Caseware Legal

POLÍTICA DE USO DE API DE CASEWARE

Última actualización: 13 de mayo de 2026

1. Introducción

Caseware proporciona interfaces de programación de aplicaciones ("API", por sus siglas en inglés) como parte de ciertos Productos y Servicios (conjuntamente, las "Ofertas de Caseware" tal como se definen en el MPSA) que permiten a los clientes integrar y automatizar ciertas funcionalidades dentro del entorno de Caseware. La presente Política de uso de API explica los usos permitidos y prohibidos de las API para contribuir a la protección de la seguridad, la estabilidad de la plataforma, la integridad de marca y una alineación clara de roles.

Esta política complementa el Contrato marco de productos y servicios ("MPSA", por sus siglas en inglés) de Caseware y cualquier formulario de pedido pertinente. En caso de contradicción entre esta política y el MPSA, prevalece el MPSA.

2. Alcance

Esta política se aplica a todo acceso a y uso de las API de Caseware por parte del Cliente y de sus Usuarios autorizados, incluidos todos los portales de documentación de API, entornos SDK, portales de desarrolladores, programas de vista previa o beta, y cualquier credencial, clave, secreto o token utilizado para acceder a las API.

3. Uso permitido (integraciones impulsadas por el Cliente)

Los clientes pueden utilizar las API para ampliar y mejorar su entorno Caseware para los fines comerciales internos del cliente, con sujeción al MPSA, esta política y los requisitos de seguridad aplicables.

Los clientes podrían contratar a desarrolladores externos para crear integraciones utilizando credenciales de API emitidas por el cliente, siempre que: (a) el trabajo se lleve a cabo exclusivamente en nombre del cliente y para los fines comerciales internos del cliente; y (b) el cliente sea responsable de todo acceso otorgado y toda actividad llevada a cabo usando las credenciales de API del cliente.

4. Credenciales, seguridad y responsabilidad del cliente

Las credenciales de API se emiten a los clientes y quedan bajo su responsabilidad. Los clientes deben proteger las credenciales de cualquier uso no autorizado y no deben compartir ni permitir el uso de credenciales de API fuera del entorno autorizado del cliente (por ejemplo, sistemas y administradores que estén bajo el control del cliente). Los clientes deben notificar a Caseware tan pronto como sea posible si las credenciales de API se pierden, son robadas o se ven comprometidas.

Las credenciales de API no deben utilizarse para proporcionar servicios a otras organizaciones ni para ningún despliegue multiinquilino (multitenant), a menos que Caseware así lo autorice por escrito. Esta restricción es coherente con la prohibición del MPSA acerca de vender, revender o sublicenciar las Ofertas de Caseware sin autorización.

Los clientes son responsables de garantizar que los datos del cliente sean gestionados de manera apropiada en cualquier integración, incluido cualquier desarrollador externo que actúe en nombre del cliente. Esto incluye el cumplimiento de la legislación y normativa vigente acerca de protección de datos y cualquier requisito de transferencia de datos entre países o jurisdicciones.

5. Estabilidad de la plataforma, límites de tasa y monitorización

El uso de API queda sujeto a los controles de seguridad, las prácticas de monitorización y los límites de tasa (rate limits) estándar de Caseware. Caseware podría limitar, suspender o restringir el acceso a API en caso de ser necesario para proteger la integridad de la plataforma para todos los clientes.

Los clientes e integradores deben implementar prácticas técnicas responsables, lo que incluye: respetar las respuestas de limitación de tasa, evitar los reintentos ilimitados y emplear duraciones de sesión/token de forma adecuada. Las configuraciones de los límites de tasa podrían cambiar y no deberán establecerse como valores fijos en el código. Caseware no garantiza la compatibilidad con versiones anteriores de API.

6. Los terceros no son agentes de Caseware; limitación de asistencia

Los terceros contratados por un cliente actúan exclusivamente como proveedores de servicio del cliente y no son agentes, subcontratistas ni representantes de Caseware.

Caseware no ofrece asistencia técnica ni garantía para el código desarrollado por terceros ni para integraciones no certificadas más allá de los servicios de asistencia técnica descritos en el MPSA y los Anexos pertinentes. Las responsabilidades de asistencia técnica acerca de integraciones de terceros quedan entre el cliente y el tercero, a menos que Caseware hubiera certificado o aprobado formalmente la integración por escrito.

7. Comercialización, promoción de amplio alcance e incorporación de socios

Si un tercero pretende comercializar, hacer promoción de amplio alcance u ofrecer una integración a múltiples empresas u otras organizaciones (por ejemplo, actuando como socio del ecosistema en lugar de exclusivamente como proveedor de servicios del cliente), Caseware requiere la realización de una evaluación formal completa del socio y aprobación por escrito previa a la comercialización o promoción amplia.

Los terceros que no hayan completado el proceso de incorporación de socios y evaluación de Caseware no recibirán recursos dedicados para socios (tales como documentación específica para socios, entornos de pruebas (sandbox) u otros materiales para socios), a menos que Caseware así lo decida por escrito.

8. Comunicaciones públicas y uso de la marca

Los terceros no pueden usar los logos de Caseware ni dar a entender que existe una asociación, certificación, respaldo, exclusividad o alineación sin la autorización previa por escrito de Caseware.

Toda referencia pública a Caseware debe quedar limitada a afirmaciones precisas y descriptivas, y no debe dar a entender ningún tipo de respaldo. Otras restricciones adicionales podrían ser de aplicación para casos de uso principales, incluidos escenarios nativos de IA o de IA agéntica, de conformidad con lo comunicado por Caseware en los términos de un programa o aprobaciones por escrito pertinentes.

9. Uso de datos, conservación no autorizada o entrenamiento de modelos de IA / aprendizaje automático

Los clientes y terceros son responsables de garantizar que los datos del cliente sean gestionados de manera apropiada en la integración, de conformidad con las obligaciones del Cliente en virtud del MPSA acerca de datos de cliente y privacidad.

Los datos derivados de Caseware no pueden ser conservados, reutilizados o empleados para entrenar modelos de IA o aprendizaje automático, excepto en la medida en que lo autorice el cliente y lo permitan la legislación y los contratos aplicables. Para mayor claridad: los datos de uso agregados, anonimizados, o los metadatos técnicos (como volúmenes de llamadas a la API, tasas de error o métricas de rendimiento) podrían ser utilizados por Caseware con fines de mejora de la plataforma y analíticos, de conformidad con el MPSA.

10. Usos prohibidos

Además de las restricciones dispuestas en el MPSA, usted no debe utilizar las API para: (a) participar en actividades ilícitas; (b) la extracción de datos con fines comerciales, redistribuir datos de forma inapropiada o someter los servicios a una carga excesiva; (c) eludir controles de seguridad, límites de tasa, monitorización o registro de auditoría; (d) llevar a cabo pruebas de tensión, exploración de vulnerabilidades o pruebas similares intrusivas sin el consentimiento previo por escrito de Caseware; o (e) utilizar las credenciales de API emitidas por el cliente para proporcionar servicios a otras organizaciones o en un modelo multiinquilino sin autorización.

11. Programas de vista previa / beta (en su caso)

Determinadas API pueden ser ofrecidas de conformidad con programas de vista previa o beta como Servicios beta (tal y como se define en el MPSA). Dichas API pueden estar sujetas a notificaciones, restricciones o disposiciones de programa individuales adicionales, y pueden ser modificadas, limitadas, suspendidas o discontinuadas en cualquier momento. Todas las API, incluidas las API disponibles de manera general, pueden ser versionadas, modificadas, retiradas o discontinuadas por Caseware bajo previo aviso razonable de conformidad con el MPSA, excepto que se disponga lo contrario en un Formulario pertinente.

12. Cumplimiento

Caseware podría investigar posibles infracciones y limitar, suspender o cesar el acceso a API de conformidad con los Apartados 11.2 y 11.3 del MPSA cuando sea necesario para proteger la seguridad, estabilidad o integridad de la plataforma, incluso en caso de cualquier incumplimiento de esta política o del MPSA. Caseware se reserva el derecho a auditar el uso de API de conformidad con el Apartado 2.6 del MPSA para verificar el cumplimiento de esta política y de los contratos aplicables.

13. Actualizaciones de esta política

Caseware podría actualizar esta política cada cierto tiempo publicando la política actualizada en www.caseware.com/es/legal/caseware-api-use-policy con la fecha de "Última actualización" modificada. Los cambios sustanciales se comunicarán al Cliente de conformidad con las disposiciones de notificación del MPSA. El uso continuado de las API tras dicha notificación constituye la aceptación de la política actualizada, siempre que cualquier cambio que alteraría sustancialmente los derechos u obligaciones del Cliente de conformidad con el MPSA requiera una modificación por escrito en virtud del Apartado 12.12 del MPSA.

14. Preguntas

Si tiene preguntas acerca del uso aceptable de las API o de integraciones de terceros, póngase en contacto aquí: legalreview@caseware.com.

‍

POLÍTICA DE USO DE IA DE CASEWARE

Última actualización: 13 de mayo de 2026

INTRODUCCIÓN

Caseware utiliza inteligencia artificial (IA) y tecnologías de aprendizaje automático para mejorar sus productos y servicios. Esta Política de uso de IA ofrece transparencia acerca de cómo usamos la IA en las Ofertas de Caseware.

Esta política complementa nuestro Contrato marco de productos y servicios ("MPSA", por sus siglas en inglés), disponible en https://www.caseware.com/nl/master-product-service-agreement/. Si hubiera alguna contradicción entre esta política y el MPSA, prevalecerán los términos del MPSA.

CÓMO UTILIZAMOS SUS DATOS CON IA

Nuestro uso de los datos en conexión con las funciones de IA se rige por el MPSA. En lenguaje claro:

Su contenido (Datos del cliente y Datos de abonado)

Utilizamos su contenido, como documentos, archivos y otra información que usted suba o cree, exclusivamente para proporcionar las funciones de IA que usted haya solicitado. No utilizamos su contenido para entrenar modelos de IA que beneficien a otros clientes.

Información técnica de uso (Metadatos del cliente)

Recopilamos información técnica sobre cómo utiliza nuestros productos, como las funciones a las que accede, los patrones de uso y las métricas de rendimiento. Esta información técnica no incluye la esencia de su trabajo. Utilizamos esta información para mejorar nuestros productos y desarrollar y entrenar modelos de IA.

Información anonimizada (Datos agregados)

Creamos datos anonimizados y agregados que no pueden identificarle a usted ni a su organización. Empleamos estos datos agregados para desarrollar, entrenar y mejorar modelos de IA, optimizar nuestros productos y servicios y llevar a cabo labores de investigación y análisis.

Los términos anteriores emplean descripciones simplificadas para mayor claridad. Para consultar las definiciones legales precisas, los detalles completos acerca de la titularidad de los datos, las licencias y los derechos de uso, consulte el MPSA. En caso de contradicción, las definiciones del MPSA prevalecerán.

MODELOS DE IA Y PROVEEDORES

Caseware emplea una combinación de modelos de IA de carácter propietario y tecnologías de IA de proveedores externos para proporcionar las funciones de IA. Cuando utilizamos proveedores de IA externos:

·      Seleccionamos proveedores que tengan prácticas de seguridad y privacidad adecuadas.

·      Suscribimos acuerdos de protección de datos con dichos proveedores.

·      Limitamos la comunicación de datos al mínimo necesario para proporcionar las funciones solicitadas.

La información acerca de nuestros proveedores de servicios y nuestras prácticas de seguridad de datos está disponible en https://trust.caseware.com.

SEGURIDAD Y PRIVACIDAD

El procesamiento mediante IA está sujeto a las mismas protecciones de seguridad y privacidad que todas las Ofertas de Caseware, lo que incluye:

·      Cifrado de datos en tránsito y en reposo

·      Controles de acceso y mecanismos de autenticación

·      Monitorización y evaluaciones de seguridad periódicas

·      Cumplimiento de las leyes de protección de datos vigentes

Para obtener más información acerca de nuestras prácticas de seguridad, visite https://trust.caseware.com.

Para obtener más información acerca del tratamiento de datos personales, consulte nuestro Contrato de tratamiento de datos en https://www.caseware.com/dpa/.

LIMITACIONES DE LA IA Y SUS RESPONSABILIDADES

Las tecnologías de IA tienen limitaciones. Los resultados generados por IA pueden contener errores, imprecisiones o "alucinaciones" (información que puede parecer plausible, pero es incorrecta). Los modelos de IA también pueden reflejar sesgos presentes en sus datos de entrenamiento.

Usted es responsable de:

·      Revisar y verificar los resultados generados por IA antes de su uso

·      Emplear su propio criterio profesional al tomar cualquier decisión o recomendación

·      Garantizar el cumplimiento de la legislación aplicable y de los estándares profesionales

·      No confiar exclusivamente en los resultados generados por IA para tomar decisiones críticas

Las funciones de IA son herramientas diseñadas para asistirle, no para sustituir su conocimiento y experiencia profesionales. Usted mantiene la responsabilidad exclusiva de todos los resultados del trabajo, las decisiones y recomendaciones que proporcione.

Como se indica en el MPSA, las funciones de IA y sus resultados se proporcionan "tal cual", sin garantía de exactitud, integridad o idoneidad para un propósito particular.

TITULARIDAD DE LOS RESULTADOS GENERADOS POR LA IA

El contenido generado por las funciones de IA mediante el uso de los datos de usted ("Resultados del cliente") es propiedad de usted, sujeto a los términos del MPSA. Durante el período de validez de su contrato, Caseware tiene una licencia limitada para utilizar los Resultados del cliente para proporcionarle servicios.  Caseware no utiliza los Resultados del cliente para entrenar ni mejorar modelos de IA. Sí que empleamos los Metadatos del cliente (información técnica de uso) y los Datos agregados para desarrollar y mejorar nuestros modelos de IA, como se ha descrito anteriormente.

ACTUALIZACIONES DE ESTA POLÍTICA

Es posible que actualicemos esta Política de uso de IA periódicamente para reflejar nuevas funciones, tecnologías o prácticas. Cuando introduzcamos cambios sustanciales, publicaremos la política actualizada en www.caseware.com/es/legal/caseware-ai-use-policy y actualizaremos la fecha de "Última actualización" que figura arriba.

La versión actual de esta política siempre está disponible en www.caseware.com/es/legal/caseware-ai-use-policy. Su uso continuado de las funciones de IA tras las actualizaciones constituye la aceptación de la política actualizada.

¿ALGUNA PREGUNTA?

Si tiene preguntas acerca de esta Política de uso de IA o acerca del uso de las tecnologías de IA:

Visite nuestro Trust Center: https://trust.caseware.com.

Escríbanos un correo electrónico: privacy@caseware.com.

Consulte el MPSA: https://www.caseware.com/nl/master-product-service-agreement/

‍

Introducción

Caseware International Inc., y sus empresas relacionadas (en adelante, de manera conjunta referidas como «Caseware»), de conformidad con la Ley para Personas con Discapacidad de Ontario (Ontarians with Disability Act [ODA], 2001) y con la Ley de Accesibilidad para Personas con Discapacidad de Ontario (Accessibility for Ontarians with Disability Act [AODA], 2005), ha desarrollado una política para garantizar que las personas con discapacidad tengan acceso a sus servicios en condiciones de igualdad y de una forma que respete su dignidad e independencia.

