Política Operativa de Seguridad Informática de American Express® para Proveedores de Servicio Como uno de los líderes en protección al consumidor, American Express tiene un compromiso de larga duración destinado a proteger la Información de los Afiliados, asegurando así su seguridad total. La vulnerabilidad de los datos de clientes produce un impacto negativo en los consumidores, en los Proveedores de Servicio y en los emisores de tarjetas. Un solo incidente puede perjudicar seriamente la reputación de una empresa y afectar su habilidad de conducir sus negocios con eficacia. La implementación de políticas operativas de seguridad como respuesta a esta amenaza puede ayudar a mejorar la confianza de los clientes, aumentar la rentabilidad y optimizar la reputación de una empresa. Los Afiliados confían en el más alto nivel de servicio y protección que American Express les brinda. Como parte de nuestra continua atención a los asuntos relacionados con seguridad, hemos desarrollado esta Política Operativa de Seguridad Informática y estamos trabajando junto con los Proveedores de Servicio para ayudarles a implementar programas de seguridad adecuados. American Express sabe que los Proveedores de Servicio comparten su preocupación y les pide, como parte de sus responsabilidades, que cumplan con las medidas de seguridad de datos que se estipulan en su acuerdo con American Express y de esta política. Estos requisitos se aplican a todos sus equipos, sistemas y redes en las que se procesa, se almacena o se transmite la Informática de Afiliados American Express. Sección 1 – Estándares de Seguridad de la Informática para Proveedores de Servicio Los Proveedores de Servicio deben asegurar que, tanto ellos como sus Partes Cubiertas: (I) almacenen la Informática de los Afiliados sólo para facilitar las transacciones de Tarjeta de acuerdo con sus acuerdos con American Express y (II) cumplan con el, en ese momento, actual Estándar de Seguridad Informática de la Industria de Pago de Tarjetas (“PCI Standards”) www.pcisecuritystandards.org. “Partes Cubiertas” significa todos o cualquiera de los actuales empleados, agentes, representantes, subcontratados, Procesadores, proveedores de equipos, sistemas o soluciones de procesamiento de pagos de Punto de Venta (POS) de un Establecimiento, y cualquier otra parte a la cual el Establecimiento pueda proveer acceso a Informática de Afiliados de acuerdo con su contrato con American Express. Sección 2 – Obligación de Notificar a American Express Los Proveedores de Servicio deben notificar a American Express, inmediatamente, si saben o sospechan que se ha tenido peligro o se ha usado Informática de los Afiliados sin autorización o si la misma ha sido usada de otra manera que no este de acuerdo con su contrato con American Express. Los Proveedores de Servicio deben proveer (y obtener cualquier exención necesaria para proveerla), a pedido de American Express y sus auditores, total cooperación y acceso para conducir una meticulosa auditoría de tal incidente informático, incluyendo la divulgación de todos los números de cuenta de Tarjeta relacionados con el incidente, así como los informes de auditoría del incidente. Los Proveedores de Servicio deben trabajar con American Express para rectificar cualquier problema que surja del incidente, incluyendo la consulta con American Express sobre sus comunicaciones con aquellos Afiliados afectados por el incidente, y deben también proveer (y obtener cualquier exención necesaria para proveerla) a American Express toda Información relevante para prevenir futuros incidentes de una manera consistente con su acuerdo con American Express. Las auditorías deben incluir exámenes forenses e informes sobre conformidad, así como toda y cualquier Información relacionada con el incidente, y deben también identificar la causa del incidente y confirmar si el Establecimiento estaba o no en conformidad con el Estándar de Seguridad Informática de la Industria de Pago de Tarjetas (“PCI Standard”) en el momento del incidente informático. Las obligaciones de indemnización de los Proveedores de Servicio para con American Express bajo su Contrato de Aceptación de Tarjeta incluyen, sin exención de ninguno de los otros derechos y acciones de American Express, la responsabilidad por todas las transacciones fraudulentas relacionadas con tales incidentes informáticos y todos los costos, honorarios y gastos (incluyendo demandas de terceros y todos los costos incurridos por American Express, relacionados con la notificación a los Afiliados, cancelaciones y reemisión de Tarjetas, desembolsos y honorarios legales razonables, y costos de investigación, litigio, acuerdo, sentencia, intereses y sanciones) que American Express incurra como resultado de tales incidentes informáticos, a no ser que (I) el Proveedor de Servicio notifique a American Express de acuerdo con esta sección, (II) el Proveedor de Servicio está y estaba en conformidad con esta Política Operativa de Seguridad Informática en el momento del incidente de Informático, y (III) el incidente Informático no fue causado por la conducta ilícita del Proveedor de Servicio o de uno de sus empleados o agentes. Entre en contacto con su Gerente de Cliente o llame los números de teléfono indicados al final de documento si sospecha que la Informática de los Afiliados