McGraw Hill Data Privacy and Security Guidelines

Este documento de Lineamientos de Seguridad de Datos ("LSD" o "Lineamientos de Seguridad") establece los deberes y obligaciones de McGraw Hill con respecto a la seguridad de la Información Personal (según se define más adelante). En caso de cualquier inconsistencia entre los LSD y el Contrato (según se define más adelante), las partes acuerdan que los lineamientos establecidos en los LSD prevalecerán. Los términos en mayúscula que no estén definidos en este documento tendrán el significado que se les atribuye en el Contrato.

1. Definiciones.

    a.  "Contrato" se refiere al Contrato por los Servicios entre la sociedad McGraw Hill LLC (“McGraw Hill”) y el Suscriptor, que incorpora el Aviso de Privacidad al que hacen referencia estos Lineamientos de Seguridad y del cual forman parte.

    b.  "Leyes Aplicables" se refiere a las leyes, normas y regulaciones federales, estatales e internacionales relacionadas con la privacidad, protección de datos y seguridad de la información que son aplicables a los Servicios y a la Información Personal.

    c.  "Datos del Usuario Final" se refiere a los datos proporcionados o recopilados por McGraw Hill en relación con las obligaciones de McGraw Hill para proporcionar los Servicios bajo el Contrato.

    d.  "Información Personal" se refiere a la información proporcionada a McGraw Hill en conexión con sus obligaciones de proporcionar los Servicios bajo el Contrato que (i) podría identificar razonablemente al individuo al que corresponde dicha información, como el nombre, dirección y/o número de teléfono, o (ii) que puede usarse para autenticar a dicho individuo, como contraseñas, números de identificación únicos o respuestas a preguntas de seguridad, o (iii) está protegida bajo las Leyes Aplicables. Para evitar dudas, la Información Personal no incluye datos agregados y anonimizados derivados de un individuo identificado o identificable.

    e.  "Procesamiento de la Información Personal" se refiere a cualquier operación o conjunto de operaciones que se realicen sobre la Información Personal, como la recolección, registro, organización, almacenamiento, uso, recuperación, transmisión, eliminación o destrucción.

    f.   "Tercero" se refiere a cualquier sociedad (incluyendo, sin limitación, cualquier afiliado, subsidiaria o matriz de McGraw Hill) que actúe en nombre de, y esté autorizada por McGraw Hill para recibir y utilizar la Información Personal en relación con las obligaciones de McGraw Hill de proporcionar los Servicios.

    g.  "Incidente de Seguridad" se refiere a cualquier acceso, adquisición, divulgación, pérdida o uso no autorizado, confirmado e ilegal de la Información Personal que representa un riesgo significativo de daño financiero, reputacional u otro para el Usuario Final o Suscriptor afectado.

    h.  "Servicios" se refiere a cualquier servicio y/o producto proporcionado por McGraw Hill de conformidad con el Contrato.

2. Confidencialidad y No Uso; Consentimientos.

    a.  McGraw Hill acepta que la Información Personal es Información Confidencial del Suscriptor y, a menos que esté autorizada por escrito por el Suscriptor o como se especifique de otra manera en el Contrato o en estos LSD, McGraw Hill no procesará la Información Personal para ningún propósito distinto a lo que sea razonablemente necesario para proporcionar los Servicios, ejercer cualquier derecho que le otorgue el Contrato, o según lo exijan las Leyes Aplicables.

    b.  McGraw Hill mantendrá la Información Personal como confidencial, de acuerdo con los términos establecidos en los presentes Lineamientos de Seguridad y las Leyes Aplicables. McGraw Hill requerirá que todos sus empleados autorizados por McGraw Hill y todos los Terceros cumplan con (i) las limitaciones consistentes con lo anterior; y (ii) con todas las Leyes Aplicables para acceder a la Información Personal.

    c.  El Suscriptor declara y garantiza que, en relación con cualquier Información Personal proporcionada directamente por el Suscriptor a McGraw Hill, el Suscriptor será el único responsable de (i) notificar a los Usuarios Finales que McGraw Hill procesará su Información Personal con el fin de proporcionar los Servicios y; (ii) obtener todos los consentimientos y/o aprobaciones requeridas por las Leyes Aplicables.