Las siguientes políticas, procedimientos y prácticas se guían por los principios fundamentales subyacentes a la Norma de Servicio al Cliente (CSS, Customer Service Standard) (Reglamento 429/07), y tenemos el compromiso de garantizar que todos los empleados, así como cualquier tercero que proporcione bienes y servicios en nuestro nombre, sigan dicha Política.

Declaración de principios

Caseware International Inc. tiene el compromiso de brindar servicios accesibles a personas con discapacidad y hará todo lo posible por garantizar que esta Política, y aquellas políticas y procedimientos relacionados, se ajusten a los siguientes principios tales como se establecen en la Norma de Servicio al Cliente (CSS):

(a) Proporcionaremos bienes o servicios de manera tal que se respete la dignidad e independencia de las personas con discapacidad.

• Brindaremos servicios integrados a personas con discapacidad siempre que sea posible y ofreceremos medidas alternativas cuando sea necesario, ya sea de forma permanente o temporal, para permitir que una persona con una discapacidad obtenga, use o pueda disfrutar de los bienes o servicios.

• Ofreceremos igualdad de oportunidades a personas con discapacidad para que obtengan, usen y puedan disfrutar de los bienes o servicios.

Proporcionar bienes y servicios a personas con discapacidad

1.   Comunicación

Para comunicarse con personas con discapacidad, Caseware tendrá en cuenta las necesidades y circunstancias específicas de cada individuo. Los empleados, agentes y terceros de Caseware que se comuniquen con los clientes recibirán formación sobre cómo interactuar y comunicarse con personas con diferentes discapacidades con el fin de garantizar que Caseware brinda una comunicación receptiva y eficaz. Toda comunicación se realizará de manera tal que se respete la dignidad e independencia de las personas con discapacidad.

2.   Dispositivos de asistencia

Se permitirá a las personas con discapacidad obtener, usar o poder disfrutar de los bienes y servicios a través del uso de sus propios dispositivos de asistencia. Nos aseguraremos de que nuestros empleados estén formados y familiarizados con diferentes dispositivos de asistencia que podrían utilizar las personas con discapacidad para acceder a nuestros bienes o servicios.

En el caso de que una persona con discapacidad tenga dificultad para acceder a cualquier bien o servicio ofrecido, Caseware hará todo lo posible por adaptarse a la persona de forma que le ofrecerá el uso de otro dispositivo de asistencia que esté disponible o intentará ofrecer el mismo servicio de otra forma.

3.   Servicios telefónicos

Caseware tiene el compromiso de brindar servicio telefónico completamente accesible a sus miembros. Formaremos a los empleados para comunicarse por teléfono con un lenguaje claro y sencillo, y para hablar con claridad y a un ritmo pausado. Si la comunicación telefónica supone una barrera para una persona con discapacidad, podremos comunicarnos por escrito, correo electrónico, fax o cualquier otro medio electrónico.

4.   Facturación

Tenemos el compromiso de proporcionar facturas accesibles a todos nuestros clientes y hacer todo lo posible por brindar formatos alternativos de facturas de manera oportuna cuando así se solicite.

Uso de animales de servicio y personas de apoyo

1.   Animales de servicio

Caseware tiene el compromiso de recibir a las personas con discapacidad que estén acompañadas por un animal de servicio en aquellas zonas de nuestras instalaciones abiertas al público. Si un animal de servicio queda excluido por ley, sugeriremos alternativas adecuadas y proporcionaremos asistencia con el fin de garantizar que esa persona pueda acceder, obtener, usar o disfrutar de los servicios de Caseware siempre que sea posible.

Caseware formará a empleados sobre cómo interactuar con clientes que vengan acompañados de animales de servicio.

2.   Personas de apoyo

Cualquier persona con discapacidad que venga acompañada de una persona de apoyo podrá acceder con dicha persona a cualquier servicio suministrado por Caseware. No habrá impedimento por nuestra parte para que cualquier persona con discapacidad que venga acompañada de una persona de apoyo tenga acceso a dicha persona.

En los casos en los que haya obstáculos para acceder o recibir asistencia de una persona de apoyo, Caseware tratará de facilitar el acceso para garantizar la participación de personas con discapacidad.

Aviso de interrupciones temporales

Aunque Caseware es consciente de que la operación de sus servicios e instalaciones es importante para sus clientes y de que las personas con discapacidad dependen de determinados servicios e instalaciones proporcionados por Caseware, las interrupciones temporales en estos pueden producirse de forma ocasional.

Cuando se produzca una interrupción temporal de aquellos servicios o instalaciones de los que pudieran depender las personas con discapacidad, Caseware avisará de ello. El aviso incluirá información sobre el motivo de la interrupción, su duración estimada y, si corresponde, una descripción de los servicios o instalaciones alternativos que puedan estar disponibles. Asimismo, el aviso de interrupciones del servicio se ofrecerá tan pronto como sea razonablemente posible una vez que Caseware tenga conocimiento de estas, o de forma anticipada en el caso de que se hubieran planificado.

Según las circunstancias, el aviso se comunicará por distintos métodos, lo que puede incluir carteles en lugares visibles de la oficina u otras instalaciones del edificio (p. ej., en el vestíbulo), publicaciones en nuestro sitio web o cualquier otra forma que garantice, dentro de lo razonable, que el aviso llegará de manera que les resulte accesible a aquellas personas que podrían verse potencialmente afectadas por la interrupción temporal.

Formación del personal

Caseware se asegurará de que todos los empleados, agentes y terceros que interactúen con clientes en su nombre reciban formación acerca de la Norma de Servicio al Cliente de AODA. Asimismo, la formación se impartirá de forma continua siempre que se realicen cambios en esta Política para garantizar su correcta implementación en todo momento.

La formación incluirá lo siguiente:

• una descripción general de los propósitos de la Ley de Accesibilidad para Personas con Discapacidad de Ontario (2005) y de los requisitos de la Norma de Servicio al Cliente;

• formación sobre cómo interactuar y comunicarse con personas que tengan diferentes tipos de discapacidades;

• formación sobre cómo interactuar con personas con discapacidad que usen un dispositivo de asistencia o requieran asistencia de un animal de servicio o una persona de apoyo;

• formación sobre cómo usar equipos o dispositivos de asistencia disponibles en la oficina, o que Caseware proporcione de otro modo, que puedan ayudar a brindar bienes o servicios a una persona con
  • discapacidad;

• formación sobre qué hacer si una persona con discapacidad tiene dificultades para acceder a bienes y servicios de Caseware; y

• formación sobre las políticas, prácticas y procedimientos actuales de Caseware relacionados con la Norma de Servicio al Cliente.

Caseware conservará registros de la formación impartida, lo que incluirá las fechas en las que se impartió la formación, la cantidad de participantes y sus nombres.

Proceso de comentarios

En lo que respecta a la forma en la que Caseware proporciona bienes y servicios a las personas con discapacidad, los clientes que lo deseen podrán realizar comentarios de la manera que consideren más apropiada. Por ejemplo, una persona puede transmitirnos su opinión mediante un formulario de comentarios del cliente o poniéndose en contacto con el responsable de cumplimiento de AODA, ya sea en persona, por correo postal, teléfono, correo electrónico o disquete.

Al autor de los comentarios se le responderá en el formato solicitado (o en el más adecuado si no se ha pedido uno concreto) y se indicarán las medidas tomadas. Caseware hará todo lo posible por responder a los comentarios en un plazo de cinco (5) días laborables. Las quejas pueden realizarse de conformidad con los procedimientos habituales de gestión de quejas de nuestra organización.

Cualquier consulta relacionada con esta política o cualquier comentario debe dirigirse al responsable de cumplimiento de AODA de Caseware:

Correo electrónico:
legalreview@caseware.com

Dirección:
Caseware International Inc.

351 King St E Suite 1100,

Toronto, ON

M5A 2W4

Plan de accesibilidad plurianual

Este plan de accesibilidad de 2014-21 recoge las políticas y acciones que Caseware International Inc. implementará para mejorar las oportunidades de las personas con discapacidad.

Declaración de compromiso

En Caseware tenemos el compromiso de hacer que nuestras oficinas y servicios sean accesibles. Queremos crear un entorno que promueva la inclusión y la accesibilidad.

Nuestro objetivo es comunicarnos de manera eficaz con personas con discapacidad de tal forma que se tengan en cuenta circunstancias y necesidades especiales, incluido el uso de dispositivos de asistencia. Estamos trabajando para garantizar que nuestras políticas, prácticas y procedimientos se ajusten a los principios fundamentales de dignidad, respecto e independencia.

Caseware fomenta un lugar de trabajo en el que todos los empleados puedan alcanzar su máximo potencial. Estamos comprometidos con superar las barreras para que las personas más brillantes, motivadas y dedicadas se unan a nuestra familia.

Este proceso es continuo y nos encantaría recibir sus comentarios y sugerencias en relación a la accesibilidad de nuestros servicios.

Información de emergencia accesible

Caseware International Inc. tiene el compromiso de proporcionar a los clientes y usuarios información de emergencia en un formato accesible y a disposición del público cuando así se solicite. Asimismo, proporcionaremos a los empleados con discapacidad información individualizada de respuesta de emergencias cuando sea necesario.

Formación

Caseware International Inc. brindará formación a los empleados, voluntarios y otros miembros del personal acerca de las leyes de accesibilidad de Ontario y del Código de Derechos Humanos en lo que respecta a personas con discapacidad. La formación se proporcionará de la manera que mejor se ajuste a las tareas de los empleados, voluntarios y otros miembros del personal. Consulte nuestra política sobre la Norma de Servicio al Cliente (Política CSS).

Caseware International Inc. tomará las siguientes medidas para garantizar que los empleados reciban la formación necesaria para cumplir con las leyes de accesibilidad de Ontario antes del 1 de enero de 2015:

A día de hoy, todos los empleados identificados en la sección “«Formación del personal» que se describe en nuestra política CSS han recibido la formación.

Cualquier persona nueva que se contrate en estos departamentos deberá completar la formación de AODA.

Información y comunicaciones

Caseware International Inc. tiene el compromiso de cumplir con las necesidades de comunicación de las personas con discapacidad. Tomaremos las siguientes medidas para hacer que todos los sitios web y contenido nuevos sean conformes a WCAG 2.0, Nivel A, antes del 1 de enero de 2014:

Trabajaremos con nuestro equipo de marketing para que cualquier nuevo contenido cumpla con los requisitos de WCAG 2.0.

Se comprobará la conformidad del contenido web ya existente. Nuestro objetivo es que nuestro sitio web cumpla con la WCAG 2.0, nivel AA, antes del 1 de enero de 2021.

Caseware International Inc. tomará las siguientes medidas para garantizar que los actuales procesos para recibir comentarios, previa solicitud, sean accesibles a personas con discapacidad antes del 1 de enero de 2015:

Hemos actualizado nuestra Política CSS (a continuación) para que incluya diferentes métodos para proporcionar comentarios (teléfono, fax, correo electrónico, correo postal o en persona).

Caseware International Inc. tomará las siguientes medidas para asegurarse de que toda la información sea accesible y esté a disposición del público, previa solicitud, antes del 1 de enero de 2016:

Trabajaremos con nuestro equipo de documentación para garantizar que la información pueda proporcionarse en diferentes formatos.

Las solicitudes pueden enviarse al responsable de cumplimiento indicado en nuestra Política CSS.

Empleo

Caseware International Inc. tiene el compromiso de ofrecer prácticas de empleo justas y accesibles.

Tomaremos las siguientes medidas para informar al público y al personal de que, previa solicitud, nos adaptaremos a personas con discapacidad durante los procesos de evaluación y contratación, y cuando se las contrate:

Adopción de ajustes siempre que no genere una excesiva dificultad financiera

Política de ajustes de Caseware

El propósito de la Política de ajustes es garantizar que realicemos ajustes para empleados, clientes y potenciales solicitantes de empleo de conformidad con el Código de Derechos Humanos de Ontario. Al proporcionar ajustes, estamos ayudando a crear un entorno inclusivo.

Cualquier persona que necesite la adopción de ajustes puede dirigir sus peticiones al departamento People & Culture (Personal y Cultura Corporativa), mediante el correo electrónico legalreview@caseware.com, o llamar al 416-867-9504 ext. 1294; asimismo, se aceptan solicitudes por escrito. Cualquier petición de ajustes deberá identificar sus necesidades y proporcionar información acerca de las capacidades y limitaciones con el fin de validar las solicitudes de tales ajustes.

El departamento People & Culture evaluará todas las solicitudes caso por caso y explorará las opciones para adaptarse. Se mantendrá la confidencialidad de toda la información relacionada con ajustes, excepto donde su divulgación sea necesaria.

Si ha identificado alguna limitación de accesibilidad, queremos saberlo. Póngase en contacto con nosotros mediante los datos que aparecen más abajo.

En el caso de producirse una interrupción del servicio, informaremos al público tanto de esta como de las alternativas disponibles. Consulte también nuestra Política CSS.

Más información

Para consultar más información sobre este plan de accesibilidad o para solicitar un formato alternativo, póngase en contacto con:

Correo electrónico:
legalreview@caseware.com

Dirección:
Caseware International Inc.

351 King St E Suite 1100,

Toronto, ON

M5A 2W4

Modificación de la Política y las políticas relacionadas

Caseware tiene el compromiso de desarrollar políticas de atención al cliente que respeten y promuevan la dignidad y la independencia de las personas con discapacidad. Todas las políticas y procedimientos de Caseware se desarrollarán o actualizarán de una forma que respeten y promuevan la dignidad e independencia de las personas con discapacidad.

1. Purpose and Scope

This Code of Conduct (“Code”) is a summary, and it supports policies, including those on Environmental, Social and Governance (ESG), modern slavery, privacy, supplier standards, and information security. It is intended to provide an accessible overview of the ethical standards, legal responsibilities, and behavioural expectations that guide how everyone associated with Caseware International Inc. (“Caseware”), including employees, contractors, suppliers, partners and representatives, should act in support of our values: Integrity, Mutual Respect, Accountability, and Excellence.

This Code does not replace the full Code of Conduct or the referenced policies. All employees are expected to comply with the full Code, related internal policies, and applicable laws.

The intention is to protect Caseware’s reputation and foster a culture of trust, fairness, and compliance. Caseware provides ongoing training on these principles, and all employees certify annually that they have read, understood, and will comply with the full Code and related policies.

We expect third parties acting on Caseware’s behalf, including suppliers, partners, and representatives, to uphold standards of conduct consistent with this Code. For more detailed guidance on supplier expectations, see Caseware’s Supplier Code of Conduct.

2. Core Principles

2.1. Integrity and Ethical Business

Caseware is committed to conducting business with honesty, fairness and transparency. All business decisions and interactions should uphold the highest ethical standards. This includes:

·      Gifts and Hospitality: Employees and representatives must not offer, give, or receive improper gifts or hospitality, including facilitation of payments.

·      Accurate Books and Records: All records, invoices, and reports must be complete, accurate, and free from misrepresentation.

2.2. Compliance with Laws

Employees and representatives must comply with all applicable laws, regulations and internal policies, including those governing anti-corruption, privacy and human rights.

2.3. Respect and Diversity

Caseware values diversity and inclusion. Discrimination, harassment, or bias in hiring or workplace conduct on grounds such as race, gender, sexual orientation, identity, age, disability, creed, or family status is prohibited. Caseware values human rights; forced labour, child labour, and any violation of internationally recognized human rights standards will not be tolerated.

