GH GambleHub

NDA y protección de la información confidencial

1) Objetivos y principios

La NDA (Non-Disclosure Agreement) y las políticas internas protegen:
  • secretos de negocio (algoritmos antifraude, perfiles de bonus, modelos ML, matemáticas RNG);
  • materiales de negociación (precios, offers, M&A, due diligence);
  • procesos y fuentes (arquitectura, IaC, esquemas API, claves);
  • datos de afiliados (SDK, roadmaps, betas);
  • datos personales/comerciales (en el marco del DPA/DSA).

Principios: minimización del acceso (need-to-know), trazabilidad, cifrado predeterminado, separación de roles/responsabilidades, «sala limpia» para el desarrollo colaborativo.

2) Clasificación y etiquetado de la información

Nivel de clasificación recomendado y reglas de manejo:
NivelEjemploAccesoAlmacenamientoTransferencia
Publiccomunicado de prensa, wiki-ayudaPor todoalmacenamiento compartidosin restricciones
Internalplaybook sapportempleadosdiscos corporativosCorreo corporativo
Confidentialplanes de mercado, contratosneed-to-knowencriptación at natencriptación de extremo a extremo, NDA
Strict/Secretclaves, modelos antifraude, fuentes RNGcírculo estrechoHSM/dentro. caja fuertesólo a través de canales con mTLS + registro

Etiquetado: '[CONFIDENCIAL]', titular de los datos, fecha de vencimiento, referencia al ticket/base de acceso.

3) Modo de secreto comercial (secretos comerciales)

Ley/política: lista de datos, medidas de protección, responsabilidad.
Medidas técnicas: RBAC/ABAC, registros de acceso, DLP, watermarking, control de impresión/capturas de pantalla.
Organizacional: onboarding/offboarding-check-list, formación, acuerdos de no divulgación, prohibición de traer/sacar medios sin registro.
Disciplina Dock: versiones, registro de artefactos, etiquetado, canales «secretos» (espacios cerrados/repositorios).

4) Especies de NDA

Unidireccional (one-way): revela un lado (típicamente un proveedor SDK).
Mutuo (mutual): intercambio de información confidencial en ambas partes (negociación, integración).
Multilateral (multilateral): consorcios, pilotos conjuntos.
NCA/NDA + NCA: non-circumvention (prohibición de eludir a un intermediario) se añade a la NDA.
NDA con desarrollador/contratista: combinado con Inventions/Assignment (derechos de resultados).

5) Secciones clave de la NDA (que es obligatorio)

1. Definición de Información Confidencial: Incluidos los medios orales (con posterior confirmación por escrito), electrónicos y materiales; enumerar ejemplos de tipo (código, esquemas, precios, dashboards).
2. Excepciones: (i) se conoce públicamente sin infracción; (ii) ya estaba en posesión legal; iii) desarrollado de forma independiente (probable); (iv) divulgada legalmente a las agencias estatales (con notificación).
3. Objetivo de divulgación: específico (evaluación de la asociación, piloto, auditoría).
4. Obligaciones del beneficiario: el nivel de protección no es inferior al propio; need-to-know, prohibición de copiar más allá del objetivo, prohibición del desarrollo inverso/benchmarking sin consentimiento.
5. Duración y «supervivencia»: duración del contrato (por ejemplo, 2-5 años) + protección de secretos post-término (por ejemplo, 5-10 años/indefinidamente para secretos).
6. Devolución/destrucción: cuando se solicita o finaliza - devolución/eliminación con confirmación; Copias de seguridad - bajo el modo de almacenamiento hasta el término automático.
7. Auditoría y notificación de incidentes: rapidez de la notificación (por ejemplo, ≤72 h), cooperación en la investigación.
8. Los recursos legales son: injunctive relief (medida cautelar), indemnizaciones, límites no se aplican a las infracciones intencionales.
9. Ley aplicable/arbitraje: jurisdicción/foro, idioma, ADR/arbitraje.
10. Exportación/sanciones: prohibición de la transferencia a subprocuradores/jurisdicciones; cumplimiento de los controles de exportación (criptografía).
11. «Conocimiento residencial» (según lo acordado): se puede/no se puede utilizar el «conocimiento no escrito» de los empleados (normalmente - excluir o limitar).
12. Subcontratistas/afiliados: sólo se admiten con obligaciones similares y consentimiento escrito.
13. Protección de datos (si existe un PII): referencia al DPA/DSA, papel de las partes (controlador/procesador), objetivos/bases legales, transferencias transfronterizas, vida útil.

