American Express®

Anuncio
American Express®
Política de Seguridad de Datos (Data Security
Operating Policy) - España
Como líder en medidas de protección del consumidor, American Express mantiene un compromiso permanente para
proteger los datos de los titulares de sus tarjetas de crédito, para garantizar su total seguridad.
Cualquier pérdida o acceso indebido de datos puede afectar negativamente a consumidores, Comercios, Proveedores
de Servicios y entidades emisoras de tarjetas. Cualquier incidencia en este sentido puede dañar gravemente la
reputación de una empresa e impedir el normal desarrollo de su negocio. La implantación de políticas de seguridad de
datos puede aumentar tanto la confianza de los clientes como la rentabilidad y la reputación de la empresa.
En American Express sabemos que nuestros ComerciosComercios y Proveedores de Servicios (denominados en
adelante colectivamente usted o ustedes) comparten esta preocupación. Por ello les pedimos que, como parte de sus
responsabilidades, cumplan estrictamente las normas de seguridad de datos descritas en su contrato (en adelante, el
Contrato) a la hora de aceptar (en el caso de Comercios) o de procesar (en el caso de Proveedores de Servicios) la
tarjeta American Express®, así como la presente Política de Seguridad de Datos, que está sujeta a modificaciones
periódicas. Estos requisitos son aplicables a todos los equipos, sistemas y redes en los que se almacenan, procesan o
transmiten claves de cifrado, Datos de Titulares de Tarjetas o Datos Confidenciales de Autenticación (o ambos).
Los términos en mayúsculas utilizados, pero no definidos, en este documento tienen el significado explicado en el glosario incluido
al final de esta política.
SECCIÓN 1 – NORMAS PARA LA PROTECCIÓN DE
CLAVES DE CIFRADO, DATOS DE TITULARES DE
TARJETAS Y DATOS CONFIDENCIALES DE
AUTENTICACIÓN
en todos los demás aspectos, de garantizar el
cumplimiento de estas normas de seguridad de datos
por parte de Sus Terceros (salvo para demostrar dicho
cumplimiento de esta política por Sus Terceros, según
se indica más adelante en la Sección 4).
Usted debe asegurarse de que tanto usted como Sus
Terceros:
SECCIÓN 2 – OBLIGACIONES PARA GESTIONAR
INCIDENCIAS DE DATOS
 almacenen Datos de Titulares de Tarjetas
exclusivamente con el fin de facilitar operaciones con
tarjetas American Express cumpliendo estrictamente
los términos del Contrato y
 cumplan los requisitos de las versiones vigentes del
Estándar de Seguridad de Datos para la Industria de
Tarjetas de Pago (PCI DSS) y de los Requisitos de
Seguridad PCI Pin desde la misma fecha de entrada
en vigor de dichas versiones.
 a la hora de implementar dispositivos o aplicaciones
de pago (o ambos), tanto nuevos como de
sustitución, utilicen sólo los homologados por PCI.
Usted deberá notificar a American Express cualquier
Incidencia de Datos inmediatamente, y en ningún caso
después de transcurridas veinticuatro (24) horas desde
su detección.
Usted debe proteger, siguiendo estas normas de
seguridad de datos, todos los registros de cargos y
abonos de American Express conservados en
cumplimiento del Contrato; utilizará dichos registros
sólo para los fines estipulados en el Contrato, y los
salvaguardará en consecuencia. Usted será responsable
ante American Express, tanto económicamente como
Página 1
AMERICANEXPRESS.COM/DATASECURITY
Para avisar a American Express, llame al departamento
American Express Enterprise Incident Response
Program (EIRP) en el número +1 (602) 537-3021
(sustituya el signo “+” por el prefijo de marcación
internacional directa “IDD”. Son aplicables las tarifas de
llamadas internacionales), o envíe un correo electrónico
a EIRP@aexp.com. Usted deberá designar una persona
como contacto para todo lo relacionado con la
Incidencia de Datos.