está en peligro. Sección 3 – ¡IMPORTANTE! Demostración de Conformidad con la Política Operativa de Seguridad Informática Los Proveedores de Servicio deben seguir los siguientes pasos para demostrar su conformidad con esta Política Operativa de Seguridad Informática, ya sea anualmente o trimestralmente como se describe abajo. Paso 1 – Requisitos de Cumplimiento Todos los Proveedores de Servicio deben enviar la documentación siguiente a American Express para validar su cumplimiento con esta política: • Informe Anual de Auditoría de Seguridad Local • Escaneado Trimestral de Red Documentación de Validación de Auditoría Anual de Seguridad Local La Auditoría Anual de Seguridad Local es un examen local detallado de los equipos, sistemas y redes (y sus componentes) de los Proveedores de Servicio, donde se procesa, se almacena y se transmite la Informática de los Afiliados. Debe ser realizada (i) por un asesor de seguridad de terceros aceptable para American Express o (ii) por el Establecimiento, con la certificación del director general, del director financiero o del ejecutivo principal del Establecimiento. Los Establecimientos deben completar y presentar anualmente a American Express el resumen de los resultados de esta auditoría (y copias de la auditoría completa, cuando solicitadas). Para que un Establecimiento sea considerado en conformidad con esta Política Operativa de Seguridad Informática, el resumen debe certificar la conformidad del Establecimiento con todos los requisitos del Estándar de Seguridad de Informática de la Industria de Pago de Tarjetas (“PCI Standard”). Documentación de Validación de Escaneado Trimestral de Red El Escaneado Trimestral de Red es un proceso de verificación remota de las redes de computación y de los servidores Web de un Proveedor de Servicio para detectar posibles debilidades y vulnerabilidades. Debe ser realizado por un asesor de seguridad de terceros aceptados por American Express. Los Proveedores de Servicio deben completar y presentar trimestralmente a American Express el resumen de los resultados de este escaneado (y copias del escaneado completo, cuando solicitadas). Para que un Proveedor de Servicio sea considerado en conformidad con esta Política Operativa de Seguridad Informática, el resumen debe certificar que no hay indicación de situaciones de alto riesgo. Paso 2 – Envíe la Documentación de Validación a American Express Los Proveedores de Servicio deben enviar a American Express la documentación de validación encriptada, en disco compacto, a la siguiente dirección: American Express Travel Related Services Company, Inc. GNO Data Security Unit Attn: Karen O’Connell Mail Code: 39-01-27 1801 NW 66th Avenue, Suite 103 Plantation, FL 33313 El código de encriptado para descifrar la documentación, así como el número de 10 dígitos de la cuenta del Proveedores de Servicio con American Express, deben ser enviados por correo electrónico a: [email protected] El costo de la conformidad y de la validación corre por cuenta del Proveedor de Servicio. Cargos por No Conformidad y Terminación del Acuerdo con American Express A aquellos Proveedores de Servicio que no cumplan con estos requisitos o que no proporcionen la documentación de validación obligatoria a American Express en el plazo predeterminado por ésta, se les impondrán cargos por incumplimiento y su acuerdo con American Express podrá ser terminado. American Express notificará a los Proveedores de Servicio separadamente en el plazo predeterminado Si American Express no recibe la documentación obligatoria de la validación de un Proveedor de Servicio en el plazo de 60 días del primer plazo, entonces American Express puede terminar el acuerdo así como imponer los honorarios precedentes de la no-validación al Proveedor de Servicio. Sección 4 – Exención de Responsabilidad La conformidad de un Proveedor de Servicio con esta Política Operativa de Seguridad Informática no lo exime, de ninguna forma o manera, de sus obligaciones de indemnización para con American Express bajo este acuerdo con American Express, como asimismo no lo exime de, o disminuye su responsabilidad de ninguna forma o manera, excepto como especificado en contrario en esta política de seguridad. Los Proveedores de Servicio son responsables por proveer las medidas de seguridad informática adicionales que consideren necesarias para proteger sus datos e intereses particulares, con costo exclusivamente a su cargo. American Express no declara o garantiza, de ninguna forma o manera, que las medidas contenidas en tal acuerdo o en esta política de seguridad sean suficientes o adecuadas para proteger los datos e intereses particulares de los Proveedores de Servicio. AMERICAN EXPRESS POR LA PRESENTE RENUNCIA A TODA Y CUALQUIER REPRESENTACIÓN, GARANTÍA Y RESPONSABILIDAD CON RESPECTO A ESTA POLÍTICA OPERATIVA DE SEGURIDAD INFORMÁTICA, AL PCI STANDARD Y A LA DESIGNACIÓN Y DESEMPEÑO DE LOS ASESORES DE SEGURIDAD DE TERCEROS, YA SEA DE FORMA EXPRESA, IMPLÍCITA, ESTATUTARIA O DE CUALQUIER OTRA FORMA O MANERA, INCLUYENDO LA COMERCIABILIDAD E IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR. Número de Contacto Si sospecha que la Informática de los Afiliados está en peligro, por favor llame: Latino América 1-800 AXP-AMEX (297-2639) Bolivia 800-100-165 Panamá 208-1800 Opción #3, luego Opción #1 06/2007