2.4. Confidentiality and Information Protection

Protecting confidential and personal information is a fundamental responsibility. All client, partner and employee data must be handled in accordance with Caseware’s Privacy Statement, applicable contractual obligations, and consistent with applicable privacy legislation, including the Personal Information Protection and Electronic Documents Act (PIPEDA), and the General Data Protection Regulation (GDPR).

2.5. Environmental Responsibility

Casware strives to minimize its environmental impact and promote sustainability, in line with ESG standards. Employees and representatives should act responsibly in using resources and managing environmental risks.

3. Workplace Conduct

3.1 Anti-Corruption and Business Ethics

Caseware maintains a zero-tolerance policy towards corruption bribery, and improper business practices. Offering, giving, soliciting, or accepting anything of value in exchange for improper advantage is prohibited, whether direct or indirect, by employees or anyone acting on Caseware’s behalf.

3.2. Safety and Respect

All employees are expected to contribute to a work environment free from harassment, bullying, unsafe conduct, or other demeaning behaviour. Mutual respect and professionalism must guide all interactions.

3.3. Conflict of Interest

Employees must avoid conflicts, actual or perceived, between personal interests and the interests of Caseware. Where potential conflicts arise, they should be disclosed promptly to management or compliance officers.

3.4. Third Parties & Representatives

We encourage third parties acting on our behalf to upload standards of conduct consistent with this Code and our Supplier Code of Conduct.

4. Use of Caseware Assets & Systems

Caseware resources, including software, computer systems, networks and intellectual property, must be used responsibly, only for legitimate business purposes, and in accordance with security policies. Misuse, theft or unauthorized access is prohibited.

5. Reporting, Accountability and Non-Retaliation

Caseware encourages speaking up if someone observes behaviour that appears unethical, illegal or non-compliant with this Code. Individuals raising concerns in good faith will be protected against retaliation. A detailed reporting mechanism and protection policy are included in internal governance documents.

6. Enforcement

Violations of this Code may lead to disciplinary action, up to and including termination, and when appropriate, referral to legal authorities. Caseware reserves the right to investigate potential breaches and take corrective measures.

Caseware Data Processing Agreement

Version: 3.0

Last Updated: Nov 2024

1. Introduction & Scope

This Data Processing Agreement ("DPA") is incorporated by reference into the Master Product and Services Agreement ("MPSA") entered into by Caseware International Inc., and/or Caseware Cloud Ltd. (collectively "Caseware" or the "Processor") and the customer identified therein (the "Customer" or "Controller").

As the Processor may have access to Personal Data in providing Services (defined below), the Customer (as the Controller) and Caseware (as the Processor) require a contractual agreement concerning the collection, processing and use of personal data accessed by the Processor to ensure the personal data receives protection equivalent to that afforded by the Controller. This DPA governs the duration of the processing, the nature and purpose of the processing, the type of Personal Data being processed, the categories of Data Subjects and the rights and obligations of the Controller and of the Processor.

Customer and Caseware are separately referred to as "Party" and collectively as "Parties".

2. Definitions

Capitalized terms not defined in this DPA shall have the meaning given to them in the MPSA.

• "CPRA" means the California Privacy Rights Act, Cal. Civ. Code §§ 1798.100 et seq.
• "Customer Information" means business contact information (such as name, work email address, work phone number) relating to Customer's personnel provided by Customer to Caseware for purposes of accessing Caseware's software and/or database.
• "Data Protection Laws" shall mean all data protection and privacy laws applicable to the processing of Personal Data according to the territorial origin of the Personal Data.
• "Data Subject" shall mean an identified or identifiable natural person related to the Personal Data. Data Subject shall be equivalent to "Consumer" (as defined pursuant to the California Privacy Rights Act ("CPRA").
• "Personal Data" or "personal data" shall mean, for the purposes of this DPA, any information relating to an identified or identifiable natural person, and shall also mean all "Personal Information" as defined in the CPRA, but excludes Customer Information.
• "Privacy Statement" means the privacy statement adhered to by Caseware in provision of all Caseware Offerings, as published and updated from time to time on https://www.caseware.com/.
• "Restricted Transfer" shall mean (i) a transfer of Personal Data from Customer to Caseware; or (ii) an onward transfer of Personal Data from Caseware to a Sub-Processor, or iii) an onward transfer between two establishments of Caseware or a Sub-Processor; in each case, where such transfer would be prohibited by Data Protection Laws (or by the terms of data transfer agreements put in place to address the data transfer restrictions of Data Protection Laws), authorisation mechanisms will be applied as required by applicable Data Protection Laws.
• "Services" shall mean services offered by Caseware with respect to software provided by Caseware as a service (as defined in the MPSA), or software licensed to the public, and shall include any software support services provided by Caseware or its Affiliates.
• "Standard Contractual Clauses" shall mean the standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council approved by decision of the European Commission on June 4, 2021.
• "Sub-Processor" shall mean any person or entity appointed by or on behalf of Caseware to process Personal Data on behalf of Caseware in connection with the Services and shall include any Sub Processor rightfully appointed by a Sub-Processor (a Sub-Sub-Processor) to process Personal Data on behalf of Caseware in connection with the Services but shall not include any individual employee of Caseware or a Sub-Processor.

3. Details of the Processing

Caseware will collect, use, and disclose Personal Data in accordance with the Privacy Statement.

4. Type of Data

The following types/categories of data that may be collected, processed and/or used by Caseware include:

• Personal Data (e.g., last name, first name, address and date of birth);
• Communication data (e.g., telephone number, fax, email);
• Contract data (e.g., billing and payment details);
• IT usage data (e.g., user ID, passwords and roles);
• Bank data (e.g., bank account details and credit card number); and/or
• Any other category set out in the Privacy Statement.

5. Data Subjects

Data Subjects which may be affected by using their Personal Data include:

• The Customer's clients/service recipients;
• The Customer's employees or contractors; and/or;
• The Customer's suppliers/service providers.

6. Place of Data Processing

Caseware uses third party data hosting providers such as Amazon Web Services (AWS) to host the Services and to act as Sub-Processors on servers located throughout the world. At present, Caseware uses servers in Australia, Canada, Ireland and the United States.

At the time of subscribing to Caseware Services, Customer will be advised as to the geographic server that will host Personal Data and will be given an opportunity to consent thereto prior to Personal Data of Customer being stored with any such data hosting provider.

Caseware will reasonably attempt to allocate a server in a geographically proximate location to the Customer so as to avoid cross-border transfer of the Personal Data. Where that is not possible, legally required authorisation mechanisms will be applied with the consent of the Customer, including for the provision of technical support and maintenance services requested by the Customer.

7. Instructions

Caseware shall process Personal Data for the purposes of: (i) processing as required by Customers in their use of the Services; (ii) processing in accordance with the MPSA, this DPA and any other agreements between the Parties, (iii) processing to comply with other reasonable instructions provided by Customer where such instructions are consistent with the terms of the MPSA, applicable laws and DPA. Caseware will inform Customer if, in Caseware's opinion, the Customer's instructions or requests are contrary to Data Protection Laws, with reasons therefore by email.

8. Confidentiality Commitment by Caseware

Caseware will ensure (a) the reliability of all individuals who could potentially access the Personal Data through background checks; (b) that all such individuals are subject to confidentiality undertakings at least as restrictive as those set forth in the MPSA and will treat the Personal Data as Confidential Information; and (c) that all such individuals have undergone training in the care, protection, and handling of Personal Data.

9. Technical & Organizational Measures

Caseware shall implement the necessary technical and organizational measures ("TOMs") to ensure a level of security appropriate to the risk. These may include, as appropriate:

• the pseudonymization and encryption of Personal Data;
• availability and resilience of processing systems and services;
• the ability to restore the availability and access to Personal Data in a timely manner in the event of a physical or technical incident; and
• a process for regularly testing, assessing and evaluating the effectiveness of technical and organizational measures for ensuring the security of the processing and maintaining these measures for the duration of the contract.

Caseware will implement appropriate technical and organisational measures to protect Customer's Personal Data against unauthorised or unlawful processing and against accidental loss, destruction, damage, alteration or disclosure. When implementing and updating such technical and organisational measures ensuring a level of security appropriate to the risk, Caseware will have regard to the state of the art, the costs of implementation and the nature, scope, context and purposes of processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons. Without limiting the generality of the foregoing, Caseware has carried out the technical and organizational measures ("TOMs") specified in Attachment 1 to this DPA.

Caseware engages approved Sub-Processors to provide parts of the Services. The TOMs therefore depend partially on these Sub-Processors, as also described in Attachment 1, provided that Caseware remains responsible for its compliance with the TOMS regardless of its reliance on Sub-Processors. Caseware may decide on commercially reasonable improvements of the TOMs and provide the Customer on request with an updated Attachment 1.

10. Global Privacy Officer

Caseware has appointed its Sr. Director of Legal as Caseware's Global Chief Privacy Officer.

11. Sub-Processors

Customer acknowledges and agrees that Caseware may engage Sub-Processors in the provision of Services, subject to the terms and conditions of this DPA, and that (i) a Caseware Affiliate may be retained as a Sub-Processor; and (ii) Caseware or a Caseware Affiliate may engage third-party Sub-Processors.

Where Caseware engages a Sub-Processor in the provision of Services, a data processing agreement will be entered into with the Sub-Processor. A list of Caseware's current Sub-Processors is available in Attachment 2.

Caseware will provide an updated list of Sub-Processors at least ten (10) business days before it is amended. Within ten (10) business days of an update to the list of Sub-Processors, Customer shall inform Caseware, in writing, of any objections to any appointment of a Sub-processor when Customer reasonably believes that such Sub-processor is not compliant with applicable Data Protection Laws, or such processing may present a risk to their Customer Information or Personal Data. In the event the Customer reasonably objects to a Sub-processor as described above, the Parties will endeavor to resolve the matter without undue delay. Caseware will use reasonable efforts to make available to Customer a change in Services to avoid processing of Customer Information or Personal Data by the objected-to Sub-Processor without unreasonably burdening Customer. CasewareCasewareCaseware If Customer objects to a new Sub Processor, even though the new Sub processor is necessary for Caseware and the Services, then Customer may terminate any subscription for the affected Caseware Services without penalty by providing, before the end of the notice period, written notice of termination.

If use of a Sub-Processor involves a Restricted Transfer, Caseware shall ensure that the authorisation required under applicable law are at all relevant times incorporated into an agreement between Caseware and the Sub-Processor; and between the Sub-Processor and any Sub-Sub-Processor.

12. Data Subject Requests

Caseware shall reasonably support the Customer in the case of a data subject access, rectification or erasure requests, insofar as Customer cannot fulfill such a request on its own, to the extent legally permitted and technically possible. Customers shall pay Caseware costs for such support, to the extent legally permitted.

If a data subject request is received by Caseware that relates to Personal Data transferred by the Customer, Caseware will refer the request to the Customer. Caseware will not respond to such a request but shall instead support Customer as provided in this Section.

13. Data Breach Notification

Caseware shall inform Customer without undue delay, and no later than 72 hours, after becoming aware of a breach of the Personal Data (meaning a breach of security leading to destruction, loss, alteration, unauthorised disclosure of, or access to, Personal Data transmitted, stored or otherwise processed), including a breach at a Sub-Processor, and shall provide the necessary information to allow Customer to inform authorities and data subjects. Caseware shall take reasonable efforts to remediate the cause of such data breach and mitigate (potential) damage resulting from the breach.

The notification to Customer will include at least a) the nature of the breach, b) the impacted data categories, c) the identified and potential consequences of the breach and d) the measures Caseware takes to mitigate the consequences of the breach. At the request of Customer, Caseware shall assist Customer in notifying the breach to a supervisory authority and/or the data subjects concerned .

14. Data Protection Impact Assessment (DPIA)

Upon request by Customer, Caseware shall provide reasonable assistance to Customer in conducting a DPIA, solely in relation to Caseware's processing of Customer's Personal Data and taking into account the nature of the processing and information available to Caseware and Sub-Processors. Customers shall pay Caseware costs for such support, to the extent legally permitted.

15. Deletion or Returning Personal Data

Caseware shall, at the choice of Customer, irretrievably delete or return all Personal Data within 120 calendar days of termination or expiry of the MPSA with Customer, unless storage of the data is required by law.

16. Information & Audit Rights

Customers may obtain information on existing Caseware security certifications at https://www.caseware.com/security-certifications/. Upon Customer's request, Caseware shall make available to Customer, or a third-party auditor instructed by Customer, once a year, information regarding Caseware's compliance with this DPA and Data Processing Law, including onsite audits. Any audit may include Caseware submitting its data processing facilities, data files and documentation needed for processing Personal Data (and/or those of its agents, affiliates and Sub-Processors) to reviewing, auditing and/or certifying by Customer (or any independent or impartial inspection agents or auditors selected by Customer and not reasonably objected to by Caseware), with reasonable notice and during regular business hours. Before any information or audit is provided, the Parties shall mutually agree on the scope, timing, and duration of such audit.

17. Restricted Transfers

Any transfer of Personal Data from the EU, Switzerland, the UK or the EEA to a country outside such areas that does not ensure an adequate level of protection as determined by decision of the EU Commission, or UK or Swiss regulatory authorities, will be subject to the applicable Standard Contractual Clauses (or applicable equivalent promulgated by the UK or Swiss regulatory authorities), at Attachment 3 and any transfer of Personal Data from the UK or Switzerland to a country that does not ensure an adequate level of protection as determined by decision of the EU, UK, or Swiss regulatory authorities , will be subject to the applicable equivalent to the SCCs used at the time, including the UK International Data Transfer Addendum to the EU Commission Standard Contractual Clauses, at Attachment 4.

Customers transferring Personal Data from the EU, Switzerland, the EEA or the UK to Caseware will be considered a "Data Exporter", and Caseware will be considered a "Data Importer" (both terms as defined in the Standard Contractual Clauses). Customer (as "data exporter") and Caseware (as "data importer") hereby enter into the Standard Contractual Clauses or the UK International Data Transfer Addendum to the EU Commission Standard Contractual Clauses, as applicable, in respect of any Restricted Transfer from Customer to Caseware.

The Standard Contractual Clauses or the equivalent Swiss or UK International Data Transfer Addendum to the EU Commission Standard Contractual Clauses, as applicable, shall come into effect upon execution of the MPSA.

18. California Specific Provisions

To the extent that Caseware processes any Personal Data relating to individuals who are California residents, Caseware shall comply with the requirements of the CPRA, including any amendments and implementing regulations that become effective on or after the effective date of this DPA, and shall provide the same level of privacy protection as is required by the CPRA. Capitalized terms used but not defined in this Section 18 shall have the same meaning as in the CPRA. For the purposes of the CPRA, the parties agree that Caseware is a "Service Provider" in the performance of its obligations, and that Customer is a "Business," and that the transfer of Personal Data to Caseware shall not be considered a "Sale" or "Sharing." To the extent required by the CPRA, Caseware shall (a) grant Customer the right to take reasonable and appropriate steps to help ensure that Caseware uses Personal Data in a manner consistent with Customer's obligations under the CPRA; (b) notify Customer if Caseware determines that it can no longer meet its obligations under the CPRA; and (c) grant Customer the right, upon reasonable notice, to take reasonable and appropriate steps to stop and remediate any unauthorised use of Personal Data. To the extent required by the CPRA, Customer shall inform Caseware of any consumer requests made pursuant to the CPRA that they must comply with, and shall provide all information necessary for Caseware to comply with such request.

