Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Sección 1 – Estándares de Seguridad de la Informática para

Anuncio 
Política Operativa de Seguridad Informática de American Express® para Proveedores de Servicio
Como uno de los líderes en protección al consumidor, American Express tiene un compromiso de larga duración
destinado a proteger la Información de los Afiliados, asegurando así su seguridad total.
La vulnerabilidad de los datos de clientes produce un impacto negativo en los consumidores, en los Proveedores de Servicio y en los
emisores de tarjetas. Un solo incidente puede perjudicar seriamente la reputación de una empresa y afectar su habilidad de conducir
sus negocios con eficacia.
La implementación de políticas operativas de seguridad como respuesta a esta amenaza puede ayudar a mejorar la confianza de los
clientes, aumentar la rentabilidad y optimizar la reputación de una empresa.
Los Afiliados confían en el más alto nivel de servicio y protección que American Express les brinda. Como parte de nuestra continua
atención a los asuntos relacionados con seguridad, hemos desarrollado esta Política Operativa de Seguridad Informática y estamos
trabajando junto con los Proveedores de Servicio para ayudarles a implementar programas de seguridad adecuados.
American Express sabe que los Proveedores de Servicio comparten su preocupación y les pide, como parte de sus responsabilidades,
que cumplan con las medidas de seguridad de datos que se estipulan en su acuerdo con American Express y de esta política. Estos
requisitos se aplican a todos sus equipos, sistemas y redes en las que se procesa, se almacena o se transmite la Informática de
Afiliados American Express.
Sección 1 – Estándares de Seguridad de la Informática para Proveedores de Servicio
Los Proveedores de Servicio deben asegurar que, tanto ellos como sus Partes Cubiertas: (I) almacenen la Informática de los Afiliados sólo para
facilitar las transacciones de Tarjeta de acuerdo con sus acuerdos con American Express y (II) cumplan con el, en ese momento, actual Estándar
de Seguridad Informática de la Industria de Pago de Tarjetas (“PCI Standards”) www.pcisecuritystandards.org. “Partes Cubiertas” significa todos
o cualquiera de los actuales empleados, agentes, representantes, subcontratados, Procesadores, proveedores de equipos, sistemas o
soluciones de procesamiento de pagos de Punto de Venta (POS) de un Establecimiento, y cualquier otra parte a la cual el Establecimiento
pueda proveer acceso a Informática de Afiliados de acuerdo con su contrato con American Express.
Sección 2 – Obligación de Notificar a American Express
Los Proveedores de Servicio deben notificar a American Express, inmediatamente, si saben o sospechan que se ha tenido peligro o se ha usado
Informática de los Afiliados sin autorización o si la misma ha sido usada de otra manera que no este de acuerdo con su contrato con American
Express. Los Proveedores de Servicio deben proveer (y obtener cualquier exención necesaria para proveerla), a pedido de American Express y
sus auditores, total cooperación y acceso para conducir una meticulosa auditoría de tal incidente informático, incluyendo la divulgación de todos
los números de cuenta de Tarjeta relacionados con el incidente, así como los informes de auditoría del incidente. Los Proveedores de Servicio
deben trabajar con American Express para rectificar cualquier problema que surja del incidente, incluyendo la consulta con American Express
sobre sus comunicaciones con aquellos Afiliados afectados por el incidente, y deben también proveer (y obtener cualquier exención necesaria
para proveerla) a American Express toda Información relevante para prevenir futuros incidentes de una manera consistente con su acuerdo con
American Express. Las auditorías deben incluir exámenes forenses e informes sobre conformidad, así como toda y cualquier Información
relacionada con el incidente, y deben también identificar la causa del incidente y confirmar si el Establecimiento estaba o no en conformidad con
el Estándar de Seguridad Informática de la Industria de Pago de Tarjetas (“PCI Standard”) en el momento del incidente informático.
Las obligaciones de indemnización de los Proveedores de Servicio para con American Express bajo su Contrato de Aceptación de Tarjeta
incluyen, sin exención de ninguno de los otros derechos y acciones de American Express, la responsabilidad por todas las transacciones
fraudulentas relacionadas con tales incidentes informáticos y todos los costos, honorarios y gastos (incluyendo demandas de terceros y todos los
costos incurridos por American Express, relacionados con la notificación a los Afiliados, cancelaciones y reemisión de Tarjetas, desembolsos y
honorarios legales razonables, y costos de investigación, litigio, acuerdo, sentencia, intereses y sanciones) que American Express incurra como
resultado de tales incidentes informáticos, a no ser que (I) el Proveedor de Servicio notifique a American Express de acuerdo con esta sección,
(II) el Proveedor de Servicio está y estaba en conformidad con esta Política Operativa de Seguridad Informática en el momento del incidente de
Informático, y (III) el incidente Informático no fue causado por la conducta ilícita del Proveedor de Servicio o de uno de sus empleados o agentes.
Entre en contacto con su Gerente de Cliente o llame los números de teléfono indicados al final de documento si sospecha que la Informática de
los Afiliados está en peligro.
Sección 3 – ¡IMPORTANTE! Demostración de Conformidad con la Política Operativa de Seguridad
Informática
Los Proveedores de Servicio deben seguir los siguientes pasos para demostrar su conformidad con esta Política Operativa de Seguridad
Informática, ya sea anualmente o trimestralmente como se describe abajo.
