TÉRMINOS Y CONDICIONES DE CONTRATACIÓN DE BIENES O SERVICIOS DEL GRUPO AON
Los presentes Términos y Condiciones, junto con las disposiciones especificadas en la Hoja de Encargo, constituyen la totalidad de la regulación entre las Partes para la prestación de Bienes y/o Servicios contratados (en adelante “los Servicios”), y reemplaza todas las negociaciones, acuerdos y declaraciones anteriores entre las Partes, ya sean orales o escritos. Los presentes Términos y Condiciones se entenderán aceptados por el Proveedor a la aceptación de la Hoja de Encargo, los presentes Términos y Condiciones, así como la Hoja de Encargo, no podrán ser modificados a menos que se acuerde de forma expresa y por escrito por ambas Partes.
Estos Términos y Condiciones, junto con la Hoja de Encargo, son los únicos aplicables a la relación entre las partes, a menos que se suscriba un contrato específico entre las partes, en cuyo caso prevalecerán los Términos y Condiciones que se contengan en el contrato formalizado al efecto.
1.- OBJETO Y PRESTACIÓN DEL SERVICIO
1.1. Los presentes Términos y Condiciones junto con la Hoja de Encargo, regula las condiciones en las que el Proveedor llevará cabo la prestación para el Grupo AON de los Servicios que éste le contrate.
1.2. El Proveedor prestará los Servicios de conformidad con el contenido de los presentes Términos y Condiciones y con lo establecido en la correspondiente Hoja de Encargo.
1.3. Dichos Servicios serán prestados por el Proveedor en total coordinación con el Grupo AON, y siempre y en todo momento siguiendo las instrucciones precisas de este último.
1.4. El Proveedor queda obligado a realizar sus mejores esfuerzos y actuar con la mayor diligencia para prestar dichos Servicios con la mejor calidad.
1.5. El Proveedor se obliga a prestar los Servicios con autonomía e independencia, pero con dedicación y disponibilidad necesaria para la consecución de los objetivos que constituyen el servicio.
1.6. Los Servicios se prestarán con la debida calidad exigida, y el Proveedor ejercitará una diligencia razonable en la prestación de los Servicios, propia de un buen profesional, y de conformidad con los criterios profesionales que generalmente observan los proveedores competentes de servicios del tipo de los Servicios contratados.
1.7. Salvo cuando se indique lo contrario, el Proveedor facilitará toda la mano de obra, herramientas, equipos y materiales necesarios para el cumplimiento de sus obligaciones con arreglo a la Hoja de Encargo. Todos los materiales serán nuevos y de una calidad adecuada. El Proveedor manifiesta y garantiza que es un proveedor de servicios con experiencia que se dedica profesionalmente a la prestación de los Servicios, y que dispone de suficiente personal capacitado, formado y dotado de las habilidades y la experiencia necesarias, así como de equipos, suministros y materiales aptos en la medida necesaria para prestar los Servicios de manera segura, eficiente y competente.
1.8. Durante un plazo de doce (12) meses a contar desde la fecha en que se hubieran prestado los Servicios con arreglo a la Hoja de Encargo, el Proveedor deberá, con la mayor agilidad y sin coste para el Grupo AON, subsanar cuantos defectos se detecten en dichos Servicios y todos los incumplimientos de los niveles de servicio, errores y falta de prestación de los Servicios. El Grupo AON informará inmediatamente por escrito al Proveedor de los costes o pagos en que Grupo AON hubiera incurrido a consecuencia de defectos en los Servicios, incumplimientos de los niveles de servicio, errores o faltas de prestación de los Servicios, y el Proveedor reembolsará a Grupo AON sin limitación dichos costes o pagos.
1.9. Los Servicios se prestarán durante el periodo y en las condiciones previstas en la Hoja de Encargo y de acuerdo con los presentes Términos y Condiciones. El cumplimiento de los plazos será condición esencial.
1.10. Si los Servicios no se hubieran prestado en la fecha prevista, sin perjuicio de los demás derechos que le asistan, Grupo AON se reserva el derecho a:
(a) resolver la Hoja de Encargo y, por tanto, la prestación del servicio;
(b) negarse a aceptar los siguientes Servicios que el Proveedor pretenda realizar;
(c) repercutir al Proveedor todo gasto en que razonablemente hubiera incurrido Grupo AON para obtener servicios sustitutivos de otro proveedor; y
(d) reclamar daños y perjuicios por los costes, pérdidas o gastos adicionales en que Grupo AON hubiera incurrido y que sean de cualquier modo imputables al incumplimiento por el Proveedor de su deber de prestar los servicios en la fecha prevista.
2.- PRECIO Y FORMA DE PAGO
Al precio de los Servicios prestados de acuerdo con la Hoja de Encargo deberá añadirse el IVA correspondiente, si procediera según la normativa vigente, así como cualesquiera otros impuestos que fueran de aplicación.
El Grupo AON vendrá obligado al pago del montante de los Servicios que se efectuará a los 60 días de la fecha de la recepción de la correspondiente factura y previa conformidad de la misma.
Grupo AON abonará al Proveedor, el importe del precio de los Servicios y del IVA correspondiente, si procediera de acuerdo con la normativa vigente, mediante transferencia bancaria a la cuenta corriente que el Proveedor le indique en la propia factura.
De conformidad con la Ley General Tributaria, el Proveedor se obliga a aportar a Grupo AON, un certificado de encontrarse al corriente de sus obligaciones tributarias. Dicho certificado se aportará a la aceptación de la Hoja de Encargo. Grupo AON no podrá efectuar el pago de ninguna factura sin la existencia del certificado mencionado.
La factura deberá ser enviada por el Proveedor a Grupo Aon, y deberán incluir una descripción del Servicio al que se refieran para poder ser procesadas y poder realizar los pagos. En caso, de no incluir dicha descripción en la factura, Grupo AON no procesará dicha factura, siendo la misma devuelta al proveedor para la modificación.
La factura se enviará por correo electrónico a la siguiente dirección:
XXXX@aon.es
3.- CONFIDENCIALIDAD Y PROTECCIÓN DE DATOS
Confidencialidad
A partir de la aceptación de la Hoja de Encargo, el Proveedor se compromete y garantiza en su propio nombre y en nombre de los miembros de su personal y colaboradores, a no divulgar dato alguno y a respetar un estricto deber de secreto con respecto la Información Confidencial suministrada o recibida de Grupo AON en el marco de la prestación del servicio, manteniendo en la más estricta confidencialidad y secreto dicha Información y no revelándola a terceros salvo previo consentimiento por escrito de Grupo AON. Toda la información de propiedad reservada poseída y revelada, seguirá considerándose propiedad exclusiva de su titular y su confidencialidad será mantenida y protegida por el Proveedor.
El Proveedor adoptará las medidas apropiadas para salvaguardar el carácter reservado y secreto de la Información Confidencial, procurando adoptar, cuando ello sea posible, todas las medidas necesarias a su alcance a efectos de (i) limitar al máximo el número de personas que puedan tener acceso a la misma; y de (ii) restringir, dentro del lugar en el que desarrolle su actividad, el acceso, tanto físico como informático, a la Información Confidencial, impidiendo el acceso a la misma a cualquier tercero ajeno.
Las obligaciones de confidencialidad establecidas tendrán una duración indefinida, manteniéndose en vigor con posterioridad a la finalización, por cualquier causa, de la relación entre el Proveedor y Grupo AON.