 Usted deberá realizar una investigación exhaustiva de
cada Incidencia de Datos. Cuando la Incidencia de
Datos afecte a 10.000 o más números de cuenta
únicos de tarjetas American Express (o siempre que
American Express lo solicite), esta investigación
DSOP ESP Oct 2014
deberá encomendarse a un investigador forense de
PCI (“PCI Forensic Investigator” o PFI).
 Usted deberá facilitar prontamente a American
Express
todos
los
Números
de
Tarjeta
Comprometidos junto con el informe de la
investigación forense correspondiente a la Incidencia
de Datos.
 Usted cooperará activamente con American Express
en la rectificación de cualesquiera problemas y dudas
que puedan derivarse de la Incidencia de Datos, así
como en elaborar con American Express los
comunicados a los Titulares de Tarjetas American
Express afectados por la misma, y facilitará a
American Express toda la información pertinente
(previa obtención de las autorizaciones necesarias)
para que podamos verificar su capacidad de prevenir
futuras Incidencias de Datos según los términos
establecidos en el Contrato.
American Express no le exigirá ninguna indemnización
por una Incidencia de Datos (a) que afecte a menos de
10.000 Números de Tarjeta Comprometidos únicos o
(b) si:
Los informes forenses de estas investigaciones deben
contener análisis forenses, informes sobre el
cumplimiento de normas y cualquier otra información
relacionada con la Incidencia de Datos, identificar la
causa de la Incidencia de Datos, determinar si en el
momento de producirse la Incidencia de Datos usted
cumplía el estándar PCI DSS y verificar su capacidad de
prevenir futuras Incidencias de Datos mediante la
presentación de un plan de subsanación de todas las
deficiencias relacionadas con el estándar PCI DSS. A
petición de American Express, usted deberá demostrar
que las deficiencias han sido subsanadas, para lo cual
deberá aportar la correspondiente certificación de un
Asesor de Seguridad Certificado (QSA).
Usted deberá realizar las validaciones anuales y
trimestrales siguientes para verificar su cumplimiento
del estándar PCI DSS. Deberá verificarse el estado de
los equipos, sistemas y/o redes (y de sus
componentes) en los que almacenen, procesen o
transmitan Datos de Titulares de Tarjetas o Datos
Confidenciales de Autenticación.
Sin perjuicio de cualesquiera otras obligaciones de
confidencialidad establecidas en el Contrato, American
Express tendrá derecho a revelar información sobre
cualquier Incidencia de Datos a Titulares de Tarjetas
American Express, a entidades emisoras, a otros
participantes de la red de American Express y al público
en general según establezca la legislación aplicable, una
orden judicial, administrativa o reglamentaria, un
decreto, una citación, solicitud u otro proceso legal, con
el fin de reducir el riesgo de fraude u otros daños o para
garantizar la continuidad de funcionamiento de la red de
American Express.
Paso 3 – Averiguar qué Documentación de Validación
deberá enviar a American Express
SECCIÓN 3 – INDEMNIZACIÓN EN CASOS DE
INCIDENCIAS DE DATOS
En esta sección se definen sus obligaciones de
indemnización a American Express en el marco del
Contrato en caso de producirse alguna Incidencia de
Datos, sin perjuicio de los demás derechos y recursos
de American Express.
Página 2
AMERICANEXPRESS.COM/DATASECURITY
 usted notificó a American Express la Incidencia de
Datos cumpliendo la Sección 2 de esta política,
 en el momento de producirse la Incidencia de Datos,
usted cumplía el estándar PCI DSS (según determine
PFI en su informe sobre la Incidencia de Datos) y
 la Incidencia de Datos no fue causada por conducta
ilícita suya o de alguno de Sus Terceros.
El cálculo de las indemnizaciones se realizará de
acuerdo
a
lo
previsto
en
el
Apéndice A al final de este documento.
