Download Política Operativa de Seguridad Informática (Data Security

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
Document related concepts

PCI-X wikipedia , lookup

Transcript 
Política Operativa de Seguridad Informática (Data Security Operating
Policy) de American Express® para Establecimientos
Como uno de los líderes en protección al consumidor, American Express tiene un compromiso de larga
duración destinado a proteger la Información de Afiliados, asegurando así su seguridad total
La vulnerabilidad de los datos de clientes produce un impacto negativo en los consumidores, en los
Establecimientos y en los emisores de tarjetas. Un solo incidente puede perjudicar seriamente la
reputación de una empresa y afectar su habilidad de conducir sus negocios con eficacia. La
implementación de políticas operativas de seguridad como respuesta a esta amenaza puede ayudar a
mejorar la confianza de los clientes, aumentar la rentabilidad y optimizar la reputación de una empresa.
American Express sabe que nuestros establecimientos (“usted”) comparten nuestra preocupación y les
pide, como parte de sus responsabilidades, que cumplan con las disposiciones de seguridad de la
información que figuran en su contrato de aceptación de la Tarjeta American Express® (“Contrato”) y de
esta Política Operativa de Seguridad Informática que podremos modificar periódicamente. Estos
requisitos se aplican a todos sus equipos, sistemas y redes en las que se procesa, se almacena o se
transmite la Data de Tarjetahabientes o los Datos Confidenciales de Autenticación (o ambos).
Los términos en mayúsculas aquí usados pero no definidos tienen los significados a ellos asignados en
el glosario incluido al final de esta política.
Sección 1 – Estándares para Protección de la Data de Tarjetahabientes y de los
Datos Confidenciales de Autenticación
Usted debe asegurar que, tanto usted como sus Partes Cubiertas: (i) almacenen la Data de
Tarjetahabientes solamente para facilitar las transacciones de Tarjeta American Express de acuerdo con,
y como lo requiera, el Contrato y (ii) cumplan con la actual versión del Estándar de Seguridad Informática
de la Industria de Tarjetas de Pago (Payment Card Industry Data Security Standard - “PCI DSS”) a partir
de la fecha de implementación de dicha versión.
Usted debe proteger todos los registros de cargos y registros de crédito de American Express retenidos
conforme al Contrato y de acuerdo a estas disposiciones de seguridad informática; usted debe utilizar
estos registros solo para propósitos del Contrato y salvaguardar los mismos de acuerdo al Contrato.
Usted es financieramente y de otra manera responsable ante American Express por asegurar la
conformidad de sus Partes Cubiertas con estas disposiciones de seguridad informática (excepto para
demostrar la conformidad de sus Partes Cubiertas con la política bajo la Sección 4 abajo).
Sección 2 – Obligaciones de la Administración de Incidentes Informáticos
Usted debe notificar a American Express inmediatamente y en ningún caso más de veinticuatro (24)
horas con posterioridad a haber descubierto un Incidente Informático.
Para notificar a American Express, por favor entre en contacto con el Programa de Respuesta a
Incidentes Empresariales (American Express Enterprise Incident Response Program) (EIRP) llamando al
+1 (602) 537-3021 (+ indica el prefijo de Discado Directo Internacional “IDD”; se aplican cargos
internacionales), o por correo electrónico a EIRP@aexp.com. Usted debe designar una persona como
su contacto con relación a dicho Incidente Informático.
