Manual del Programa de Certificación Privacy+

Anuncio
Manual del Programa
de Certificación Privacy+
PRISM International
8735 W. Higgins Road, Suite 300
Chicago, IL 60631 United States
800.336.9793 (U.S. residents only), 847.375.6344
www.prismintl.org | [email protected]
Prefacio
El Manual del Programa de Certificación Privacy+ fue preparado para ser usado en conexión con, y como parte de, el Programa de Certificación Privacy+ de PRISM International. PRISM International, como titular del logotipo y de las normas de Privacy+, se reserva el
derecho a cuestionar en cualquier momento las reclamaciones de conformidad con el mismo, así como de revisar los procedimientos de
cualquier empresa que haga dicha reclamación. También se entiende que los no participantes en el programa Privacy+ no tendrán derecho a utilizar la marca Privacy+, o cualquier facsímil o reproducción de la misma, o en relación con alguno de sus procedimientos o literatura relacionados con dichos procedimientos.
Todo el contenido de PRISM International © 2014. Todos los derechos reservados. El contenido de este manual no puede ser reproducido, copiado, o difundido, todo o en parte, sin el permiso expreso de PRISM International. Este manual contiene instrucciones e información
para ser usadas por empresas de registro y gestión de la información que deseen obtener la certificación a través de PRISM International.
2
Contenido
Sección I. Información Básica de Privacy+. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Descripción y Objetivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Historia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Disponibilidad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Cómo Solicitarla . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Renovación de la Certificación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Política Antimonopolio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
El Ámbito de la Auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Normas de la Auditoría: Estados Unidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Normas de la Auditoría: Internacionales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Marketing y Uso del Logotipo de Privacy+ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Confidencialidad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Tarifas de Privacy+. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Sección II. Objetivos de Control y Controles Internos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Sección III. Formularios
Formulario de Aprobación y Compromiso del Auditor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Formulario de Solicitud Privacy+. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Formulario A de Informe de Auditoría Privacy+ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Formulario B de Informe de Auditoría Privacy+. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Contrato de Licencia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
3
Sección I. Información Básica de Privacy+
Institute of Certified Public Accountants [AICPA]) en los Estados
Unidos, o el International Standard on Assurance Engagements
(ISAE) 3402 (International Auditing and Assurance Standards
Board [IAASB]) usado internacionalmente.
Las empresas que obtuvieron la Certificación Privacy+ en
2012 o principios de 2013 mediante el proceso de autocertificación, continuarán teniendo la Certificación Privacy+ hasta el
31 de diciembre de 2014.
Descripción y Objetivo
Privacy+ es un programa de certificación internacional disponible
para todas las empresas que proporcionan servicios de almacenamiento externalizado, protección de registros en papel y
soportes informáticos removibles fuera de línea. La participación
en Privacy+ es voluntaria y permite a las empresas demostrar
públicamente su compromiso de proteger la privacidad de la información que sus clientes les confían. La Certificación Privacy+
es propiedad de, y está administrada por, PRISM International
(Professional Records & Information Services Managemen), también denominada aquí como “Asociación” comercial sin fines de
lucro para la industria de la gestión de la información comercial.
La Certificación Privacy+ aplica sólo al almacenamiento físico
y al manejo de registros en papel y soportes informáticos removibles fuera de línea de las empresas participantes. Sin limitación
alguna, Privacy+ no aplica para servicios relacionados como imágenes de documentos, servicios de trituración, o cualquier otra
forma de almacenamiento en la nube.
Los propósitos del programa Privacy+ son
• proporcionar a los participantes un medio para demostrar
públicamente su compromiso de garantizar la privacidad de la
información bajo su custodia
• compartir recursos y mejores prácticas para ayudar a los
participantes a reducir los riesgos en sus negocios
• reducir el número de incidentes de violación de privacidad
causados por miembros de nuestra industria, con lo que
– se preserva la reputación y la confianza de nuestra industria
– se reduce la probabilidad y severidad de la legislación
impuesta por el gobierno a nuestra industria.
Disponibilidad
PRISM International ofrece la Certificación Privacy+ que se encuentra a disposición de todas las empresas que prestan servicios de almacenamiento externalizado, de protección de registros en papel y de medios informáticos removibles fuera de
línea. Los miembros de PRISM International no están obligados
a participar en Privacy+, sin embargo, recibirán un descuento en
los precios si lo hacen.
Aprovechando el poder adquisitivo de la membresía completa de PRISM International, se han negociado tasas preferenciales con la empresa de contabilidad Kirkpatrick Price para los servicios de auditoría relacionados con Privacy+. Kirkpatrick Price
tiene conocimientos especializados dentro de la industria de
gestión de registros e información y también tiene acceso a la
red internacional de auditores de ISACA (www.isaca.org) y a auditores certificados CISA, lo que le permite realizar o gestionar
las auditorías de Privacy+ en todo el mundo.
Las auditorías de Privacy+ pueden ser llevadas a cabo por
empresas que no sean Kirkpatrick Price siempre y cuando sean
aprobadas previamente por PRISM International. PRISM International puede solicitar un permiso por escrito por medio del Formulario de Aprobación y compromiso del auditor de Privacy+.
Antes de contratar una empresa de auditoría que no sea Kirkpatrick Price, los posibles solicitantes deberán compartir con su
futuro auditor los formularios A y B de Informe de auditoría de
Privacy+ para asegurar la disposición del auditor a completar y
presentar los formularios.
Historia
El programa de Certificación Privacy+ fue lanzado por PRISM
International en 2012. Inicialmente, Privacy+ incluía un componente de educación obligatoria, además del requisito de que los
participantes auto-certificaran su implementación en una lista
específica de las mejores prácticas de la industria. En 2013, se
agregaron al programa las auditorías independientes, lo cual reemplazó tanto al componente educativo obligatorio como a la
lista de auto-certificación.
Para completar el proceso de la auditoría independiente y obtener el estatus de Certificación Privacy+, las empresas deberán de establecer controles internos diseñados para cumplir con una serie de
objetivos de control, éstos habían sido diseñados por PRISM International con el objetivo de promover la privacidad de la información.
Los participantes tienen la obligación de someter sus operaciones a una auditoria, la cual debe ser llevada a cabo por un
auditor independiente de acuerdo con el Statement on Standards for Attestation Engagements (SSAE) Número 16 (American
Cómo Solicitarla
Los pasos para solicitar la Certificación Privacy+ son los siguientes:
1.Revisar minuciosamente este Manual de Privacy+ para asegurarse de que comprende tanto el programa como los
objetivos de control de Privacy+, así como el proceso necesario para establecer y mantener la Certificación Privacy+.
2.Asegurar que su auditor complete el formulario de aprobación y compromiso. Tenga en cuenta que si va a utilizar un
auditor distinto a Kirkpatrick Price, éste debe ser aprobado
por PRISM International por escrito. Aunque no es necesario, le sugerimos que espere hasta que PRISM International
apruebe su auditor antes de continuar con la auditoría ya que
4
la aprobación de su auditor por parte de PRISM International
no está garantizada.
3.Presentar los siguientes formularios a PRISM International:
a. Formulario de solicitud
b. Contrato de licencia
c. Formulario de aprobación y compromiso del auditor.
4.Recibir una factura de PRISM International por las cuotas de
la solicitud, de los derechos de licencia del primer año, y, si
está utilizando los servicios de Kirkpatrick Price, por los honorarios de la auditoría. Si usted está usando los servicios de
una empresa de auditoría que no sea Kirkpatrick Price, se requiere una factura de PRISM International indicando que su
auditor ha sido aprobado. Si su auditor no es aprobado, el
personal de PRISM International lo contactará directamente.
5.Pagar la factura de PRISM dentro de los primeros 30 días de
su recepción.
6.Programar la auditoría. Preferiríamos que su auditoría de Privacy+ se realizara dentro de los 6 meses posteriores a la
presentación de su solicitud a Privacy+. Si su auditoría no se
ha realizado pasado un año de la presentación de su solicitud, usted tendrá que presentar una nueva solicitud y pagar
la cuota correspondiente.
7.Cuando su auditoría esté completa, su auditor enviará a
PRISM International el formulario B del informe de auditoría
de Privacy+ y los formularios A y B del informe de auditoría
de Privacy+ a usted.