Caseware shall Process Personal Data only for the "Business Purposes" specified in the MPSA and this DPA, including but not limited to (a) Caseware's operational purposes; (b) providing the Services to Customer; (c) auditing; (d) helping to ensure security and integrity; (e) debugging; (f) short-term, transient use; (g) providing advertising and marketing services to the extent such services are contemplated by the Parties' agreement; and (h) undertaking internal research for technological development and demonstration. The parties agree that Customer discloses Personal Data to Caseware only for these limited purposes.

As a Service Provider, Caseware shall not:

• Sell or Share Personal Data;
• retain, use, or disclose Personal Data for any purpose other than for the Business Purposes specified in the MPSA and this DPA, including retaining, using, or disclosing Personal Data for a commercial purpose other than the Business Purposes specified in the MPSA and this DPA, or as otherwise permitted by the CPRA;
• retain, use, or disclose Personal Data outside of the direct business relationship between Caseware and Customer; or
• combine Personal Data that Caseware receives from, or on behalf of, Customer with personal information that it receives from, or on behalf of, another person or persons, or collects from its own interaction with the consumer, provided that Caseware may combine personal information to perform any Business Purpose as defined in the regulations adopted pursuant to paragraph (10) of subdivision (a) of Cal. Civ. Code § 1798.185, except as provided for in paragraph (6) of subdivision (e) of Cal. Civ. Code § 1798.140 and in regulations adopted by the California Privacy Protection Agency.

19. Other U.S. Data Protection Laws

To the extent that Caseware Processes any Personal Data relating to individuals who are "Consumers" as that term is defined in the Colorado Privacy Act, Colo. Rev. Stat. §§ 6-1-1301 et seq. ("CPA"), the Connecticut Data Privacy Act, Public Act No. 22-15 ("CTDPA"), the Utah Consumer Privacy Act, Utah Code Ann. §§ 13-61-101 et seq. ("UCPA"), and the Virginia Consumer Data Protection Act, Va. Code Ann. §§59.1- 575 et seq. ("VCDPA") (collectively, the "Consumer Privacy Laws" or "CPL"), respectively, and upon the respective effective dates of the CPL, Caseware shall comply with the CPL's requirements, including any amendments and implementing regulations that become effective on or after the effective date of this DPA.

20. Liability

The liability of the Parties shall be subject to the liability provisions of the MPSA.

21. Term & Termination

This DPA becomes effective upon agreement with the MPSA and shall remain in force as long as Caseware processes Personal Data or throughout the term of the MPSA, whichever is longer.

22. Miscellaneous

In case of a conflict, between this DPA or any other agreement between the parties and the Standard Contractual Clauses, the Standard Contractual Clauses shall take precedence. In case of a conflict, between the provisions of this DPA and any other agreement between the Parties, this DPA shall take precedence. Should individual provisions of this DPA be or become invalid, this shall not affect the validity of the remaining conditions of this DPA. Without prejudice to Clause 17 (Governing Law) and Clause 18 (Forum and Jurisdiction) of the Standard Contractual Clauses, the Parties submit to the choice of jurisdiction and venue stipulated in the MPSA.

Attachment 1

Technical and Organizational Measures ("TOMs")

Action Description

Technical & Organizational Measures

Pseudonymization

Caseware employs tools to selectively anonymize sensitive data, which may include Personal Data. Pseudonymization is not necessarily used on all personal data elements, as not all Personal Data is identifiable as such to Caseware.

Encryption

Encryption is used for data at rest, and this encryption is provided by Amazon Web Services Inc. ("AWS"), an approved Sub- Processor (see Attachment 2). Digital certificates are in place to manage encrypted communications to the Amazon Web Servers.

Confidentiality

All Caseware Employees are required to sign a confidentiality agreement and accept company policies and procedures upon hire.

An Information Security Incident Response Policy & Procedure is in place to address actual and potential data breaches.

Integrity

The Services provides administrative controls for clients to control who can access files within their firm. Caseware does not have these rights.

Caseware is ISO 27001 and SOC 2 Type 2 certified, and controls are in place to ensure that only those required to perform administrative operations have required access. An access control policy and procedures are in place to review access control lists.

Potential risks and the mitigation of potential risks are reviewed on a regular basis.

Availability

Monitoring is performed through an external health check and internally with capacity management monitoring solutions.

Quality assurance processes are in place and under regular review, to mitigate against potential downtime.

Resilience of Processing Systems

The Services are hosted on AWS platform. The Services are ISO 27001 and SOC 2 Type 2 certified for security, confidentiality, integrity, privacy and availability.

Restoration

Backup Policy and procedures are in place, with daily automated backup reports to ensure restoration is achievable. Reports are monitored by an operational team.

Auditing/Testing

Regular audits take place for purposes of both ISO 27001 and SOC 2 Type 2 compliance. In addition, from time to time the company engages with a third party, for penetration testing services.

Certification(s)

ISO 27001 and SOC 2 Type 2.

Attachment 2

Caseware's Sub-Processors

Sub-Processor

Purpose of Processing

Data Storage & Processing

Amazon Web Services Inc.

440 Terry Ave N.

Seattle, WA 98108-1226, USA

Services and Subscriber Data is processed with CaseWare licensed software, on Amazon Web Services Inc.’s infrastructure.

Region selected by Caseware client during contracting:

Canada

Ireland

US

Australia

Google Analytics - Google Inc.

1600 Amphitheatre Pkwy.

Mountain View, CA 94043, USA

A web analytics service offered by Google that tracks and reports website traffic that can help to identify trends and patterns in how visitors interact with CaseWare’s website.

US

HubSpot

25 First Street, 2nd Floor

Cambridge, MA 02141, USA

A customer relationship management (CRM) platform and marketing automation platform (MAP) for CaseWare and its customers, prospects, and partners used by CaseWare’s Sales and Marketing team to communicate with customers.

US

NetSuite

2300 Oracle Way

Austin, TX 78741, USA

A cloud-based business platform that provides enterprise resource planning (ERP) services for CaseWare’s ‘Back Office’, invoicing and financial account management, inventory and supply chain management. Data collected, stored and processed is specific to fulfilling business services in performance of contracts.

US

New Relic

188 Spear St #1000

San Francisco, CA 94105, USA

A log monitoring platform, technical service and CaseWare application logs are sent to New Relic for search, analysis, and system monitoring. Sensitive data fields are masked such as usernames and emails, while some low sensitivity data such as IP and Host are captured directly.

US

Pendo.io Inc.

418 South Dawson Street

Raleigh, NC 27601, USA

A product analytics tool that allows product management teams to better understand user behavior. User actions across CaseWare platforms are sent to Pendo as “Events” along with properties on the user who performed that event. Low sensitivity data, accounting firm names are captured as user properties.

US

Salesforce

Salesforce Tower

415 Mission Street, 3rd Floor

San Francisco, CA 94105, USA

A customer relationship management (CRM) platform, for CaseWare and its customers and partners. Used for marketing, leads and communication campaign management

Canada

Attachment 3

Standard Contractual Clauses

SECTION I

Clause 1

Purpose and scope

• The purpose of these standard contractual clauses is to ensure compliance with the requirements of Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) for the transfer of personal data to a third country.
• The Parties:
  • the natural or legal person(s), public authority/ies, agency/ies or other body/ies (hereinafter "entity/ies") transferring the personal data, as listed in Annex I.A. (hereinafter each "data exporter"), and
  • the entity/ies in a third country receiving the personal data from the data exporter, directly or indirectly via another entity also Party to these Clauses, as listed in Annex I.A. (hereinafter each "data importer")
• have agreed to these standard contractual clauses (hereinafter: "Clauses").
• These Clauses apply with respect to the transfer of personal data as specified in Annex I.B.
• The Appendix to these Clauses containing the Annexes referred to therein forms an integral part of these Clauses.

Clause 2

Effect and invariability of the Clauses

• These Clauses set out appropriate safeguards, including enforceable data subject rights and effective legal remedies, pursuant to Article 46(1) and Article 46 (2)(c) of Regulation (EU) 2016/679 and, with respect to data transfers from controllers to processors and/or processors to processors, standard contractual clauses pursuant to Article 28(7) of Regulation (EU) 2016/679, provided they are not modified, except to select the appropriate Module(s) or to add or update information in the Appendix. This does not prevent the Parties from including the standard contractual clauses laid down in these Clauses in a wider contract and/or to add other clauses or additional safeguards, provided that they do not contradict, directly or indirectly, these Clauses or prejudice the fundamental rights or freedoms of data subjects.
• These Clauses are without prejudice to obligations to which the data exporter is subject by virtue of Regulation (EU) 2016/679.

Clause 3

Third-party beneficiaries

• Data subjects may invoke and enforce these Clauses, as third-party beneficiaries, against the data exporter and/or data importer, with the following exceptions:
  • Clause 1, Clause 2, Clause 3, Clause 6, Clause 7;
  • Clause 8 - Module One: Clause 8.5 (e) and Clause 8.9(b); Module Two: Clause 8.1(b), 8.9(a), (c), (d) and (e); Module Three: Clause 8.1(a), (c) and (d) and Clause 8.9(a), (c), (d), (e), (f) and (g); Module Four: Clause 8.1 (b) and Clause 8.3(b);
  • Clause 9 - Module Two: Clause 9(a), (c), (d) and (e); Module Three: Clause 9(a), (c), (d) and (e);
  • Clause 12 - Module One: Clause 12(a) and (d); Modules Two and Three: Clause 12(a), (d) and (f);
  • Clause 13;
  • Clause 15.1(c), (d) and (e);
  • Clause 16(e);
  • Clause 18 - Modules One, Two and Three: Clause 18(a) and (b); Module Four: Clause 18.
• Paragraph (a) is without prejudice to rights of data subjects under Regulation (EU) 2016/679.

Clause 4

Interpretation

• Where these Clauses use terms that are defined in Regulation (EU) 2016/679, those terms shall have the same meaning as in that Regulation.
• These Clauses shall be read and interpreted in the light of the provisions of Regulation (EU) 2016/679.
• These Clauses shall not be interpreted in a way that conflicts with rights and obligations provided for in Regulation (EU) 2016/679.

Clause 5

Hierarchy

In the event of a contradiction between these Clauses and the provisions of related agreements between the Parties, existing at the time these Clauses are agreed or entered into thereafter, these Clauses shall prevail.

Clause 6

Description of the transfer(s)

The details of the transfer(s), and in particular the categories of personal data that are transferred and the purpose(s) for which they are transferred, are specified in Annex I.B.

Clause 7

Docking clause

• An entity that is not a Party to these Clauses may, with the agreement of the Parties, accede to these Clauses at any time, either as a data exporter or as a data importer, by completing the Appendix and signing Annex I.A.
• Once it has completed the Appendix and signed Annex I.A, the acceding entity shall become a Party to these Clauses and have the rights and obligations of a data exporter or data importer in accordance with its designation in Annex I.A.
• The acceding entity shall have no rights or obligations arising under these Clauses from the period prior to becoming a Party.

SECTION II – OBLIGATIONS OF THE PARTIES

Clause 8

Data protection safeguards

The data exporter warrants that it has used reasonable efforts to determine that the data importer is able, through the implementation of appropriate technical and organisational measures, to satisfy its obligations under these Clauses.

8.1 Instructions

• The data importer shall process the personal data only on documented instructions from the data exporter. The data exporter may give such instructions throughout the duration of the contract.
• The data importer shall immediately inform the data exporter if it is unable to follow those instructions.

8.2 Purpose limitation

The data importer shall process the personal data only for the specific purpose(s) of the transfer, as set out in Annex I.B, unless on further instructions from the data exporter.

8.3 Transparency

On request, the data exporter shall make a copy of these Clauses, including the Appendix as completed by the Parties, available to the data subject free of charge. To the extent necessary to protect business secrets or other confidential information, including the measures described in Annex II and personal data, the data exporter may redact part of the text of the Appendix to these Clauses prior to sharing a copy, but shall provide a meaningful summary where the data subject would otherwise not be able to understand the content or exercise his/her rights. On request, the Parties shall provide the data subject with the reasons for the redactions, to the extent possible without revealing the redacted information. This Clause is without prejudice to the obligations of the data exporter under Articles 13 and 14 of Regulation (EU) 2016/679.

8.4 Accuracy

If the data importer becomes aware that the personal data it has received is inaccurate, or has become outdated, it shall inform the data exporter without undue delay. In this case, the data importer shall cooperate with the data exporter to erase or rectify the data.

8.5 Duration of processing and erasure or return of data

Processing by the data importer shall only take place for the duration specified in Annex I.B. After the end of the provision of the processing services, the data importer shall, at the choice of the data exporter, delete all personal data processed on behalf of the data exporter and certify to the data exporter that it has done so, or return to the data exporter all personal data processed on its behalf and delete existing copies. Until the data is deleted or returned, the data importer shall continue to ensure compliance with these Clauses. In case of local laws applicable to the data importer that prohibit return or deletion of the personal data, the data importer warrants that it will continue to ensure compliance with these Clauses and will only process it to the extent and for as long as required under that local law. This is without prejudice to Clause 14, in particular the requirement for the data importer under Clause 14(e) to notify the data exporter throughout the duration of the contract if it has reason to believe that it is or has become subject to laws or practices not in line with the requirements under Clause 14(a).

8.6 Security of processing

• The data importer and, during transmission, also the data exporter shall implement appropriate technical and organisational measures to ensure the security of the data, including protection against a breach of security leading to accidental or unlawful destruction, loss, alteration, unauthorised disclosure or access to that data (hereinafter "personal data breach"). In assessing the appropriate level of security, the Parties shall take due account of the state of the art, the costs of implementation, the nature, scope, context and purpose(s) of processing and the risks involved in the processing for the data subjects. The Parties shall in particular consider having recourse to encryption or pseudonymisation, including during transmission, where the purpose of processing can be fulfilled in that manner. In case of pseudonymisation, the additional information for attributing the personal data to a specific data subject shall, where possible, remain under the exclusive control of the data exporter. In complying with its obligations under this paragraph, the data importer shall at least implement the technical and organisational measures specified in Annex II. The data importer shall carry out regular checks to ensure that these measures continue to provide an appropriate level of security.
• The data importer shall grant access to the personal data to members of its personnel only to the extent strictly necessary for the implementation, management and monitoring of the contract. It shall ensure that persons authorised to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality.
• In the event of a personal data breach concerning personal data processed by the data importer under these Clauses, the data importer shall take appropriate measures to address the breach, including measures to mitigate its adverse effects. The data importer shall also notify the data exporter without undue delay after having become aware of the breach. Such notification shall contain the details of a contact point where more information can be obtained, a description of the nature of the breach (including, where possible, categories and approximate number of data subjects and personal data records concerned), its likely consequences and the measures taken or proposed to address the breach including, where appropriate, measures to mitigate its possible adverse effects. Where, and in so far as, it is not possible to provide all information at the same time, the initial notification shall contain the information then available and further information shall, as it becomes available, subsequently be provided without undue delay.
• The data importer shall cooperate with and assist the data exporter to enable the data exporter to comply with its obligations under Regulation (EU) 2016/679, in particular to notify the competent supervisory authority and the affected data subjects, taking into account the nature of processing and the information available to the data importer.