Usted debe conducir una meticulosa investigación forense de cada Incidente Informático. En caso de
Incidentes Informáticos que involucren 10,000 o más números de cuenta exclusivos de Tarjetas
American Express (o cuando solicitado por American Express), un Investigador Forense de la Industria
de Tarjetas de Pago (“PFI”) debe conducir esta investigación. Usted debe proveer inmediatamente a
American Express todos los Números de Tarjetas Comprometidos y el informe de la investigación
forense del Incidente Informático. Usted debe trabajar con American Express para rectificar cualquier
28 Oct 2011
Página 1
problema que surja del Incidente Informático, incluyendo la consulta con American Express sobre sus
comunicaciones con aquellos Afiliados afectados por el Incidente Informático, como también proveer (y
obtener cualquier exención o dispensa necesaria para proveerla) a American Express toda información
relevante para verificar su capacidad de prevenir futuros Incidentes Informáticos de una manera
consistente con el Contrato. Los informes de investigación forense deben incluir exámenes forenses e
informes sobre conformidad, así como toda y cualquier información relacionada con el Incidente
Informático; identificar la causa del Incidente Informático y confirmar si usted estaba o no en conformidad
con el PCI DSS en el momento de ocurrir el Incidente Informático; y verificar su capacidad de prevenir
futuros Incidentes Informáticos proporcionando un plan de remediación de todas las deficiencias del PCI
DSS. Cuando American Express lo solicite, usted proveerá validación de que las deficiencias han sido
remediadas firmada por un Asesor de Seguridad Calificado (“QSA”).
No obstante cualquier obligación de confidencialidad en contrario en el Contrato, American Express tiene
el derecho de divulgar información acerca del Incidente Informático a los Afiliados de American Express,
emisores, otros participantes de la red de American Express, y al público en general como lo requieran
las leyes aplicables; por orden judicial, administrativa o regulatoria, decreto, citación, solicitación, u otro
proceso para mitigar el riesgo de fraude, de otro daño o de otra manera como sea adecuado para operar
la red de American Express.
Sección 3 – Obligaciones de Indemnización en caso de Incidentes Informáticos
Sus obligaciones de indemnizar a American Express bajo el Contrato en caso de Incidentes Informáticos
serán determinadas bajo esta Sección 3, sin renuncia a ninguno de los demás derechos y recursos de
American Express.
American Express no reclamará indemnización de usted por un Incidente Informático (a) que involucre
menos de 10,000 Números de Tarjetas Comprometidos exclusivos, o (b) si usted: (i) notificó a American
Express sobre el Incidente Informático conforme a la Sección 2 de esta política, (ii) estaba en
conformidad en el momento de ocurrir el Incidente Informático con el PCI DSS o, si usted es un
Establecimiento de Nivel EMV, estaba en conformidad en el momento de ocurrir el Incidente Informático
con por lo menos los requisitos del PCI DSS identificados en las metas 1-4 del Enfoque Priorizado del
PCI DSS (como lo determina la investigación del Incidente Informático por parte del PFI), y (iii) el
Incidente Informático no fue causado por la conducta culposa suya o de sus partes Cubiertas.
Usted es responsable por todos los demás Incidentes Informáticos a seguir: Por un Incidente Informático
que involucre únicamente números de cuenta de Tarjetas American Express, usted compensará a
American Express inmediatamente pagando un cargo por no conformidad con el Incidente Informático
que no exceda US $100,000 por Incidente Informático. Por un Incidente Informático que involucre
números de cuenta de Tarjetas American Express con Datos Confidenciales de Autenticación, usted
compensará a American Express inmediatamente por:



Fraude Incremental (definido abajo) dentro de la Ventana de Eventos del Incidente Informático, y
Costos de monitoreo y reemplazo de Tarjetas de (i) US $1.00 por cada número de Tarjeta por el
90% de la cantidad total de Números de Tarjetas Comprometidos y (ii) US $5.00 por cada
número de Tarjeta por el 10% de la cantidad total de Números de Tarjetas Comprometidos,
respectivamente, y
Un Cargo por no conformidad con el Incidente Informático que no exceda US $100,000 por
Incidente Informático.
American Express calculará “Fraude Incremental” de acuerdo con la siguiente metodología:
Fraude Incremental = (X – Y) multiplicado por Z, donde:
X = (i) Las pérdidas totales por fraude de los emisores de Tarjetas excluyendo contracargos fraudulentos
y pérdidas por solicitudes de Tarjetas American Express fraudulentas relacionados con Números de
28 Oct 2011
Página 2
Tarjetas Comprometidos durante la Ventana de Eventos del Incidente Informático, dividido por (ii) el
volumen total de cargos de los emisores de Tarjetas efectuados con los Números de Tarjetas
Comprometidos durante la Ventana de Eventos del Incidente Informático.