8.PRISM International otorgará la Certificación Privacy+ dentro
de los primeros 30 días de haber recibido el formulario B del
informe de auditoría llenado de manera satisfactoria.
con respecto a los precios, términos o condiciones de venta,
volumen, territorios o clientes.
2.PRISM International no permitirá ninguna actividad o comunicación que incluya una discusión sobre precios, métodos de
fijación de precios, cuotas de venta, u otras limitaciones ya
sea de tiempo, de volumen de ventas, o de asignación de territorios o clientes.
3.PRISM International no permitirá ninguna actividad de un
comité de la asociación, sin consultar previamente con el
asesor legal, ese implica el intercambio de información en
cuanto a precios, método de fijación de precios o ventas.
4.PRISM International no participará en actividades o comunicaciones que pudieran ser interpretadas como un intento de
evitar que cualquier persona o entidad tenga acceso a algún
mercado o cliente de bienes o servicios, o que cualquier negocio obtenga un servicio o un suministro de bienes.
5.PRISM International no establecerá estándares para ningún
producto o servicio de la industria a menos que sea voluntario y que haya llegado por consenso de la industria.
6.PRISM International no participará en ninguna actividad o comunicación que pudiera interpretarse como un acuerdo para
abstenerse de comprar o usar materiales, equipos, servicios o
suministros de algún proveedor.
7.PRISM International no participará en ninguna actividad que
pudiera ser interpretada como una acción para impedir o
limitar la investigación básica o el desarrollo de cualquier
producto, proceso o servicio.
El Ámbito de la Auditoría
La Certificación Privacy+ se concede sobre una base de país a
país; las instalaciones individuales y específicas dentro de un
país no podrán ser excluidas del ámbito de la auditoría. El número y el tipo del sitio visitado dependen del auditor y de la capacidad del participante para demostrar la uniformidad del control.
Durante una auditoría de Privacy+, el auditor deberá obtener
suficiente evidencia mediante procedimientos de auditoría con
el fin de establecer una base razonable para fundamentar una
opinión sobre los controles internos que están siendo auditados. En general, los participantes con tres o menos instalaciones
dentro de un país deben esperar que todas sus instalaciones
sean inspeccionadas físicamente.
Si el auditor determina que se puede aplicar un método de muestreo adecuado, los participantes con más de tres instalaciones dentro de un país pueden cumplir con los requisitos de la auditoría aun
cuando menos del 100 % de sus instalaciones sea inspeccionado
físicamente. En estos casos, el auditor debe determinar que la población de la cual se extrae la muestra es apropiada para el objetivo específico de la auditoría. Generalmente el factor determinante
será la capacidad del participante para demostrar la uniformidad y
la actividad de control. El tamaño necesario de la muestra para obtener evidencia suficiente dependerá tanto de los objetivos como de
Renovación de la Certificación
1.Para mantener la Certificación Privacy+, las empresas deben
realizar una auditoría Privacy+ cada 2 años.
2.Para renovar la certificación, las empresas solicitantes deberán repetir los pasos 2-7 (enumerados en ‘Cómo solicitarla’)
antes del segundo aniversario de la certificación inicial y posteriormente cada 2 años. Teniendo en cuenta el tiempo de
espera necesario para completar una auditoría, se aconseja a
los participantes que comiencen el proceso de renovación al
menos 6 meses antes del segundo aniversario.
3.Si PRISM International no recibe un nuevo formulario B del
informe de auditoría a los 2 años de la fecha inicial de la certificación, la empresa dejará de contar con la Certificación
Privacy+ y deberá dejar de utilizar el nombre y las etiquetas
de Privacy+ en todos los materiales de mercadotecnia.
Política Antimonopolio
Todos los aspectos del programa Privacy+ deberán acatar la
política antimonopolio de PRISM International.
1.PRISM International no permitirá ninguna discusión entre
miembros y no miembros que intenten llegar a un acuerdo
5
la eficiencia de la muestra. Para un objetivo dado, la eficiencia de
la muestra tendrá que ver con su diseño; una muestra será más eficiente que otra si logra los mismos objetivos con una muestra de
menor tamaño. El número exacto, o el porcentaje, de instalaciones
que requieren inspección física lo determinará el auditor del participante, basándose en los lineamientos del AICPA o de la International Federation of Accountants (IFAC) para el muestreo de auditoría.
Los participantes con más de tres instalaciones deben consultar con su auditor antes de presentar una solicitud a PRISM
International para saber cuántas instalaciones tendrán que ser
auditadas para obtener la certificación Privacy+.
auditoría ISAE 3402 Tipo 2 que es más completa (véase Tarifas
de Privacy+ para más detalles).
Marketing y Uso del Logotipo de Privacy+
El nombre Privacy+ y su logotipo son marcas comerciales de
PRISM International. Las empresas con certificación Privacy+
están autorizadas a utilizar el nombre y el logotipo de Privacy+
en sus materiales de marketing, mientras que su certificación
se mantenga activa. Las empresas que permitan que su certificación caduque están obligadas a retirar de inmediato el nombre
y el logotipo de Privacy+ de todos sus materiales de marketing.
Las empresas que operan en más de un país, pero que no tienen
la certificación Privacy+ en todos los países en los que operan, no
podrán usar el nombre o el logotipo de Privacy+ en ventas, marketing, u otras comunicaciones que puedan llegar a países donde no
estén certificadas, a menos que las referencias a Privacy+ en esas
comunicaciones atraigan específicamente la atención hacia los
países en los que la empresa está operando pero que no está certificada (estas comunicaciones podrían incluir, pero no están limitados a, sitios web, correos electrónicos masivos, comunicaciones
de redes sociales, etc.) Las empresas que no muestran adecuadamente el nombre o el logotipo de Privacy+ estarán obligadas a retirar de inmediato el nombre y el logotipo la Privacy+ de todos los
materiales de marketing tras la resolución de PRISM International.
Mientras su certificación se mantenga activa, las empresas
con Certificación Privacy+ aparecerán por país en el sitio web de
PRISM International.
Normas de Auditoría: Estados Unidos
En los Estados Unidos, las auditorias de Privacy+ deben realizarse de acuerdo con la SSAE No. 16, (Reporting on Controls
at a Service Organization).
La SSAE 16 fue diseñada para reemplazar a la norma de auditoría SAS No. 70 (Statement on Auditing Standards). Utilizando varias disposiciones establecidas por la SAS 70, la auditoría
SSAE 16 añade aspectos importantes para poder ser más viables en el mercado global y ampliar el uso del servicio de informes de auditoría. Estos cambios ayudan a que la SSAE 16
sea un espejo estadounidense de la internacionalmente utilizada
ISAE 3402. La SSAE 16 entra en vigor el 15 de junio de 2011.
El objetivo del informe del auditor del servicio SSAE 16, también conocido como SOC 1, es ofrecer la opinión de un auditor
sobre la presentación que hace una empresa de sus controles
actuales en cuanto a la protección de la información de sus clientes que podrían afectar la información financiera; proporcionar una evaluación de la descripción de sus controles, y establecer si están diseñados de manera adecuada para alcanzar los
objetivos de control establecidos por la organización de servicios. El informe es entregado a las organizaciones de usuarios
para ayudarlos en sus auditorías independientes.
Los participantes de Privacy+ pueden cubrir el requisito de
auditoría ya sea con una auditoría SSAE 16 Tipo 1, o con la auditoría SSAE 16 Tipo 2 que es más completa (véase Tarifas de Privacy+ para más detalles).
Confidencialidad
En el proceso de tener sus operaciones auditadas, los participantes de Privacy+ estarán obligados a compartir información
sobre sus operaciones con sus auditores. Se aconseja a los
participantes pedir a sus auditores que firmen un acuerdo de
confidencialidad para asegurar que la información compartida
permanecerá confidencial. PRISM International no se hará responsable de ninguna violación de confidencialidad por parte un
auditor del participante.
PRISM International no pedirá a los auditores que compartan información detallada sobre los participantes de Privacy+.