Las obligaciones de confidencialidad establecidas para el Proveedor serán también de obligado cumplimiento para sus empleados, colaboradores, tanto externos como internos, y, en caso de estar autorizados por Grupo AON, sus subcontratistas.
El Proveedor informará a su personal y colaboradores de las obligaciones de confidencialidad establecidas. Asimismo, realizará cuantas advertencias sean necesarias y suscribirá cuantos documentos sean necesarios con su personal y colaboradores, con el fin de asegurar el cumplimiento de tales obligaciones.
El Proveedor se compromete, tras la extinción por cualquier causa de la Hoja de Encargo y, consecuentemente, de la prestación del servicio y sin necesidad de requerimiento previo, a la devolución de toda aquella Información Confidencial que Grupo AON le hubiera entregado.
Los compromisos de confidencialidad recogidos en los presentes Términos y Condiciones no serán de aplicación en relación con aquella información (i) que resulte accesible al público o que haya sido publicada con anterioridad a la fecha de la aceptación de la Hoja de Encargo y de los presentes Términos y Condiciones ; (ii) que sea recibida a través de terceros sin restricciones y sin que implique incumplimiento de los compromisos de confidencialidad asumidos en virtud de la Hoja de Encargo o de los presentes Términos y Condiciones; o (iii) que deba ser revelada para dar cumplimiento a una orden de naturaleza judicial o administrativa.
Protección de Datos de Carácter Personal
Para el supuesto de que la prestación de servicios por parte del Proveedor conllevará el acceso y tratamiento por parte de ésta a datos de carácter personal titularidad de Grupo AON y, en su caso, de otros terceros. El tratamiento de datos por parte del Proveedor se sujetará siempre y en todo momento a lo establecido en el Reglamento General de Protección de Datos UE 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (en adelante, el "RGPD") y demás normativa española de protección de datos que fuera de aplicación en cada momento.
A estos efectos, Grupo AON tendrá la consideración de responsable del tratamiento y el Proveedor tendrá la consideración de encargado del tratamiento conforme a lo establecido en los artículos 28 y 29 del RGPD. En el supuesto de existir cualquier tipo de contradicción en materia de protección de datos entre lo establecido en los presentes Términos y Condiciones y lo dispuesto en cualquier otro documento que regule la prestación de los servicios, prevalecerá lo regulado en los presentes Términos y Condiciones.
Los términos específicos de los presentes Términos y Condiciones en materia de protección de datos serán interpretados conforme a lo establecido en la sección "Definiciones" del artículo 4 del RGPD.
El Encargado del Tratamiento se compromete a guardar la máxima reserva, confidencialidad y secreto sobre cualquier información a la que acceda en virtud de los presentes Términos y Condiciones, la cual tiene carácter de secreto industrial / comercial. Esta obligación de confidencialidad tiene carácter indefinido y permanecerá en vigor tras la aceptación de la Hoja de Encargo y de los presentes Términos y Condiciones.
El Encargado del Tratamiento es responsable de que su personal, colaboradores, directivos, así como todas aquellas personas de su responsabilidad que tengan acceso a los Datos Personales y / o a cualquier otra información confidencial respeten la obligación de confidencialidad aun después de la finalización de la prestación del servicio. En este sentido, el Encargado del Tratamiento realizará cuantas advertencias y suscribirá cuantos documentos / acuerdos sean necesarios para el fin de asegurar el pleno cumplimiento de la obligación de confidencialidad. Estos documentos / acuerdos podrán ser solicitados por Grupo AON con el fin de verificar el nivel de cumplimiento del Encargado del Tratamiento y de las personas de su responsabilidad.
El Proveedor, en su calidad de Encargado del Tratamiento, asume las siguientes obligaciones respecto a los Datos Personales:
a) Acceder, tratar y procesar los Datos Personales únicamente cuando sea necesario para la prestación de los servicios objeto de la Hoja de Encargo y de acuerdo con los presentes Términos y Condiciones.
b) Tratar los Datos Personales de conformidad con las instrucciones que le proporcione Grupo AON, muy especialmente con las instrucciones relativas al deber de información y obtención del consentimiento en aquellos casos donde el tratamiento incluya la recogida de Datos Personales en nombre y por cuenta de Grupo AON;
c) Informar inmediatamente a Grupo AON en caso de que el Encargado del Tratamiento considere que alguna de las instrucciones de Grupo AON pudiera ser contradictoria al RGPD o cualquier normativa aplicable;
d) No tratar, procesar ni utilizar los Datos Personales con fines distintos a la prestación de los servicios que se indiquen en la Hoja de Encargo y de conformidad con los presentes Términos y Condiciones.
e) No revelar, transferir, ceder ni comunicar los Datos Personales a ningún tercero salvo que exista autorización o instrucción previa escrita de Grupo AON;
f) Mantener un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de Grupo AON con la información mínima exigida en el artículo 30.2 del RGPD y cualquier otra normativa de protección de datos que fuera de aplicación en cada momento.
g) Proporcionar la formación necesaria en materia de protección de datos y confidencialidad a aquellos empleados autorizados para tratar los Datos Personales;
h) Dar apoyo a Grupo AON en la realización de las evaluaciones de impacto y de las consultas a la Autoridad de Control relativas a los Datos Personales;
i) Poner a disposición de Grupo AON toda la información necesaria para demostrar cumplimiento con las obligaciones en materia de protección de datos, así como para permitir la realización de auditorías o inspecciones por parte de Grupo AON u otro auditor autorizado por este;
j) Designar un delegado de protección de datos y comunicar su identidad y datos de contacto a Grupo AON, así como cumplir con todo lo dispuesto en los artículos 37, 38 y 39 del RGPD (en caso de estar sujeto a la obligación prevista en el artículo 37.1 del RGPD de designar un delegado de protección de datos);
k) Respetar todas las obligaciones que pudieran corresponderle como Encargado del Tratamiento con arreglo al RGPD o demás normativa aplicable en materia de protección de datos y privacidad;
l) Informar a Grupo AON en aquellos casos donde, en cumplimiento de una obligación legal, el Encargado del Tratamiento tuviera que transferir o permitir el acceso a Datos Personales de un tercero (salvo que estuviere prohibido informar por razones de interés público);
m) A la terminación de la prestación del servicio, cualquiera que sea la causa:
1. Proceder, a elección de Grupo AON, a destruir o devolver los Datos Personales a los que haya tenido acceso en virtud de la prestación del servicio.
2. Para el caso que Grupo AON optase por la devolución, proceder a la destrucción física de cualquier tipo de soporte que contenga información o Datos Personales facilitados por Grupo AON al Encargado del Tratamiento que no hayan sido devueltos a Grupo AON.
3. En el caso que a la finalización de la prestación del servicio, Grupo AON no se pronuncie expresamente, se entenderá que ésta opta por la destrucción de los Datos Personales, debiendo el Proveedor, llevar a cabo todas las acciones necesarias a tal fin.
n) Conforme a lo previsto en el artículo 32 del RGPD, el Proveedor queda obligado a adoptar y aplicar las medidas de seguridad establecidas a continuación, garantizando en todo momento la seguridad de los Datos Personales durante toda la prestación del servicio;
1.
BCP / DRP
Valoración de los procedimientos que garantizan la continuidad de las operaciones en circunstancias extraordinarias, incluido el mantenimiento de medidas para garantizar la privacidad y seguridad de sus recursos de información.
