Anexos a los Términos y Condiciones de Naranjatec (NextGenWebs S.L.)

Estos anexos forman parte integrante de los Términos y condiciones (los «Términos»). En caso de conflicto, prevalecerán las disposiciones de la propuesta/orden de servicio firmada, seguidas del SLA, estos anexos, la PUA y el cuerpo principal de los Términos.

Estos apéndices se han redactado principalmente para clientes empresariales. En el caso excepcional de que el cliente sea una persona física según la legislación española (TRLGDCU), las normas obligatorias de protección del consumidor prevalecerán sobre cualquier cláusula contradictoria.

Traducción realizada con la versión gratuita del traductor DeepL.com

Regula el suministro de servicios de hosting compartido y servidores virtuales (VPS). Las especificaciones concretas (recursos, almacenamiento, transferencia, IPs, software) se detallan en el Panel de Control y/o propuesta comercial.

• El acceso al VPS se proporciona al Cliente de acuerdo con los servicios contratados. En el alojamiento compartido, el acceso es limitado (por ejemplo, panel y FTP).
• El Cliente debe cambiar credenciales iniciales en el primer acceso y mantener medidas básicas de seguridad (rotación de claves, 2FA cuando esté disponible).

Estas medidas se aplican a los clientes empresariales. En el caso de los clientes que sean personas físicas, cualquier suspensión o limitación se ajustará a los procedimientos y garantías exigidos por la legislación española en materia de consumo.

• CPU/RAM/IO: en hosting compartido existen límites por cuenta/proceso para proteger la estabilidad de la plataforma. En VPS, los recursos contratados son dedicados a nivel de cuota; pueden existir límites de IOPS/ancho de banda razonables.
• Almacenamiento: orientado a alojamiento de sitios y aplicaciones. Queda prohibido el uso como repositorio de backups externos, almacenamiento masivo no vinculado a los servicios web, o distribución de ficheros tipo CDN salvo plan específico.
• Inodos/archivos: pueden aplicarse límites para prevenir abuso.
• Tráfico de red: el exceso sobre el paquete contratado podrá tarificarse o limitarse temporalmente.
• Naranjatec puede aplicar medidas de contención (limitación temporal/suspensión) si el uso del Cliente impacta de forma adversa a otros usuarios o a la plataforma.

• El envío de correo está sujeto a controles anti‑abuso (rBL/DMARC/DKIM/SPF).
• Queda prohibido el spam, la compra/alquiler de bases, y el envío masivo sin mecanismos de consentimiento y baja.
• La reputación de las IP compartidas debe protegerse; en caso de incidentes, Naranjatec podrá suspender el envío de correos electrónicos si fuera necesario para proteger la reputación de las IP compartidas o exigir medidas correctivas.

• En hosting compartido, Naranjatec mantiene la plataforma (SO, paneles, servicios base).
• Los planes VPS autogestionados están destinados a un uso profesional. En los VPS autogestionados, el cliente es responsable del refuerzo de la seguridad, los parches, el cortafuegos y los servicios; en los VPS gestionados, Naranjatec asume el ámbito de la administración de acuerdo con los servicios contratados.

Las copias de seguridad internas de resiliencia no constituyen un servicio de restauración contratado. Las personas físicas conservan todos los derechos legales relativos a la portabilidad de los datos.

• Hosting compartido: puede incluir backups periódicos con retenciones y exclusiones publicadas. El detalle exacto figura en el SLA o contrato.
• VPS: el servicio de backup es opcional o según plan. El Cliente es responsable de verificar la integridad y realizar pruebas de restauración.
• Naranjatec podrá conservar backups internos para resiliencia; no confieren derecho de acceso salvo contratación expresa.

• El alcance del soporte (horarios, tiempos objetivo de respuesta, canales) viene definido en el SLA.
• En planes gestionados, operaciones incluidas/excluidas se especifican en la propuesta.

• Se realizarán mantenimientos programados con aviso previo razonable. En emergencias de seguridad o averías críticas, el aviso podrá ser posterior.

• Naranjatec puede asistir en migraciones desde terceros o entre planes, con alcance y costes según propuesta. El Cliente debe facilitar accesos y validar la migración.

• Naranjatec mantiene registros técnicos para operación y seguridad. Los logs de aplicaciones del Cliente son de su responsabilidad salvo acuerdo específico.