Sin embargo, para emitir un certificado de Privacy+ a un participante, PRISM International debe tener un poco de información
básica sobre las operaciones de los participantes y también
debe saber que todos los objetivos de control se cumplieron sin
excepción. Como resultado, los participantes deben hacer que
sus auditores completen el Formulario de Informe de Auditoría
B de Privacy+. Los auditores son responsables de presentar el
Formulario de informe de auditoría B de Privacy+ directamente
a PRISM International. Además, cuando se considere necesario, PRISM International podrá solicitar que los participantes
compartan cierta información con PRISM International, como el
número de sus instalaciones dentro de un país.
Normas de Auditoría: Internacionales
Fuera de los Estados Unidos, las auditorías de Privacy+ deben
realizarse de acuerdo con la norma ISAE No. 3402, (Assurance
Reports on Controls at a Service Organization).
La norma ISAE 3402 se introdujo en 2009, y proporciona una
norma global que le da a los contadores públicos la capacidad
de emitir informes para ser usados por las organizaciones y sus
auditores. La ISAE 3042 es un reflejo internacional de la norma
estadounidense SSAE 16.
Los participantes de Privacy+ pueden cubrir el requisito de
auditoría ya sea con una auditoría ISAE 3402 Tipo 1, o con la
6
Tarifas de Privacy+
Cuotas pata los miembros de PRISM
Solicitud y derechos de licencia
durante 2 años
Cuotas de auditoría (auditorías
válidas por 2 años desde la fecha
de emisión)
Honorarios totales a pagar cada
dos años
1ª instalación
$560 cuota por licencia
$100 cuota por solicitud
$2,600** por auditorías internas
$2,000 por renovación de auditorías
$3,260 por auditorías iniciales
$2,660 por auditorías renovadas
2a y 3a instalaciones
$560 cuota por licencia de instalación
$2,000 por instalación
$2,560 por instalación
4a–25a instalaciones
$280 cuota por licencia de instalación
$2,000 por instalación auditada*
$2,280 por instalación auditada*
26 + instalaciones
$140 cuota por licencia de instalación
$2,000 por instalación auditada*
$2,140 por instalación auditada*
a
*Muestreo de la auditoría
Las organizaciones con más de tres instalaciones, podrán auditar menos del 100%
de sus instalaciones siempre y cuando se pueda establece la uniformidad de los
controles en todas las instalaciones (véase la sección sobre el Ámbito de la Auditoría). Sólo se les pedirá a los solicitantes que paguen las cuotas de las auditorías
de las instalaciones realmente auditadas. Sin embargo, las cuotas por derecho de
licencia se aplicarán a todas las instalaciones, aun cuando no se haya auditado el
100% de las instalaciones. Si el número de instalaciones cambia en el transcurso
de la auditoría, PRISM International se reserva el derecho de ajustar las tarifas
relacionadas con Privacy+ para que coincidan con el número real de instalaciones.
Auditoría Tipo 1 versus auditoría Tipo 2
Las cuotas de la auditoría mencionadas anteriormente, se basan en las auditorías Tipo 1 (véase la sección sobre Normas de la auditoría). Kirkpatrick Price
puede realizar una auditoría Tipo 2 que es más amplia con un costo adicional
de $1,250 por instalación, con una cuota para una nueva auditoría de $ 1,500 si
fuera necesario en caso de incumplimiento. Ambos tipos de auditorías, la 1 y la
2, son válidos para Privacy+.
Cuotas por servicios fuera del territorio continental de los Estados
Unidos
Kirkpatrick Price sólo puede llevar a cabo auditorías fuera de los Estados Unidos
continentales si todo el proceso se lleva a cabo en el idioma inglés. De lo contrario, los solicitantes con instalaciones fuera del territorio continental de los
Estados Unidos pueden elegir otro auditor que no sea Kirkpatrick Price.
**Taller de preparación
La cuota inicial de la auditoría de la primera instalación incluye $600 para cubrir
la asistencia obligatoria de un participante a un taller de preparación de Kirkpatrick Price (los gastos de viaje y el alojamiento son responsabilidad del solicitante). Se ofrecerán talleres en la Web para las empresas que están fuera de los
Estados Unidos o para aquellos que no desean viajar a este país (los talleres se
imparten en inglés). Cada asistente adicional pagará $600.
Precio para los no miembros de PRISM International
Las tasas anteriores son extensivas a todas las empresas miembro de PRISM
International que estén en regla. Aquellas que no socias deben pagar una cuota
adicional por derechos de licencia de $ 1,000 por cada instalación.
Cuotas para una nueva auditoría
Kirkpatrick Price determina que se aplicará una cuota de $750 por cada instalación que requiera ser auditada nuevamente por incumplimiento.
Definición de “instalación”
Una instalación se define como un edificio en el que se almacenan los registros
en papel o soportes informáticos removibles fuera de línea. Los edificios de
almacenamiento múltiple dentro de la misma área general que no compartan
una pared común con los edificios adyacentes se considerarán instalaciones
independientes.
El uso de auditores que no sean Kirkpatrick Price
Los aspirantes que opten por utilizar auditores que no sean Kirkpatrick Price
serán responsables de negociar y pagar las cuotas de auditoría directamente
a sus auditores. Sin embargo, las cuotas de la solicitud y de los derechos de licencia se deberán pagar a PRISM International antes de comenzar el trabajo de
auditoría. Los auditores externos deben ser aprobados por PRISM International
a través del formulario de Aprobación y Compromiso del Auditor.
Cuotas
Las cuotas se pagarán por adelantado por 2 años de Certificación Privacy+.
Una cuota de procesamiento de 3% se aplicará a todos los pagos con tarjeta de
crédito mayores o iguales a $ 5,000.
Ejemplo de Escenarios de Precios
Escenario
Miembros de PRISM International que
usan Kirkpatrick Price
Miembros de PRISM International que usan
otro auditor
No miembros de PRISM
International
La empresa tiene tres locales en
los Estados Unidos. La empresa
quiere obtener la Certificación
Privacy+ en los Estados Unidos
El costo será de $4,190 por año para
PRISM:
Costos de 2 años: $100 de cuota de solicitud, $1,680 de derechos de licencia ($ 560
x 3), $6,600 cuotas de auditoría ($2,600 + 2
x $2,000)
El costo será de $890 por año: Cuotas de solicitud
y derechos de licencia para PRISM, más el costo
que haya acordado con el auditor aprobado.
Costo de 2 años para PRISM: $100 cuota de
solicitud, $1,680 cuota de derecho de licencia
($560 x 3)
El costo será el mismo que el
de la izquierda, más $1,500
por año.
La empresa tiene 10 instalaciones—siete en los Estados
Unidos y tres en Brasil. La
empresa quiere obtener la
Certificación Privacy+ en los
Estados Unidos y en Brasil
El costo será de $9,170 por año para
PRISM:
Costos de 2 años: $100 de cuota de solicitud, $3,640 de derechos de licencia ($560 x
3 + 280 x 7), $14,600 cuotas de auditoría*
($2,600 + 6 x $2,000)
El costo será de $1,870 por año: Cuotas de solicitud y derechos de licencia para PRISM, más el
costo que haya acordado con el auditor aprobado.
Costo de 2 años para PRISM: $100 cuota de
solicitud, $3,640 cuota de derecho de licencia
($560 x 3 + 280 x 7)
El costo será el mismo que el
de la izquierda, más $5,000
por año.
Enviar esta página a la oficina de PRISM International
PRISM International | 8735 W. Higgins Road | Suite 300 | Chicago, IL 60631 | United States | Tel: 847.375.6344 | Fax: 847.375.6343 | E-mail: [email protected]
7
Sección II. Objetivos de Control y Controles Internos
Objetivo de Control 9—Seguridad de la Red
Los controles proporcionan una garantía razonable de que se han
implementado las mejores prácticas para restringir el acceso no
autorizado a los recursos de la red interna.
Objetivo de Control 10—Acceso Electrónico a los Clientes
Los controles de información proporcionan una seguridad razonable de que se han implementado las mejores prácticas para proteger la información del cliente que se almacena o se transmite a
través de medios electrónicos.
Todas las empresas participantes en Privacy+ tendrán un conjunto exclusivo de controles internos que apoyen los objetivos de
control descritos anteriormente. Los controles internos deben ser,
a juicio del auditor del participante, suficientes para apoyar los
objetivos de control.