1.1. Copias de seguridad: realizar copias de seguridad con carácter periódico y predeterminado, adaptando sus requisitos de retención y conservación de la información a su Plan de Continuidad de Negocio. Asimismo, realizar pruebas regulares de su eficacia.
2.
Gestión de incidencias
Análisis de los procedimientos de gestión de incidentes de seguridad de la información para garantizar que el personal está capacitado y equipado para detectar, informar y responder ante incidencias o brechas de seguridad.
2.1. Gestión de la detección, análisis y respuesta a incidencias en seguridad de la información: disponer de procedimientos de detección, análisis y gestión de incidencias en seguridad de la información. Asimismo, disponer de plantillas para la notificación y el registro de incidencias de seguridad. Mantiene contacto directo con autoridades e instituciones públicas responsables de velar por la protección de los datos de carácter personal.
2.2. Reporting de vulnerabilidades en seguridad de la información: Los empleados y contratistas del Encargado del Tratamiento se encuentran expresamente obligados a reportar cualquier vulnerabilidad detectada en materia de seguridad de la información.
2.3. Procesos de evaluación de eventos de seguridad de la información: disponer de mecanismos de evaluación de eventos de seguridad de la información en términos de impacto, alcance y afectación, así como los criterios para determinar si se deben clasificar como incidencias en seguridad de la información.
2.4. Respuesta ante incidentes de seguridad de la información: disponer de un procedimiento de respuesta ante incidencias de seguridad de la información que contempla los siguientes aspectos:
2.4.1. Proceso de recolección de la evidencia.
2.4.2. Análisis forense (si aplica).
2.4.3. Procesos de comunicación internos y externos.
2.4.4. Tratamiento de las debilidades de seguridad de la información.
2.4.5. Cierre y registro.
2.5. Gestión de las vulnerabilidades técnicas: disponer de mecanismos y recursos para la gestión de las vulnerabilidades técnicas detectadas que incluyen:
2.5.1. La definición de los recursos de información sobre los que identificar las vulnerabilidades técnicas.
2.5.2. Evaluación sobre la eficacia de los parches de software antes de su instalación.
2.5.3. Mecanismos de coordinación entre las distintas áreas y departamentos implicados.
2.5.4. Estimación del horizonte temporal para la subsanación de las vulnerabilidades detectadas.
2.5.5. Asignación de roles y responsabilidades para la subsanación de la vulnerabilidad.
3.
Gestión de Activos
3.1. Gestión de la capacidad de los activos: disponer de mecanismos de gestión de la capacidad de sus sistemas de información cuyo alcance incluye:
3.1.1. La eliminación de datos obsoletos.
3.1.2. El cierre definitivo de aplicaciones, sistemas o bases de datos.
3.1.3. La optimización de cronogramas y procesos batch.
3.1.4. La optimización de las consultas de bases de datos o lógicas de las aplicaciones.
3.1.5. Restricción del ancho de banda en determinados servicios con un elevado consumo de recursos.
3.2. Gestión de dispositivos móviles: disponer de mecanismos de gestión de los dispositivos móviles de sus empleados cuyo alcance incluye:
3.2.1. Restricciones para la instalación de software en dispositivos móviles.
3.2.2. Medidas de seguridad criptográficas.
3.2.3. Medidas de protección de software malicioso.
3.2.4. Posibilidad de borrado o deshabilitamiento a distancia.
3.2.5. Documentación sobre el uso aceptable de los dispositivos.
3.2.6. Firma de acuerdos de usuario final.
3.3. Política de teletrabajo: disponer de una política de teletrabajo que establece los derechos y obligaciones de sus empleados en cuanto a los siguientes aspectos:
3.3.1. Condiciones de seguridad para el desempeño del trabajo.
3.3.2. Cuidado y mantenimiento de las herramientas de trabajo.
3.3.3. Espacio de trabajo en el domicilio.
3.3.4. Disponibilidad horaria.
3.3.5. Confidencialidad, secreto profesional y código de conducta
3.4. Inventario de los activos de información e instalaciones de procesamiento de información: mantener un inventario de los activos e instalaciones de procesamiento de información que incluye las personas responsables por ellos y las reglas de uso aceptable.
3.5. Gestión del uso aceptable de los activos y dispositivos de almacenamiento: disponer de documentos firmados con sus empleados donde se establece el uso aceptable de los activos y dispositivos de almacenamiento de información.
3.6. Gestión de la devolución de activos y dispositivos de almacenamiento: disponer de mecanismos de gestión de la devolución de activos y dispositivos de almacenamiento que incluyen:
3.6.1. La eliminación de sus datos sensibles o licencias de software antes de la retirada de equipos o dispositivos móviles.
3.6.2. La destrucción física de los dispositivos de almacenamiento que contienen información confidencial o protegida por derechos de autor o técnicas para hacer que la información original no sea recuperable.
3.6.3. Firma de un documento por la devolución del equipo y el teléfono móvil a la terminación del contrato.
3.7. Inventario de software autorizado y aplicaciones: mantener un inventario de software que incluye la siguiente información: vendedores, numeración de las versiones, estado actual del despliegue (incluyendo qué software está instalado en cada sistema) y responsables.
3.8. Gestión de medios de almacenamiento de datos en tránsito: Aon dispone de mecanismos de gestión de los dispositivos de almacenamiento de datos en tránsito incluyendo:
3.8.1. El registro de los receptores autorizados de sus activos.
3.8.2. El etiquetado de los dispositivos de almacenamiento o información conforme a la atención del receptor autorizado.
3.9. Gestión de soportes extraíbles (USB's): disponer de mecanismos de gestión de dispositivos de almacenamiento extraíble incluyendo:
3.9.1. La eliminación segura del contenido de los dispositivos de almacenamiento externo.
3.9.2. Inventario de los medios de almacenamiento externo para mitigar el riesgo de la pérdida de datos.
3.9.3. Ubicación segura de los dispositivos de almacenamiento externo para prevenir el riesgo por pérdida, deterioro o robo de los mismos.
3.10. Destrucción segura de soportes: disponer de medios para retirar los dispositivos de almacenamiento de información confidencial de forma segura. Los proveedores encargados de la retirada disponen de mecanismos de incineración, destrucción o borrado de los datos antes de su utilización por otra aplicación dentro de la organización.
3.11. Restricción sobre los derechos de administración de sistemas: disponer de medidas de restricción sobre los derechos de administración de sus sistemas y aplicaciones. Los empleados del Encargado del Tratamiento solo pueden instalar en sus equipos el software autorizado previamente.
4.
Segregación de Roles
4.1. Asignación de roles y responsabilidades para el cumplimiento de la política de seguridad de la información: realizar una asignación de roles y responsabilidades para el cumplimiento de la política de seguridad de la información incluyendo (entre otros) los siguientes aspectos:
4.1.1. Responsabilidad en las actividades de gestión del riesgo de la seguridad de la información.
4.1.2. Apetito al riesgo de la organización y aceptación de riesgos residuales.
4.1.3. Definición de la responsabilidad local para la protección de activos y para la realización de controles de seguridad específicos.
5.
