Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

US Merchant Spanish DSOP ATW nf.indd

Anuncio 
Política Operativa de Seguridad de la Informática de American Express® para Establecimientos
Como uno de los líderes en protección al consumidor, American Express tiene un compromiso de larga duración
destinado a proteger la Información de los Afiliados, asegurando así su seguridad total.
La vulnerabilidad de los datos de clientes produce un impacto negativo en los consumidores, en los Establecimientos y en los emisores de
tarjetas. Un solo incidente puede perjudicar seriamente la reputación
de una empresa y afectar su habilidad de conducir sus negocios con
eficacia.
La implementación de políticas operativas de seguridad como respuesta a esta amenaza puede ayudar a mejorar la confianza de los
clientes, aumentar la rentabilidad y optimizar la reputación de una
empresa. Los Afiliados confían en el más alto nivel de servicio y protección que American Express les brinda. Como parte de nuestra
continua atención a los asuntos relacionados con seguridad, hemos
Sección 1 – Estándares de Seguridad de la Informática
para Establecimientos
Los Establecimientos deben asegurar que, tanto ellos como sus Partes
Cubiertas, (i) almacenen la Información de los Afiliados sólo para facilitar las transacciones de Tarjeta de acuerdo con sus Contratos de
Aceptación de Tarjeta y (ii) cumplan con el, en ese momento, actual
Estándar de Seguridad de Informática de la Industria de Pago de
Tarjetas (“PCI Standard”) www.pcisecuritystandards.org. “Partes
Cubiertas” significa todos o cualquiera de los actuales empleados,
agentes, representantes, subcontratados, Procesadores, Proveedores
de Servicios, proveedores de equipos, sistemas o soluciones de procesamiento de pagos de Punto de Venta (POS) de un Establecimiento, y
cualquier otra parte a la cual el Establecimiento pueda proveer acceso
a Información de Afiliados de acuerdo con su Contrato de Aceptación
de Tarjeta.
Sección 2 – Obligación de Notificar a American Express
Los Establecimientos deben notificar a American Express, inmediatamente, si saben o sospechan que se ha tenido acceso o se ha usado
Información de Afiliados sin autorización o si la misma ha sido usada
de otra manera que no esté de acuerdo con su Contrato de
Aceptación de Tarjeta. Los Establecimientos deben proveer (y obtener
cualquier exención necesaria para proveerla), a pedido de American
Express y sus auditores, total cooperación y acceso para conducir una
meticulosa auditoría de tal incidente informático, incluyendo la divulgación de todos los números de cuenta de Tarjeta relacionados con el
incidente, así como los informes de auditoría del incidente. Los
Establecimientos deben trabajar con American Express para rectificar
cualquier problema que surja del incidente, incluyendo la consulta con
American Express sobre sus comunicaciones con aquellos Afiliados
afectados por el incidente, y deben también proveer (y obtener cualquier exención necesaria para proveerla) a American Express toda
información relevante para prevenir futuros incidentes de una manera
consistente con su Contrato de Aceptación de Tarjeta. Las auditorías
deben incluir exámenes forenses e informes sobre conformidad, así
como toda y cualquier información relacionada con el incidente, y deben también identificar la causa del incidente y confirmar si el
Establecimiento estaba o no en conformidad con el Estándar de
Seguridad de Informática de la Industria de Pago de Tarjetas (“PCI
Standard”) en el momento del incidente informático.
desarrollado esta Política Operativa de Seguridad Informática y
estamos trabajando junto a los Establecimientos para ayudarles a
implementar programas de seguridad adecuados.
American Express sabe que ustedes comparten nuestra preocupación
y les pide, como parte de sus responsabilidades, que cumplan con las
estipulaciones de seguridad de datos que figuran en su contrato de
aceptación de la Tarjeta American Express®(“Contrato de Aceptación
de Tarjeta”) y de esta política. Estos requisitos se aplican a todos sus
equipos, sistemas y redes en las que se procesa, se almacena o se
transmite la Información de Afiliados de American Express.