Para ayudar a los participantes a comprender los tipos de
control internos necesarios para apoyar los objetivos de control,
PRISM International proporciona una muestra de controles internos para apoyar cada objetivo de control. Estos son sólo ejemplos,
los participantes pueden reemplazar o agregar controles internos
individuales sobre la base de su propia evaluación interna de los
riesgos de operaciones específicas.
Objetivo de Control 1—Control de Organización y de
Gestión
Los controles proporcionan una garantía razonable de que la administración supervisa, separa las funciones, y guía el comportamiento de los empleados a través de un programa formal.
• La organización cuenta con un organigrama actualizado.
• La organización cuenta con un manual formal escrito para el
empleado.
• La organización cuenta con descripciones escritas de puestos
formales.
Objetivo de Control 2—Política de Seguridad de la Información
Los controles proporcionan una garantía razonable de que la administración ha implementado un programa de seguridad de la
información que rige las prácticas de seguridad.
• La organización cuenta con una política formal escrita de
seguridad de la información.
• La organización cuenta con una declaración de política escrita
formal que comunica cómo se accede y utilizan los datos del
consumidor.
• La política de seguridad de la información nombra a un
administrador o responsable para supervisar el programa.
• La política de seguridad de la información identifica las leyes
o reglamentos que la organización debe seguir.
• La política de seguridad de la información específica los
procedimientos operativos para el acceso físico y el manejo
Para la Certificación Privacy+, las empresas deberán establecer
y realizar una auditoría por parte de un tercero. Esta auditoría
valorará los controles internos diseñados para satisfacer un conjunto específico de objetivos de control destinados a preservar
la privacidad de la información. Los objetivos de control han sido
establecidos por PRISM International y todos los participantes
de Privacy+ deben de cumplidos. Los objetivos de control son los
siguientes:
Objetivo de Control 1—Control de Organización y de
Gestión
Los controles proporcionan una garantía razonable de que la administración supervisa, separa las funciones, y guía el comportamiento de los empleados a través de un programa formal.
Objetivo de Control 2—Política de Seguridad de la Información
Los controles proporcionan una garantía razonable de que la administración ha implementado un programa de seguridad de la
información que rige las prácticas de seguridad.
Objetivo de Control 3—Evaluación de Riesgos
Los controles proporcionan una garantía razonable de que la administración ha implementado una función de evaluación de riesgos para identificar nuevos riesgos o cambios en el entorno que
requerirían modificar los controles.
Objetivo de Control 4—Control de Recursos Humanos
Los controles proporcionan una garantía razonable de que los empleados y los contratistas comprenden sus responsabilidades de
seguridad y que son aptos para las funciones para las que han
sido considerados.
Objetivo de Control 5—Gestión del Vendedor
Los controles proporcionan una garantía razonable de que las
terceras personas comprenden sus responsabilidades de seguridad y que son capaces de cumplir con los requisitos de seguridad
de la organización.
Objetivo de Control 6—Control de Acceso Físico
Los controles proporcionan una garantía razonable de que se impide el acceso no autorizado a las zonas seguras de los lugares
de almacenamiento tanto administrativos como de información.
Objetivo de Control 7—Controles Ambientales
Los controles proporcionan una garantía razonable de que los
efectos negativos de los factores ambientales se mitigan eficazmente.
Objetivo de Control 8—Controles Lógicos de Acceso
Los controles proporcionan una garantía razonable de que los
mecanismos lógicos de acceso están en su lugar para restringir
adecuadamente el acceso a las aplicaciones, datos, recursos de
red y sistemas operativos.
8
de la información del cliente almacenada físicamente o electrónicamente en el sitio de la organización.
• La política de seguridad de la información especifica el procedimiento para respuestas ante incidentes que cumple con
el Requisito 12.9. de la norma Payment Card Industry Data
Security Standard (PCI DSS).
• La política de seguridad de la información especifica los métodos para la capacitación de los empleados para ser llevada
a cabo por lo menos una vez al año.
• La política de seguridad de la información especifica los
procedimientos disciplinarios para los empleados que violen
la política.
Objetivo de Control 3—Evaluación de Riesgos
Los controles proporcionan una garantía razonable de que la
administración ha implementado una función de evaluación de
riesgos para identificar nuevos riesgos o cambios en el entorno
que requerirían modificar los controles.
• La organización cuenta con un plan formal escrito de evaluación de riesgos.
• La organización lleva a cabo una evaluación de riesgos,
al menos anualmente, lo que da como resultado la documentación de amenazas y planes de mitigación.
Objetivo de Control 4—Control de Recursos Humanos
Los controles proporcionan una garantía razonable de que los
empleados y los contratistas comprenden sus responsabilidades
de seguridad y que son aptos para las funciones para las que
han sido considerados.
• La organización lleva a cabo verificaciones de los antecedentes
de los potenciales empleados, incluyendo antecedentes penales,
de crédito, de empleos anteriores y controles de referencias.
• Todos los empleados y contratistas firma un acuerdo de
confidencialidad.
• La organización ha documentado los procedimientos de
contratación y terminación de contrato para proporcionar o
retirar el acceso a la información de los clientes.
Objetivo de Control 5—Gestión del Vendedor
Los controles proporcionan una garantía razonable de que las
terceras personas comprenden sus responsabilidades de seguridad y que son capaces de cumplir con los requisitos de seguridad de la organización.
• La organización cuenta con un proceso de selección formal
para evaluar las capacidades de terceros y la prestación de
servicios.
• Todos los vendedores firman un acuerdo de confidencialidad.
• La organización comunica a cada proveedor las responsabilidades contractuales de seguridad.
Objetivo de Control 6—Control de Acceso Físico
Los controles proporcionan una garantía razonable de que se impide el acceso no autorizado a las zonas seguras de los lugares
de almacenamiento tanto administrativos como de información.
• Todos los puntos de acceso a la instalación están bloqueados
o tienen un mecanismo electrónico de acceso.
• La instalación está equipada con una alarma antirrobo y
vigilada las 24 horas durante los 7 días de la semana.
• Todos los puntos de entrada están monitoreados en todo
momento.
• Todos los visitantes proporcionan una identificación válida y
firman un registro para poder entrar.
• Todos los visitantes llevan un distintivo que los identifica
claramente como visitantes.
• Todos los visitantes son acompañados en todo momento por
un empleado autorizado, a no ser que estén previamente autorizados como visitantes conocidos, como vendedor habitual
por ejemplo.
• Los vehículos desatendidos que contienen la información del
cliente son cerrados con llave.
• Se inscriben las entradas a los sitios donde se encuentran los
registros de los clientes, ya sea manual o electrónicamente.
• Se mantiene un estricto control de la distribución interna o
externa de cualquiera de los medios, incluyendo los siguientes controles:
– Clasificar los materiales para que la sensibilidad de los
datos pueda ser determinada.
– Enviar los materiales por correo seguro u otro método de
entrega que se pueda controlar con precisión.
Objetivo de Control 7—Controles de Ambientales
Los controles proporcionan una garantía razonable de que
los efectos negativos de los factores ambientales se mitigan
eficazmente.
• La instalación está equipada con un sistema de extinción de
incendios.
• La instalación está equipada con un sistema de detección
de incendios y vigilada las 24 horas durante los 7 días de la
semana.
• Los servidores de operación crítica, incluyendo aquellos que
contienen información propiedad del cliente, están equipados
con sistemas de respaldo de batería.
• Los servidores de operación crítica se enfrían adecuadamente
dentro de una sala de de cómputo cerrada.
Objetivo de Control 8—Controles Lógicos de Acceso
Los controles proporcionan una garantía razonable de que los
mecanismos lógicos de acceso están en su lugar para restringir
adecuadamente el acceso a las aplicaciones, datos, recursos de
red y sistemas operativos.
• Cada cuenta de usuario es autorizada de acuerdo con las
necesidades del negocio. Todos los privilegios se asignan
sobre la base de la clasificación del puesto y la función.
• Existe un procedimiento formal de registro y cancelación de
registro de usuarios para otorgar y revocar el acceso a todos
los sistemas de información y servicios.
9
• Las contraseñas de los empleados deben ser cambiadas en
intervalos designados que no excedan los 90 días.