El Cliente es responsable de:

• Mantener todo el software (CMS, plugins, temas, aplicaciones, bibliotecas y licencias) debidamente actualizado.
• No alojar contenidos ilegales o que infrinjan los derechos de terceros.
• Proteger las credenciales de acceso y aplicar las medidas de seguridad adecuadas (por ejemplo, 2FA, claves SSH, ACL).
• Mantener la seguridad de tus sistemas y aplicaciones, lo que incluye prevenir y resolver infecciones de malware, sitios web pirateados, cuentas comprometidas o configuraciones incorrectas dentro de tu entorno.
• Garantizar que tu uso del servicio no comprometa la estabilidad, la seguridad o el rendimiento de la plataforma.

Estas obligaciones se aplican a los clientes empresariales. Las personas físicas deben mantener la seguridad de sus sistemas y accesos de acuerdo con las medidas de seguridad que cabe esperar razonablemente para el uso adecuado del servicio.

Regula la provisión de Cloud Privado (tenant dedicado de computación, red y almacenamiento, virtualizado o bare‑metal). El detalle de nodos, redes, almacenamiento y servicios gestionados figura en la propuesta y el SLA.

Los servicios de Cloud Privado están destinados exclusivamente a clientes empresariales y profesionales.

• Aislamiento lógico a nivel de tenant; segmentación de redes (VLAN/VXLAN/VPC) y políticas de seguridad.
• Componentes de virtualización, orquestación, almacenamiento y red podrán actualizarse manteniendo la compatibilidad de servicio.
• La ubicación de los datos/CPD se establece en la propuesta/contrato. Si aplica, se especificarán zonas o dominios de fallo.

• Alta: diseño/validación de arquitectura, provisión de recursos y accesos seguros (VPN/Zero Trust/SSH).
• Cambios: ampliaciones/reducciones y nuevas VMs/volúmenes/redes se gestionan vía Panel de Control o solicitud autorizada; pueden implicar repercusión económica prorrateada.

• Los objetivos de disponibilidad, tiempos de respuesta/recuperación (RTO) y objetivos de punto de recuperación (RPO) se fijan en el SLA.
• Se contemplan ventanas de mantenimiento programadas y de emergencia con comunicación previa cuando sea posible.

• Los entornos de nube privada son gestionados por el cliente. Por consiguiente, el cliente asume toda la responsabilidad por la seguridad de sus sistemas, lo que incluye, entre otros:
  • fortalecer y proteger los sistemas operativos, las aplicaciones y los servicios invitados;
  • configurar y mantener el cifrado, los cortafuegos, los controles de acceso y otras medidas de seguridad;
  • implementar la gestión de vulnerabilidades, los parches, el antimalware y la supervisión;
  • garantizar el cumplimiento de las leyes, normas y políticas internas aplicables.
• Naranjatec solo es responsable de la seguridad y el refuerzo de la plataforma de nube privada subyacente (hipervisor, red central y capas de almacenamiento). Naranjatec no gestiona, supervisa ni protege las cargas de trabajo de los clientes, a menos que un plan de servicios gestionados independiente defina explícitamente dichas responsabilidades.
• Los clientes reconocen que una configuración o unas prácticas de seguridad inadecuadas por su parte pueden comprometer su entorno, y Naranjatec no se hace responsable de los incidentes derivados de los componentes gestionados por los clientes.

• Monitorización de la infraestructura de todos los nodos y servidores de respaldo.
• Soporte conforme al SLA (canales, horarios, escalado).

• Actualizaciones de plataforma (hipervisores, almacenamiento, redes) con aviso previo y ejecución dentro de ventanas acordadas, salvo emergencias.

• Escalado vertical sujeto a disponibilidad de capacidad. En casos de ampliaciones relevantes, podrán definirse compromisos de consumo mínimos.

• Naranjatec podrá utilizar proveedores/subencargados para componentes o CPD, manteniendo las obligaciones contractuales de seguridad y confidencialidad. La lista y la ubicación se pueden poner a disposición del cliente cuando sea necesario.

• A la terminación, el Cliente dispondrá de una ventana para exportar sus datos/VMs/snapshots por los medios disponibles. Transcurrida, Naranjatec podrá eliminar los datos conforme a su política de retención.

Regula el registro, renovación, transferencia y gestión de nombres de dominio a través de Naranjatec actuando como revendedor/agente de registradores acreditados.