Paso 1 – Requisitos de Cumplimiento
Todos los Proveedores de Servicio deben enviar la documentación siguiente a American Express para validar su cumplimiento con esta política:
•
Informe Anual de Auditoría de Seguridad Local
•
Escaneado Trimestral de Red
Documentación de Validación de Auditoría Anual de Seguridad Local
La Auditoría Anual de Seguridad Local es un examen local detallado de los equipos, sistemas y redes (y sus componentes) de los Proveedores
de Servicio, donde se procesa, se almacena y se transmite la Informática de los Afiliados. Debe ser realizada (i) por un asesor de seguridad de
terceros aceptable para American Express o (ii) por el Establecimiento, con la certificación del director general, del director financiero o del
ejecutivo principal del Establecimiento. Los Establecimientos deben completar y presentar anualmente a American Express el resumen de los
resultados de esta auditoría (y copias de la auditoría completa, cuando solicitadas). Para que un Establecimiento sea considerado en
conformidad con esta Política Operativa de Seguridad Informática, el resumen debe certificar la conformidad del Establecimiento con todos los
requisitos del Estándar de Seguridad de Informática de la Industria de Pago de Tarjetas (“PCI Standard”).
Documentación de Validación de Escaneado Trimestral de Red
El Escaneado Trimestral de Red es un proceso de verificación remota de las redes de computación y de los servidores Web de un Proveedor de
Servicio para detectar posibles debilidades y vulnerabilidades. Debe ser realizado por un asesor de seguridad de terceros aceptados por
American Express. Los Proveedores de Servicio deben completar y presentar trimestralmente a American Express el resumen de los resultados
de este escaneado (y copias del escaneado completo, cuando solicitadas). Para que un Proveedor de Servicio sea considerado en conformidad
con esta Política Operativa de Seguridad Informática, el resumen debe certificar que no hay indicación de situaciones de alto riesgo.
Paso 2 – Envíe la Documentación de Validación a American Express
Los Proveedores de Servicio deben enviar a American Express la documentación de validación encriptada, en disco compacto, a la siguiente
dirección:
American Express Travel Related Services Company, Inc.
GNO Data Security Unit
Attn: Karen O’Connell
Mail Code: 39-01-27
1801 NW 66th Avenue, Suite 103
Plantation, FL 33313
El código de encriptado para descifrar la documentación, así como el número de 10 dígitos de la cuenta del Proveedores de Servicio con
American Express, deben ser enviados por correo electrónico a: [email protected]
El costo de la conformidad y de la validación corre por cuenta del Proveedor de Servicio.
Cargos por No Conformidad y Terminación del Acuerdo con American Express
A aquellos Proveedores de Servicio que no cumplan con estos requisitos o que no proporcionen la documentación de validación obligatoria a
American Express en el plazo predeterminado por ésta, se les impondrán cargos por incumplimiento y su acuerdo con American Express podrá
ser terminado. American Express notificará a los Proveedores de Servicio separadamente en el plazo predeterminado
Si American Express no recibe la documentación obligatoria de la validación de un Proveedor de Servicio en el plazo de 60 días del primer plazo,
entonces American Express puede terminar el acuerdo así como imponer los honorarios precedentes de la no-validación al Proveedor de
Servicio.
Sección 4 – Exención de Responsabilidad
La conformidad de un Proveedor de Servicio con esta Política Operativa de Seguridad Informática no lo exime, de ninguna forma o manera, de
sus obligaciones de indemnización para con American Express bajo este acuerdo con American Express, como asimismo no lo exime de, o
disminuye su responsabilidad de ninguna forma o manera, excepto como especificado en contrario en esta política de seguridad. Los
Proveedores de Servicio son responsables por proveer las medidas de seguridad informática adicionales que consideren necesarias para
proteger sus datos e intereses particulares, con costo exclusivamente a su cargo. American Express no declara o garantiza, de ninguna forma o
manera, que las medidas contenidas en tal acuerdo o en esta política de seguridad sean suficientes o adecuadas para proteger los datos e
intereses particulares de los Proveedores de Servicio.
AMERICAN EXPRESS POR LA PRESENTE RENUNCIA A TODA Y CUALQUIER REPRESENTACIÓN, GARANTÍA Y RESPONSABILIDAD
CON RESPECTO A ESTA POLÍTICA OPERATIVA DE SEGURIDAD INFORMÁTICA, AL PCI STANDARD Y A LA DESIGNACIÓN Y
DESEMPEÑO DE LOS ASESORES DE SEGURIDAD DE TERCEROS, YA SEA DE FORMA EXPRESA, IMPLÍCITA, ESTATUTARIA O DE
CUALQUIER OTRA FORMA O MANERA, INCLUYENDO LA COMERCIABILIDAD E IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR.
Número de Contacto
Si sospecha que la Informática de los Afiliados está en peligro, por favor llame:
Latino América 1-800 AXP-AMEX (297-2639)
Bolivia 800-100-165
Panamá 208-1800 Opción #3, luego Opción #1
06/2007
Documentos relacionados
Atención a Titulares: Por denuncia de robo o
Atención a Titulares: Por denuncia de robo o
Nombre y Apellidos: (letra de molde)
Nombre y Apellidos: (letra de molde)
mejor cine de Disfrute del - Beneficios y Descuentos American
mejor cine de Disfrute del - Beneficios y Descuentos American
Comprobante de Pago
Comprobante de Pago
Fonobanco Galicia: Centro de Atención Éminent
Fonobanco Galicia: Centro de Atención Éminent
Concepto de pago. Todas las transacciones en
Concepto de pago. Todas las transacciones en
Descargar
Anuncio
Anuncio