Las obligaciones de indemnización de los Establecimientos con
American Express bajo su Contrato de Aceptación de Tarjeta incluyen,
sin exención de ninguno de los otros derechos y acciones de
American Express, la responsabilidad por todas las transacciones
fraudulentas relacionadas con tales incidentes informáticos y todos
los costos, honorarios y gastos (incluyendo demandas de terceros y
todos los costos incurridos por American Express, relacionados con la
notificación a los Afiliados, cancelaciones y reemisión de Tarjetas, desembolsos y honorarios legales razonables, y costos de investigación,
litigio, acuerdo, sentencia, intereses y sanciones) que American
Express incurra como resultado de tales incidentes informáticos, a no
ser que (i) el Establecimiento notifique a American Express de acuerdo
con esta sección, (ii) el Establecimiento está y estaba en conformidad
con esta Política Operativa de Seguridad Informática en el momento
del incidente informático, y (iii) el incidente informático no fue causado por la conducta ilícita del Establecimiento o de uno de sus
empleados o agentes.
Llame 1-800-297-2639 si usted piensa que información de
Cardmember está en peligro.
Sección 3 – ¡IMPORTANTE! Demostración de
Conformidad con la Política Operativa de Seguridad
Informática
Los Establecimientos deben seguir los siguientes pasos para demostrar su conformidad con esta Política Operativa de Seguridad
Informática, ya sea anualmente o trimestralmente como se describe
abajo.
Paso 1 – Determine su Nivel de Establecimiento y
Requisitos de Conformidad
La mayoría de los Niveles de Establecimiento están basados en el volumen de transacciones de Tarjetas de American Express presentado
por sus Establecimientos y acumulado al más alto nivel de cuenta de
American Express. Los Establecimientos se clasifican en uno de los
tres niveles especificados en la tabla a seguir:
DSOP Merchants 0507
Nivel
Definición
Documentación
de Validación
Requisito
Obligatorio
1
2,5 millones de transacciones de
Tarjetas American Express o más por
año; o cualquier Establecimiento que
haya tenido un incidente informático;
o cualquier Establecimiento que
American Express, por cualquier otra
razón, considere Nivel 1.
Informe Anual
de Auditoría de
Seguridad Local,
y Escaneado
Trimestral de Red.
2
De 50.000 a 2,5 millones de
transacciones de Tarjetas
American Express por año.
Escaneado
Trimestral de Red
3
Menos de 50.000 transacciones de Escaneado
Tarjetas American Express por año. Trimestral de Red
Altamente
ecomendado*
*Los Establecimientos de Nivel 3 no necesitan presentar Documentación de Validación.
No obstante, deben actuar de conformidad con, y están sujetos a responsabilidad bajo
todas las otras estipulaciones de esta Política Operativa de Seguridad Informática.
Determine su nivel y los documentos pertinentes que debe enviar a
American Express para validar su conformidad con esta política.
Documentación de Validación de Auditoria Anual de
Seguridad Local
La Auditoría Anual de Seguridad Local es un examen local detallado
de los equipos, sistemas y redes (y sus componentes) de los
Establecimientos, donde se procesa, se almacena y se transmite la
Información de los Afiliados. Debe ser realizada (i) por un asesor de
seguridad de terceros aceptable para American Express o (ii) por el
Establecimiento, con la certificación del director general, del director
financiero o del ejecutivo principal del Establecimiento. Los
Establecimientos deben completar y presentar anualmente a
American Express el resumen de los resultados de esta auditoría (y
copias de la auditoría completa, cuando solicitadas). Para que un
Establecimiento sea considerado en conformidad con esta Política
Operativa de Seguridad Informática, el resumen debe certificar la conformidad del Establecimiento con todos los requisitos del Estándar de
Seguridad de Informática de la Industria de Pago de Tarjetas (“PCI
Standard”).
Documentación de Validación de Escaneado Trimestral de Red
El Escaneado Trimestral de Red es un proceso de verificación remota
de las redes de computación y de los servidores Web de un
Establecimiento para detectar posibles debilidades y vulnerabilidades. Debe ser realizado por un asesor de seguridad de terceros
aceptable para American Express. Los Establecimientos deben completar y presentar trimestralmente a American Express el resumen de
los resultados de este escaneado (y copias del escaneado completo,
cuando solicitadas). Para que un Establecimiento sea considerado en
conformidad con esta Política Operativa de Seguridad Informática, el
resumen debe certificar que no hay indicación de situaciones de alto
riesgo.