8.7 Sensitive data

Where the transfer involves personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, genetic data, or biometric data for the purpose of uniquely identifying a natural person, data concerning health or a person's sex life or sexual orientation, or data relating to criminal convictions and offences (hereinafter "sensitive data"), the data importer shall apply the specific restrictions and/or additional safeguards described in Annex I.B.

8.8 Onward transfers

The data importer shall only disclose the personal data to a third party on documented instructions from the data exporter. In addition, the data may only be disclosed to a third party located outside the European Union (in the same country as the data importer or in another third country, hereinafter "onward transfer") if the third party is or agrees to be bound by these Clauses, under the appropriate Module, or if:

• the onward transfer is to a country benefitting from an adequacy decision pursuant to Article 45 of Regulation (EU) 2016/679 that covers the onward transfer;
• the third party otherwise ensures appropriate safeguards pursuant to Articles 46 or 47 Regulation of (EU) 2016/679 with respect to the processing in question;
• the onward transfer is necessary for the establishment, exercise or defence of legal claims in the context of specific administrative, regulatory or judicial proceedings; or
• the onward transfer is necessary in order to protect the vital interests of the data subject or of another natural person.

Any onward transfer is subject to compliance by the data importer with all the other safeguards under these Clauses, in particular purpose limitation.

8.9 Documentation and compliance

• The data importer shall promptly and adequately deal with enquiries from the data exporter that relate to the processing under these Clauses.
• The Parties shall be able to demonstrate compliance with these Clauses. In particular, the data importer shall keep appropriate documentation on the processing activities carried out on behalf of the data exporter.
• The data importer shall make available to the data exporter all information necessary to demonstrate compliance with the obligations set out in these Clauses and at the data exporter's request, allow for and contribute to audits of the processing activities covered by these Clauses, at reasonable intervals or if there are indications of non-compliance. In deciding on a review or audit, the data exporter may take into account relevant certifications held by the data importer.
• The data exporter may choose to conduct the audit by itself or mandate an independent auditor. Audits may include inspections at the premises or physical facilities of the data importer and shall, where appropriate, be carried out with reasonable notice.
• The Parties shall make the information referred to in paragraphs (b) and (c), including the results of any audits, available to the competent supervisory authority on request.

Clause 9

Use of sub-processors

• The data importer has the data exporter's general authorisation for the engagement of sub processor(s) from an agreed list. The data importer shall specifically inform the data exporter in writing of any intended changes to that list through the addition or replacement of sub-processors at least annually. The data importer shall provide the data exporter with the information necessary to enable the data exporter to exercise its right to object.
• Where the data importer engages a sub-processor to carry out specific processing activities (on behalf of the data exporter), it shall do so by way of a written contract that provides for, in substance, the same data protection obligations as those binding the data importer under these Clauses, including in terms of third-party beneficiary rights for data subjects. The Parties agree that, by complying with this Clause, the data importer fulfills its obligations under Clause 8.8. The data importer shall ensure that the sub-processor complies with the obligations to which the data importer is subject pursuant to these Clauses.
• The data importer shall provide, at the data exporter's request, a copy of such a sub-processor agreement and any subsequent amendments to the data exporter. To the extent necessary to protect business secrets or other confidential information, including personal data, the data importer may redact the text of the agreement prior to sharing a copy.
• The data importer shall remain fully responsible to the data exporter for the performance of the sub processor's obligations under its contract with the data importer. The data importer shall notify the data exporter of any failure by the sub-processor to fulfil its obligations under that contract.
• The data importer shall agree a third-party beneficiary clause with the sub-processor whereby - in the event the data importer has factually disappeared, ceased to exist in law or has become insolvent - the data exporter shall have the right to terminate the sub-processor contract and to instruct the sub-processor to erase or return the personal data.

Clause 10

Data subject rights

• The data importer shall promptly notify the data exporter of any request it has received from a data subject. It shall not respond to that request itself unless it has been authorised to do so by the data exporter.
• The data importer shall assist the data exporter in fulfilling its obligations to respond to data subjects' requests for the exercise of their rights under Regulation (EU) 2016/679. In this regard, the Parties shall set out in Annex II the appropriate technical and organisational measures, taking into account the nature of the processing, by which the assistance shall be provided, as well as the scope and the extent of the assistance required.
• In fulfilling its obligations under paragraphs (a) and (b), the data importer shall comply with the instructions from the data exporter.

Clause 11

Redress

• The data importer shall inform data subjects in a transparent and easily accessible format, through individual notice or on its website, of a contact point authorised to handle complaints. It shall deal promptly with any complaints it receives from a data subject.
  The data importer agrees that data subjects may also lodge a complaint with an independent dispute resolution body at no cost to the data subject. It shall inform the data subjects, in the manner set out in paragraph (a), of such redress mechanism and that they are not required to use it, or follow a particular sequence in seeking redress.
• In case of a dispute between a data subject and one of the Parties as regards compliance with these Clauses, that Party shall use its best efforts to resolve the issue amicably in a timely fashion. The Parties shall keep each other informed about such disputes and, where appropriate, cooperate in resolving them.
• Where the data subject invokes a third-party beneficiary right pursuant to Clause 3, the data importer shall accept the decision of the data subject to:
  • lodge a complaint with the supervisory authority in the Member State of his/her habitual residence or place of work, or the competent supervisory authority pursuant to Clause 13;
  • refer the dispute to the competent courts within the meaning of Clause 18.
• The Parties accept that the data subject may be represented by a not-for-profit body, organisation or association under the conditions set out in Article 80(1) of Regulation (EU) 2016/679.
• The data importer shall abide by a decision that is binding under the applicable EU or Member State law.
• The data importer agrees that the choice made by the data subject will not prejudice his/her substantive and procedural rights to seek remedies in accordance with applicable laws.

Clause 12

Liability

• Each Party shall be liable to the other Party/ies for any damages it causes the other Party/ies by any breach of these Clauses.
• Each Party shall be liable to the data subject, and the data subject shall be entitled to receive compensation, for any material or non-material damages that the Party causes the data subject by breaching the third-party beneficiary rights under these Clauses. This is without prejudice to the liability of the data exporter under Regulation (EU) 2016/679.
• Where more than one Party is responsible for any damage caused to the data subject as a result of a breach of these Clauses, all responsible Parties shall be jointly and severally liable and the data subject is entitled to bring an action in court against any of these Parties.
• The Parties agree that if one Party is held liable under paragraph (c), it shall be entitled to claim back from the other Party/ies that part of the compensation corresponding to its / their responsibility for the damage.
• The data importer may not invoke the conduct of a processor or sub-processor to avoid its own liability.

Clause 13

Supervision

• Where the data exporter is established in an EU Member State: The supervisory authority with responsibility for ensuring compliance by the data exporter with Regulation (EU) 2016/679 as regards the data transfer, as indicated in Annex I.C, shall act as competent supervisory authority.
  Where the data exporter is not established in an EU Member State, but falls within the territorial scope of application of Regulation (EU) 2016/679 in accordance with its Article 3(2) and has appointed a representative pursuant to Article 27(1) of Regulation (EU) 2016/679: The supervisory authority of the Member State in which the representative within the meaning of Article 27(1) of Regulation (EU) 2016/679 is established, as indicated in Annex I.C, shall act as competent supervisory authority.
  Where the data exporter is not established in an EU Member State, but falls within the territorial scope of application of Regulation (EU) 2016/679 in accordance with its Article 3(2) without however having to appoint a representative pursuant to Article 27(2) of Regulation (EU) 2016/679: The supervisory authority of one of the Member States in which the data subjects whose personal data is transferred under these Clauses in relation to the offering of goods or services to them, or whose behaviour is monitored, are located, as indicated in Annex I.C, shall act as competent supervisory authority.
• The data importer agrees to submit itself to the jurisdiction of and cooperate with the competent supervisory authority in any procedures aimed at ensuring compliance with these Clauses. In particular, the data importer agrees to respond to enquiries, submit to audits and comply with the measures adopted by the supervisory authority, including remedial and compensatory measures. It shall provide the supervisory authority with written confirmation that the necessary actions have been taken.

SECTION III – LOCAL LAWS AND OBLIGATIONS IN CASE OF ACCESS BY PUBLIC AUTHORITIES

Clause 14

Local laws and practices affecting compliance with the Clauses

• The Parties warrant that they have no reason to believe that the laws and practices in the third country of destination applicable to the processing of the personal data by the data importer, including any requirements to disclose personal data or measures authorising access by public authorities, prevent the data importer from fulfilling its obligations under these Clauses. This is based on the understanding that laws and practices that respect the essence of the fundamental rights and freedoms and do not exceed what is necessary and proportionate in a democratic society to safeguard one of the objectives listed in Article 23(1) of Regulation (EU) 2016/679, are not in contradiction with these Clauses.
• The Parties declare that in providing the warranty in paragraph (a), they have taken due account in particular of the following elements:
  • the specific circumstances of the transfer, including the length of the processing chain, the number of actors involved and the transmission channels used; intended onward transfers; the type of recipient; the purpose of processing; the categories and format of the transferred personal data; the economic sector in which the transfer occurs; the storage location of the data transferred;
  • the laws and practices of the third country of destination– including those requiring the disclosure of data to public authorities or authorising access by such authorities – relevant in light of the specific circumstances of the transfer, and the applicable limitations and safeguards;
  • any relevant contractual, technical or organisational safeguards put in place to supplement the safeguards under these Clauses, including measures applied during transmission and to the processing of the personal data in the country of destination.
• The data importer warrants that, in carrying out the assessment under paragraph (b), it has made its best efforts to provide the data exporter with relevant information and agrees that it will continue to cooperate with the data exporter in ensuring compliance with these Clauses.
• The Parties agree to document the assessment under paragraph (b) and make it available to the competent supervisory authority on request.
• The data importer agrees to notify the data exporter promptly if, after having agreed to these Clauses and for the duration of the contract, it has reason to believe that it is or has become subject to laws or practices not in line with the requirements under paragraph (a), including following a change in the laws of the third country or a measure (such as a disclosure request) indicating an application of such laws in practice that is not in line with the requirements in paragraph (a).
• Following a notification pursuant to paragraph (e), or if the data exporter otherwise has reason to believe that the data importer can no longer fulfil its obligations under these Clauses, the data exporter shall promptly identify appropriate measures (e.g. technical or organisational measures to ensure security and confidentiality) to be adopted by the data exporter and/or data importer to address the situation [for Module Three: , if appropriate in consultation with the controller]. The data exporter shall suspend the data transfer if it considers that no appropriate safeguards for such transfer can be ensured, or if instructed by [for Module Three: the controller or] the competent supervisory authority to do so. In this case, the data exporter shall be entitled to terminate the contract, insofar as it concerns the processing of personal data under these Clauses. If the contract involves more than two Parties, the data exporter may exercise this right to termination only with respect to the relevant Party, unless the Parties have agreed otherwise. Where the contract is terminated pursuant to this Clause, Clause 16(d) and (e) shall apply.

Clause 15

Obligations of the data importer in case of access by public authorities

15.1 Notification

• The data importer agrees to notify the data exporter and, where possible, the data subject promptly (if necessary, with the help of the data exporter) if it:
  • receives a legally binding request from a public authority, including judicial authorities, under the laws of the country of destination for the disclosure of personal data transferred pursuant to these Clauses; such notification shall include information about the personal data requested, the requesting authority, the legal basis for the request and the response provided; or
  • becomes aware of any direct access by public authorities to personal data transferred pursuant to these Clauses in accordance with the laws of the country of destination; such notification shall include all information available to the importer.
• If the data importer is prohibited from notifying the data exporter and/or the data subject under the laws of the country of destination, the data importer agrees to use its best efforts to obtain a waiver of the prohibition, with a view to communicating as much information as possible, as soon as possible. The data importer agrees to document its best efforts in order to be able to demonstrate them on request of the data exporter.
• Where permissible under the laws of the country of destination, the data importer agrees to provide the data exporter, at regular intervals for the duration of the contract, with as much relevant information as possible on the requests received (in particular, number of requests, type of data requested, requesting authority/ies, whether requests have been challenged and the outcome of such challenges, etc.).
• The data importer agrees to preserve the information pursuant to paragraphs (a) to (c) for the duration of the contract and make it available to the competent supervisory authority on request.
• Paragraphs (a) to (c) are without prejudice to the obligation of the data importer pursuant to Clause 14(e) and Clause 16 to inform the data exporter promptly where it is unable to comply with these Clauses.

15.2 Review of legality and data minimization.

• The data importer agrees to review the legality of the request for disclosure, in particular whether it remains within the powers granted to the requesting public authority, and to challenge the request if, after careful assessment, it concludes that there are reasonable grounds to consider that the request is unlawful under the laws of the country of destination, applicable obligations under international law and principles of international comity. The data importer shall, under the same conditions, pursue possibilities of appeal. When challenging a request, the data importer shall seek interim measures with a view to suspending the effects of the request until the competent judicial authority has decided on its merits. It shall not disclose the personal data requested until required to do so under the applicable procedural rules. These requirements are without prejudice to the obligations of the data importer under Clause 14(e).
• The data importer agrees to document its legal assessment and any challenge to the request for disclosure and, to the extent permissible under the laws of the country of destination, make the documentation available to the data exporter. It shall also make it available to the competent supervisory authority on request. [For Module Three: The data exporter shall make the assessment available to the controller.]
• The data importer agrees to provide the minimum amount of information permissible when responding to a request for disclosure, based on a reasonable interpretation of the request.

SECTION IV – FINAL PROVISIONS

Clause 16

Non-compliance with the Clauses and termination

• The data importer shall promptly inform the data exporter if it is unable to comply with these Clauses, for whatever reason.
• In the event that the data importer is in breach of these Clauses or unable to comply with these Clauses, the data exporter shall suspend the transfer of personal data to the data importer until compliance is again ensured or the contract is terminated. This is without prejudice to Clause 14(f).
• The data exporter shall be entitled to terminate the contract, insofar as it concerns the processing of personal data under these Clauses, where:
  • the data exporter has suspended the transfer of personal data to the data importer pursuant to paragraph (b) and compliance with these Clauses is not restored within a reasonable time and in any event within one month of suspension;
  • the data importer is in substantial or persistent breach of these Clauses; or
  • the data importer fails to comply with a binding decision of a competent court or supervisory authority regarding its obligations under these Clauses.
• In these cases, it shall inform the competent supervisory authority of such non-compliance. Where the contract involves more than two Parties, the data exporter may exercise this right to termination only with respect to the relevant Party, unless the Parties have agreed otherwise.
• Personal data that has been transferred prior to the termination of the contract pursuant to paragraph (c) shall at the choice of the data exporter immediately be returned to the data exporter or deleted in its entirety. The same shall apply to any copies of the data. The data importer shall certify the deletion of the data to the data exporter. Until the data is deleted or returned, the data importer shall continue to ensure compliance with these Clauses. In case of local laws applicable to the data importer that prohibit the return or deletion of the transferred personal data, the data importer warrants that it will continue to ensure compliance with these Clauses and will only process the data to the extent and for as long as required under that local law.
• Either Party may revoke its agreement to be bound by these Clauses where (i) the European Commission adopts a decision pursuant to Article 45(3) of Regulation (EU) 2016/679 that covers the transfer of personal data to which these Clauses apply; or (ii) Regulation (EU) 2016/679 becomes part of the legal framework of the country to which the personal data is transferred. This is without prejudice to other obligations applying to the processing in question under Regulation (EU) 2016/679.

