demi
+49 176 4294 8750

Medidas Técnicas y Organizativas (MTO)

demi Technologies GmbH | Anexo al contrato de codesarrollo | Fecha: 3 de mayo de 2026

1. Actividades de tratamiento

Actividad de tratamientoFinalidad
Operaciones de la plataforma y alta disponibilidad
  • - Alojamiento y almacenamiento (BD, archivos, copias de seguridad)
  • - Ejecución de lógica de aplicación/backend (incl. inferencia IA, solicitudes API)
  • - Integraciones de correo electrónico, calendario y otras API
  • - Servicios de mensajería transaccional (correos del sistema, webhooks, notificaciones push)
  • - Replicación de datos y conmutación por error regional
Garantizar la funcionalidad, el rendimiento, la alta disponibilidad y la depuración de la plataforma
Seguridad, autenticación y cumplimiento
  • - Autenticación de usuarios / SSO / gestión de tokens
  • - Registro y monitoreo (logs, métricas)
  • - Cifrado y gestión de claves (KMS, TLS, rotación de claves)
  • - Análisis de contenido/malware, registros de abuso/limitación de velocidad
  • - Gestión del consentimiento y preferencias de correo electrónico
Control de acceso, seguridad informática, prevención del fraude, evidencia de medidas técnicas/organizativas y cumplimiento de marketing
Soporte y derechos de los interesados
  • - Sistema de soporte/tickets
  • - Registro del flujo de trabajo DSAR
  • - Exportación de datos y provisión de API (JSON/CSV, webhooks)
Resolución de problemas, soporte al usuario, portabilidad de datos, cumplimiento/documentación de los derechos de los interesados (Art. 15–20 RGPD)
Facturación y ejecución del contrato
  • - Agregación de datos de facturación y uso (medición de API, contadores de sesión)
  • - Gestión de licencias y roles
Facturación basada en el consumo, pistas de auditoría, ejecución del contrato
Desarrollo de productos y análisis
  • - Análisis de uso y telemetría (agregado/anonimizado)
  • - Pruebas de usabilidad, benchmarking, entrenamiento de modelos de IA
Mejora del producto, planificación de capacidad, aseguramiento de la calidad
Respuesta a incidentes y evidencia legal
  • - Instantáneas de incidentes/forenses, copias de registros
  • - Copias de seguridad cifradas pasivamente
Investigación de incidentes de seguridad, defensa legal, aportación de pruebas (Art. 33/34 RGPD)
Alojamiento y almacenamiento de bases de datos, archivos y copias de seguridadOperación de los servicios de la plataforma, seguridad de los datos, depuración
Funciones de investigación y análisis (Customer Search, Channel Search)
  • - Consulta de fuentes públicas
  • - Agregación y preparación asistida por IA
  • - Almacenamiento temporal dentro de la instancia de la plataforma
Investigación de mercado y de empresas; apoyo a las actividades comerciales del socio de codesarrollo
Enriquecimiento de datos
  • - Transmisión a servicios de terceros especializados (subencargados) de los datos de contacto y empresa cargados por el socio de codesarrollo
  • - Complemento con datos de contacto, cargos, pertenencia a empresas y resultados de validación
  • - Retorno de los datos enriquecidos a la instancia de la plataforma
Cualificación y enriquecimiento de contactos comerciales; apoyo a las actividades de ventas y marketing del socio de codesarrollo; validación de correos electrónicos para evitar fallos de entrega

2. Medidas MTO conforme al Art. 32 RGPD

Categoría de medidaDescripción
Control de acceso físicoMedidas para impedir el acceso físico no autorizado a las instalaciones de tratamiento de datos (centros de datos, salas de servidores)
Control de acceso al sistemaMedidas para impedir el uso no autorizado de los sistemas de tratamiento de datos (autenticación, políticas de contraseñas, MFA, SSO)
Control de acceso a los datosMedidas para garantizar que los usuarios autorizados solo puedan acceder a los datos que tienen asignados (RBAC, mínimo privilegio, registros de auditoría)
Control de transferenciaMedidas para impedir la lectura, copia, modificación o eliminación no autorizada durante la transmisión electrónica (TLS 1.2+, VPN, cifrado)
Control de entradaMedidas para garantizar la trazabilidad de quién introdujo, modificó o eliminó qué datos y cuándo (pistas de auditoría, control de versiones)
Control de encargosMedidas para garantizar que los datos personales solo se traten de acuerdo con las instrucciones del responsable del tratamiento (DPA, control de subencargados)
Control de disponibilidadMedidas para proteger los datos personales contra la destrucción o pérdida (copias de seguridad, redundancia, recuperación ante desastres, conmutación por error regional)
SeparabilidadMedidas para el tratamiento separado de datos recopilados con diferentes finalidades (separación de inquilinos, separación lógica de datos por inquilino)
SeudonimizaciónEn la medida de lo posible: tratamiento de los datos personales de forma que ya no puedan atribuirse a una persona concreta sin el uso de información adicional
CifradoCifrado de los datos personales en reposo (AES-256) y en tránsito (TLS 1.2+); gestión de claves a través de KMS
Resiliencia de los sistemasLa capacidad de los sistemas para restablecer rápidamente la disponibilidad y el acceso a los datos personales en caso de incidente técnico
Revisión periódicaProcedimientos para la revisión, evaluación y valoración periódicas de la eficacia de las medidas técnicas y organizativas (pruebas de penetración, auditorías de seguridad)