6) Conexión de la NDA con la privacidad y la seguridad

Si se transfieren datos personales, la NDA no es suficiente - se requieren DPA/DSA y medidas para el GDPR/análogos (bases legales, derechos de las entidades, DPIA para el alto riesgo).
Technologies: cifrado en tránsito (TLS 1. 2 +), at-rest (AES-256), gestión de secretos, rotación de claves, MDM para dispositivos, 2FA, SSO, minimización de registros con PII.

7) Procedimientos de acceso e intercambio

Canales: correo de dominio, salas protegidas (VDR), SFTP/mTLS, archivos cifrados (contraseña AES-256 + out-of-band).
Prohibición: mensajeros sin integración corporativa, nubes personales, enlaces públicos, dispositivos no administrados.
Control de impresión/exportación, prohibición de medios flash personales, restricciones geográficas (geofens).

8) Clean-room y desarrollo colaborativo

Separe los comandos «ver» y «limpiar», almacene los artefactos unidireccionales por separado.
Documente las fuentes y el origen (provenance).
Para el PoC colaborativo: acuerde los derechos de resultados (co-signment/assignment) que posee Derived Data.

9) Matriz de riesgo RAG

RiesgoR (crítico)A (corregible)G (control)
Ausencia de NDAIntercambio de secretos sin contratoPlantilla compartida sin DPANDA + anexos (DPA/sanciones)
AccesoCorreo/dispositivos personalesMDM/SSO parcialMDM/SSO/2FA completa
EtiquetadoNo hay clasificaciónEtiquetado incompletoEstándar único + registros
IncidentesNo hay notificaciones SLAProcedimiento sin pruebasSLA ≤72 h + enseñanzas
SubcontratistasNo están cubiertos por NDAParcialmenteCompromisos flow-down
Exportación/sancionesNo hay pruebas de detecciónCribado únicoPolítica + revisión periódica

10) Hojas de cheques

Antes de compartir información

  • Firmado por la AND (ley/foro/plazo/excepciones/sanciones).
  • ¿Necesita DPA/DSA? Si es así, está firmado.
  • Se ha designado el propietario del conjunto de datos y el nivel de clasificación.
  • El canal de intercambio y el cifrado están acordados.
  • Lista de destinatarios (need-to-know), acceso a carpetas/VDR configurado.

Durante el intercambio

  • Etiquetado de archivos y versión, marcas de agua.
  • Revistas de acceso, prohibición de volver a compartir sin consentimiento.
  • Hash sumas/registro de artefactos.

Una vez finalizado

  • Devolución/eliminación y confirmación por escrito.
  • Accesos revocados, tokens/claves rotadas.
  • Post-auditoría: qué mejorar en procesos/plantillas.

11) Plantillas (fragmentos de cláusulas contractuales)

A. Definición y excepciones

💡 «Información confidencial» se refiere a cualquier información no revelada públicamente proporcionada por una Parte reveladora a la Parte destinataria, incluidos datos técnicos, comerciales, financieros, código, documentación, especificaciones, planes de desarrollo, términos y condiciones de los contratos. La información no se considera confidencial si: (i) estaba disponible públicamente antes de la divulgación; ii) no se haya puesto a disposición del público como consecuencia de una infracción; iii) se hallaba legalmente en poder del destinatario; (iv) fue desarrollado independientemente.

B. Obligaciones y acceso

💡 El destinatario aplica un régimen de protección no inferior al propio, solo da acceso a los empleados/contratistas bajo el principio de «need-to-know», les obliga a firmar acuerdos equivalentes, no copia ni utiliza información fuera del Objetivo.

C. Duración/Supervivencia

💡 El presente Acuerdo estará en vigor durante [24/36/60] meses; las obligaciones de proteger los secretos comerciales se mantendrán durante [5 a 10] años o hasta el momento de la divulgación legal.

D. Devoluciones/Destrucción

💡 A petición de la Parte divulgadora, el destinatario devolverá o destruirá el material en un plazo de [10] días y lo confirmará por escrito; las copias de seguridad se almacenan hasta la eliminación automática estándar, respetando el régimen de privacidad.