Clause 17

Governing law

These Clauses shall be governed by the law of the EU Member State in which the data exporter is established. Where such law does not allow for third-party beneficiary rights, they shall be governed by the law of another EU Member State that does allow for third-party beneficiary rights. The Parties agree that this shall be the law of Ireland.

Clause 18

Choice of forum and jurisdiction

• Any dispute arising from these Clauses shall be resolved by the courts of an EU Member State.
• The Parties agree that those shall be the courts of the Ireland.
• A data subject may also bring legal proceedings against the data exporter and/or data importer before the courts of the Member State in which he/she has his/her habitual residence.
• The Parties agree to submit themselves to the jurisdiction of such courts.

ANNEX I

Defined terms used in this Annex 1 shall have the meaning given to them in the MPSA between Caseware and Customer, and/or the DPA.

A. LIST OF PARTIES

Data exporter(s):

Name: The data exporter is the legal entity specified as "Caseware" in the DPA

Address: Please see the DPA

Contact person's name, position and contact details: Please see the DPA

Activities relevant to the data transferred under these Clauses: Please see the DPA

Role (controller/processor): Processor

Data importer(s):

Name: The data importer is the legal entity specified as "Customer" in the DPA.

Address: Please see the DPA

Contact person's name, position and contact details: Please see the DPA

Activities relevant to the data transferred under these Clauses: Please see the DPA

Role (controller/processor): Controller

B. DESCRIPTION OF TRANSFER

Categories of data subjects whose personal data is transferred:

• Please see the DPA, which describes the Categories of personal data transferred:
• Please see the DPA, which describes the categories of data.

Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialized training), keeping a record of access to the data, restrictions for onward transfers or additional security measures.

• The parties do not anticipate the transfer of special categories of data.

The frequency of the transfer (e.g., whether the data is transferred on a one-off or continuous basis).

• Please see the DPA

Nature of the processing

• Please see the DPA

Purpose(s) of the data transfer and further processing

• Please see the DPA

The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period

• Please see the DPA

For transfers to (sub-) processors, also specify subject matter, nature and duration of the processing

• Please see the DPA

C. COMPETENT SUPERVISORY AUTHORITY

Identify the competent supervisory authority/ies in accordance with Clause 13

• The competent supervisory authority that shall apply will be the competent supervisory authority of the country in which the Customer's client's data originates

ANNEX II

TECHNICAL AND ORGANISATIONAL MEASURES TO ENSURE THE SECURITY OF THE DATA

See Attachment 1 of the DPA, which describes the technical and organizational security measures implemented by Caseware.

ANNEX III

LIST OF SUB-PROCESSORS

See Attachment 3 of the DPA, which describes Caseware's Sub-Processors.

Attachment 4:

UK International Data Transfer Addendum to the EU Commission Standard Contractual Clauses

This Addendum has been issued by the Information Commissioner for Parties making Restricted Transfers. The Information Commissioner considers that it provides Appropriate Safeguards for Restricted Transfers when it is entered into as a legally binding contract.

Part 1: Tables

• Table 1: Parties

Start date

The Parties

Exporter (who sends the Restricted Transfer)

Importer (who receives the Restricted Transfer)

Parties' details

Full legal name:
Trading name (if different):
Main address (if a company registered address):
Official registration number (if any) (company number or similar identifier):

Full legal name:
Trading name (if different):
Main address (if a company registered address):
Official registration number (if any) (company number or similar identifier):

Key Contact

Full Name (optional):
Job Title:
Contact details including email:

Full Name (optional):
Job Title:
Contact details including email:

Signature (if required for the purposes of Section 2)

Table 2: Selected SCCs, Modules and Selected Clauses

Addendum EU SCCs

The version of the Approved EU SCCs which this Addendum is appended to, detailed below, including the Appendix Information:

Date:
Reference (if any):
Other identifier (if any):
Or

the Approved EU SCCs, including the Appendix Information and with only the following modules, clauses or optional provisions of the Approved EU SCCs brought into effect for the purposes of this Addendum:

• Table 3: Appendix Information
  "Appendix Information" means the information which must be provided for the selected modules as set out in the Appendix of the Approved EU SCCs (other than the Parties), and which for this Addendum is set out in:
  • Annex 1A: List of Parties:
  • Annex 1B: Description of Transfer:
  • Annex II: Technical and organisational measures including technical and organisational measures to ensure the security of the data:
  • Annex III: List of Sub processors (Modules 2 and 3 only):
• Table 4: Ending this Addendum when the Approved Addendum Changes

Ending this Addendum when the Approved Addendum changes

Which Parties may end this Addendum as set out in Section 19:

Importer

Exporter

Neither Party

Part 2: Mandatory Clauses

• Entering into this Addendum
  1. Each Party agrees to be bound by the terms and conditions set out in this Addendum, in exchange for the other Party also agreeing to be bound by this Addendum.
  2. Although Annex 1A and Clause 7 of the Approved EU SCCs require signature by the Parties, for the purpose of making Restricted Transfers, the Parties may enter into this Addendum in any way that makes them legally binding on the Parties and allows data subjects to enforce their rights as set out in this Addendum. Entering into this Addendum will have the same effect as signing the Approved EU SCCs and any part of the Approved EU SCCs.
• Interpretation of this Addendum
  1. Where this Addendum uses terms that are defined in the Approved EU SCCs those terms shall have the same meaning as in the Approved EU SCCs. In addition, the following terms have the following meanings:

Addendum

This International Data Transfer Addendum which is made up of this Addendum incorporating the Addendum EU SCCs.

Addendum EU SCCs

The version(s) of the Approved EU SCCs which this Addendum is appended to, as set out in Table 2, including the Appendix Information.

Appendix Information

As set out in Table 3.

Appropriate Safeguards

The standard of protection over the personal data and of data subjects' rights, which is required by UK Data Protection Laws when you are making a Restricted Transfer relying on standard data protection clauses under Article 46(2)(d) UK GDPR.

Approved Addendum

The template Addendum issued by the ICO and laid before Parliament in accordance with s119A of the Data Protection Act 2018 on 2 February 2022, as it is revised under Section 18.

Approved EU SCCs

The Standard Contractual Clauses set out in the Annex of Commission Implementing Decision (EU) 2021/914 of 4 June 2021.

ICO

The Information Commissioner.

Restricted Transfer

A transfer which is covered by Chapter V of the UK GDPR.

UK

The United Kingdom of Great Britain and Northern Ireland.

UK Data Protection Laws

All laws relating to data protection, the processing of personal data, privacy and/or electronic communications in force from time to time in the UK, including the UK GDPR and the Data Protection Act 2018.

UK GDPR

As defined in section 3 of the Data Protection Act 2018.

This Addendum must always be interpreted in a manner that is consistent with UK Data Protection Laws and so that it fulfils the Parties' obligation to provide the Appropriate Safeguards.

1. If the provisions included in the Addendum EU SCCs amend the Approved SCCs in any way which is not permitted under the Approved EU SCCs or the Approved Addendum, such amendment(s) will not be incorporated in this Addendum and the equivalent provision of the Approved EU SCCs will take their place.
2. If there is any inconsistency or conflict between UK Data Protection Laws and this Addendum, UK Data Protection Laws applies.
3. If the meaning of this Addendum is unclear or there is more than one meaning, the meaning which most closely aligns with UK Data Protection Laws applies.
4. Any references to legislation (or specific provisions of legislation) means that legislation (or specific provision) as it may change over time. This includes where that legislation (or specific provision) has been consolidated, re-enacted and/or replaced after this Addendum has been entered into.

• Hierarchy
  1. Although Clause 5 of the Approved EU SCCs sets out that the Approved EU SCCs prevail over all related agreements between the parties, the parties agree that, for Restricted Transfers, the hierarchy in Section 10 will prevail.
  2. Where there is any inconsistency or conflict between the Approved Addendum and the Addendum EU SCCs (as applicable), the Approved Addendum overrides the Addendum EU SCCs, except where (and in so far as) the inconsistent or conflicting terms of the Addendum EU SCCs provides greater protection for data subjects, in which case those terms will override the Approved Addendum.
  3. Where this Addendum incorporates Addendum EU SCCs which have been entered into to protect transfers subject to the General Data Protection Regulation (EU) 2016/679 then the Parties acknowledge that nothing in this Addendum impacts those Addendum EU SCCs.
• Incorporation of and changes to the EU SCCs
  1. This Addendum incorporates the Addendum EU SCCs which are amended to the extent necessary so that:
     • together they operate for data transfers made by the data exporter to the data importer, to the extent that UK Data Protection Laws apply to the data exporter's processing when making that data transfer, and they provide Appropriate Safeguards for those data transfers;
     • Sections 9 to 11 override Clause 5 (Hierarchy) of the Addendum EU SCCs; and
     • this Addendum (including the Addendum EU SCCs incorporated into it) is (1) governed by the laws of England and Wales and (2) any dispute arising from it is resolved by the courts of England and Wales, in each case unless the laws and/or courts of Scotland or Northern Ireland have been expressly selected by the Parties.
  2. Unless the Parties have agreed alternative amendments which meet the requirements of Section 12, the provisions of Section 15 will apply.
  3. No amendments to the Approved EU SCCs other than to meet the requirements of Section 12 may be made.
  4. The following amendments to the Addendum EU SCCs (for the purpose of Section 12) are made:
     • References to the "Clauses" means this Addendum, incorporating the Addendum EU SCCs;
     • In Clause 2, delete the words:
       "and, with respect to data transfers from controllers to processors and/or processors to processors, standard contractual clauses pursuant to Article 28(7) of Regulation (EU) 2016/679";
     • Clause 6 (Description of the transfer(s)) is replaced with:
       "The details of the transfers(s) and in particular the categories of personal data that are transferred and the purpose(s) for which they are transferred) are those specified in Annex I.B where UK Data Protection Laws apply to the data exporter's processing when making that transfer.";
     • Clause 8.7(i) of Module 1 is replaced with:
       "it is to a country benefitting from adequacy regulations pursuant to Section 17A of the UK GDPR that covers the onward transfer";
     • Clause 8.8(i) of Modules 2 and 3 is replaced with:
       "the onward transfer is to a country benefitting from adequacy regulations pursuant to Section 17A of the UK GDPR that covers the onward transfer;"
     • References to "Regulation (EU) 2016/679", "Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)" and "that Regulation" are all replaced by "UK Data Protection Laws". References to specific Article(s) of "Regulation (EU) 2016/679" are replaced with the equivalent Article or Section of UK Data Protection Laws;
     • References to Regulation (EU) 2018/1725 are removed;
     • References to the "European Union", "Union", "EU", "EU Member State", "Member State" and "EU or Member State" are all replaced with the "UK";
     • The reference to "Clause 12(c)(i)" at Clause 10(b)(i) of Module one, is replaced with "Clause 11(c)(i)";
     • Clause 13(a) and Part C of Annex I are not used;
     • The "competent supervisory authority" and "supervisory authority" are both replaced with the "Information Commissioner";
     • In Clause 16(e), subsection (i) is replaced with:
       "the Secretary of State makes regulations pursuant to Section 17A of the Data Protection Act 2018 that cover the transfer of personal data to which these clauses apply;";
     • Clause 17 is replaced with:
       "These Clauses are governed by the laws of England and Wales.";
     • Clause 18 is replaced with:
       "Any dispute arising from these Clauses shall be resolved by the courts of England and Wales. A data subject may also bring legal proceedings against the data exporter and/or data importer before the courts of any country in the UK. The Parties agree to submit themselves to the jurisdiction of such courts."; and
     • The footnotes to the Approved EU SCCs do not form part of the Addendum, except for footnotes 8, 9, 10 and 11.
• Amendments to this Addendum
  1. The Parties may agree to change Clauses 17 and/or 18 of the Addendum EU SCCs to refer to the laws and/or courts of Scotland or Northern Ireland.
  2. If the Parties wish to change the format of the information included in Part 1: Tables of the Approved Addendum, they may do so by agreeing to the change in writing, provided that the change does not reduce the Appropriate Safeguards.
  3. From time to time, the ICO may issue a revised Approved Addendum which:
     • makes reasonable and proportionate changes to the Approved Addendum, including correcting errors in the Approved Addendum; and/or
     • reflects changes to UK Data Protection Laws;
  4. The revised Approved Addendum will specify the start date from which the changes to the Approved Addendum are effective and whether the Parties need to review this Addendum including the Appendix Information. This Addendum is automatically amended as set out in the revised Approved Addendum from the start date specified.
  5. If the ICO issues a revised Approved Addendum under Section 18, if any Party selected in Table 4 "Ending the Addendum when the Approved Addendum changes", will as a direct result of the changes in the Approved Addendum have a substantial, disproportionate and demonstrable increase in:
     • its direct costs of performing its obligations under the Addendum; and/or
     • its risk under the Addendum,
  6. and in either case it has first taken reasonable steps to reduce those costs or risks so that it is not substantial and disproportionate, then that Party may end this Addendum at the end of a reasonable notice period, by providing written notice for that period to the other Party before the start date of the revised Approved Addendum.
  7. The Parties do not need the consent of any third party to make changes to this Addendum, but any changes must be made in accordance with its terms.
• Alternative Part 2 Mandatory Clauses:

Mandatory Clauses

Part 2: Mandatory Clauses of the Approved Addendum, being the template Addendum B.1.0 issued by the ICO and laid before Parliament in accordance with s119A of the Data Protection Act 2018 on 2 February 2022, as it is revised under Section 18 of those Mandatory Clauses.

‍

Versión: 3.0
Última actualización: Enero de 2026

1. Compromiso con la privacidad de Caseware

Caseware International Inc., junto con sus empresas asociadas y subsidiarias (en conjunto, “Caseware”, “nosotros”, “nos” o “nuestro”) ha elaborado esta Declaración de privacidad (la “Declaración”) para describir las políticas y las prácticas de Caseware con respecto a los Datos personales que recibimos de (i) los clientes actuales y potenciales, (ii) los visitantes de nuestras plataformas en la nube, www.caseware.com, caseware.com/uk y las páginas web de Caseware relacionadas (en conjunto, el “Sitio web”), (iii) los candidatos de empleo y (iv) otras personas (en conjunto, “usted” o “su”). A los fines de esta Declaración, “Datos personales” hace referencia a cualquier información relacionada con una persona física identificada o identificable, así como toda “Información personal” tal como se define en la Ley de Derechos de Privacidad de California (“CPRA”, por sus siglas en inglés).

Revisaremos esta Declaración periódicamente para garantizar que (i) esté en línea con nuestras prácticas de privacidad y (ii) siga cumpliendo con la ley vigente. En el caso de que actualicemos o modifiquemos esta Declaración de manera sustancial, publicaremos un aviso en el Sitio web.

Si desea plantear alguna pregunta acerca de esta Declaración o de las prácticas de privacidad de Caseware, póngase en contacto con nosotros:

Global Privacy Office

Caseware International Inc.