Y = (i) Las pérdidas totales por fraude de los emisores de Tarjetas excluyendo contracargos fraudulentos
y pérdidas por solicitudes de Tarjetas American Express fraudulentas relacionados con Números de
Tarjetas no Comprometidos durante la Ventana de Eventos del Incidente Informático, dividido por (ii) el
volumen total de cargos de los emisores de Tarjetas efectuados con los Números de Tarjetas no
Comprometidos durante la Ventana de Eventos del Incidente Informático.
Z = El volumen total de cargos de los emisores de Tarjetas efectuados con los Números de Tarjetas
Comprometidos durante la Ventana de Eventos del Incidente Informático.
American Express excluirá de sus cálculos de costos de Fraude Incremental y monitoreo y reemplazo de
Tarjetas cualquier número de cuenta de Tarjeta American Express que haya estado involucrada en otro
Incidente Informático que involucre números de cuenta de Tarjetas American Express con Datos
Confidenciales de Autenticación, siempre y cuando American Express haya recibido notificación sobre el
otro Incidente Informático dentro de los doce (12) meses con anterioridad a la Fecha de Notificación.
Todos los cálculos efectuados por American Express utilizando esta metodología son definitivos.
Sección 4 – ¡IMPORTANTE! Validación Periódica de sus Sistemas
Usted debe seguir los siguientes pasos para validar, bajo el PCI DSS anual o trimestralmente como se
describe abajo, el estatus de sus equipos, sistemas y/o redes (y sus componentes) en los cuales la Data
de Tarjetahabientes o los Datos Confidenciales de Autenticación (o ambos) son almacenados,
procesados o transmitidos.
Paso 1 – Inscríbase en el Programa de Conformidad de American Express bajo esta Política
Los establecimientos de Nivel EMV, Nivel 1 y Nivel 2, como se describen abajo, deben inscribirse en el
programa de conformidad de American Express bajo esta política proporcionando su nombre completo,
dirección de correo electrónico, número de teléfono, y dirección física de un individuo que representará
su contacto general de seguridad informática. Usted debe presentar esta información a Trustwave, que
administra el programa en nombre de American Express, por uno de los métodos listados en el Paso 3
abajo. Usted debe notificar a Trustwave si esta información cambia, y proporcionar información
actualizada donde corresponda.
28 Oct 2011
Página 3
Paso 2 – Determine su Nivel de Establecimiento y Requisitos de Conformidad
Existen cuatro (4) Niveles de Establecimiento para establecimientos. La mayoría de los Niveles de
Establecimiento están basados en el volumen de transacciones de Tarjetas de American Express
presentado por sus Establecimientos y acumulado al más alto nivel de cuenta de establecimiento de
American Express. Usted se clasificará en uno de los cuatro niveles especificados en la tabla a seguir:
Nivel de
Establecimiento
EMV
Documentación de
Validación
Definición
50,000 o más transacciones de
Tarjetas American Express por
año, de las cuales el 75% sean
Transacciones EMV
Requisito
Evaluación Anual de las
Metas de Conformidad
1- 4 del Enfoque
Priorizado del PCI DSS
Obligatorio
1
2.5 millones de transacciones de
Tarjetas American Express o
más por año; o cualquier
Establecimiento que American
Express, por cualquier otra
razón, considere que sea un
establecimiento de Nivel 1.
Informe Anual de
Evaluación de
Seguridad In Situ, y
Escaneado Trimestral
de Red.
Obligatorio
2
De 50,000 a 2.5 millones de
transacciones de Tarjetas
American Express por año.
Cuestionario Anual de
Auto Evaluación y
Escaneado Trimestral
de Red.
