Este Anexo ("Anexo DORA") modifica y forma parte del Acuerdo (como se define a continuación) entre el Proveedor y usted ("Cliente"). 

A los efectos de este Anexo DORA, los siguientes términos tendrán el siguiente significado:

• "Acuerdo" significa cualquier acuerdo entre el Proveedor y el Cliente para los Servicios. Dicho acuerdo puede tener varios títulos, como "Formulario de Pedido", "Pedido de Venta", "Términos de Uso", "Términos de Servicio", "Acuerdo de SaaS", "Acuerdo de Servicios", "Anexo de Procesamiento de Datos".
• "DORA" significa el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 sobre la resiliencia operativa digital para el sector financiero y por el que se modifican los Reglamentos (CE) No 1060/2009, (UE) No 648/2012, (UE) No 600/2014, (UE) No 909/2014 y (UE) 2016/1011. 

Los siguientes términos tienen el mismo significado que en DORA: "funciones críticas o importantes", "ataque cibernético", "amenaza cibernética", "resiliencia operativa digital", "subcontratista de TIC establecido en un tercer país", "riesgo de TIC", "servicios de TIC", "riesgo de terceros de TIC", "proveedor de servicios de terceros de TIC" y "incidente importante relacionado con TIC."

Todos los demás términos en mayúsculas tienen el mismo significado que en el Acuerdo relevante.

Este Anexo DORA solo se aplica cuando el Cliente es una entidad cubierta bajo DORA, el Proveedor es un proveedor de servicios de terceros de TIC, y los servicios del Proveedor proporcionados al Cliente bajo el Acuerdo son "servicios de TIC." En caso de conflicto entre este Anexo DORA y el Acuerdo, prevalecerá el Anexo DORA. 

3.1 Subcontratación. El Proveedor contrata a subcontratistas de TIC establecidos en un tercer país ("subcontratistas de TIC") para ayudar con el procesamiento de los Datos del Cliente de acuerdo con el Acuerdo. El Proveedor debe celebrar acuerdos contractuales con dichos subcontratistas de TIC que requieran un nivel equivalente de cumplimiento con los términos descritos en este Anexo DORA y debe mantener una supervisión y control apropiados de dichos subcontratistas de TIC. El Proveedor debe mantener una lista actualizada de subcontratistas de TIC en https://www.signnow.com/subprocessors (actualizada de vez en cuando). El Proveedor informará sobre cualquier actualización a https://www.signnow.com/subprocessors con respecto a la adición o reemplazo de subcontratistas de TIC al menos diez (10) días calendario antes de que el nuevo subcontratista de TIC procese los Datos del Cliente. Para su propia conveniencia, el Cliente puede suscribirse a una actualización de la Lista de Subcontratistas a través del Formulario de Solicitud de Acción de Subcontratista. El Cliente puede objetar dichos cambios por escrito dentro de los cinco (5) días calendario posteriores a dicha actualización, siempre que dicha objeción se base en un riesgo material que dicho cambio represente para el Cliente bajo DORA (una "Objeción"). En caso de una Objeción, las partes discutirán tales preocupaciones de buena fe con la intención de lograr una resolución. Si las partes no pueden lograr una resolución, el Cliente, como su único y exclusivo recurso, puede rescindir el Acuerdo por conveniencia, con la condición de que el Cliente proporcione un aviso por escrito al Proveedor dentro de los cinco (5) días calendario de haber sido informado del compromiso del subcontratista de TIC. El Cliente no tendrá derecho a ningún reembolso de tarifas pagadas antes de la fecha de cualquier rescisión de acuerdo con esta Sección.

3.2 Ubicaciones del Servicio de TIC. Las ubicaciones donde se prestan las funciones contratadas y subcontratadas de los servicios de TIC, incluyendo donde se procesan o almacenan datos, se describen en https://www.signnow.com/subprocessors (actualizada de vez en cuando). Cualquier cambio en dichas ubicaciones debe ser divulgado como se describe en 3.1 anterior.

3.3 Seguridad de los Datos. Las disposiciones sobre disponibilidad, autenticidad, integridad y confidencialidad respecto a la protección de datos, incluidos los datos personales, se describen más a fondo en el DPA del Proveedor en https://www.signnow.com/dpa.