Seguridad en RR. HH.:
5.1. Comprobación de antecedentes a todos los candidatos de empleo, subcontratistas y terceras partes: realizar procesos de verificación de antecedentes profesionales a todos los candidatos de empleo, subcontratistas y terceras partes analizando (entre otros) los siguientes aspectos:
5.1.1. Verificación de referencias profesionales satisfactorias.
5.1.2. Verificación del historial profesional (Informe de vida laboral.
5.2. Firma de acuerdos contractuales que recogen los requisitos de seguridad de la información en materia de RR.HH.: disponer de acuerdos firmados con empleados, contratistas o clientes conforme al contenido de sus políticas de seguridad de la información. Las obligaciones de estos acuerdos se extienden durante un periodo definido tras la finalización del contrato. Asimismo, disponer de acuerdos de confidencialidad y no divulgación con todos los empleados y contratistas a los que brinda acceso a la información confidencial y antes de puedan acceder a las instalaciones de procesamiento de información.
6.
Cumplimiento Regulatorio:
6.1. Procesos de identificación, registro y actualización periódica de la lista de requisitos legales exigibles para la prestación del servicio: disponer de procesos de revisión y documentación de los requisitos estatutarios, reglamentarios y contractuales pertinentes. Asimismo, disponer de asesoramiento legal externo para asegurar el cumplimiento con la legislación y las reglamentaciones pertinentes.
6.2. Informes de experto externo independiente: contratar periódicamente la realización de informes de cumplimiento normativo por parte de un experto externo independiente. Asimismo, tras la realización de dichos informes la Dirección revisa y aprueba el plan para la subsanación de las deficiencias detectadas.
6.3. Protección sobre derechos de propiedad intelectual: disponer de una política de cumplimiento de derechos de propiedad intelectual que define el uso legal del software y de productos informáticos.
7.
Antivirus / Malware
7.1. Implantación de restricciones sobre la utilización de software no autorizado o la navegación en sitios potencialmente peligrosos: disponer de medios para restringir la utilización de software no autorizado o la navegación web en sitios potencialmente peligrosos.
7.2. Revisión periódica de la configuración del software de detección de códigos maliciosos y reparación de archivos dañados: revisar periódicamente la configuración de sus sistemas de detección de códigos maliciosos y la reparación de archivos dañados.
7.3. Procesos de identificación de amenazas: Los responsables de seguridad de la información están suscritos a listas de correos y sitios web que suministran información sobre nuevos códigos maliciosos o la detección de amenazas potenciales.
8.
Audit / Logging
8.1. Registro de actividad de las cuentas de Administración de sistemas: disponer de medios para restringir el borrado del loga de actividad de sus administradores de sistemas y aplicaciones.
8.2. Sincronización de relojes: disponer de mecanismos de sincronización de los relojes de todos sus sistemas de información de acuerdo a una única fuente de referencia de tiempo.
9.
Controles de acceso
9.1. Procesos de control de accesos: realizar procesos para el control de acceso a sus activos de información que contemplan (entre otros) los siguientes aspectos:
9.1.1. La separación de los roles de control de acceso, (p.ej., solicitud de acceso, autorización de acceso, administración del acceso).
9.1.2. Los requisitos para la autorización formal de las solicitudes de acceso.
9.1.3. Los requisitos para la revisión periódica de los derechos de acceso.
9.1.4. El retiro de los derechos de acceso.
9.1.5. Roles con derechos de acceso privilegiado.
9.1.6. La legislación pertinente y cualquier obligación contractual concerniente a la limitación del acceso a datos o servicios.
9.2. Procesos de control del uso de redes y servicios de red: realizar procesos de control sobre el uso de sus redes y servicios que contemplan (entre otros) los siguientes aspectos:
9.2.1. Las redes y servicios de red a los que se permite el acceso.
9.2.2. Los procedimientos de autorización para determinar a quién se permite el acceso a qué redes y servicios de red.
9.2.3. Los controles y procedimientos de gestión para proteger el acceso a las conexiones y a los servicios de red.
9.2.4. Los medios usados para acceder a las redes y servicios de red (por ejemplo, el uso de VPN o redes inalámbricas).
9.2.5. Los requisitos de autenticación de usuarios para acceder a diversos servicios de red.
9.3. Registro de usuarios para la asignación de los derechos de acceso: contar con mecanismos de identificación única de los usuarios para estar vinculados a sus acciones y mantener la responsabilidad por ellas.
9.4. Suministro de acceso a usuarios: disponer de un proceso de asignación de los derechos de acceso que incluye:
9.4.1. La autorización del propietario del sistema de información o servicio para el uso del mismo.
9.4.2. Verificación previa de que el nivel de acceso otorgado es coherente con las políticas de acceso implantadas.
9.4.3. La adaptación de los derechos de acceso de usuarios que han cambiado de roles o de empleo, y retirada o bloqueo inmediato de los derechos de acceso de los usuarios que han dejado la organización.
9.4.4. Revisión periódica de los derechos de acceso con los propietarios de los sistemas de información o servicios.
9.4.5. Mantenimiento de un registro central de los derechos de acceso suministrados a cada identificación de usuario para acceder a sistemas de información y servicios.
9.5. Gestión de derechos de acceso privilegiado: disponer de mecanismos de gestión de los derechos de acceso privilegiado incluyendo:
9.5.1. Un registro de los derechos de acceso e identificadores asociados.
9.5.2. Un proceso para la revisión y autorización de los identificadores genéricos de administración.
10.
Detección de intrusiones
10.1. Realización de test de penetración y ejercicios de simulación de ciberataques: planificar y documenta con carácter periódico pruebas de penetración y ejercicios de simulación de ciberataques.
10.2. Disponibilidad de herramientas de detección y generación de alertas: disponer de herramientas de detección automática de intrusiones y la generación de informes técnicos.
11.
Encriptación
11.1. Identificación de los procesos de transferencia o almacenamiento de la información que requieren encriptación de los datos: disponer de las herramientas tecnológicas y los procesos necesarios para adaptarse a las necesidades de sus clientes y proveedores respecto a la transmisión electrónica de datos.
11.2. Encriptación para la transmisión electrónica de datos a través de Internet o cualquier otra red no segura: dispone de Win Zip como herramienta interna para el cifrado de sus archivos y datos enviados, o herramienta similar. Asimismo, disponer de otras herramientas para garantizar la transferencia segura de datos en sus procesos de negocio como son la utilización de ficheros EDI y Servidores SFTP.
12.
Medidas de seguridad física perimetral
12.1. Medidas de protección ambiental: Los componentes principales de la infraestructura de sistemas y redes del Encargado del Tratamiento se encuentran ubicados en áreas seguras con mecanismos de vigilancia y control de accesos. Asimismo los sistemas de administración LAN, puntos de acceso inalámbrico y servidores se encuentran ubicados en áreas seguras.
12.2. Mecanismos de vigilancia y control físico de accesos: control del acceso de sus empleados y contratistas a sus oficinas y centros de trabajo mediante un sistema de tarjetas electrónicas. Asimismo, disponer de centros de datos seguros conforme a las mejores prácticas de negocio.
12.3. Control sobre equipos de usuarios desatendidos: disponer de mecanismos para proteger los equipos desatendidos por parte de sus empleados:
12.3.1. Los computadores y terminales permanecen fuera del sistema en caso de encontrarse desatendidos
12.3.2. La protección de la pantalla / teclado con un sistema de bloqueo, controlado por una contraseña, token o mecanismo similar de autenticación de usuario
12.3.3. La protección por bloqueo de teclas u otros controles, cuando los equipos no están en uso
13.