SECCIÓN 4 – ¡IMPORTANTE! VALIDACIÓN
PERIÓDICA DE SUS SISTEMAS
Para realizar la validación deberá dar estos cuatro
pasos:
Paso 1 – Inscribirse en el Programa de Cumplimiento de
American Express descrito en este documento
Paso 2 – Averiguar su nivel y sus requisitos de
validación
Paso 4 – Enviar la Documentación de Validación a
American Express
Paso 1 – Inscribirse en el Programa de
Cumplimiento de American Express descrito en
este documento
Los Comercios de Nivel 1, los Comercios de Nivel 2, los
Comercios de Nivel 3 que American Express haya
designado (según se indica más adelante), los
Comercios de Nivel EMV y todos los Proveedores de
Servicios deberán, según se describe más adelante,
inscribirse en el programa de cumplimiento de
American Express en los términos establecidos en este
documento, debiendo indicar el nombre completo, la
dirección de correo electrónico, el número de teléfono y
la dirección de correo postal de una persona que
actuará como su contacto general para cuestiones
relacionadas con la seguridad de datos. Usted debe
DSOP ESP Oct 2014
facilitar estos datos a Trustwave, que administra el
programa en nombre de American Express, utilizando
uno de los métodos enumerados en el Paso 4. Usted
deberá avisar a Trustwave cada vez que estos datos
cambien y proporcionar los datos actualizados que
correspondan.
American Express puede exigir mediante notificación
escrita a determinados Comercios de Nivel 3 que se
inscriban en el programa de cumplimiento de American
Express en cumplimiento de esta política. El
Comerciante designado de Nivel 3 deberá inscribirse en
un plazo máximo de 90 días contados desde la fecha de
recepción de dicha notificación.
Paso 2 – Averiguar su nivel y sus requisitos de
validación
Existen cinco niveles para Comercios y dos niveles para
Proveedores de Servicios. La mayoría de niveles se
definen por el volumen de las operaciones realizadas
con tarjetas American Express. En el caso de los
Comercios, se trata del volumen generado por sus
establecimientos, acumulable hasta alcanzar el nivel
máximo de cuenta de Comerciante de American
Express. Usted será asignado a uno de los niveles
especificados en las tablas de Comercios y Proveedores
de Servicios que se incluyen más adelante.
Comerciante de Nivel EMV – Que no haya estado
involucrado en ninguna Incidencia de Datos durante los
12 últimos meses y además:
 procese como mínimo 50.000 operaciones anuales
con tarjetas American Express
 haya realizado al menos el 75% de todas las
operaciones realizadas por el titular contra la
presentación física de la tarjeta
 las operaciones realizadas se generen mediante
dispositivos compatibles con chips EMV
Tabla de Comercios
Nivel
(defi-nido
anteriormente)
Comerciante de Nivel 1 – 2,5 millones o más de
operaciones anuales con tarjetas American Express, o
cualquier Comerciante al que American Express
considere de Nivel 1.
Comerciante de Nivel 2 – Entre 50.000 y 2,5 millones de
operaciones anuales con tarjetas American Express
Comerciante de Nivel 3 (designado) – Menos de 50.000
operaciones anuales con tarjetas American Express y
que haya sido designado por American Express como
obligado a presentar documentos de validación.
American Express notificará por escrito a los Comercios
designados al menos 90 días antes de la fecha tope de
presentación de los documentos.
Comerciante de Nivel 3 (no designado) – Menos de
50.000 operaciones anuales con tarjetas American
Express y que no haya sido designado por American
Express como obligado a presentar documentos de
validación.
Página 3
AMERICANEXPRESS.COM/DATASECURITY
Requisito
1
 Informe sobre la evaluación anual
de seguridad “Annual Onsite
Security Assessment”
 Análisis trimestral de la red
Obligatorio
2
 Cuestionario de autoevaluación
“Annual Self Assessment”
 Análisis trimestral de la red
Obligatorio
3
Designado
 Cuestionario de autoevaluación
“Annual Self Assessment”
 Análisis trimestral de la red
Obligatorio
3*
 Cuestionario de autoevaluación
“Annual Self Assessment”
 Análisis trimestral de la red
Muy
recomendado
EMV**
 Resumen y certificación de PCI
DSS:
“Prioritized
Approach
Summary
&
Attestation
of
Compliance”
Obligatorio
Requisitos para Comercios
Los Comercios (no los Proveedores de Servicios)
pueden ser asignados a cinco categorías diferentes en
cuanto a nivel y requisitos de validación. Una vez
determinado su nivel de Comerciante en la lista
siguiente, consulte la tabla Comercios para averiguar
los requisitos de documentación de validaciones.
