y otros controles.
   • Políticas de seguridad que reafirman la importancia de la seguridad física de todas las instalaciones de la compañía, incluidos procedimientos específicos para la seguridad física de data centers. El personal de seguridad de los data centers es responsable de controlar el acceso a los data centers, monitorizar las alarmas de seguridad local y manejar todos los eventos relacionados con la seguridad física que se informen.
   • Sistema de CCTV (televisión por circuito cerrado) comúnmente usado como control de seguridad física en instalaciones de gran valor para disuadir, detectar e identificar intrusos. El Centro de Operaciones de Seguridad Corporativa (CSOC, por sus siglas en inglés) ofrece soporte global las 24 horas del día, los 7 días de la semana con monitoreo, gestión, administración y mantenimiento remotos de los sistemas de videovigilancia de CCTV que se usan en todo CenturyLink.
   • El centro de control de acceso central (CACC) asiste en la distribución de todas credenciales de acceso de CenturyLink y la administración de permisos de acceso dentro del sistema de control de acceso.
   • Procedimientos de eliminación de distintos tipos y clasificaciones de información que se documentan y se comunican al personal. Los empleados tienen acceso a trituradoras seguras para documentos impresos. Los medios electrónicos se eliminan a través de proveedores de servicios de eliminación certificados.
   • Se llevan a cabo evaluaciones previas a la contratación y verificaciones de antecedentes al futuro personal conforme a las prácticas de incorporación de recursos humanos de CenturyLink y la ley local vigente. Las verificaciones dependen, entre otras cosas, de la función, la ubicación y cualquier requisito personalizado, y pueden ser de identidad, de drogas, de antecedentes penales, académicas y de crédito, entre otras.
   • Capacitación anual sobre conocimientos de seguridad para empleados y contratistas de CenturyLink que trabajen en las instalaciones de CenturyLink. La capacitación muestra las amenazas actuales y fomenta una buena práctica de seguridad básica, así como también el acceso y el conocimiento de la Política de seguridad de la información y procedimientos como la manera de informar un incidente. Los empleados que tienen puestos particulares reciben una capacitación suplementaria en seguridad y si surge un problema de capacitación o de prueba (por ejemplo, ejercicios de suplantación de identidad interna), se ofrece orientación adicional. CenturyLink lleva a cabo un programa continuo de pruebas de suplantación de identidad entre el personal a fin de reafirmar el requisito de concientización y buenos hábitos de intercambio de emails y navegación, así como también de evaluar la efectividad de la capacitación sobre conocimientos de seguridad. La intranet y el sistema de email de la compañía se usan para difundir anuncios sobre cuestiones de seguridad, según corresponda.
4. AUDITORÍAS DE SEGURIDAD. El Cliente puede, no más de una vez al año y a su cargo, auditar el desempeño de CenturyLink con respecto a sus obligaciones de seguridad conforme a este Apéndice (“Auditoría”). En el caso de que el Cliente contrate a un tercero para llevar a cabo una Auditoría, CenturyLink puede requerir que el auditor externo presente documentación adicional antes de otorgarle acceso a una instalación de CenturyLink donde se prestan Servicios y también puede, a su entera y razonable discreción, negarse a permitir que un tercero tenga acceso a un data center. CenturyLink colaborará de manera razonable con el Cliente en el desarrollo de la Auditoría y pondrá a disposición del Cliente o sus auditores los documentos y los registros que lógicamente se necesiten para llevar a cabo la Auditoría. CenturyLink ofrecerá al Cliente acceso razonable a la instalación correspondiente para la inspección del equipo y las instalaciones que se usan para prestar los Servicios al Cliente. A los efectos de dar mayor claridad, no se otorgará acceso a determinadas áreas de determinadas instalaciones (como data centers) a las cuales CenturyLink generalmente no permita el acceso de sus clientes (por ejemplo, áreas que contienen equipos que se usan para prestar servicios a varios clientes). El acceso de la Auditoría está sujeto a los requisitos de seguridad razonables de CenturyLink para sus políticas y materiales de seguridad más sensibles. El acceso de la Auditoría debe ser dentro del horario de atención normal de CenturyLink y debe programarse con al menos diez (10) días laborables de anticipación. El Cliente o su auditor estará acompañado por personal de CenturyLink durante el periodo de acceso. La Auditoría y cualquier hallazgo relacionado con ella deberán tratarse como Información confidencial.
5. INCIDENTES DE SEGURIDAD Y RESPUESTA. En el caso de que CenturyLink determine que un Incidente de seguridad afectó a los Datos del cliente, CenturyLink tomará las siguientes medidas de inmediato:
   
   • Notificar al Cliente de dicho Incidente de seguridad y ofrecer actualizaciones periódicas según corresponda dada la naturaleza del Incidente de seguridad y a medida que esté disponible la información;
   • Seguir los pasos razonables para remediar y mitigar el Incidente de seguridad, en la medida en que dichos pasos sean técnicamente posibles y adecuados a las circunstancias;
   • Llevar a cabo una investigación preliminar del Incidente de seguridad para determinar, en la medida en que sea razonablemente posible, su causa principal; y
   • Colaborar de manera razonable con el Cliente en sus esfuerzos por remediar o mitigar el Incidente de seguridad y sus esfuerzos por cumplir con la ley vigente y las autoridades legales, según sea necesario.
   
   Para los fines del presente, “Incidente de seguridad” se refiere a cualquier acceso ilegal o no autorizado, robo o uso de Datos de clientes mientras se almacenan, se transmiten o se procesan de algún modo usando los servicios de CenturyLink.