Obligatorio
3
Menos de 50,000 transacciones
de Tarjetas American Express
por año.
Cuestionario Anual de
Auto Evaluación y
Escaneado Trimestral
de Red.
Altamente
Recomendado*
*Los Establecimientos de Nivel 3 no necesitan presentar Documentación de Validación. No obstante,
deben actuar de conformidad con, y están sujetos a responsabilidad bajo todas las demás disposiciones
de esta Política Operativa de Seguridad Informática.
Determine su Nivel de Establecimiento y la Documentación de Validación que debe enviar a American
Express.
Documentación de Validación de la Evaluación Anual de Conformidad con las Metas 1-4 del
Enfoque Priorizado del PCI DSS
La Evaluación Anual de Conformidad con las Metas 1-4 del Enfoque Priorizado del PCI DSS es un
examen de sus equipos, sistemas y redes (y sus componentes) donde se procesa, se almacena y se
transmite la Data de Tarjetahabientes o los Datos Confidenciales de Autenticación (o ambos). Debe ser
realizada por usted y certificada por su director general, director financiero, director de seguridad de la
información o ejecutivo principal y presentada anualmente a American Express en el Resumen y
Atestado de Conformidad del Enfoque Priorizado del PCI DSS (“PASAOC”). Para cumplir con las
obligaciones de validación bajo esta política, el PASAOC debe certificar la conformidad con las metas 14 del Enfoque Priorizado del PCI DSS y, cuando solicitado, incluir detalles completos de dicha
conformidad.
Documentación de Validación de la Evaluación Anual de Seguridad In Situ
28 Oct 2011
Página 4
La Evaluación Anual de Seguridad In Situ es un examen detallado in situ de sus equipos, sistemas y
redes (y sus componentes) donde se procesa, se almacena y se transmite la Data de Tarjetahabientes o
los Datos Confidenciales de Autenticación (o ambos). Debe ser realizada por (i) un QSA o (ii) usted y
certificada por su director general, director financiero, director de seguridad de la información o ejecutivo
principal y presentada anualmente a American Express en el correspondiente Atestado de Conformidad
(“AOC”). Para cumplir con las obligaciones de validación bajo esta política, el AOC debe certificar la
conformidad con todos los requisitos del PCI DSS y, cuando solicitado, incluir copias del informe
completo sobre conformidad.
Documentación de Validación del Cuestionario Anual de Auto Evaluación
La Auto Evaluación Anual es un proceso que utiliza el Cuestionario de Auto Evaluación del PCI DSS
(“SAQ”) y permite el auto examen de sus equipos, sistemas y redes (y sus componentes) donde se
procesa, se almacena y se transmite la Data de Tarjetahabientes o los Datos Confidenciales de
Autenticación (o ambos). Debe ser realizada por usted y certificada por su director general, director
financiero, director de seguridad de la información o ejecutivo principal. La sección AOC del SAQ debe ser
presentada anualmente a American Express. Para cumplir con las obligaciones de validación bajo esta
política, la sección del AOC del SAQ debe certificar su conformidad con todos los requisitos del PCI DSS y,
cuando solicitado, incluir copias completas del SAQ.
Documentación de Validación de Escaneado Trimestral de Red
El Escaneado Trimestral de Red es un proceso de verificación remota de sus redes de computación y de
sus servidores Web para detectar posibles debilidades y vulnerabilidades. Debe ser realizado por un
Proveedor de Seguridad de Terceros (“ASV”). Usted debe completar y presentar trimestralmente a
American Express el Informe de Escaneado del ASV con el Atestado de Conformidad con el Escaneado
(“AOSC”) o el resumen ejecutivo del resultado del escaneado (y copias del escaneado completo, cuando
solicitadas). Para cumplir con las obligaciones de validación bajo esta política, el AOSC o el resumen
ejecutivo debe certificar que no se identificaron situaciones de alto riesgo y que el escaneado se considera
en conformidad.