• Los sistemas están configurados para reforzar una construcción sólida de contraseñas (al menos 7 caracteres, caracteres
alfa-numéricos con al menos un carácter especial), siempre y
cuando el software actual sea compatible con esta función.
• Los clientes pasan por un proceso de autorización predeterminado antes de tener acceso a las herramientas de gestión
de registros.
Objetivo de Control 9—Seguridad de Red
Los controles proporcionan una garantía razonable de que se
han implementado las mejores prácticas para restringir el acceso no autorizado a los recursos de la red interna.
• Existe un servidor de seguridad en cada conexión a internet y
entre todas las redes inalámbricas.
• Se llevan a cabo escaneos externos de vulnerabilidades al
menos cada tres meses o después de cualquier cambio significativo en la red para validar e identificar cualquier vulnerabilidad en la configuración.
• Existen aplicaciones antivirus y antimalware instaladas en
todos los sistemas comúnmente afectados por códigos maliciosos, configuradas con actualizaciones automáticas.
• La gestión de parches se realiza al menos cada tres meses,
en el caso de las emisiones críticas, se realiza cada 30 días.
Objetivo de Control 10—Acceso Electrónico a los
Clientes
Los controles de información proporcionan una seguridad razonable de que se han implementado las mejores prácticas para
proteger la información del cliente que se almacena o se transmite a través de medios electrónicos.
• Los sitios Web o los servicios públicos basados en el
navegador usan el protocolo de seguridad SSL (Secure Sockets Layer) al acceder a la información del cliente.
10
Formulario de Aprobación y Compromiso del Auditor
Fecha
Nombre de la empresa
Sitio Web de la empresa
Nombre de la persona que realiza la auditoría
Nombre de la empresa Privacy+ solicitante que será auditada
Si la auditoría va a ser realizada por un tercero, se debe de tratar de una empresa CPA calificada. La empresa CPA debe contar con experiencia previa
en la realización de evaluaciones de acuerdo con la Statement on Standards for Attestation Engagements No. 16, debe estar registrada en PCAOB,
con licencia obtenida directamente o a través de la equivalencia NASBA del estado en el que opere el miembro, y contar con la certificación CISA® o
CISSP®.
¿La empresa que va a realizar la auditoría cumple con las normas antes mencionadas? o Sí o No
Si no es así, describa por favor cómo es exactamente que la empresa no cumple con los estas normas.
¿Esta empresa de contabilidad o empresa CPA independiente está siendo contratada por la empresa que será auditada? o Sí o No
¿En qué país(es) va a realizar la auditoría de las instalaciones del solicitante?
¿Cuántas instalaciones* del solicitante en total operan en este país?
¿Cuántas del total de instalaciones planea inspeccionar físicamente para la auditoría?
Mi empresa y yo hemos revisado los materiales del Manual de Privacy+ y estamos de acuerdo con los procedimientos y requisitos establecidos
para la realización de una Auditoría Privacy+. Afirmamos además que la información presentada en este Formulario de aprobación y compromiso
del auditor es correcta y exacta.
Fecha
Firma de la persona que realiza la revisión
Fecha
Firma de la empresa CPA que supervisará la auditoría si es diferente
*Una instalación se define como un edificio en el que se almacenan los registros en papel o medios informáticos removibles fuera de línea. Los edificios de almacenamiento múltiple dentro de la misma área general que no compartan una pared común con los edificios adyacentes se considerarán instalaciones independientes.
Para uso exclusivo de la oficina de PRISM:
¿El auditor es aceptado?
Fecha de procesamiento
Enviar esta página a la oficina de PRISM International
PRISM International | 8735 W. Higgins Road | Suite 300 | Chicago, IL 60631 | United States | Tel: 847.375.6344 | Fax: 847.375.6343 | E-mail: [email protected]
11
Formulario de Solicitud Privacy+
Fecha
Nombre de la empresa
Persona de contacto para Privacy+
Dirección
CiudadProvincia/Estado
Código Postal/ZIP País
Teléfono Fax
Correo electrónico
Sitio web
¿Es usted actualmente miembro de PRISM International?
o Sí o No
¿Va a utilizar los servicios de Kirkpatrick Price para la auditoría Privacy+? o Sí o No
¿En qué país(es) desea tener la certificación Privacy+?____________________________________________________________
¿Cuántos instalaciones* en total opera su empresa en estos países?_________________________________________________
Si ha optado por excluir las instalaciones, por favor, explique por qué. ________________________________________________
Nuestra empresa ha revisado el Manual de Certificación Privacy+ y tiene la intención de solicitar la Certificación Privacy+. Adjunto encontrará nuestro
o Contrato de licencia firmado
o Formulario de aprobación y compromiso del auditor
o Entiendo que PRISM International me facturará por adelantado las cuotas de solicitud, de auditoría (si uso el servicio Kirkpatrick
Price), y de derechos de licencia por 2 años. Después de que mi empresa haya pagado las cuotas por adelantado, se podrá proceder
con la Auditoría Privacy+.
o Entiendo que si el número o el ámbito de la auditoría cambia en el transcurso de la misma, PRISM International se reserva el derecho de
ajustar las tarifas asociadas a Privacy+ para que coincidan con el número de instalaciones revisadas o con el ámbito de la auditoría.
* Una instalación se define como un edificio en el que se almacenan los registros en papel o medios informáticos removibles fuera de línea. Los edificios de almacenamiento múltiple dentro de la misma área general que no compartan una pared común con los edificios adyacentes se considerarán instalaciones independientes.
La instalación debe excluirse si la ubicación no incluye el almacenamiento de registros físicos y/o medios informáticos fuera de línea.
Pago (debe acompañar la inscripción)
o
o
o
o
o Cheque (anexar)
•Se cobrarán $25 por refacturar un cargo de tarjeta de crédito.
•Una cuota de procesamiento de 3% se aplicará a todos los pagos con tarjeta de crédito mayores o iguales a $ 5,000.
•En caso de un error de cálculo, autorizo a PRISM a cargar a mi tarjeta de crédito la cantidad que PRISM estime pertinente.
•Haga el cheque a nombre de PRISM International.
•Los cheques que no sean en dólares estadounidenses serán devueltos.
Cheque número______________________ Se hará un cargo de $25 por cheque devuelto por falta de fondos.
Número de cuenta
Fecha de caducidad
Firma
Nombre del titular (en letra de imprenta)
Enviar esta página a la oficina de PRISM International
PRISM International | 8735 W. Higgins Road | Suite 300 | Chicago, IL 60631 | United States | Tel: 847.375.6344 | Fax: 847.375.6343 | E-mail: [email protected]
12
Formulario A de Informe de Auditoría—El auditor lo entregará únicamente a la empresa que será auditada
(NO ENTREGAR A PRISM INTERNATIONAL)
Nombre de la empresa a ser auditada
Dirección
Nombre del contacto
País(es) para el (los) cual (es) se está buscando la Certificación Privacy+
Teléfono
Correo electrónico
Nombre del auditor (en letra de imprenta) Fecha
Firma del auditor
Nombre de la empresa
Indique si la empresa cumple con cada uno de los objetivos de control de Privacy+ que se enumeran a continuación.
Áreas
Cumple (X)
No cumple (X)
Comentarios
Objetivo de Control 1—Control de Organización y de Gestión
Los controles proporcionan una garantía razonable de que la administración supervisa, separa las funciones, y guía el comportamiento de los empleados a través de un programa formal.
Objetivo de Control 2—Política de Seguridad de la Información
Los controles proporcionan una garantía razonable de que la administración ha implementado un programa de seguridad de la información que rige las prácticas de seguridad
Objetivo de Control 3—Evaluación de Riesgos
Los controles proporcionan una garantía razonable de que la administración ha implementado una función
de evaluación de riesgos para identificar nuevos riesgos o cambios en el entorno que requerirían modificar
los controles
Objetivo de Control 4—Control de Recursos Humanos
Los controles proporcionan una garantía razonable de que los empleados y los contratistas comprenden
sus responsabilidades de seguridad y que son aptos para las funciones para las que han sido considerados
Objetivo de Control 5—Gestión del Vendedor
Los controles proporcionan una garantía razonable de que las terceras personas comprenden sus responsabilidades de seguridad y que son capaces de cumplir con los requisitos de seguridad de la organización.