351 King Street East, Suite 1100

Toronto Ontario M5A 2W4 Canadá

Data Protection Officer/Chief Privacy Officer

Anouschka van de Graaf

Correo electrónico: privacy@caseware.com

2. Datos personales que recopilamos y finalidad de la recopilación

De manera eventual, recopilaremos sus Datos personales cuando (i) utilice nuestros productos, servicios o nos solicite soporte técnico, (ii) se registre o asista a un evento que Caseware esté organizando o en el que participe, (iii) acceda o descargar contenido de nuestro Sitio web (como documentos técnicos), (iv) utilice nuestro Sitio web para solicitar un trabajo en Caseware y (v) se ponga en contacto con nosotros por correo electrónico, en persona o a través de nuestro Sitio web.

Entre los tipos de datos personales recopilados, se pueden incluir los siguientes:

• nombre y apellidos, con el fin de identificarle;
• información de contacto, como el número de teléfono, la dirección postal o la dirección de correo electrónico, con el fin de ponernos en contacto con usted;
• formación académica e historial profesional, certificaciones profesionales, contactos para verificación de antecedentes y otra información relevante, con el fin de respaldar su solicitud de empleo para la consideración de empleo en Caseware; o
• datos sobre el uso de TI (por ejemplo, cookies, ID de usuario, contraseñas, funciones, datos de geolocalización), según corresponda, con el fin de proporcionarle acceso a nuestros productos y servicios, incluido el acceso a nuestro Sitio web, MyCaseware y otros portales de soporte técnico que Caseware ponga a disposición.

Nuestros productos y servicios están pensados para un uso empresarial, y no se espera que sean de interés alguno para menores de edad. No recopilamos de manera intencionada ningún dato personal de consumidores menores de 16 años. Al proporcionarnos sus Datos personales, estará indicando que acepta y da su consentimiento para que podamos recopilar, utilizar, divulgar y tratar sus Datos personales de acuerdo con esta Declaración. Si no está de acuerdo con los términos establecidos en esta Declaración, le rogamos que no nos proporcione ningún Dato personal. Tenga en cuenta que determinados servicios, como una solicitud de información sobre nuestros productos o el acceso a nuestro Sitio web, solo se le pueden ofrecer si nos proporciona sus datos personales. Además, Caseware puede utilizar información anonimizada sobre el uso de los productos y servicios de Caseware con el fin de realizar adiciones, ajustes o modificaciones en nuestros productos y servicios.

3. Cookies

Cuando visita nuestro Sitio web, podemos utilizar “cookies”, balizas web, etiquetas, JavaScript y tecnologías similares para recopilar automáticamente los datos personales de su ordenador o sus dispositivos móviles mientras navega por él. Estos Datos personales pueden incluir direcciones IP, números de identificación del dispositivo o la aplicación, geolocalización, tipo de navegador, proveedor de servicios de Internet o empresa de servicios móviles, páginas y archivos vistos, búsquedas, información sobre el sistema operativo y la configuración del sistema y la fecha y hora asociados con el uso por su parte.

Las cookies son pequeños archivos que se pueden guardar en su ordenador para rastrear, guardar y almacenar información sobre usted cuando utiliza nuestro Sitio web. En ocasiones, utilizamos cookies de terceros (como Google Analytics y HubSpot). Utilizamos esta información para (i) dar soporte al funcionamiento de nuestro Sitio web, (ii) comprender el uso del Sitio web, (iii) determinar las preferencias de navegación para mejorar el comportamiento del sitio, (iv) mejorar su experiencia dentro del sitio web para que esta sea personalizada, incluidos los anuncios de marketing personalizados, (v) proporcionar un inicio de sesión seguro o (vi) mostrarle contenido geográficamente relevante.

Entre los tipos de cookies que se utilizan en el Sitio web se incluyen los siguientes:

1. Cookies estrictamente necesarias: estas cookies son esenciales para dar soporte a las funciones y el funcionamiento del Sitio web. Entre las cookies estrictamente necesarias en nuestro sitio se incluyen cookies que le permiten acceder al área segura de nuestro sitio web. Si los usuarios bloquean o desactivan estas cookies, es posible que partes del sitio web no funcionen o queden inaccesibles.
2. Cookies de rendimiento: estas cookies recopilan datos estadísticos para medir el rendimiento del Sitio web y proporcionar una mejor experiencia al usuario. Como ejemplos de cookies de rendimiento se incluyen el seguimiento de las páginas más visitadas y el control de las velocidades de carga de las páginas. Las cookies de rendimiento recopilan datos de forma anónima, lo que significa que no recogen información identificable de los visitantes. Si bien las cookies de rendimiento suelen ser cookies persistentes y de sesión propias, a veces también utilizamos cookies que nos permiten controlar el uso y el tráfico del Sitio web, realizar estudios de mercado y mejorar la funcionalidad del sitio.
3. Cookies funcionales: estas cookies permiten que el Sitio web recuerde sus preferencias y proporcione al usuario una mejor funcionalidad y personalización. Como ejemplos de cookies funcionales se incluyen recordar sus ajustes, como las preferencias de región e idioma, o permitirle ver vídeos en el Sitio web. Las cookies funcionales incluyen cookies persistentes o de sesión propias y de terceros.
4. Cookies publicitarias y dirigidas: estas cookies (incluidas las etiquetas de seguimiento) rastrean la actividad del usuario en el Sitio web y están diseñadas para recopilar información de usted y proporcionarle anuncios específicos basados en temas e intereses relevantes en otros sitios web. Como ejemplos de cookies de orientación y publicidad se incluyen cookies de redes sociales que muestran anuncios a los usuarios en las plataformas de redes sociales. Las cookies de orientación y publicidad suelen ser cookies persistentes de terceros autorizados. Estas cookies no recopilan información personal, sino datos basados en la identificación única de su navegador y su dispositivo de Internet para crear perfiles de usuario a partir de los visitantes del sitio.

Cuando acceda al Sitio web, aparecerá un titular emergente sobre las cookies. Puede optar por rechazar nuestro uso de cookies cuando visita el Sitio web cambiando la configuración de cookies en su navegador.

También se pueden utilizar balizas web en las comunicaciones por correo electrónico con usted. Las balizas web registran las visitas a una página web en particular o la visualización de un determinado correo electrónico. Por ejemplo, Caseware puede colocar balizas web en mensajes de correo electrónico de marketing que nos avisan cuando un enlace de un mensaje de correo electrónico dirige al visitante al Sitio web. Dichas tecnologías se usan para operar y mejorar el Sitio web y nuestras comunicaciones por correo electrónico.

4. Cómo compartimos datos personales

No vendemos la información personal de los consumidores. Compartimos Datos personales con nuestros proveedores de servicios para los fines establecidos en esta Declaración, incluidos, entre otros, ayudarnos a proporcionarle productos y servicios de Caseware o a considerarle para un empleo en Caseware. Por ejemplo, Caseware utiliza (i) “Amazon Web Services” para almacenar de forma segura los Datos personales que pertenecen a nuestros clientes y (ii) “Lever” para ayudarnos a coordinar su solicitud de empleo con nosotros. Nuestros proveedores de servicios están obligados, mediante cláusulas contractuales, a utilizar los Datos personales que les transferimos exclusivamente con el fin de proporcionar sus servicios y a protegerlos con el mismo elevado nivel que nosotros.

Excepcionalmente, se nos puede solicitar que divulguemos Datos personales para cumplir con las leyes, reglamentos, órdenes judiciales, citaciones u otros procesos legales o investigaciones aplicables, con o sin su consentimiento. En cualquier caso, nos aseguraremos de que la ley permita o exija tal divulgación y no divulgaremos más información de la requerida.

5. Dónde se almacenan los datos personales

Caseware es una empresa canadiense, pero tenemos clientes (tanto existentes como potenciales), empleados, proveedores de servicios, revendedores/distribuidores, socios y candidatos laborales en todo el mundo. Para la actividad de nuestro negocio a escala global, es posible que debamos tratar y transferir Datos personales fuera de su estado, provincia o país, incluidos los Estados Unidos de América. Además, a través de nuestros proveedores de servicios, los Datos personales también pueden almacenarse en servidores ubicados en cualquier parte del mundo.

Con respecto a los datos de los clientes de nuestros productos y servicios, que pueden incluir Datos personales, en el momento de suscribirse a dichos productos y servicios, se informará a los clientes sobre el servidor geográfico que alojará los Datos personales y se les dará la oportunidad de dar su consentimiento antes de que sus Datos personales se almacenen con dicho proveedor de alojamiento de datos.

Cuando los Datos personales se transfieren o almacenan de manera transfronteriza, tomamos medidas para protegerlos y salvaguardarlos, lo que incluye garantizar que se transfieran de acuerdo con la ley aplicable. Por ejemplo, si se encuentra en Europa, el Reino Unido o Suiza, se le aplicará el Acuerdo de tratamiento de datos de Caseware. Asimismo, cuando enviamos sus Datos personales a Canadá, están protegidos por la legislación canadiense, la cual la Comisión Europea considera que proporciona un nivel adecuado de protección para cualquier Dato personal transferido. Si sus Datos personales se transfieren a nuestros proveedores de servicios fuera de Canadá, esta información se transfiere y protege mediante términos y condiciones contractuales que son comparables a los provistos en las Cláusulas contractuales tipo (CCT) de la Comisión Europea.

6. Cómo protegemos los datos personales

Caseware protege la seguridad y confidencialidad de los Datos personales que se nos transfieren utilizando medidas de seguridad del sector razonables y estándar contra el acceso, la modificación y la divulgación no autorizados de acuerdo con su nivel de confidencialidad. Por ejemplo, generalmente almacenamos Datos personales en servidores seguros que están cifrados y limitados en función de la “necesidad de saber”, cuando corresponda. Lamentablemente, siempre permanece el riesgo de ataques cibernéticos y vulneraciones de los datos. Si Caseware detecta o recibe información sobre un incidente en el que personas no autorizadas o de manera no autorizada pierden, roban, acceden, utilizan, divulgan, copian, modifican o eliminan Datos personales, le informaremos tan pronto como podamos y cumpliremos con todos los requisitos legales vigentes.

Para aumentar el nivel de seguridad de los Datos personales en nuestros sistemas, se recomienda que no comparta con nadie su contraseña ni otras formas de autenticación del Sitio web, los productos ni los servicios. Si tiene conocimiento de cualquier uso indebido de sus credenciales de inicio de sesión, cambie su contraseña de inmediato; asimismo, infórmenos de ello a través del portal del cliente del Sitio web o enviándonos un correo electrónico a privacy@caseware.com.

7. Durante cuánto tiempo conservamos los datos personales

Caseware conserva los Datos personales solo durante el tiempo que sea necesario para cumplir con los fines para los que se proporcionaron. Por ejemplo, si nos proporciona sus Datos personales para que le consideremos para un empleo en Caseware y le contratan, los Datos personales pasan a formar parte de su archivo personal. Si no lo contratan, conservaremos los Datos personales durante un (1) año después de completar el proceso de contratación, salvo que nos solicite que los eliminemos antes.

Excepcionalmente, es posible que se nos solicite retener Datos personales durante más tiempo para cumplir con nuestras obligaciones legales, resolver cualquier conflicto y hacer cumplir los acuerdos con Caseware.

8. Sus derechos individuales de privacidad

Puede acceder a, o actualizar, sus Datos personales con Caseware (lo que incluye, aunque no exclusivamente, solicitarnos que los devolvamos, eliminemos o hagamos correcciones) o ejercer cualquier otro derecho disponible para usted como “interesado” según las leyes de privacidad aplicables, poniéndose en contacto con nosotros en privacy@caseware.com.

Para proteger sus Datos personales, es posible que necesitemos verificar su identidad antes de ayudarle con su solicitud, como que la información utilizada para ponerse en contacto con nosotros coincida con la información que tenemos archivada, siempre que la ley no lo prohíba, por ejemplo, si al hacerlo se revelarían Datos personales de otra persona.

Si se sirve de un agente autorizado para ejercer un derecho en su nombre (por ejemplo, cuando un solicitante de empleo utiliza un agente para solicitar acceso a la información relacionada con su solicitud), debe proporcionarle un permiso por escrito para ello. Si el agente autorizado no presenta pruebas suficientes de que ha sido autorizado por usted para actuar en su nombre, podemos denegar la solicitud.

Si podemos verificar su identidad, le daremos una respuesta a su solicitud en el plazo de 30 días. Si necesitamos una ampliación para cumplir con su solicitud, también se lo haremos saber.

Si no está satisfecho con nuestra respuesta a su solicitud de ejercer sus derechos individuales o a su reclamación sobre la protección de datos personales en Caseware, tiene derecho a presentar una queja ante la autoridad de privacidad o protección de datos de su lugar de residencia.

Derechos de privacidad de California

Como residente de California, podrá ejercer los siguientes derechos en relación con la Información personal que hemos recopilado sobre usted (sujeto a ciertas limitaciones previstas por la ley):

• El derecho de conocer toda o parte de la siguiente información en relación con su Información personal que hemos recopilado y divulgado en los últimos 12 meses (una vez verificada su identidad):
  • las partes específicas de su Información personal que hemos recopilado sobre usted;
  • las categorías de Información personal que hemos recopilado sobre usted;
  • las categorías de fuentes de la Información personal;
  • las categorías de Información personal que hemos divulgado a terceros con un fin empresarial, y las categorías de destinatarios a los que se divulgó esta información;
  • las categorías de Información personal que hemos vendido y las categorías de terceros a los que se vendió la información; y
  • la finalidad empresarial o comercial de la recopilación o venta de la Información personal.
• El derecho de solicitar la eliminación de Información personal que hemos recopilado sobre usted, sujeto a ciertas excepciones.
• El derecho de cancelar la venta de Información personal a terceros ahora o en el futuro. Si bien, nosotros no vendemos su Información personal.
• Además, tiene el derecho de no sufrir discriminación alguna por ejercer estos derechos.

Tenga en cuenta que, si ejercer estos derechos limita nuestra capacidad de procesar Información personal (como una solicitud de eliminación), es posible que ya no podamos suministrarle nuestros productos y servicios, o cambie el modo de relacionarnos con usted.

9. De qué manera puede ejercer sus derechos

Para ejercer su derecho a conocer o su derecho a eliminar, comuníquese con nosotros enviando una solicitud a privacy@caseware.com.

Necesitaremos verificar su identidad antes de procesar su solicitud. Para verificarla, le pediremos información suficiente para que podamos cotejarla con la información que conservamos de usted en nuestros sistemas. En ocasiones, podríamos necesitar información personal adicional que nos permita identificarle.

Podremos rechazar una solicitud para ejercer el derecho a saber o el derecho a eliminar, en particular cuando no podamos verificar su identidad o localizar su información en nuestros sistemas, o según lo permita la ley.

Puede elegir designar a un representante autorizado para realizar una solicitud en su nombre conforme a la Ley de Privacidad del Consumidor de California (CCPA, por sus siglas en inglés). No se divulgará ninguna información hasta que la autoridad del representante autorizado se haya revisado y verificado. Una vez que un representante autorizado haya presentado una solicitud, es posible que pidamos información adicional (es decir, una autorización suya por escrito) para confirmar la autoridad de dicho representante.

Si es un empleado o antiguo empleado de un cliente de Caseware que usa nuestra aplicación y servicios, dirija sus solicitudes o consultas directamente a su empleador o anterior empleador.

Si es un tercero (auditor, socio empresarial, etc.) al que se dio acceso al producto o servicio de Caseware por parte de un cliente de Caseware, dirija sus solicitudes o consultas directamente al cliente de Caseware que le dio acceso.