La No Conformidad con el PCI DSS
Si usted no está en conformidad con el PCI DSS, debe completar un AOC incluyendo la “Parte 4. Plan de
Acción para Estatus de No Conformidad” o, si usted es un Establecimiento de Nivel EMV, debe completar
el PASAOC, y designar una fecha de remediación, que no exceda doce (12) meses con posterioridad a la
fecha del AOC o del PASAOC, como corresponda, para obtener conformidad. Usted debe presentar a
American Express este AOC con el “Plan de Acción para Estatus de No Conformidad” o el PASAOC, si
usted es un Establecimiento de Nivel EMV, por uno de los métodos listados en el Paso 3 abajo. Usted
proveerá a American Express actualizaciones periódicas de su progreso en el proceso de remediación bajo
el “Plan de Acción para Estatus de No Conformidad” o el PASAOC, como corresponda. American Express
no impondrá cargos por no validación (abajo descritos) a usted por no conformidad antes de la fecha de
remediación, pero usted permanece responsable ante America Express por todas las obligaciones de
indemnización por un Incidente Informático y está sujeto a todas las demás disposiciones de esta política.
Paso 3 – Envíe la Documentación de Validación a American Express
Los Establecimientos de Nivel EMV, Nivel 1 y Nivel 2 deben enviar a American Express la documentación
de validación marcada “obligatoria” en la Tabla del Paso 1:

La Documentación de Validación de un Establecimiento de Nivel EMV debe incluir la Evaluación
Anual de Conformidad con las Metas 1-4 del Enfoque Priorizado del PCI DSS, como descrito
arriba.

La Documentación de Validación de un Establecimiento de Nivel 1 debe incluir el AOC del Informe
Anual de Seguridad In Situ y resúmenes ejecutivos del resultado de los Escaneados Trimestrales
de Red, como descrito arriba.

La Documentación de Validación de un Establecimiento de Nivel 2 debe incluir el AOC del SAC y
los resúmenes ejecutivos del resultado de los Escaneados Trimestrales de Red, como descrito
arriba.
28 Oct 2011
Página 5

Los Establecimientos de Nivel 3 no necesitan presentar Documentación de Validación (pero deben
cumplir con, y están sujetos a responsabilidad bajo, todas las demás disposiciones de esta
política).
Usted debe presentar su Documentación de Validación a Trustwave por uno de los siguientes métodos:
PORTAL SEGURO: La Documentación de Validación puede ser subida por medio del portal seguro de
Trustwave https://login.trustwave.com. Por favor, entre en contacto con Trustwave llamando al 00-800-90001140 (Internacional sin cargo) o por correo electrónico a AmericanExpressCompliance@trustwave.com
para instrucciones acerca de cómo usar este portal.
FACSIMILE SEGURO: La Documentación de Validación puede ser enviada por fax a: +1 (312) 276-4019
(se aplican cargos internacionales). Por favor incluya su nombre, nombre con el cual opera (Doing
Business As – DBA), el número de diez (10) dígitos de establecimiento de American Express, el nombre de
su contacto de seguridad informática, su dirección y número de teléfono.
Para cualquier pregunta o información general acerca del programa o del proceso arriba indicado, por favor
entre en contacto con Trustwave llamando al 00-800-900-01140 (Internacional sin cargo) o por correo
electrónico a AmericanExpressCompliance@trustwave.com.
Los procesos de conformidad y validación se realizan con costo exclusivamente a su cargo. Al enviar su
Documentación de Validación, usted declara y garantiza a American Express que está autorizado a divulgar
la información contenida en dichos documentos y que proporciona dicha Documentación de Validación a
American Express sin violar los derechos de ninguna otra parte.
Cargos por No Validación y Terminación del Contrato
American Express se reserva el derecho de imponer cargos por no validación y terminar este Contrato si
usted no cumple con estos requisitos o no proporciona a American Express la Documentación de
Validación dentro del plazo correspondiente. American Express le notificará por separado el plazo
correspondiente para cada periodo trimestral o anual de presentación de documentación.