Objetivo de Control 6—Control de Acceso Físico
Los controles proporcionan una garantía razonable de que se impide el acceso no autorizado a las zonas
seguras de los lugares de almacenamiento tanto administrativos como de información.
Objetivo de Control 7—Controles de Ambientales
Los controles proporcionan una garantía razonable de que los efectos negativos de los factores ambientales se mitigan eficazmente.
Objetivo de Control 8—Controles Lógicos de Acceso
Los controles proporcionan una garantía razonable de que los mecanismos lógicos de acceso están en su lugar para restringir adecuadamente el acceso a las aplicaciones, datos, recursos de red y sistemas operativos.
Objetivo de Control 9—Seguridad de Red
Los controles proporcionan una garantía razonable de que se han implementado las mejores prácticas
para restringir el acceso no autorizado a los recursos de la red interna.
Objetivo de control 10—Acceso Electrónico a los Clientes
Los controles de información proporcionan una seguridad razonable de que se han implementado las mejores prácticas para proteger la información del cliente que se almacena o se transmite a través de medios electrónicos.
Enviar esta página a la oficina de PRISM International
PRISM International | 8735 W. Higgins Road | Suite 300 | Chicago, IL 60631 | United States | Tel: 847.375.6344 | Fax: 847.375.6343 | E-mail: [email protected]
13
Formulario B de Informe de Auditoria—El auditor* lo entrega
a la empresa que será auditada y a PRISM International
Nombre de la empresa a ser auditada
Fecha
Nombre de la empresa auditora
Auditor/Nombre del contacto
Dirección
CiudadProvincia/Estado_______________ Código Postal/ZIP
Teléfono Fax
Correo electrónico
Sitio web
País(es) para el (los) cual (es) se está buscando la Certificación Privacy+
Núm. total de instalaciones** en el (los)
país(es) donde se busca la certificación
País
Núm. real de instalaciones inspeccionadas
físicamente por el auditor de acuerdo con
la auditoría de Privacy+
Dirección(es) de la(s) instalaciones donde se busca obtener la certificación (adjuntar lista por separado si es necesario).
Estado de la Auditoría:
Fecha:��������������La Empresa cumple, en todas sus instalaciones en el (los) país(es) antes mencionado(s), en todos sus aspectos significativos y sin restricción, todos los objetivos de control efectivos a la fecha de hoy, que se enumeran
en el Manual de Certificación Privacy+.
Fecha:��������������La Empresa no cumple con los objetivos de control efectivos a la fecha de hoy.
Certificamos que la empresa arriba mencionada, a partir de las fechas indicadas en el campo “Fecha”, ha sido auditada de acuerdo a
las normas SSAE 16 o ISAE 3402. Certificamos que la fecha más reciente que aparece más arriba indica los resultados o la situación de
nuestra auditoría.
Para uso exclusivo de la oficina de PRISM
Nombre del titular (en letra de imprenta)
Fecha de recepción:
Firma del auditor
Fecha de procesamiento:
Fecha
*Los auditores deben cumplir con ciertos requisitos para llevar a cabo auditorías de conformidad con Privacy+. Por favor consulte el Formulario de aprobación y compromiso del auditor de Privacy+.
**Una instalación se define como un edificio en el que se almacenan los registros en papel o medios informáticos removibles fuera de
línea. Los edificios de almacenamiento múltiple dentro de la misma área general que no compartan una pared común con los edificios
adyacentes se considerarán instalaciones independientes.
Enviar esta página a la oficina de PRISM International
PRISM International | 8735 W. Higgins Road | Suite 300 | Chicago, IL 60631 | United States | Tel: 847.375.6344 | Fax: 847.375.6343 | E-mail: [email protected]
14
Contrato de Licencia
Favor de completar la información solicitada en el presente Contrato de licencia. Haga una copia y firme ambas copias. Devuelva ambas copias firmadas a PRISM International. PRISM International formalizará una copia y la otra le será devuelta para que usted la tenga
en sus archivos.
Fecha
Empresa
Dirección
CiudadProvincia/Estado
Código Postal/ZIP
País
Persona de contacto
TeléfonoFax
Lista de los sitios de otras instalaciones (Adjuntar otra hoja si es necesario)
La empresa anteriormente mencionada solicita a PRISM International (Asociación) una licencia para exhibir el logotipo de Privacy* en conformidad
con los términos de este Contrato de licencia.
Las obligaciones y acuerdos de PRISM International, según lo establecido en este documento, están condicionados expresamente al cumplimiento continuo de la empresa de conformidad con los términos y condiciones establecidos en el presente Contrato y en el Manual de Certificación de Privacy+.
1. General
1.1 Definiciones: Cuando se utilicen en el presente Contrato, los siguientes términos tendrán el
siguiente significado:
A. Marca Privacy+: La marca y el logotipo propiedad de PRISM International cuya licencia
de uso la tendrán las empresas que hayan finalizado el proceso de certificación y protección de datos.
B. Empresa: Empresas de gestión externalizada de registros e información con fines de
lucro que soliciten la Certificación de Privacy+. Como ejemplo están los centros de
registros comerciales y operaciones de bóveda de resguardo de medios.
C. Auditor: Empresa auditora aprobada por PRISM International para que evalúe si la
empresa ha cumplido con los requisitos de Privacy+.
D. Certificación / Certificado: Certificación por parte de PRISM International, con base en un
informe de auditoría, de que la empresa cumple con los requisitos de las normas Privacy+
establecidos en el Manual de Certificación de Privacy+.
E. Auditoría: Informe emitido a la empresa por la empresa auditora.
F. Comité: El grupo de trabajo de PRISM Privacy+ o su sucesor.
G. Fecha de vigencia: La fecha a partir de la cual una empresa certificada, o un nuevo
solicitante de la Certificación Privacy+, debe cumplir con los requisitos de Privacy+, como
fue reconocido por escrito por PRISM International.
1.2 El presente Contrato se regirá por las leyes del Estado de Illinois.
1.3 Cualquier notificación requerida en virtud del presente se considerará entregada si es enviada correctamente por correo electrónico, el servicio de correos de los Estados Unidos y con
porte prepagado de primera clase o, en el caso de una empresa extranjera, por el servicio de
correos de su país.
1. 4Las facturas emitidas por PRISM International se pagarán dentro de los primeros 30 días.
Las facturas que no se resuelvan dentro de los 60 días siguientes a la fecha de facturación,
deberán ser revocadas de este Contrato de licencia. El restablecimiento de este Contrato se
obtendrá mediante el pago de todos los cargos pendientes, más una cuota de $100 por reincorporación. Si no se obtiene la reincorporación, PRISM International podrá, después de 90
días, informar a la empresa sobre la revocación.
1.5 La Certificación Privacy+ será llevada a cabo conforme a los requisitos establecidos en el
Manual de Certificación vigentes en el momento de la auditoría inicial o de cualquiera auditoría posterior.
1.6 Se anima a la empresa certificada a usar la Marca Privacy+.
1.7 Las empresas y sus auditores son instruidos expresamente a no presentar resultados
detallados de sus auditorías. Ninguna información relacionada con una auditoría o certificación podrá ser divulgada a persona o personas, salvo (a) por la empresa o (b) por PRISM
International en respuesta a una citación u otro proceso legal. PRISM International no tiene
el deber ni la obligación a resistirse a una citación válida u otro requisito legal. PRISM International, sin embargo, deberá notificar de inmediato a cualquier empresa de cualquier
citación judicial dirigida a la empresa. Si la empresa opta por divulgar un informe de auditoría, deberá ser el informe completo, junto con cualquier limitación de responsabilidad del
auditor que se incluya. PRISM International deberá acordar por escrito mantener en estricta
confidencialidad toda la información confidencial proporcionada por la empresa o en relación con los procedimientos de la misma. No será una violación de la confidencialidad de
PRISM International divulgar las auditorías o sus resultados si lo hace en respuesta a una
citación u otro proceso legal, o requerido por ley.
1.8 Si la empresa certificada altera o modifica los procedimientos de una empresa certificada
en la medida en que es razonable suponer que su certificación se ve afectada, dichas alteraciones o procedimientos modificados deberán ser aprobados por el auditor ya sea por
análisis o por auditoría a fin de conservar la certificación.