3.4 Recuperación de Datos. En caso de que el Proveedor se vuelva insolvente, interrumpa las operaciones comerciales o rescinda el contrato, pondrá a disposición características o proporcionará apoyo al Cliente para garantizar el acceso, recuperación o devolución al Cliente de los Datos del Cliente, incluidos los Datos Personales y los datos no Personales procesados por el servicio de TIC.

3.5 Acuerdo de Nivel de Servicio. Los niveles de servicio de los servicios de TIC se proporcionan al Cliente como se describe en el Acuerdo. 

3.6 Respuesta a Incidentes de TIC. El Proveedor establecerá, mantendrá y documentará un proceso de gestión de incidentes TIC capaz de detectar, gestionar, registrar y resolver incidentes relacionados con las TIC. Este proceso cubrirá todos los incidentes relacionados con las TIC que afecten a la prestación del Servicio, incluidos, entre otros, los que afecten a la confidencialidad, integridad o disponibilidad de los sistemas o servicios TIC, así como las violaciones de datos personales. El Proveedor clasificará todos esos incidentes de conformidad con los criterios y umbrales de materialidad para un "incidente grave relacionado con las TIC" o una "amenaza cibernética significativa", tal como se especifica en el Reglamento DORA (Reglamento (UE) 2022/2554) y las Normas Técnicas de Regulación (NTR) asociadas sobre clasificación de incidentes. En caso de un incidente grave relacionado con las TIC que afecte al Servicio, el Proveedor notificará sin demora al contacto de respuesta a incidentes designado por el Cliente, en cuanto tenga conocimiento del incidente, para permitir al Cliente cumplir con sus obligaciones regulatorias de notificación obligatoria. 

3.7 Cooperación con Autoridades Competentes. El Proveedor cooperará plenamente con el Cliente y sus autoridades competentes de acuerdo con el Artículo 30(2)(g) de DORA.

3.8 Rescisión. Las partes (i) tienen derecho a rescindir las disposiciones del Acuerdo relacionadas con los servicios de TIC y (ii) se notificarán mutuamente la rescisión según lo especificado en el Acuerdo. Además de los derechos de rescisión proporcionados en el Acuerdo, se permitirá al Cliente rescindir las disposiciones del Acuerdo relacionadas con los Servicios de TIC que cumplan una o más de las siguientes condiciones especificadas en el Artículo 28(7)(a) de DORA:

incumplimiento significativo por parte del proveedor de servicios de TIC de leyes, regulaciones o términos contractuales aplicables;

circunstancias identificadas durante el monitoreo del riesgo de terceros en TIC que se consideren capaces de alterar el rendimiento de las funciones proporcionadas a través del acuerdo contractual, incluidos cambios materiales que afecten el acuerdo o la situación del proveedor de servicios de TIC;

debilidades evidentes del proveedor de servicios de TIC relacionadas con su gestión general del riesgo de TIC y, en particular, en la forma en que asegura la disponibilidad, autenticidad, integridad y confidencialidad de los datos, ya sean datos personales o de otro tipo sensibles, o datos no personales;

cuando la autoridad competente ya no puede supervisar efectivamente a la entidad financiera como resultado de las condiciones o circunstancias relacionadas con el respectivo acuerdo contractual.

Al rescindir, el Cliente es responsable de asegurarse de que ha recuperado o retenido toda la información y activos de los servicios de TIC.

3.9 Capacitación y Conciencia en Seguridad. El Proveedor se asegurará de que su personal responsable de los servicios de TIC haya recibido la capacitación adecuada en concienciación sobre seguridad y resiliencia operativa digital. Cuando el Cliente identifique que la capacitación del Proveedor no es suficiente para cumplir con los programas de capacitación en concienciación sobre seguridad de TIC y la capacitación en resiliencia operativa digital según lo especificado en el Artículo 13(6) de DORA, el Proveedor y el Cliente acordarán mutuamente cualquier participación adicional en programas de capacitación en concienciación sobre seguridad de TIC y capacitación en resiliencia operativa digital que se considere necesaria para que cada parte cumpla con sus obligaciones bajo DORA. 

Salvo por lo modificado por este Anexo DORA, todos los demás términos del Acuerdo permanecen sin cambios.