Nivel 1 (US$)
Definición
Nivel 2 y Nivel EMV
(US$)
Será impuesta una tarifa por no validación si la
Documentación de Validación no se recibe antes
del primer plazo.
Veinticinco mil dólares
de EE.UU. (US
$25,000)
Cinco mil dólares de
EE.UU. (US $5,000)
Será impuesta una tarifa adicional por no
validación si la Documentación de Validación no
se recibe dentro de los treinta (30) días después
de transcurrido el primer plazo.
Treinta y cinco mil
dólares de EE.UU. (US
$35,000)
Diez mil dólares de
EE.UU. (US
$10,000)
Será impuesta una tarifa adicional por no
validación si la Documentación de Validación no
se recibe dentro de los sesenta (60) días
después de transcurrido el primer plazo.
Cuarenta y cinco mil
dólares de EE.UU. (US
$45,000)
Quince mil dólares
de EE.UU. (US
$15,000)
Si American Express no recibe su Documentación de Validación obligatoria dentro de los sesenta (60)
días después de transcurrido el primer plazo, en ese caso, American Express tiene el derecho de
terminar el Contrato de acuerdo con sus términos e imponerle a usted los cargos cumulativos por no
validación antedichos.
28 Oct 2011
Página 6
American Express tomará todas las medidas comercialmente razonables para mantener (y hacer que sus
agentes y subcontratados, incluyendo Trustwave mantengan) sus informes en conformidad, su
Documentación de Validación de manera confidencial y asegurar la no divulgación de la Documentación
de Validación a terceros (fuera de los agentes, representantes, proveedores de servicios, subcontratados
y afiliadas de American Express) por un periodo de tres (3) años a partir de la fecha de recepción, con la
salvedad de que esta obligación de confidencialidad no se aplica a la Documentación de Validación que:
(i) ya sea conocida por American Express con anterioridad a la divulgación; (ii) esté o se vuelva
disponible al público sin incurrir en incumplimiento de este párrafo por parte de American Express; (iii)
es recibida legítimamente por American Express de un tercero sin obligación de confidencialidad; (iv) es
desarrollada de manera independiente por American Express; o (v) se requiere su divulgación por una
orden judicial, agencia administrativa o autoridad gubernamental, o por cualquier ley, regla o reglamento,
o por citación, solicitud de presentación de pruebas, emplazamiento, u otro proceso legal o
administrativo, o por cualquier averiguación o investigación formal o informal de cualquier agencia o
autoridad gubernamental (incluyendo cualquier regulador, inspector, examinador, o agencia policial).
Sección 5 – Exención de Responsabilidad
AMERICAN EXPRESS POR LA PRESENTE RENUNCIA A TODA Y CUALQUIER DECLARACIÓN,
GARANTÍA Y RESPONSABILIDAD CON RESPECTO A ESTA POLÍTICA OPERATIVA DE SEGURIDAD
INFORMÁTICA, AL ESTANDAR DE LA INDUSTRIA DE TARJETAS DE PAGO (PCI DSS), A LAS
ESPECIFICACIONES DE EMV, Y A LA DESIGNACIÓN Y DESEMPEÑO DE LOS QSA, ASV, O PFI (O
CUALQUIERA DE ELLOS) YA SEA DE FORMA EXPRESA, IMPLÍCITA, ESTATUTARIA O DE
CUALQUIER OTRA FORMA O MANERA, INCLUYENDO LA COMERCIABILIDAD E IDONEIDAD PARA
UN PROPÓSITO EN PARTICULAR. Los emisores de Tarjetas American Express no son terceros
beneficiarios bajo esta política.
Sitios Web Útiles
Seguridad Informática de American Express (American Express Data Security):
www.americanexpress.com/datasecurity
Consejo de Estándares de Seguridad de la PCI, LLC (PCI Security Standards Council, LLC):
www.pcisecuritystandards.org
28 Oct 2011
Página 7
Glosario
Se aplican las siguientes definiciones exclusivamente para propósitos de esta política:
Asesor de Seguridad Calificado, o QSA, significa una entidad que ha sido aprobada por el Consejo de
Estándares de Seguridad de la Industria de Tarjetas de Pago, LLC (PCI Security Standards Council,
LLC) para validar la observancia del PCI DSS.