1.9 La empresa certificada podrá ser cualquier empresa sin importar que sea o no miembro de
PRISM International.
2. Privacy+ Licencia de Marca
2.1 Sólo con el propósito de identificar los procedimientos certificados por Privacy+, de acuerdo
con los términos de esta Solicitud y Contrato, se le concede a la empresa certificada una licencia no exclusiva, intransferible y revocable (“Licencia”) para exhibir la Marca Privacy+ de
PRISM International.
2.2 Sin embargo, la licencia concedida en 2.1 está expresamente condicionada al completo y
continuo cumplimiento de todos los términos y condiciones establecidos en este Contrato de
licencia, incluyendo los siguientes:
A. La empresa certificada sigue cumpliendo con el Manual de Certificación y con los
procedimientos establecidos en esta Solicitud y Contrato, y se limita a usar la Marca
Privacy+ durante el período de certificación.
B. La empresa certificada siempre deberá acompañar la Marca Privacy+ de PRISM International con el símbolo ™.
2.3 Al aceptar esta licencia, la empresa certificada reconoce por medio del presente que PRISM
International posee de manera exclusiva y válida la Marca Privacy+, en todo su derecho,
título e interés. La empresa certificada renuncia expresamente a cualquier derecho que
pudiera tener o haya tenido a disputar dicha propiedad y se compromete a no impugnar o
perjudicar de manera alguna los derechos, títulos e intereses de PRISM International. La
empresa certificada reconoce y acepta que: (i) no utilizará la Marca Privacy+ de manera
que pudiera disminuir el valor comercial de la Marca Privacy+, (ii) no utilizará, a sabiendas,
Enviar esta página a la oficina de PRISM International
PRISM International | 8735 W. Higgins Road | Suite 300 | Chicago, IL 60631 | United States | Tel: 847.375.6344 | Fax: 847.375.6343 | E-mail: [email protected]
15
o permitirá el uso de cualquier marca, nombre o imagen que pueda causar confusión con
la Marca Privacy, (iii) toda la clientela asociada con el uso de la Marca Privacy+ redundará
en PRISM International, (iv) la Marca Privacy+ es y seguirá siendo propiedad exclusiva de
PRISM International, y (v) ninguna disposición en el presente Contrato conferirá a la empresa
certificada derecho alguno de propiedad de la Marca Privacy+, y la compañía certificada no
hará ninguna declaración en este sentido, o utilizará la Marca Privacy+ de una manera que
sugiera que tales derechos se confieren.
2.4 El alcance de esta licencia es mundial.
2.5 PRISM International se reserva expresamente su derecho a conceder licencias similares
a otras entidades que cumplan con los procedimientos contemplados en los lineamientos
de Privacy+ ya sea que dichos procedimientos compitan o no con los procedimientos de la
empresa certificada.
2.6 A petición del abogado de la Asociación, la empresa certificada se compromete a proporcionar una muestra representativa de cualquier anuncio impreso o electrónico, literatura, o
etiqueta elaborada por la empresa certificada utilizando la Marca Privacy+. A petición del
abogado de la Asociación, la empresa certificada se compromete además a presentar cualquier modificación de la misma, solicitada en un plazo de 30 días. La empresa certificada se
compromete a no alterar o modificar la Marca Privacy+.
2.7 La licencia concedida en este documento a la empresa certificada no es transferible ni divisibles a menos que cuente con el consentimiento previo por escrito de PRISM International.
Dicho consentimiento podrá retenerse a discreción, única y absoluta, de PRISM International. Cualquier cesión o transferencia sin dicho consentimiento será nula y carecerá de valor y
podrá invalidar la certificación según lo determinado por PRISM International.
Al expedir esta licencia, PRISM International no asume ninguna responsabilidad por los actos u
omisiones de la empresa certificada o de sus directores, funcionarios, propietarios, socios,
empleados o agentes. A excepción de las reclamaciones por infracción de marcas relacionadas con Privacy+, la empresa certificada deberá indemnizar y mantener indemne tanto a
PRISM International, como a sus funcionarios, directores, miembros y agentes en relación
con cualquier reclamación o acción en contra de los mismos presentada por un tercero en
función de cualquier acto u omisión de la empresa, sus directores, funcionarios, propietarios,
socios, empleados o agentes, incluyendo las resoluciones, transacciones, costos y honorarios de abogados asociados a tales reclamaciones o acciones en contra.
2.8 PRISM International publicará periódicamente actualizaciones de las listas y sitios web
de las empresas que han sido certificadas por Privacy+, que se encuentran en regla, y que
cuentan con el permiso de la Marca Privacy+.
2.9 Se calculará y pagará una cuota de licencia que es independiente de cualquier otra comisión
o pago establecido en esta Solicitud y Acuerdo de conformidad con la lista de cuotas de
Privacy+. Los derechos de licencia se pagarán dentro de los primeros 30 días de la recepción
de la factura. Cualquier incumplimiento de pago de la licencia dentro de los 60 días dará
lugar a la revocación inmediata y automática de la licencia concedida en este documento; su
restablecimiento se efectuará de conformidad con la Sección 1.4 en el presente documento.
2.10La empresa no podrá utilizar u ofrecer como prueba de Certificación Privacy+ ningún informe
emitido por el auditor, con excepción de los procedimientos existentes cuando dicha certificación se encontraba en vigor. La emisión, o período de vigencia, del informe deberá estar
supeditado al cumplimiento de todos los aspectos relacionados con las disposiciones de la
presente Solicitud y Manual de Certificación.
2.11Posteriormente a la terminación de este Contrato de licencia por cualquier motivo, la empresa certificada no deberá utilizar la Marca Privacy+ de PRISM International hasta que esta
última lo apruebe por escrito.
2.12La empresa certificada, sus directores, funcionarios, propietarios, socios, empleados y agentes deberán en todo momento realizar sus obligaciones profesionales cumpliendo con las
leyes federales, estatales y locales y no emprenderán ninguna acción u omisión que pueda
desacreditar a PRISM International o a la profesión de gestión de registros e información.
3.Inspección y pruebas continuas de certificación
3.1 La empresa certificada deberá proveer para su inspección los procedimientos actuales de la
empresa, ya sea en la sede de la empresa, otro punto de operación, o cualquier otro lugar,
según se coordine con el auditor. La empresa deberá mantener con el auditor una lista actual
de todos los lugares de operación.
3.2 La empresa deberá cooperar en todo momento con el auditor para facilitar las inspecciones.
3.3 La renovación o continuación de la Certificación Privacy+ se basará en el cumplimiento de la
empresa de las disposiciones de esta Solicitud y Manual de Certificación.
4.Actualizaciones de los requisitos de Privacy+
4.1 Una vez establecida la fecha de vigencia de los requisitos, ya sean nuevos o revisados,
aplicables a cualquier Certificación Privacy+, PRISM International publicará de inmediato un
Manual de Certificación revisado.
5. Procedimientos que indican de manera inapropiada una Certificación de
Privacy+.
5.1 Si PRISM International se da cuenta de que alguna empresa certificada utiliza alguna marca
que pretende indicar que una empresa tiene la Certificación Privacy+, cuando en realidad
dicha empresa no cumple con los requisitos, PRISM International deberá notificar el hecho a
la empresa certificada. La empresa certificada debe suspender inmediatamente el uso de la
marca de Certificación de Privacy+. Si la empresa certificada desea ejercer una apelación se
deberá aplicar lo establecido en la Sección 6.
5.2 Si la empresa certificada no suspende y desiste, la Junta Directiva de PRISM International
tendrá el derecho de iniciar acciones legales.
6. Procedimientos de la apelación
6.1 La compañía certificada tendrá derecho a apelar las acciones de PRISM International
siempre y cuando dichas acciones no se relacionen con la auditoría realizada por un tercero
independiente, y cualquier asunto que una empresa certificada tenga con un auditor deberá
tratarla directamente con el auditor. Después de 30 días de la apelación realizada por la
compañía certificada, PRISM International deberá llevar a cabo una audiencia no vinculante.
Si la audiencia no tiene éxito, la empresa certificada contará con 15 días naturales para
notificar a PRISM International por escrito sobre su intención de buscar arbitraje.