Caseware Cloud realiza auditorías independientes de manera continua para reforzar su compromiso con la seguridad y privacidad de los datos, y los controles de cumplimiento. Una serie de auditores externos examinan todo nuestro Sistema de Gestión de Seguridad de la Información (ISMS, por sus siglas en inglés) para verificar la entrega, operaciones y gestión de servicio de nuestra plataforma Caseware Cloud, con el fin de garantizar que la solución cumple con las normas del sector. Las siguientes certificaciones muestran el compromiso internacional de Caseware Cloud con la seguridad y la calidad.

ISO 27001:2022

ControlCase International, una empresa de auditoría independiente, confirma que Caseware Cloud cumple con los requisitos establecidos en la ISO 27001 y que su ISMS se ajusta a las mejores prácticas. Esta certificación es independiente de Amazon Web Services (AWS), el cual tiene su propia certificación ISO 27001 para sus centros de datos, infraestructura y operaciones. La ISO 27001:2022 es una norma internacional ampliamente reconocida, que establece los requisitos sobre cómo un ISMS identifica, analiza y aborda los riesgos de información, y cómo la organización se anticipa a los cambios de las amenazas y mitiga sus posibles efectos empresariales. El certificado está aquí.

SOC 2® Tipo 2

El Instituto Estadounidense de Contables Públicos Certificados (AICPA, por sus siglas en inglés), que es la mayor asociación de miembros del mundo que representa a la profesión contable, afirma que el ISMS de Caseware Cloud cumple con los criterios de servicios de confianza de SOC 2®.

SOC 2® de AICPA para organizaciones de servicios son encargos de examen que realiza un auditor de servicio. Estos informes, mediante criterios previamente definidos, se centran en una o varias categorías de servicios de confianza tales como la seguridad, la disponibilidad, la integridad de los procesos, la confidencialidad o la privacidad.

Caseware International ha obtenido con éxito la certificación SOC 2 Tipo 2, a la que se puede acceder aquí.

Tipo 2

SOC 2 Tipo 2 es un informe sobre la descripción de la gestión del sistema de la organización de servicios y la idoneidad del diseño y la eficacia operativa de los controles.

Versión: 3.0
Última actualización: Julio de 2023

1. Condiciones de uso de Caseware actualizadas

Caseware International Inc., junto con sus empresas asociadas y subsidiarias (en conjunto, “Caseware”, “nosotros”, “nos” o “nuestro”) ha actualizado estas Condiciones de uso (las “Condiciones de uso”) a fin de describir los términos y condiciones que rigen el uso por su parte de www.caseware.com/es/ y la páginas web de Caseware relacionadas (en conjunto, este “Sitio web”).

Caseware ofrece muchos otros productos y servicios con licencia para la compra (en conjunto, las “Ofertas de Caseware”). Su uso de las Ofertas de Caseware se rige mediante un acuerdo por separado que usted y la entidad que representa (“usted” o “su”) han celebrado con Caseware.

Al utilizar o visitar el Sitio web, usted acepta las siguientes condiciones.

2. Descripción del sitio web

Con su acceso al Sitio web, Caseware también le proporcionará acceso a una variedad de recursos, incluidos documentos (como documentos técnicos, notas de prensa, fichas técnicas y preguntas frecuentes), herramientas para desarrolladores, áreas de descarga, Servicios de comunicación (según se definen más adelante) e información del producto (en conjunto, los “Servicios del sitio”). Su uso de los Servicios del sitio también está sujeto a los términos y condiciones establecidos en estas Condiciones de uso.

3. Limitación de uso personal y no comercial

Salvo que se especifique de otro modo, el acceso al Sitio web y a los Servicios del sitio web son para su uso personal y no comercial. No puede modificar, copiar, distribuir, transmitir, mostrar, realizar, reproducir, publicar, licenciar, crear trabajos derivados, transferir o vender ninguna parte del Sitio web o de los Servicios del sitio.

4. Privacidad y protección de la información personal

Consulte la Declaración de privacidad en www.caseware.com/es/, para obtener información relacionada con la recopilación y el uso de su información personal (según se define en la misma).

5. Uso de los servicios del sitio

Se concederá la autorización para utilizar los Servicios del sitio, siempre que (i) aparezca el aviso de derechos de autor que se indica más adelante en todas las copias, así como este aviso de autorización, (ii) no se publique ni se copie ninguna parte de los Servicios del sitio en ningún ordenador conectado a la red ni se divulgue en ningún medio, y (iii) no se realicen modificaciones a ninguno de los Servicios del sitio.

6. Garantía y limitación de responsabilidad

EL ACCESO AL SITIO WEB Y A LOS SERVICIOS DEL SITIO SE PROPORCIONA “TAL CUAL” SIN GARANTÍA DE NINGÚN TIPO. POR EL PRESENTE, CASEWARE Y SUS RESPECTIVOS PROVEEDORES RENUNCIAN A TODAS LAS GARANTÍAS Y CONDICIONES CON RESPECTO AL SITIO WEB Y LOS SERVICIOS DEL SITIO, INCLUIDAS TODAS LAS GARANTÍAS Y CONDICIONES DE COMERCIABILIDAD, YA SEAN EXPLÍCITAS, IMPLÍCITAS O ESTATUTARIAS, IDONEIDAD PARA UN FIN DETERMINADO, TITULARIDAD Y AUSENCIA DE INFRACCIÓN.

EN NINGÚN CASO CASEWARE O SUS RESPECTIVOS PROVEEDORES SERÁN RESPONSABLES POR NINGÚN DAÑO ESPECIAL, INDIRECTO O CONSECUENTE NI POR CUALQUIER DAÑO DERIVADO DE LA PÉRDIDA DE USO, DATOS O BENEFICIOS, YA SEA POR UNA ACTUACIÓN DE CONTRATO, NEGLIGENCIA O AGRAVIO, DERIVADA DE O EN RELACIÓN CON SU USO O CON EL RENDIMIENTO DEL SITIO WEB Y LOS SERVICIOS DEL SITIO.

LOS SERVICIOS DEL SITIO PUEDEN CONTENER INEXACTITUDES TÉCNICAS O ERRORES TIPOGRÁFICOS. SE REALIZAN CAMBIOS DE MANERA PERIÓDICA A LOS SERVICIOS DEL SITIO. CASEWARE O SUS RESPECTIVOS PROVEEDORES PUEDEN REALIZAR MEJORAS O CAMBIOS EN LOS PRODUCTOS O PROGRAMAS DESCRITOS EN EL PRESENTE DOCUMENTO, EN CUALQUIER MOMENTO Y SIN AVISO PREVIO.

7. Cuenta de miembro, contraseña y seguridad

Si alguna parte del Sitio web o de los Servicios del sitio requiere que se registre para obtener una cuenta, deberá completar el proceso de registro proporcionándonos información actual, completa y precisa, según se solicite en el formulario de registro correspondiente. Es posible que también deba elegir una contraseña y un nombre de usuario. Usted es totalmente responsable de mantener la confidencialidad de su contraseña y su cuenta. También lo es de todas y cada una de las actividades que se realicen en su cuenta. Usted acepta notificar a Caseware de inmediato cualquier uso no autorizado de su cuenta o cualquier otra vulneración de la seguridad. Caseware no será responsable por ninguna pérdida en la que usted pueda incurrir como resultado de que otra persona utilice su contraseña o su cuenta, ya sea con o sin su conocimiento; sin embargo, usted podría ser responsable por las pérdidas sufridas por Caseware u otra parte debido a que otra persona haya utilizado su cuenta o su contraseña. No puede utilizar la cuenta de otra persona en ningún momento, sin el permiso del titular de la misma.

8. Uso ilegal o prohibido no autorizado

Como condición de su uso autorizado del Sitio web y los Servicios del sitio, no utilizará estos para ningún propósito que sea ilegal o esté prohibido en virtud de estas Condiciones de uso. No puede utilizar el Sitio web o los Servicios del sitio de ninguna manera que pueda dañar, deshabilitar, sobrecargar o deteriorar cualquier servidor de Caseware, o las redes conectadas a cualquier servidor de Caseware, o interferir con el uso y disfrute de cualquier Sitio web o Servicios del sitio de terceros. Tampoco puede intentar obtener acceso no autorizado al Sitio web o los Servicios del sitio, otras cuentas, sistemas informáticos o redes conectadas a cualquier servidor de Caseware o al Sitio web, mediante piratería, descifrado de contraseñas o cualquier otro medio. No puede obtener ni intentar obtener ningún material o información a través de ningún medio que no esté disponible intencionadamente a través del Sitio web o los Servicios del sitio.

9. Servicios de comunicación

El Sitio web y los Servicios del sitio pueden contener servicios de correo electrónico, servicios de tableros de anuncios, áreas de chat, grupos de noticias, foros, comunidades, páginas web personales, calendarios, álbumes de fotos, archivadores u otras prestaciones de mensajes o de comunicación diseñadas para que pueda comunicarse con otras personas (cada uno de ellos, un “Servicio de comunicación” y en conjunto los “Servicios de comunicación”). Usted acepta utilizar los Servicios de comunicación del sitio únicamente para publicar, enviar y recibir mensajes y material que sea adecuado y, cuando corresponda, en relación con el Servicio de comunicación.

A modo de ejemplo y sin carácter limitativo, usted acepta que, al utilizar los Servicios de comunicación, no podrá:

• utilizar los Servicios de comunicación en relación con encuestas, concursos, esquemas piramidales, cartas en cadena, correo electrónico no deseado, spam o cualquier mensaje duplicado o no solicitado (comercial o de otro tipo);
• difamar, abusar, acosar, acechar, amenazar o vulnerar los derechos legales (como los derechos de privacidad y publicidad) de otras personas;
• editar, publicar, cargar, distribuir o difundir cualquier tema, nombre, material o información inapropiados, irreverentes, difamatorios, obscenos, indecentes o ilegales;
• cargar, o poner a disposición de otro modo, archivos que contengan imágenes, fotografías, software u otro material protegido por las leyes de propiedad intelectual, incluidas, a modo de ejemplo y sin carácter limitativo, las leyes de derechos de autor o marcas registradas (o por derechos de privacidad o publicidad), a excepción de que usted posea o controle los derechos sobre los mismos o haya recibido cualquier consentimiento necesario para ello;
• utilizar cualquier material o información, incluidas imágenes o fotografías, que estén disponibles a través de los Servicios de comunicación, de cualquier manera que infrinja cualquier derecho de autor, marca registrada, patente, secreto comercial u otro derecho de propiedad de cualquiera de las partes;
• cargar archivos que contengan virus, caballos de Troya, gusanos, bombas de tiempo, cancelbots, archivos dañados o cualquier otro software o programa similar que pueda dañar el funcionamiento del ordenador o la propiedad de otra persona;
• anunciar u ofrecer la compra o la venta de bienes o servicios para cualquier propósito comercial, salvo que dichos Servicios de comunicación permitan específicamente dichos mensajes;
• descargar cualquier archivo publicado por otro usuario de un Servicio de comunicación que usted sepa, o deba saber razonablemente, que no puede reproducirse, mostrarse, ejecutarse o distribuirse legalmente de tal manera;
• falsificar o eliminar cualquier información de gestión de derechos de autor, como atribuciones de autor, avisos legales u otros avisos apropiados, designaciones de propiedad o etiquetas del origen o la fuente del software u otro material contenido en el archivo que se carga;
• restringir o inhibir a cualquier otro usuario del uso y disfrute de los Servicios de comunicación;
• infringir cualquier código de conducta u otras directrices que puedan ser aplicables a cualquier Servicio de comunicación en particular;
• recoger o recopilar información sobre otras personas, incluidas las direcciones de correo electrónico;
• infringir cualquier ley o reglamento aplicable;
• crear una identidad falsa con el propósito de engañar a otros; o
• utilizar, descargar o copiar de otro modo, o proporcionar (ya sea por una tarifa o no) a una persona o entidad cualquier directorio de usuarios de los Servicios de comunicación u otra información de usuario o de uso o cualquier parte de la misma.

Caseware no tiene obligación de controlar los Servicios de comunicación. Sin embargo, Caseware se reserva el derecho a revisar los materiales publicados en los Servicios de comunicación y eliminar cualquier material a su exclusivo criterio. Caseware se reserva el derecho a retirarle el acceso a cualquiera o todos los Servicios de comunicación, en cualquier momento, sin previo aviso y por el motivo que sea.

Caseware se reserva el derecho en todo momento a divulgar cualquier información relacionada con los Servicios de comunicación, según lo considere necesario para cumplir con cualquier ley, reglamento, proceso legal o solicitud gubernamental aplicable, o a editar, negarse a publicar o eliminar cualquier información o material, en parte o en su totalidad, a criterio exclusivo de Caseware.

Caseware no controla ni respalda el contenido, los mensajes o la información que se encuentran en los Servicios de comunicación y, por lo tanto, renuncia específicamente a cualquier responsabilidad con respecto a los Servicios de comunicación y cualquier acción que resulte de su participación en cualquiera de los Servicios de comunicación.

Los materiales cargados en los Servicios de comunicación pueden estar sujetos a limitaciones publicadas sobre su uso, reproducción o difusión; usted es responsable de cumplir con dichas limitaciones si descarga los materiales.

10. Enlaces a sitios de terceros

En el Sitio web puede haber enlaces que le permitan salir del Sitio web de Caseware para acceder a otros sitios o información, los cuales no están bajo el control de Caseware y, por lo tanto, Caseware no asume ninguna responsabilidad por el contenido de ningún sitio vinculado, por ningún enlace contenido en un sitio vinculado, ni por ningún cambio o actualización de dichos sitios. Caseware tampoco es responsable de la transmisión web ni de ninguna otra forma de transmisión recibida desde cualquier sitio vinculado.

Caseware le proporciona estos enlaces únicamente para su comodidad y la inclusión de cualquier enlace no implica ningún tipo de respaldo por parte de Caseware.

11. Política de presentación de ideas no solicitadas

Caseware no acepta ni considera ideas o comentarios no solicitados, lo que incluye ideas para nuevas campañas publicitarias, nuevas promociones, nuevos productos o tecnologías, procesos, materiales, planes de marketing o nuevos nombres de productos. No envíe ningún trabajo artístico creativo original, muestras, demostraciones u otros trabajos. Esto tiene el único propósito de evitar posibles malentendidos o conflictos cuando los productos o las estrategias de marketing de Caseware puedan parecer similares a las ideas enviadas a Caseware.

12. Preguntas y comentarios

Si tiene cualquier pregunta o comentario acerca de estas Condiciones de uso, póngase en contacto con nosotros escribiéndonos a:
Caseware International Inc.
351 King Street East, Suite 1100
Toronto, ON
M5A 2W4 Canadá
Legal@caseware.com

13. AVISO DE DERECHOS DE AUTOR

El Sitio web es propiedad y está operado por Caseware. Los elementos del Sitio web y los Servicios del sitio están protegidos por las leyes de imagen comercial, marca registrada, competencia desleal y otras y no se pueden copiar ni imitar en parte o en su totalidad. No se puede copiar ni transmitir ningún logotipo, gráfico, sonido o imagen de ningún Sitio web de Caseware, salvo que Caseware lo autorice expresamente.

© 2023 Caseware International Inc.
Todos los derechos reservados.