Atestado de Conformidad, o AOC, significa una declaración del estatus de su conformidad con el PCI
DSS, en el formulario proporcionado por el Consejo de Estándares de la Industria de Tarjetas de Pago,
LLC (PCI Security Standards Council, LLC).
Atestado de Conformidad de Escaneado, o AOSC, significa una declaración del estatus de su
conformidad con el PCI DSS basada en un escaneado de red, en el formulario proporcionado por el
Consejo de Estándares de la Industria de Tarjetas de Pago, LLC (PCI Security Standards Council, LLC).
Cuestionario de Auto Evaluación, o SAQ, significa una herramienta de auto evaluación creada por
Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago, LLC (PCI Security Standards
Council, LLC), con el objetivo de evaluar y atestar la conformidad con el PCI DSS.
Data de Tarjetahabientes tiene el significado que le otorga el actual Glosario de Términos del PCI DSS.
Datos Confidenciales de Autenticación tiene el significado que le otorga el actual Glosario de
Términos del PCI DSS.
Documentación de Validación significa el Atestado de Conformidad (AOC) provisto en relación con una
Evaluación Anual de Seguridad en Línea o SAQ, el Resumen y Atestado de Conformidad del Enfoque
Priorizado del PCI DSS o PASAOC, provisto en relación con una Evaluación Anual de Conformidad con
las Metas 1-4 del Enfoque Priorizado del PCI DSS, el Atestado de Conformidad con el Escaneado o
AOSC y los resúmenes ejecutivos del resultado provisto en relación con los Escaneados Trimestrales de
Red.
Enfoque Priorizado del PCI DSS significa el Enfoque Priorizado del PCI DSS (PCI DSS Prioritized
Approach) disponible en https://www.pcisecuritystandards.org.
Especificaciones de EMV significa las especificaciones emitidas por EMVCo que definen un conjunto
de requisitos para asegurar la interoperabilidad entre tarjetas de microplaquetas (chip cards) y terminales
a nivel global. Las especificaciones están disponibles en http://www.emvco.com.
Establecimiento de Nivel EMV significa un establecimiento que efectúa 50,000 o más transacciones de
Tarjetas de American Express por año, de las cuales por lo menos 75% son Transacciones EMV.
Fecha de Notificación significa la fecha, designada por American Express, en la cual los emisores
reciben la notificación del Incidente Informático.
Incidente Informático significa un incidente que involucre por lo menos un número de cuenta de Tarjeta
de American Express en la cual haya (i) acceso no autorizado o uso de la Data de Tarjetahabiente o de
los Datos Confidenciales de Autenticación (o de ambos) que sean almacenados, procesados, o
transmitidos en sus equipos, sistemas, y/o redes (o los componentes de los mismos); (ii) uso de dicha
Data de Tarjetahabiente o de los Datos Confidenciales de Autenticación (o de ambos) de otra manera
que no sea de acuerdo con el Contrato; y/o (iii) pérdida, malversación o robo, presunto o confirmado de
cualquier manera y por cualquier medio, materiales, registros, o información que contenga dicha Data de
Tarjetahabiente o los Datos Confidenciales de Autenticación (o ambos).
Información de Afiliados significa la información acerca de los Afiliados de American Express y de las
transacciones de Tarjeta, incluyendo nombres, direcciones, números de cuentas de tarjeta y números de
identificación de tarjeta (“CID”).
Investigador Forense de la PCI, o PFI, significa una entidad que ha sido aprobada por el Consejo de
Estándares de Seguridad de la Industria de Tarjetas de Pago, LLC (PCI Security Standards Council,
LLC) para realizar investigaciones forenses acerca de un incumplimiento o comprometimiento de la
información de tarjetas de pago.
