Acuerdo de procesamiento de datos (APD) de conformidad con el art. 28 RGPD entre Forge12 Interactive GmbH Josefstr. 37 78166 Donaueschingen – en adelante denominado el «Encargado del tratamiento» – y el cliente respectivo – en adelante denominado el «Responsable del tratamiento» –

1. Objeto y duración del tratamiento

(1) El Encargado del tratamiento presta al Responsable del tratamiento servicios en el ámbito de la seguridad informática y la detección de bots a través del servicio «SilentShield.io».

(2) El objeto del tratamiento es el análisis automatizado y el filtrado de flujos de datos para la detección y prevención de ataques y accesos abusivos.

(3) La duración del tratamiento corresponde al plazo del contrato principal respectivo.

2. Naturaleza y finalidad del tratamiento

El tratamiento se realiza en particular para los siguientes fines:

• Detección y prevención de accesos automatizados (bots)
• Protección contra ataques (p. ej., DDoS, spam)
• Garantía de la estabilidad y disponibilidad del sistema
• Análisis de patrones de acceso para la prevención de amenazas

Se pueden tomar decisiones automatizadas (p. ej., bloqueo de solicitudes) en la medida en que sea necesario para la seguridad del sistema.

3. Tipos de datos

• Direcciones IP
• Datos de encabezado HTTP
• Información del navegador y del dispositivo
• Datos de acceso (marca de tiempo, URL, solicitudes)
• Datos de interacción y comportamiento

4. Categorías de interesados

• Visitantes de los sitios web del Responsable del tratamiento
• Usuarios de los servicios en línea del Responsable del tratamiento

5. Obligaciones del Responsable del tratamiento

(1) El Responsable del tratamiento es responsable de la legalidad del tratamiento de datos.

(2) El Responsable del tratamiento se asegura de que está autorizado a transmitir los datos al Encargado del tratamiento.

(3) El Responsable del tratamiento cumple con sus obligaciones de información hacia los interesados.

6. Obligaciones del Encargado del tratamiento

El Encargado del tratamiento:

• trata los datos exclusivamente según instrucciones documentadas
• garantiza medidas técnicas y organizativas adecuadas
• asegura la confidencialidad
• asiste en los derechos de los interesados
• asiste en las evaluaciones de impacto de protección de datos

7. Medidas técnicas y organizativas (MTO)

El Encargado del tratamiento implementa en particular las siguientes medidas:

• Cifrado TLS/SSL
• Controles de acceso y modelos de roles
• Registro y monitorización
• Protección contra accesos no autorizados
• Auditorías de seguridad periódicas

8. Subencargados

• Cloudflare, Inc. (EE. UU.) – CDN, WAF, proxy, protección DDoS
• STRATO AG (Alemania) – Alojamiento e infraestructura

(2) El Encargado del tratamiento se asegura de que todos los subencargados estén vinculados de conformidad con el art. 28 RGPD.

(3) El Responsable del tratamiento otorga autorización general para el uso de estos subencargados.

(4) Se proporciona una lista actualizada de subencargados a petición o a través del sitio web.

9. Transferencias a terceros países

(1) Puede producirse una transferencia de datos personales a terceros países (en particular a EE. UU.).

(2) Dichas transferencias se realizan exclusivamente en cumplimiento del RGPD, en particular mediante:

• Cláusulas contractuales tipo de la UE (art. 46 RGPD)
• En su caso, el Marco de Privacidad de Datos UE-EE. UU.

10. Derechos de auditoría

(1) El Responsable del tratamiento tiene derecho a verificar el cumplimiento de este acuerdo.

(2) El Encargado del tratamiento proporciona la información adecuada a tal efecto.

(3) Las auditorías deben anunciarse con un plazo razonable y no deben interferir desproporcionadamente con las operaciones.

11. Eliminación de datos

Al finalizar el contrato, los datos personales serán eliminados o devueltos a elección del Responsable del tratamiento, salvo que existan obligaciones legales de conservación.

12. Responsabilidad

Se aplican las disposiciones de responsabilidad del contrato principal.