3.     Seguridad de Datos. McGraw Hill utilizará salvaguardas administrativas, técnicas y físicas que sean comercialmente razonables para proteger la seguridad, integridad y confidencialidad de la Información Personal. Las medidas de seguridad de McGraw Hill incluyen lo siguiente:

    a.  El acceso a la Información Personal está restringido únicamente al personal de McGraw Hill que necesite dicho acceso para llevar a cabo las obligaciones de McGraw Hill bajo el Contrato.

    b.  El acceso a aplicaciones informáticas e Información Personal se gestiona a través de procedimientos adecuados de identificación de usuario/contraseña.

    c.  El acceso a la Información Personal está restringido únicamente al personal del Suscriptor en función del rol de usuario que se les asigne en el sistema (siempre que sea responsabilidad del Suscriptor asegurar que los roles de usuario coincidan con el nivel de acceso permitido para el personal y que dicho personal cumpla con la Ley Aplicable en relación con el uso de dicha Información Personal).

    d.  Los datos están encriptados durante la transmisión (incluyendo a través de la interfaz web) y en reposo con un nivel de encriptación no inferior a 256 bits.

    e.  McGraw Hill o una parte autorizada por McGraw Hill realiza de manera periódica un escaneo de seguridad de la aplicación, sistemas informáticos y red que alberga la Información Personal utilizando un sistema de escaneo de seguridad comercialmente disponible.

4. Incidente de Seguridad

    a.  En caso de un Incidente de Seguridad, McGraw Hill deberá (i) investigar el Incidente de Seguridad, identificar el impacto del Incidente de Seguridad y tomar acciones comercialmente razonables para mitigar los efectos de dicho Incidente de Seguridad, (ii) proporcionar de manera oportuna cualquier notificación al Suscriptor o a los individuos afectados por el Incidente de Seguridad que McGraw Hill esté obligada a realizar por ley, sujeto a las obligaciones de confidencialidad aplicables y en la medida permitida y/o requerida y no prohibida por las Leyes Aplicables o las autoridades correspondientes.

    b.  Excepto en la medida en que esté prohibido por las Leyes Aplicables o por las autoridades correspondientes, McGraw Hill, a solicitud por escrito del Suscriptor y en la medida en que esté disponible, proporcionará al Suscriptor una descripción del Incidente de Seguridad y del tipo de datos que fueron objeto de este.

5.     Cuestionario de Seguridad

    a.  A solicitud por escrito del Suscriptor, la cual no deberá realizarse con más frecuencia que una vez cada doce (12) meses, McGraw Hill deberá responder a los cuestionarios de seguridad proporcionados por el Suscriptor, en relación con el programa de seguridad de la información de McGraw Hill aplicable a los Servicios, siempre que dicha información esté disponible en el curso ordinario de los negocios de McGraw Hill y no esté sujeta a ninguna restricción de acuerdo con las políticas o estándares de privacidad, protección de datos o seguridad de la información de McGraw Hill. La divulgación de dicha información no comprometerá las obligaciones de confidencialidad y/o las obligaciones o privilegios legales de McGraw Hill. Adicionalmente, en ningún caso se requerirá a McGraw Hill hacer divulgaciones prohibidas por las Leyes Aplicables. Toda la información proporcionada al Suscriptor en virtud de la presente sección será considerada Información Confidencial de McGraw Hill y deberá ser tratada como tal por el Suscriptor.

6.     Auditoría de Seguridad

    a.  A solicitud por escrito del Suscriptor, que no deberá realizarse con más frecuencia que una vez cada doce (12) meses, las medidas de seguridad de datos de McGraw Hill podrán ser revisadas por el Suscriptor mediante una auditoría informal de políticas y procedimientos o a través de la inspección por parte de un auditor independiente de los métodos de seguridad utilizados dentro de la infraestructura, almacenamiento y otras medidas de seguridad física de McGraw Hill, cualquier auditoría será a cargo exclusivo del Suscriptor y sujeta a un convenio de confidencialidad mutuamente aceptable y a un horario también mutuamente acordado; alternativamente, McGraw Hill podrá proporcionar al Suscriptor una copia de cualquier auditoría realizada por terceros que McGraw Hill haya podido encargar.

7.     Conservación y Eliminación de Registros

    a.  El Suscriptor podrá acceder, corregir y eliminar cualquier Información Personal en posesión de McGraw Hill mediante la presentación del Formulario de Solicitud de Información Personal de McGraw Hill: https://www.mheducation.com/privacy/privacy-request-form.

    b.  McGraw Hill realizará esfuerzos comercialmente razonables para retener los Datos del Usuario Final de acuerdo con las políticas de retención de Datos del Usuario Final de McGraw Hill.