• El Cliente garantiza la veracidad y exactitud de los datos del titular/administrativo/técnico/facturación y se compromete a mantenerlos actualizados.
• La inexactitud o falta de verificación puede provocar la suspensión o cancelación del dominio por parte del registrador/registro.

• El registro/renovación está sujeto a disponibilidad y a la aceptación por el registro correspondiente.
• Los dominios se facturan por adelantado y no son reembolsables una vez tramitados.
• La renovación requiere que el Cliente mantenga métodos de pago válidos y que solicite, en su caso, la no renovación con antelación suficiente.
• Para los clientes que sean personas físicas, el derecho de desistimiento legal no se aplica una vez que se ha presentado el registro en el registro, de conformidad con el artículo 103(a) de la TRLGDCU.

• Para transferir un dominio se requiere el Auth‑Code/EPP y que el dominio no esté bloqueado (Registrar‑Lock) ni dentro de períodos restringidos por alta/transferencia previa.
• El Cliente debe asegurar que el email del titular/administrativo es accesible para validar la transferencia. Naranjatec no se hace responsable de los retrasos o fallos en las transferencias debidos a direcciones de correo electrónico inaccesibles o restricciones del registrador.

• Tras la expiración pueden existir períodos de gracia y/o redención definidos por cada TLD, con tasas adicionales para restaurar el dominio.
• De no renovarse dentro de dichos períodos, el dominio puede ser eliminado y quedar disponible para terceros. Naranjatec no se hace responsable de ninguna pérdida, tiempo de inactividad o impacto que resulte de la caducidad o eliminación.

• En TLDs que lo admitan, se podrá activar privacidad WHOIS o redacción de datos. La disponibilidad y coste dependen del TLD/registrador.

• El Cliente puede usar servidores DNS de Naranjatec o propios/terceros.
• Cuando esté disponible, se podrá activar DNSSEC; su gestión requiere coordinación y puede conllevar costes.

• Las disputas sobre marcas u otros derechos se someten a las políticas del registro aplicable (p. ej., UDRP/URS en gTLDs, normativa de ESNIC para .es).
• Naranjatec no es parte en disputas entre el Cliente y terceros. El contenido publicado bajo el dominio es responsabilidad exclusiva del Cliente.

• Naranjatec/registrador/registro podrán suspender o cancelar un dominio por: impago, incumplimiento de políticas del registro, inexactitud de datos, o por requerimiento legal/administrativo.

• Naranjatec no garantiza la disponibilidad de un nombre hasta la confirmación del registro por el registro/registrador.
• La responsabilidad de Naranjatec en materia de dominios se limita a la gestión administrativa y a lo previsto en los Términos.

• PUA – Política de Uso Aceptable: define usos prohibidos y medidas de contención.
• SLA – Acuerdo de Nivel de Servicio: fija disponibilidad, soporte, backups, RTO/RPO y ventanas de mantenimiento.
• Política de Privacidad: regula los tratamientos de datos personales.

• 1.1

El uso del Servicio puede implicar el procesamiento de Datos Personales. Naranjatec actúa como el Encargado del tratamiento en el sentido del Artículo 4(8) del Reglamento General de Protección de Datos (“GDPR”). El Cliente es el Responsable del tratamiento, según lo definido en el Artículo 4(7) del GDPR, y cumplirá con todas las obligaciones derivadas de ese rol.

• 1.2

El Cliente declara y garantiza que:

–  cumple con todas las leyes aplicables, incluido el GDPR, en relación con los Datos Personales que procesa a través del Servicio;

–  los Datos Personales se han obtenido de manera legal y no infringen los derechos de terceros;

–  está autorizado para proporcionar los Datos Personales a Naranjatec; y

–  está autorizado para designar a Naranjatec como Encargado del tratamiento y permitir que Naranjatec designe Subprocesadores.

• 1.3

El Cliente indemniza a Naranjatec frente a todas las reclamaciones de terceros que surjan de o estén relacionadas con:

• el procesamiento de Datos Personales por parte de Naranjatec en nombre del Cliente, y/o
• un incumplimiento de las garantías establecidas en la cláusula 1.2 por parte del Cliente.

El Cliente también indemniza a Naranjatec frente a reclamaciones relacionadas con los Datos Personales contenidos en el Contenido del Cliente, dado que el Cliente controla completamente dicho Contenido.