El arbitraje y la selección del árbitro deberán seguir las reglas de la American Arbitration
Association o de su sucesora. El arbitraje debe llevarse a cabo en Chicago, Illinois. Ambas
partes están de acuerdo en que están obligadas por la decisión del árbitro, la cual deberá
ser asentada por escrito y presentar una base objetiva para cualquier conclusión. Cualquier
decisión del arbitraje por parte del jurado, se podrá presentar a un tribunal con jurisdicción
apropiada para su aplicación.
Todos los gastos relacionados con el proceso de arbitraje serán pagados en su totalidad por la
empresa certificada. Si el fallo es a favor de la empresa certificada, PRISMA International le
reembolsará el 50% de los gastos relacionados con el proceso de arbitraje.
6.2 La audiencia se programará en una fecha que le permita a la empresa certificada prepararse,
por lo menos 30 días después de que la empresa certificada indique su intención de apelar.
La empresa certificada tendrá derecho a asistir a la audiencia de arbitraje, a ser escuchada,
y a estar representada por un abogado. La empresa certificada puede participar vía telefónica.
6.3 Ninguna de las disposiciones del presente contrato impedirá que PRISM International tome
medidas legales si es necesario para evitar el uso ilegal o transgresiones en el uso de la
Marca Privacy+, incluyendo el derecho a una orden judicial de restricción que impida a cualquier empresa certificada violar los derechos de PRISM International en la Marca Privacy+.
7. Cancelación y revocación de la solicitud de Certificación Privacy+
7.1 En el caso de violación de cualquiera de las disposiciones de esta Solicitud o de los términos
en este documento por la empresa certificada, y previa notificación por escrito especificando tal violación enviada por correo a la empresa certificada, PRISM International deberá,
además de cualquier otro recurso que tenga conforma a derecho o equidad : (a) cancelar
esta Solicitud y Acuerdo, y (b) revocar y suspender cualquiera o todas las certificaciones
emitidas al solicitante, incluyendo la Licencia otorgada en la Sección 2 en el presente documento. La terminación del presente Acuerdo también dará por terminado la Certificación
Privacy+ de la empresa certificada, sin embargo, siempre y cuando los artículos 1.7, 2.8, 2.9,
2.13, 6., 7., y 8 se conservaran y continuarán vigentes.
8. Limitaciones de responsabilidad
8.1 En consideración adicional con el auditor que lleva a cabo las revisiones, la compañía certificada por este medio libera a PRISM International, a sus oficiales, directores, miembros y
agentes de cualquiera y todas las reclamaciones o pérdidas, daños y perjuicios de cualquier
naturaleza, que provengan o estén relacionadas con tales auditorías o la negación de la
Certificación como resultado de la misma, o la revocación o cancelación de la misma en las
condiciones aquí expuestas.
8.2 Además de lo estipulado en 8.1, si la empresa certificada señala de manera ilícita (por medio
del mal uso de la marca que indica la certificación de Privacy+ o de cualquier otra forma) que
está certificada, la empresa deberá indemnizar y eximir de toda responsabilidad y gastos a
PRISM International, incluyendo los honorarios razonables del abogado adjudicados a PRISM
International por razones de tal acto ilícito llevado a cabo por la empresa o por razones de
daños o perjuicios que resulten directa o indirectamente de dicha Certificación de Privacy+.
8.3 Ni PRISM International ni la empresa certificada serán responsables en caso de retraso o
incumplimiento de los acuerdos que deban cumplir, si la demora o incumplimiento se debe
a bombardeos, invasiones, u otros actos de guerra por cualquiera de las fuerzas armadas
de los Estados Unidos o cualquier otra nación o territorio; por insurrecciones, disturbios,
huelgas, terremotos, incendios, inundaciones, o situaciones de fuerza mayor, o por la
imposibilidad real de obtener materiales o personal para llevar a cabo los servicios, u otras
condiciones más allá del control razonable del solicitante o la empresa certificada ya sea del
tipo o naturaleza especificados en este documento o de cualquier otra índole.
8.4 Esta Solicitud se convertirá en un contrato entre la empresa certificada y PRISM International a partir de que ésta señale su aceptación en el espacio de más abajo. Ambas han
acordado que este instrumento y sus anexos contienen todos y los únicos acuerdos entre
PRISM International y la empresa certificada, y que ningún agente o representante de
ninguna de las partes ha hecho ninguna declaración, representación o argumento, verbal o
escrito, modificando, contradiciendo, o añadiendo algo a estos términos y condiciones.
9.Revisiones y vigencia
9.1 PRISM International se reserva el derecho de modificar el Manual de Certificación, la Solicitud y el Acuerdo y a emitir un nuevo Acuerdo que se convertirá en Contrato entre la empresa
certificada y PRISM International al ser aceptado por escrito por ambas partes.
Enviar esta página a la oficina de PRISM International
PRISM International | 8735 W. Higgins Road | Suite 300 | Chicago, IL 60631 | United States | Tel: 847.375.6344 | Fax: 847.375.6343 | E-mail: [email protected]
16
9.2 A menos que se rescinda antes del plazo, conforme lo estipulado en la Sección 7, o debido
a que la empresa certificada decida no recertificar, esta aplicación será válida por 2 años a
partir de la fecha de aceptación por parte de PRISM International.
10.4Para los efectos de este Acuerdo, un documento (o las firmas en la página correspondiente)
firmado y transmitido por fax o facsímil deberá ser considerado como documento original.
Para los efectos de este Acuerdo, la firma de cualquiera de las partes en este documento se
considerará como firma original y el documento transmitido tendrá el mismo efecto vinculante que la firma original de un documento original. A petición de cualquiera de las partes,
cualquier documento en facsímil o fax volverá a ser elaborado en forma original por las partes que ejecutaron el documento en facsímile o fax. Ninguna de las partes podrá argumentar
el uso de una máquina de facsímil o fax, o el hecho de que la firma haya sido transmitida
a través de una máquina de facsímil o fax, como justificación para el cumplimiento de este
Acuerdo o de cualquier modificación o de cualquier otro documento ejecutado conforme a lo
dispuesto en la presente sección.
10.5El presente Acuerdo podrá ser ejecutado por las partes en cualquier número de ejemplares
separados, y todos los ejemplares así ejecutados constituirán un acuerdo vinculante para
todas las partes a pesar de que no todas las partes sean signatarias del mismo ejemplar.
10.6Todos los derechos no concedidos o autorizados específicamente en este documento a una
empresa certificada, quedan reservados para PRISM International.
10.7Este Acuerdo contiene el acuerdo completo entre las partes y no podrá ser modificado o
enmendado, excepto por medio de un acuerdo por escrito firmado por ambas partes.
10. Disposiciones varias
10.1Si cualquier cláusula o disposición de este Acuerdo es inválida, ilegal o inaplicable o no
puede ser aplicada por razón de cualquier norma jurídica, orden administrativa, resolución
judicial o política pública, el resto de las condiciones y disposiciones del presente Acuerdo
seguirán estando en pleno vigor. Las partes realizarán los cambios a este Acuerdo que sean
necesarios para reparar la invalidez, en consonancia con los objetivos originales de las
partes.
10.2Ninguna disposición del presente Acuerdo, o de las relaciones entre las partes en el mismo,
se interpretará en el sentido de constituir una asociación o empresa conjunta entre dos
o más de las partes de este Acuerdo. La empresa certificada no tendrá ningún derecho o
autoridad para vincular u obligar a PRISM International en forma alguna, y no incurrirá,
ni expresa ni tácitamente, en ninguna responsabilidad u obligación en nombre de PRISM
International.
10.3Cualquier notificación o requerimiento solicitado o permitido por el presente Acuerdo se
hará por escrito y se considerará entregado al ser recibido por las partes en la dirección
indicada más arriba.
Para el año que comienza (Fecha)
Empresa solicitante
Por (Firma del propietario o director)
Nombre del propietario o director (Letra de imprenta)
Por medio de la presente PRISM International acepta la solicitud anterior y acepta los términos de este acuerdo.
PRISM International
Fecha
Firma
Director ejecutivo
Enviar esta página a la oficina de PRISM International
PRISM International | 8735 W. Higgins Road | Suite 300 | Chicago, IL 60631 | United States | Tel: 847.375.6344 | Fax: 847.375.6343 | E-mail: [email protected]
17
Descargar