Política de contraseñas
13.1. Sistema de gestión de contraseñas: contar con un sistema de gestión de contraseñas que contempla (entre otros) los siguientes aspectos:
13.1.1. Requisitos de complejidad y longitud para la identificación de usuarios en los sistemas y aplicaciones.
13.1.2. Verificación de la identidad de los usuarios antes de proporcionarles la nueva información de autenticación secreta de reemplazo o temporal.
13.1.3. La información de autenticación secreta temporal se suministra a los usuarios de una manera segura.
13.1.4. La información de autenticación secreta temporal es única para cada individuo y no es fácil de adivinar.
13.1.5. Los usuarios acusan recibo de la información de autenticación secreta.
14.
Seguridad en la red
14.1. Configuración segura de software y hardware en equipos de sobremesa, portátiles, servidores y dispositivos móviles: revisar periódicamente la configuración de su software y hardware en los equipos de sobremesa, portátiles, servidores y dispositivos móviles verificando (entre otros) los siguientes aspectos:
14.1.1. Los mecanismos para limitar y controlar el uso de puertos, protocolos y servicios de red.
14.1.2. La separación entre los grupos de servicios de información, usuarios y sistemas de información en las redes de comunicación.
14.1.3. La definición del perímetro y los controles de acceso de los dominios de red del Encargado del Tratamiento.
14.1.4. La configuración de las redes inalámbricas como conexiones externas.
14.1.5. El acceso restringido a los sistemas internos para las redes inalámbricas.
14.2. Gestión de la seguridad de los servicios de red: disponer de mecanismos de gestión de la seguridad de los servicios de red que incluyen entre otros:
14.2.1. El análisis de la capacidad del proveedor de servicios de red para cumplir con los requisitos de la Política de Seguridad de la Información o el Estándar de Seguridad.
14.2.2. Capacidad para monitorizar y auditar el cumplimiento de los requisitos de seguridad de la información.
14.2.3. Niveles de servicio acordados o SLA's.
14.2.4. Definición de parámetros técnicos para la conexión segura con los servicios de red (p.ej., autenticación, encriptación y controles de conexión de red).
14.2.5. Restricción de accesos a los servicios o aplicaciones de red.
14.2.6. Recursos tecnológicos para garantiza la seguridad de los servicios de red.
14.3. Utilización de herramientas de monitorización del tráfico: disponer de mecanismos de control de seguridad de la red que incluye:
14.3.1. El filtrado web entrante y saliente.
14.3.2. Sistema firewall de aplicaciones.
15.
System Development Lifecycle
15.1. Análisis de requisitos y especificaciones de seguridad de la información en los proyectos de desarrollo de sistemas y aplicaciones: disponer de un procedimiento de evaluación de impacto sobre el tratamiento de datos personales aplicable en aquellos proyectos internos que pueden comportar un elevado riesgo para los derechos y libertades de las personas físicas.
15.2. Control sobre la separación de los entornos de desarrollo, pruebas y operación: disponer de mecanismos de control sobre la separación de los entornos de desarrollo, pruebas y operación. Estos mecanismos incluyen:
15.2.1. Las reglas para la transferencia de software del estatus de desarrollo al de operaciones.
15.2.2. Las pruebas de funcionamiento del software de desarrollo y de operaciones necesarias en diferentes sistemas o procesadores y en diferentes dominios o directorios.
15.2.3. La restricción de los accesos desde sistemas operacionales a compiladores, editores y otras herramientas de desarrollo.
15.2.4. El uso de diferentes perfiles de usuario para sistemas operacionales y de pruebas y los mensajes de identificación apropiados para reducir el riesgo de error.
15.3. Monitorización de la actividad de desarrollo de sistemas contratada externamente: monitorizar la actividad de desarrollo externo de sus sistemas y aplicaciones. En particular, analiza los siguientes aspectos:
15.3.1. Acuerdos de licenciamiento, propiedad de los códigos y derechos de propiedad intelectual relacionados con el contenido contratado externamente.
15.3.2. verificar periódicamente el acceso de los programadores que realizan funciones de soporte. Estos, se limitan a las áreas del sistema que son necesarias para realizar su trabajo.
15.4. Control de cambios sobre los desarrollos efectuados en sistemas: contar con procesos de control de cambios desde las primeras etapas de diseño hasta las fases de mantenimiento posteriores. Se contemplan los siguientes aspectos:
15.4.1. Valoración del riesgo.
15.4.2. Análisis del impacto de los cambios.
15.4.3. Especificación de los controles de seguridad.
15.5. Control de cambios sobre la plataforma operativa: llevar a cabo procesos de control y análisis sobre las aplicaciones críticas del negocio con carácter previo a la realización de cambios sobre la plataforma operativa.
15.6. Control sobre la configuración segura de las actualizaciones: revisar periódicamente la configuración de la actualización de sus sistemas. No se permite la actualización automática en sistemas críticos para la garantizar la continuidad de las operaciones.
15.7. Control sobre la protección de datos utilizados en las fases de pruebas para el desarrollo de sistemas o aplicaciones: disponer de mecanismos para el enmascaramiento de los datos utilizados en las fases de prueba.
El Encargado del Tratamiento deberá dar traslado a Grupo AON de cualquier solicitud de ejercicio del derecho de acceso, de rectificación, de supresión, de restricción, de portabilidad de datos, de oposición, de oposición al envío de comunicaciones comerciales, de retirada del consentimiento y de reclamación ante la Autoridad de Control efectuada por un individuo cuyos Datos Personales hayan sido tratados por el Encargado del Tratamiento.
El traslado de la solicitud a Grupo AON, así como de cualesquiera otras informaciones que puedan ser relevantes para resolver la solicitud deberá hacerse con la mayor celeridad posible y en ningún caso más tarde del primer (1) día hábil siguiente al de la recepción de la solicitud por parte del Encargado del Tratamiento.
Así mismo, el Encargado del Tratamiento deberá tramitar cualquier solicitud y tarea que Grupo AON le encomiende y que guarde relación con el ejercicio de los derechos mencionados anteriormente con la mayor celeridad posible, y en ningún caso más tarde de dos (2) días hábiles a contar desde la recepción de la solicitud, confirmando por escrito tanto la recepción de la solicitud como la ejecución de la tarea encomendada.
Sin perjuicio de las medidas de seguridad establecidas en el apartado n), el Proveedor deberá:
a) Permitir la realización de auditorías por parte de Grupo AON o de un auditor autorizado por Grupo AON para comprobar y evaluar de forma periódica el cumplimiento de las obligaciones del Encargado del Tratamiento establecidas en este Acuerdo. Las comprobaciones y auditorías periódicas se realizarán en las oficinas del Encargado del Tratamiento dentro del horario laboral y con un preaviso de cuarenta y ocho (48) horas. El número máximo de comprobaciones y auditorías periódicas será de una (1) al año.
b) La implantación y el mantenimiento de cualesquiera otras medidas de seguridad que fueran exigibles en caso de modificación de la normativa vigente en materia de protección de datos y / o demás normativa aplicable;
c) Un sistema de notificación a Grupo AON de todas aquellas violaciones de seguridad de Datos Personales que el Encargado del Tratamiento tenga conocimiento, sin dilación indebida y antes del plazo máximo de veinticuatro (24) horas hábiles, que incluya el suministro a Grupo AON de toda aquella información relevante que guarde relación con dichas violaciones de seguridad, de conformidad con lo dispuesto en el artículo 33.3 del RGPD;
El Encargado del Tratamiento no podrá subcontratar ninguna de las prestaciones que formen parte del objeto de la Hoja de Encargo ni ceder los Datos Personales (ni tan siquiera a efectos de su conservación)
En caso de que excepcionalmente Grupo AON autorice por escrito al Encargado del Tratamiento la utilización de un subencargado, éste también tendrá la condición de Encargado del Tratamiento y, por lo tanto, tendrá que cumplir con todas obligaciones del presente documento previstas para el Encargado del Tratamiento. A este respecto, será el Encargado del Tratamiento quien deba exigir por contrato al subencargado el cumplimiento de dichas obligaciones responsabilizándose el Proveedor, en exclusiva, de cualquier contingencia que pudiera derivarse para Grupo AON por las actuaciones del subencargado.