• 2.1

Naranjatec procesará los Datos Personales únicamente para los fines descritos en este Acuerdo de Procesamiento de Datos y/o en el Acuerdo principal. Naranjatec no procesará los Datos Personales para ningún otro fin sin las instrucciones previas por escrito del Cliente, salvo que la ley aplicable lo requiera. En tal caso, Naranjatec informará al Cliente antes del procesamiento, salvo que la ley prohíba tal notificación por motivos de interés público.

• 3.1

Naranjatec implementará medidas técnicas y organizativas apropiadas para proteger los Datos Personales contra destrucción, pérdida, alteración, divulgación o acceso no autorizados, ya sean accidentales o ilegales. Estas medidas garantizarán un nivel de seguridad adecuado a los riesgos, teniendo en cuenta el estado de la técnica, los costes de implementación y la naturaleza del procesamiento.

• 3.2

Teniendo en cuenta la naturaleza del procesamiento y cuando sea razonablemente posible, Naranjatec asistirá al Cliente en garantizar el cumplimiento de las obligaciones de seguridad del Cliente según el GDPR.

• 4.1

Las transferencias de Datos Personales por parte de Naranjatec fuera del Espacio Económico Europeo solo están permitidas si cumplen con el GDPR y/o cuentan con el consentimiento previo por escrito del Cliente.

• 5.8

Naranjatec puede contratar Subprocesadores cuando sea necesario para la prestación del Servicio. Naranjatec se asegurará de que cada Subprocesador esté contractualmente obligado a cumplir con obligaciones de confidencialidad, seguridad y notificación que no sean menos protectoras que las establecidas en este Acuerdo y en los Términos y Condiciones.

• 6.9

Si Naranjatec toma conocimiento de una Violación de Datos Personales según lo definido en el Artículo 4(12) del GDPR, Naranjatec:

(i) notificará al Cliente sin demora indebida; y

(ii) tomará todas las medidas razonables para mitigar o prevenir el acceso o pérdida no autorizados adicionales.

• 6.10

Cuando sea razonablemente posible, Naranjatec asistirá al Cliente en el cumplimiento de sus obligaciones legales en relación con el incidente, si el Cliente determina que el evento califica como una Violación de Datos Personales según el GDPR.

• 6.11

Cuando sea razonablemente posible, Naranjatec apoyará al Cliente en el cumplimiento de su deber de notificar a la autoridad de control o a los sujetos de datos afectados, según lo requerido por los Artículos 33 y 34 del GDPR. Naranjatec no es responsable de notificar de manera independiente a dichas autoridades o sujetos de datos.

• 6.12

Naranjatec no será responsable del cumplimiento correcto o puntual de las obligaciones de notificación propias del Cliente según los Artículos 33 y 34 del GDPR.

• 6.13

Cuando sea razonablemente posible, Naranjatec asistirá al Cliente en la respuesta a solicitudes de los sujetos de datos, incluidos los derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición (Artículos 15–22 del GDPR). Naranjatec remitirá cualquier solicitud o queja recibida directamente al Cliente sin demora indebida. Naranjatec podrá cobrar tarifas razonables por dicha asistencia.

• 8.14

Cuando sea razonablemente posible, Naranjatec asistirá al Cliente en el cumplimiento de sus obligaciones de realizar Evaluaciones de Impacto sobre la Protección de Datos (“DPIA”) y consultar con las autoridades de control, según lo requerido por los Artículos 35 y 36 del GDPR.

• 9.15

Naranjatec pondrá a disposición del Cliente toda la información razonablemente requerida para demostrar el cumplimiento de este Acuerdo y del GDPR. A solicitud del Cliente, Naranjatec permitirá y cooperará con auditorías o inspecciones realizadas por el Cliente o un auditor designado. Si Naranjatec considera que una instrucción relacionada con esta cláusula infringe el GDPR u otra legislación de privacidad aplicable, informará inmediatamente al Cliente.

• 10.16

Todo el personal de Naranjatec involucrado en el procesamiento de Datos Personales está sujeto a obligaciones de confidencialidad consistentes con el Artículo 14 de los Términos y Condiciones.

• 11.17

Este Anexo constituye un acuerdo de procesamiento de datos en el sentido del Artículo 28(3) del GDPR. Las disposiciones de los Términos y Condiciones se aplican en su totalidad a este Anexo. Si las Partes acuerdan un acuerdo de procesamiento de datos separado, dicho acuerdo prevalecerá sobre este Anexo.