E. Recursos jurídicos

💡 Las Partes reconocen que la violación puede causar un daño irreparable; La Parte reveladora tiene derecho a solicitar una orden de alejamiento (injunctive relief), además de otros medios de defensa.

F. Exportaciones/Sanciones

💡 El destinatario garantizará el cumplimiento de los controles de exportación y los regímenes de sanciones y no transmitirá información a las entidades/jurisdicciones sujetas a restricciones.

G. Residual Knowledge (opcional)

Las Partes acuerdan que no se considerará información confidencial los conocimientos y aptitudes generales del personal del destinatario que no se hayan consignado en el material, siempre que no se recuerde y utilice intencionalmente el código fuente o las fórmulas secretas. (Se recomienda excluir o restringir rigurosamente los proyectos de alto riesgo.)

12) Registros recomendados (YAML)

12. 1 Registro NDA

yaml nda_id: "NDA-2025-0142"
counterparty: "GameProvider X Ltd"
type: "mutual"
purpose: "SDK integration and technical support"
term_months: 36 survival_years: 7 includes_dpa: true export_sanctions_clause: true residual_knowledge: "excluded"
owner: "Legal"
vault_folder: "vdr/providers/gpx"

12. 2 Registro de intercambio de artefactos

yaml exchange_id: "XCH-2025-009"
nda_id: "NDA-2025-0142"
classification: "Confidential"
channel: "VDR"
files:
- "api_specs_v3. pdf"  # sha256:...
- "kpis_q1. xlsx"    # sha256:...
recipients: ["a. smith@gpx. com","techlead@gpx. com"]
access_start: "2025-11-05"
access_end: "2026-01-31"
destroy_confirmed: false

13) Políticas y prácticas de seguridad (breve)

Dispositivos: empresa, cifrado de disco completo, MDM, prohibición de BYOD para «Secret».
Acceso: SSO/2FA, acceso condicional (geo/dispositivo), roles temporales (just-in-time).
Registros: almacenamiento y monitoreo de accesos; alertas para descarga masiva/relojes no estándar.
DLP: bloque de archivos adjuntos fuera del dominio/sin cifrado, marcas de agua en PDF.
Conveniencia: plantillas de salas seguras (VDR), scripts de cifrado de archivos listos para usar, NDA/DPA estándar.

14) Gestión de incidentes (en el contexto de la AND)

1. Confirmación: qué, cuándo, quién, qué archivos/repositorios; congelación de sesiones.
2. Aislamiento: retirada de accesos/llaves, «congelador» temporal en la nube.
3. Notificaciones: titular de los datos, abogados, socios; PII - por el DPA/GDPR.
4. Investigación: recolección de registros, forensic, determinación del alcance de los daños.
5. Remediación: reemplazo de secretos, parches, actualización de playbooks, aprendizaje.
6. Medidas legales: reclamaciones/trabajos de reclamación sobre la NDA, compensación.

15) Mini preguntas frecuentes

¿La NDA es suficiente para los datos personales? No, necesitamos DPA/DSA y medidas de privacidad.
¿Puedo enviar una confidencial al mensajero? Sólo en los aprobados por la empresa y con end-to-end, con DLP/logs habilitados.
¿Cuánto almacenar los materiales? Tanto como lo exija el objetivo/tratado; al final - devolución/eliminación con confirmación.
¿Es necesario cifrar los discos internos? Sí, disco completo + cifrado de archivos/secretos.

16) Conclusión

La NDA es sólo la punta del iceberg. La protección real se basa en el régimen de secreto comercial, el vínculo con la privacidad (DPA), controles técnicos y técnicos estrictos, disciplina de intercambio y respuesta rápida a incidentes. Estandarice las plantillas, establezca registros y playbooks, y sus secretos, código y negociaciones seguirán siendo un activo y no una vulnerabilidad.

Contact

Póngase en contacto

Escríbanos ante cualquier duda o necesidad de soporte.¡Siempre estamos listos para ayudarle!

Iniciar integración

El Email es obligatorio. Telegram o WhatsApp — opcionales.

Su nombre opcional
Email opcional
Asunto opcional
Mensaje opcional
Telegram opcional
@
Si indica Telegram, también le responderemos allí además del Email.
WhatsApp opcional
Formato: +código de país y número (por ejemplo, +34XXXXXXXXX).

Al hacer clic en el botón, usted acepta el tratamiento de sus datos.