Las Partes informan a los representantes que firman la Hoja de Encargo de que sus datos de carácter personal van a ser tratados para cumplir con las relaciones contractuales de cada una de las Partes y que datos serán conservados durante la vigencia del Acuerdo y, posteriormente, durante quince (15) años con la finalidad de atender las posibles responsabilidades derivadas de la relación contractual.
Así mismo, las Partes garantizan cumplir con el deber de información con respecto a aquellos sujetos cuyos Datos Personales sean comunicados entre las Partes para el mantenimiento y cumplimiento de la Hoja de Encargo.
Las Partes se comunicarán mutuamente la identidad de sus Responsables de Protección de Datos o Delegados de Protección de Datos en caso de que dicho nombramiento les sea de aplicación.
En todo caso, los afectados podrán ejercer sus derechos de acceso, de rectificación, de supresión, de oposición, de limitación del tratamiento, de portabilidad de los datos y de no ser objeto de decisiones individualizadas automatizadas, ante la Parte que corresponda mediante el envío de una comunicación por escrito a los domicilios sociales que se indican en la Hoja de Encargo, aportando fotocopia de DNI o documento equivalente e identificando el derecho que se solicita. Asimismo, en caso de considerar vulnerado su derecho a la protección de datos personales, podrán interponer una reclamación ante la Agencia Española de Protección de Datos (www.agpd.es).
El Encargado del Tratamiento se compromete a cumplir con las obligaciones establecidas en los presentes Términos y Condiciones y demás normativa aplicable en materia de protección de datos, asumiendo los daños, perjuicios o indemnizaciones que puedan ser impuestos a Grupo AON por causa imputable al Encargado del Tratamiento, incluyendo entre otros:
a) Gastos de defensa, así como sanciones que pudieren derivar de eventuales procedimientos sancionadores (incluidos recursos) incoados por la Agencia Española de Protección de Datos o cualesquiera otras autoridades de control competentes en materia de Protección de Datos;
b) Gastos de defensa e indemnizaciones derivadas de eventuales acciones legales promovidas por los titulares de los Datos Personales afectados por el incumplimiento de la normativa de protección de datos aplicable.
El incumplimiento de los presentes Términos y Condiciones a Grupo AON a resolver la prestación del servicio, sin perjuicio de iniciar las acciones legales por los daños y perjuicios que se pudieran causar.
7. – PERSONAL DEL PROVEEDOR
7.1. El personal que el Proveedor utilice como trabajadores en la realización de la prestación de los servicios objeto de la Hoja de Encargo, pertenecerá bien a su propia y exclusiva organización, o bien a cualquier subcontratista que el Proveedor decida contratar, previa autorización expresa y escrita de Grupo AON. El personal utilizado por el Proveedor deberá ser, en todo momento, el adecuado en cantidad y calidad para el desempeño de las funciones que le incumben en el marco de la prestación del servicio y de los presentes Términos y Condiciones.
7.2.- El Proveedor se obliga a tener al día toda la documentación de Seguridad Social relativa a las altas y bajas de su personal que presten servicios en virtud de la Hoja de Encargo y de los presentes Términos y Condiciones, para Grupo AON; del mismo modo se obliga a tener al día los pagos referentes a sus salarios así como las cuotas de Seguridad Social por los mencionados empleados, comprometiéndose a presentar la documentación acreditativa de ambas circunstancias cuando así le sea requerido por Grupo AON y, en cualquier caso deberá actualizarse cada doce meses, siendo causa de resolución de la prestación del servicio la no aportación de la misma.
7.3.- Con carácter previo al inicio de la prestación del servicio, y cada vez que se contrate un nuevo servicio mediante la formalización de la correspondiente Hoja de Encargo, el Proveedor se obliga a presentar Certificado acreditativo de estar al corriente de pagos en la Seguridad Social, quedando Grupo AON facultada para resolver la prestación del servicio en caso de no ser aportada por el Proveedor.
7.4.- A los efectos de lo establecido en el art. 42 del Estatuto de los Trabajadores en relación con la responsabilidad empresarial en caso de subcontrata de obras o servicios, el Proveedor se compromete en el supuesto de declararse, en relación con sus empleados que presten servicios para Grupo AON en virtud de la Hoja de Encargo y por los motivos que fueran, responsabilidad solidaria en materia de obligaciones de naturaleza salarial y de las referidas a la Seguridad Social, a responder del abono de las mismas de manera automática y a primer requerimiento, liberando a Grupo AON de su pago.
7.5.- Será de la exclusiva responsabilidad del Proveedor la dirección, contratación y gestión del personal necesario para la prestación del servicio recogido en la Hoja de Encargo, sin que en ningún momento exista relación laboral entre éste y Grupo AON.
7.6.- El Proveedor asumirá a su cargo el pago de toda clase de salarios y percepciones salariales ó extrasalariales a los que su personal tenga derecho, siendo responsable del cumplimiento de todas las obligaciones que, como empresario, le correspondan con la Legislación Laboral, Fiscal y de la Seguridad Social.
7.7 En caso de que el Proveedor decida subcontratar parcialmente la ejecución de los Servicios con la debida autorización de Grupo AON en los términos establecidos en los presentes Términos y Condiciones, el Proveedor comprobará que el personal del subcontratista se halla contratado de conformidad con la legislación laboral vigente, y obtendrá los documentos necesarios con el fin de que Grupo AON pueda verificar dicha circunstancia a solicitud de éste último, comprometiéndose Grupo AON a garantizar la confidencialidad de dichos datos. El Proveedor coordinará y supervisará el trabajo a realizar por el subcontratista, con el fin de asegurar el cumplimiento de las obligaciones establecidas en los presentes Términos y Condiciones.
8.- SEGURIDAD, SALUD LABORAL Y MEDIO AMBIENTE.
8.1.- El Proveedor manifiesta que es una empresa de legalmente constituida y que cuenta con todos los permisos y autorizaciones establecidos en la normativa vigente necesarios para el ejercicio de su actividad.
8.2.- El Proveedor se obliga a cumplir y a hacer cumplir en todo momento a sus trabajadores y subcontratistas, así como a los trabajadores de éstos, toda la legislación/normativa que le resulte de aplicación en materia de seguridad, salud laboral y medio ambiente (tanto estatal como autonómica y local), siendo por tal concepto el único y exclusivo responsable, por el incumplimiento o defectuoso cumplimiento de la misma, tanto civil, penal, laboral, ambiental como administrativamente, quedando exonerada Grupo AON de responsabilidad alguna por dicho concepto.