28 Oct 2011
Página 8
Número de Tarjeta Comprometido significa un número de cuenta de Tarjeta de American Express
relacionada con un Incidente Informático.
Partes Cubiertas significa cualquiera o todos sus empleados, agentes, representantes, subcontratados,
Procesadores, proveedores de servicios, proveedores de sus equipos de punto de venta (point-of-sale) o
sistemas o soluciones de procesamiento de pagos, y cualquier otra parte a quien usted pueda proveer
acceso a la Información de Afiliados de acuerdo con este Contrato.
PCI DSS significa Estándar de Seguridad Informática de la Industria de Tarjetas de Pago (Payment Card
Industry Data Security Standard), el cual está disponible en https://www.pcisecuritystandards.org.
Procesador significa un proveedor de servicios que facilita el procesamiento de autorizaciones y
presentaciones de documentación a la red de American Express en nombre de un establecimiento.
Proveedor de Escaneado Aprobado, o ASV, significa una entidad que ha sido calificada por el Consejo
de Estándares de la Industria de Tarjetas de Pago, LLC para validar la observancia de ciertos requisitos
del PCI DSS por medio de escaneados de vulnerabilidad en entornos conectados a la red de Internet.
Resumen y Atestado de Conformidad con el Enfoque Priorizado del PCI DSS, o PASAOC significa
una declaración del estatus de conformidad con el Enfoque Priorizado del PCI DSS, en el formulario
proporcionado por el Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago, LLC (PCI
Security Standards Council, LLC).
Tarjeta American Express, o Tarjeta, significa (i) cualquier tarjeta, dispositivo de acceso a la cuenta, o
dispositivo de pago o servicio que lleve el nombre, logotipo, marca registrada, marca de servicio, nombre
registrado, u otro diseño o designación de propiedad de American Express o de una afiliada, y emitidos
por un emisor o (ii) número de cuenta de tarjeta.
Transacción EMV significa una transacción de circuito de tarjeta integrado (a veces llamado “Tarjeta IC”,
“tarjeta de microplaqueta” (chip card), “tarjeta inteligente” (smart card), “tarjeta EMV” (EMV card), o
“ICC”) conducida en una tarjeta IC habilitada en el terminal de punto de venta (POS) con aprobación tipo
EMV válida y actual. Las aprobaciones tipo EMV están disponibles en http://www.emvco.com.
Ventana de Eventos del Incidente Informático significa el periodo que comienza trescientos sesenta y
cinco (365) días con anterioridad a la Fecha de Notificación y termina treinta y tres (33) días con
posterioridad a la Fecha de Notificación.
28 Oct 2011
Página 9
Related documents
emv: ayuda a fortalecer la seguridad de su pago
emv: ayuda a fortalecer la seguridad de su pago
Guía de Contracargo
Guía de Contracargo
PCI DSS del 1.2 al 2.0
PCI DSS del 1.2 al 2.0
Lea más - American Express
Lea más - American Express
Estándar EMV
Estándar EMV
Glosario de términos sobre pagos y seguridad de la información
Glosario de términos sobre pagos y seguridad de la información
AGENCIAS DE AUTOS
AGENCIAS DE AUTOS
T-ESPE-048298-D - El repositorio ESPE
T-ESPE-048298-D - El repositorio ESPE
Aplicabilidad de la norma de seguridad de datos de la industria de
Aplicabilidad de la norma de seguridad de datos de la industria de
Preguntas Frecuentes
Preguntas Frecuentes
manual operativo del afiliado
manual operativo del afiliado
Preguntas Frecuentes
Preguntas Frecuentes
Preguntas Frecuentes sobre cambios en el Contrato de Afiliación de
Preguntas Frecuentes sobre cambios en el Contrato de Afiliación de
PCI Card Production, aspectos a destacar
PCI Card Production, aspectos a destacar
SecureTX: Scala + Akka Scala vs C#
SecureTX: Scala + Akka Scala vs C#