Paso 2 – Envíe la Documentación de Validación a
American Express
Los Establecimientos de Nivel 1 y Nivel 2 deben enviar a American
Express la documentación de validación encriptada, marcada “obligatoria” en la Tabla del Paso 1, en disco compacto, a la siguiente
dirección:
American Express - DSOP Compliance Program.
c/o AmbironTrustWave
120 N LaSalle
Suite 1250
Chicago, IL 60602
o a documentación de validación de un Establecimiento de Nivel 1
debe incluir resúmenes del Informe Anual de Auditoría de
Seguridad Local y del Escaneado Trimestral de Red, como descrito
arriba.
o La documentación de validación de un Establecimiento de Nivel 2
debe incluir resúmenes del Escaneado Trimestral de Red, como observado arriba.
o Los Establecimientos de Nivel 3 no necesitan presentar documentación de validación (pero deben actuar de conformidad con, y están
sujetos a responsabilidad bajo todas las otras estipulaciones de
esta política).
El código de encriptado para descifrar la documentación, así como el
número de 10 dígitos de la cuenta del Establecimiento con American
Express, deben ser enviados por correo electrónico a:
[email protected]
El costo de la conformidad y de la validación corre por cuenta del
Establecimiento.
Cargos por No Conformidad y Terminación del Contrato de
Aceptación de Tarjeta
A aquellos Establecimientos que no cumplan con estos requisitos o
que no provean la documentación de validación obligatoria a
American Express en el plazo predeterminado, se les impondrán cargos por no conformidad y su Contrato de Aceptación de Tarjeta podrá
ser terminado. American Express notificará a los Establecimientos que
deban presentar documentación de validación separadamente del
plazo predeterminado y de los cargos pertinentes que puedan ser impuestos por su no conformidad.
Sección 4 – Exención Responsabilidad
La conformidad de un Establecimiento con esta Política Operativa de
Seguridad Informática no lo exime, de ninguna forma o manera, de
sus obligaciones de indemnización para con American Express bajo
este Contrato de Aceptación de Tarjeta, como asimismo no lo exime
de, o disminuye su responsabilidad de ninguna forma o manera, excepto como especificado en contrario en esta política de seguridad.
Los Establecimientos son responsables por proveer las medidas de
seguridad informática adicionales que consideren necesarias para
proteger sus datos e intereses particulares, con costo exclusivamente
a su cargo. American Express no declara o garantiza, de ninguna forma o manera, que las medidas contenidas en el Contrato de
Aceptación de Tarjeta o en esta política de seguridad sean suficientes
o adecuadas para proteger los datos e intereses particulares de los
Establecimientos.
Si American Express no recibe la documentación obligatoria de la
validación del Establecimiento en el plazo de 60 días del primer
plazo, después American Express puede terminar del Establecimiento
Contracto de Afiliación de acuerdo con sus términos sí como impone
los honorarios precedentes de la no- validación ante el comerciante
AMERICAN EXPRESS POR LA PRESENTE RENUNCIA A TODA Y CUALQUIER
REPRESENTACIÓN, GARANTÍA Y RESPONSABILIDAD CON RESPECTO A
ESTA POLÍTICA OPERATIVA DE SEGURIDAD INFORMÁTICA, AL PCI
STANDARD Y A LA DESIGNACIÓN Y DESEMPEÑO DE LOS ASESORES DE
SEGURIDAD DE TERCEROS, YA SEA DE FORMA EXPRESA, IMPLÍCITA,
ESTATUTARIA O DE CUALQUIER OTRA FORMA O MANERA, INCLUYENDO
LA COMERCIABILIDAD E IDONEIDAD PARA UN PROPÓSITO EN
PARTICULAR.
Documentos relacionados
Una herramienta web completamente interactiva para la
Una herramienta web completamente interactiva para la
Atención a Titulares: Por denuncia de robo o
Atención a Titulares: Por denuncia de robo o
José María Zas Presidente y Director General American Express
José María Zas Presidente y Director General American Express
Nombre y Apellidos: (letra de molde)
Nombre y Apellidos: (letra de molde)
mejor cine de Disfrute del - Beneficios y Descuentos American
mejor cine de Disfrute del - Beneficios y Descuentos American
Comprobante de Pago
Comprobante de Pago
Fonobanco Galicia: Centro de Atención Éminent
Fonobanco Galicia: Centro de Atención Éminent
Concepto de pago. Todas las transacciones en
Concepto de pago. Todas las transacciones en
Descargar
Anuncio
Anuncio