A estos efectos, se entenderá que el término “seguridad y salud laboral” engloba de forma genérica los conceptos de prevención de riesgos laborales, seguridad industrial, seguridad vial, seguridad en el transporte de mercancías peligrosas, seguridad privada, etc… y, en general, cualesquiera otro que, en su caso, pudiera resultar de aplicación.
8.3.- El Proveedor se obliga a cumplir y a hacer cumplir en todo momento a sus trabajadores y subcontratistas, así como a los trabajadores de éstos, las políticas, los requisitos, los estándares y los procedimientos internos de Grupo AON en materia de seguridad, salud laboral y medio ambiente que específicamente le resulten de aplicación en cada caso.
9.- SUBCONTRATACIÓN
El Proveedor no podrá subcontratar los servicios contratados al amparo de la Hoja de Encargo sin la previa autorización de Grupo AON.
10.- RESPONSABILIDAD
10.1 El Proveedor es el único y exclusivo responsable por los daños y perjuicios que pueda causar al Grupo AON y/o a terceros con ocasión o como consecuencia de la ejecución de los Servicios prestados de acuerdo con la Hoja de Encargo y los presentes Términos y Condiciones. De igual manera el Proveedor mantendrá a Grupo AON indemne y libre de toda responsabilidad de cualquier reclamación que se produzca con ocasión o como consecuencia de la Hoja de Encargo, de los presentes Términos y Condiciones, o en relación con la ejecución del mismo por el Proveedor.
10.2. El Proveedor se hace responsable ante Grupo AON por cualquier deuda, crédito o desembolso económico que ésta tenga que hacer como consecuencia del acaecimiento de alguna de las siguientes circunstancias y/o contingencias:
- Resolución procedente de cualquier reclamación judicial o extrajudicial de salarios, indemnizaciones o cualquier otro aspecto socio-laboral realizada a Grupo AON, individual, mancomunada o solidariamente, por personal que pertenezca o haya pertenecido al Proveedor, o a cualquier otra sociedad que la suceda o personal subcontratado por el Proveedor, derivada de incumplimientos de estos.
- Resolución procedente de reclamaciones de las distintas autoridades laborales, fiscales y/o administrativas a Grupo AON, individual, mancomunada o solidariamente, con origen en acciones y/u omisiones del Proveedor o de cualquier otra que la suceda.
- Resolución procedente de reclamaciones judiciales o extrajudiciales realizadas a Grupo AON, individual, mancomunada o solidariamente, con origen en acciones y/u omisiones del Proveedor o de cualquier otra que la suceda. Se incluye expresamente cualquier condena existente o que se produzca por los distintos órganos jurisdiccionales sociales, civiles, contencioso- administrativos o penales.
10.3. La responsabilidad se extiende a toda deuda, crédito o desembolso económico que Grupo AON deba realizar, incluyendo expresamente costas judiciales, importes de las posibles indemnizaciones por despido que se vea obligado a abonar para no incorporar personal adicional a su plantilla, salarios, seguridad social y cualquier gasto en que se vea inmersa como consecuencia de la nulidad de despidos. Será suficiente para que se pueda exigir la responsabilidad el justificante de haber abonado los importes por cualquiera de las circunstancias que anteceden, sin que Grupo AON se vea obligada a recurrir las decisiones administrativas o judiciales en primera instancia que motiven los desembolsos, salvo que el Proveedor se haga cargo del coste total que supongan las instancias superiores. Desde el momento del desembolso por parte de Grupo AON, dicho importe tendrá la consideración de deuda vencida, líquida y exigible a favor de Grupo AON.
10.4. Ante la existencia de una reclamación Grupo AON, comunicará tal evento a al Proveedor, con el fin de que estos puedan personarse o prestar apoyo jurídico en la causa; en el momento en que recaiga sentencia o resolución sancionadora, el Proveedor entregará a Grupo AON un Aval bancario o de compañía de seguros, cubriendo el total de la cuantía que se le condene a pagar. En caso de recurrirse la decisión causante del desembolso, el Proveedor hará entrega a Grupo AON de los importes necesarios para poder llevar a cabo tal reclamación e impedir su ejecutoriedad.
10.5. Hasta la entrega del Aval precitado, el Proveedor autoriza expresamente a Grupo AON para que destine las cantidades que le adeude, sea cual sea el origen de las deudas, al pago de las posibles indemnizaciones, multas o sanciones a que Grupo AON sea condenado por incumplimientos del Proveedor, sus trabajadores o subcontratistas. Bastará que Grupo AON tuviese conocimiento del inicio de actuaciones iniciadas contra ella encaminadas a exigir tales resarcimientos para proceder a la retención de todos y cada uno de los pagos pendientes, a expensas del resultado de la reclamación y la entrega del Aval, en su caso.
10.6. El Proveedor declara tener contratada una póliza de seguro de responsabilidad civil que cubra los riesgos propios de su actividad y la ejecución de los Servicios.
10.7. El Proveedor asume toda la responsabilidad solidaria de la ejecución de los Servicios frente a grupo AON en caso de cualesquiera incumplimientos de dichos servicios en los que incurra el subcontratista contratado por el Proveedor de acuerdo a los servicios contratados en la Hoja de Encargo y al contenido de los presentes Términos y Condiciones.
11- INCUMPLIMIENTO DEL PROVEEDOR
11.1. Sin perjuicio de los demás derechos que asistan a Grupo AON, si el Proveedor:
- no siguiera prestando los Servicios con la debida diligencia y rapidez; y/o
- desatendiera de forma persistente o flagrante el cumplimiento de sus obligaciones con arreglo a la Hoja de Encargo y a los presentes Términos y Condiciones y/o
- incumpliera cualesquiera instrucciones razonables que el Representante de Grupo AON le hubiese dado por escrito relativas al Servicio; y/o
- cediera o subcontratara parte de los Servicios sin la Aprobación de Grupo AON; y/o
- abandonara los Servicios; y/o
- infringiera lo dispuesto en la Hoja de Encargo o en los presentes Términos y Condiciones,
Grupo AON, desde que tenga conocimiento de ello, lo notificará por escrito al Proveedor requiriéndole para que subsane el incumplimiento, negligencia o infracción alegada. Si el Proveedor no cumpliera lo exigido en el requerimiento dentro de los siete (7) días desde su recepción, en caso de incumplimiento, negligencia o infracción susceptible de subsanación en dicho plazo, o en otro caso, en el plazo que se considere razonablemente necesario para subsanarlo, Grupo AON quedará facultada para retirarle la prestación de los Servicios, en todo o en parte, al Proveedor y, bien con su propio personal, o mediante la celebración de un contrato con terceros, completar el Servicio o la parte del mismo de que se trate.
11.2. En el caso de que Grupo AON le retire la prestación de los Servicios, en todo o en parte, al Proveedor según lo expuesto, Grupo AON no tendrá obligación de pagar al Proveedor hasta que se hayan determinado los costes de completar los Servicios o la parte del mismo de que se trate. Entonces, el Proveedor tendrá derecho a recibir la cantidad que, en su caso, correspondería pagarle si hubiese completado los Servicios, menos los costes y gastos en que haya incurrido Grupo AON. Si los costes y gastos en que incurra Grupo AON para completar los Servicios excedieran de la suma que correspondería pagar al Proveedor si éste lo hubiera completado, tal importe tendrá la consideración de deuda vencida, líquida y exigible a favor de Grupo AON. Asimismo, quedaran a salvo las acciones del Grupo AO, para exigir la indemnización de los daños que se hubiera podido irrogar, y la satisfacción de las penalidades a que hubiera lugar
.
12.- TERMINACIÓN
Serán causas de terminación de la prestación del servicio:
12.1. Transcurso del plazo pactado.
El transcurso del plazo pactado en la Hoja de Encargo sin que las Partes alcancen un acuerdo expreso y por escrito para su renovación.
12.2. Incumplimiento de la Hoja de Encargo o de los presentes Términos y Condiciones.
12.3. Generales.
12.3.1. La declaración concursal de cualquiera de las Partes y la realización de un convenio de quita y/o espera entre cualquiera de las Partes y sus acreedores, el sometimiento de los mismos a cualquier clase de procedimiento concursal judicial o extrajudicial, o la realización de cualquier clase de arreglo concursal con sus acreedores, así como el haberse instado en contra de cualquiera de las Partes juicios ejecutivos o decretado embargos preventivos u otras medidas, siempre que todo ello impidiera, en todo o en parte, la continuación en la prestación de los servicios objeto de la Hoja de Encargo.
12.3.2. La fusión, escisión, cesión global del activo y pasivo o venta de una participación en el capital de las Partes.
12.3.3. Compra del Proveedor por un competidor de AON GYC o su grupo de empresas.
13- DERECHO DE AUDITORÍA
Grupo AON se reserva el derecho a auditar al Proveedor con el objeto de verificar que los aspectos relativos a los Servicios se gestionan y controlan de conformidad con las estipulaciones establecidas en la Hoja de Encargo y en los presentes Términos y Condiciones.
14.- IMPOSIBILIDAD SOBREVENIDA
14.1. Si en cualquier momento resultara ilegal o contrario a cualquier prohibición, normativa o directriz de cualquier organismo u institución competente, para cualquiera de las Partes, cumplir con cualquiera de sus obligaciones o ejercitar cualquiera de sus derechos en virtud de la Hoja de Encargo o de los presentes Términos y Condiciones, dicha parte notificará inmediatamente a la otra parte tal hecho, en cuyo caso ambas Partes iniciarán las conversaciones pertinentes a fin de buscar la solución más adecuada para la obtención de las finalidades perseguidas por las Partes tanto a través de la Hoja de Encargo como de los presentes Términos y Condiciones.
14.2. Si por causas no imputables a las Partes no fuera posible culminar con éxito la ejecución de la prestación del servicio, las Partes realizarán sus mejores esfuerzos para encontrar soluciones alternativas, quedando de otro modo resuelto el mismo.
15.- RESOLUCIÓN DE LA PRESTACIÓN DEL SERVICIO
Sin perjuicio de la resolución contractual que previene el art. 1124 del Código Civil, cualquiera de las Partes podrá resolver la Hoja de Encargo y, por tanto, la prestación del servicio, con resarcimiento de los daños y perjuicios que procedan, en los siguientes supuestos:
a) Disolución, liquidación o extinción por cualquier forma jurídica de la personalidad jurídica de cualquiera de las partes.
b) Incumplimiento grave de cualquiera de las obligaciones establecidas en la Hoja de Encargo o de los presentes Términos y Condiciones para cada una de las Partes.
c) La no aportación por el proveedor de la documentación actualizada a la que queda obligado de acuerdo con los presentes Términos y Condiciones.
d) Por voluntad unilateral de Grupo AON en cualquier momento de la vigencia de la prestación del servicio, sin necesidad de esperar al vencimiento o finalización del mismo, exigiéndose como único requisito para llevar a efecto dicha decisión, la notificación al Proveedor en tal sentido con al menos un mes de antelación a la fecha efectiva de cancelación de la Hoja de Encargo. El ejercicio de esta facultad de resolución unilateral no generará derecho alguno de indemnización a favor del Proveedor.
16.- ACUERDO ÚNICO
La Hoja de Encargo junto con los presentes Términos y Condiciones, son los únicos documentos válidos entre las partes, quedando anulado y sin valor cualquier otro contrato, acuerdo, compromiso, documento o comunicación oral o escrita anterior a la aceptación de la Hoja de Encargo.
Cualquier modificación de la Hoja de Encargo y de los presentes Términos y Condiciones, para tener eficacia jurídica, deberá ser adoptada por escrito, firmada por ambas partes e incorporada expresamente a la Hoja de Encargo.
17.- INVALIDEZ
Cuando por disposición judicial o de cualquier otra naturaleza, alguno de los presentes Términos y Condiciones resultase inválido o ineficaz, total o parcialmente, tal ineficacia o invalidez no se extenderá al resto de los Términos y Condiciones aquí previstos, las cuales se mantendrán en vigor y podrán ser ejercitados ante cualquier jurisdicción.
Las Partes acuerdan sustituir cualquier Término o Condición que fuese declarada inválida o ineficaz por otra válida, de efecto lo más similar posible.
18.- RENUNCIA
La renuncia, expresa o presunta de una de las Partes, en un momento determinado, a alguno de los derechos previstos en los presentes Términos y Condiciones, no supondrá renuncia al ejercicio de ese mismo derecho en otro momento o al ejercicio de cualquier otro de los derechos previstos en los presentes Términos y Condiciones, a menos que este sea realizado por escrito, firmado debidamente por el representante de la Parte renunciante.
El no ejercicio por una de las Partes de ninguna acción frente a la violación o incumplimiento de los presentes Términos y Condiciones por la otra no implicará en ningún caso, renuncia al ejercicio de dicha acción ni a cualquier otra que pudiera corresponder de conformidad con los presentes Términos y Condiciones.
19.- INDEPENDENCIA
El Proveedor es un empresario independiente, y ninguna de los presentes Términos y Estipulaciones deberá entenderse en el sentido de considerar al Proveedor y/o sus trabajadores como agentes y/o representantes de Grupo AON a ningún efecto
20.- NOTIFICACIONES
A efectos de notificaciones, ambas partes designan sus respectivos domicilios establecidos en la Hoja de Encargo. Será ineficaz cualquier modificación hecha de estos datos que no hubiera sido comunicada por escrito a la otra Parte con, al menos, diez días de antelación.
21.- CESIÓN DEL CONTRATO
Grupo AON podrá ceder la Hoja de Encargo y, por tanto, la prestación del servicio, a cualquier sociedad que integra su grupo empresarial, contando para ello con el consentimiento expreso por parte del Proveedor, el cual lo otorga en este mismo acto mediante la aceptación de la Hoja de Encargo.
El Proveedor no podrá ceder la Hoja de Encargo y, por lo tanto la prestación del servicio, ni los derechos y obligaciones contenidos en los presentes Términos y Condiciones así como los propios derivados de la prestación del servicio, sin contar para ello con el consentimiento expreso y escrito de Grupo AON.
En caso de que Grupo AON cediera la Hoja de Encargo, la entidad cesionaria se subrogará en cuantos derechos y obligaciones pudieran derivarse de ella, pasando a ocupar la posición jurídica de Grupo AON en la Hoja de Encargo.
22.- LEY APLICABLE Y JURISDICCIÓN
La Hoja de Encargo y los presentes Términos y Condiciones se regirán e interpretarán a todos los efectos con arreglo al Derecho español. Con renuncia expresa a cualquier otro fuero que pudiera corresponderles, ambas partes se someten de forma expresa a la jurisdicción y competencia de los Juzgados y Tribunales de Madrid capital.