Validación
Documentación
(definida en el paso 3 más adelante)
*Para evitar cualquier posible duda, los Comercios de Nivel 3 (salvo los designados de Nivel 3)
no necesitan presentar Documentación de Validación, aunque sí deben cumplir todas las
disposiciones de esta Política de Seguridad de Datos y asumir las responsabilidades que de
ella se derivan.
**El Nivel EMV no está disponible para Comercios que hayan sufrido alguna Incidencia de Datos durante los
doce (12) meses anteriores a la fecha de su Evaluación Anual de Cumplimiento.
Requisitos para Proveedores de Servicios
Los Proveedores de Servicios (no los Comercios)
pueden ser asignados a dos categorías diferentes en
cuanto a nivel y requisitos de validación. Una vez
determinado su nivel de Proveedor de Servicios en la
lista siguiente, consulte la tabla Proveedores de
Servicios
para
averiguar
los
requisitos
de
documentación de validaciones.
Proveedor de Servicios de Nivel 1 – 2,5 millones o más
de operaciones anuales con tarjetas American Express,
o cualquier Proveedor de Servicios al que American
Express considere de Nivel 1.
Proveedor de Servicios de Nivel 2 – Menos de 2,5
millones de operaciones anuales con tarjetas American
Express, o cualquier Proveedor de Servicios al que
American Express no considere de Nivel 1.
DSOP ESP Oct 2014
Tabla de Proveedores de Servicios
Nivel
(defi-nido
anteriormente)
Validación
Documentación
(definida en el paso 3 más adelante)
así se le solicita, ir acompañada de copias completas del
SAQ (Comercios de Nivel 2 y todos los de Nivel 3, más
Proveedores de Servicios de Nivel 2).
Requisito
1
 Informe sobre la evaluación anual de
seguridad “Annual Onsite Security
Assessment”
 Análisis trimestral de la red
Obligatorio
2
 Cuestionario de autoevaluación
“Annual Self Assessment”
 Análisis trimestral de la red
Obligatorio
Paso 3 – Averiguar qué Documentación de
Validación deberá enviar a American Express
Los diferentes niveles de Comercios y Proveedores de
Servicios enumerados en las respectivas tablas de
Comercios y de Proveedores de Servicios deberán
aportar los siguientes documentos.
Annual Onsite Security Assessment – Este informe sobre
la evaluación anual de seguridad es un análisis in situ
detallado de los equipos, sistemas y redes (y de sus
componentes) utilizados para almacenar, procesar o
transmitir Datos de Titulares de Tarjetas o Datos
Confidenciales de Autenticación (o ambos). Debe ser
realizado por
 un asesor certificado (“Qualified Security Assessor” o
QSA) o por
 usted, y seguidamente ser certificado por su director
ejecutivo, director financiero, director de seguridad
informática o responsable principal y ser enviado
anualmente
a
American
Express
en
la
correspondiente certificación de cumplimiento
(“Attestation of Compliance” o AOC).
El AOC deberá certificar el cumplimiento de todos los
requisitos del estándar PCI DSS y, si así se le solicita,
adjuntar copias del informe de cumplimiento completo
(Comercios de Nivel 1 y Proveedores de Servicios de
Nivel 1)
Annual Self Assessment Questionnaire – Este informe de
autoevaluación anual es un proceso basado en el
cuestionario
de
PCI
DSS
“Self-Assessment
Questionnaire” (SAQ), que permite realizar una
autoevaluación de los equipos, sistemas y redes (y de
sus componentes) utilizados para almacenar, procesar
o transmitir Datos de Titulares de Tarjetas o Datos
Confidenciales de Autenticación (o ambos). Debe ser
realizado por usted y certificado por su director
ejecutivo, director financiero, director de seguridad
informática o responsable principal. La sección AOC del
SAQ debe presentarse anualmente a American Express.
La sección AOC del SAQ debe certificar que usted
cumple todos los requisitos del estándar PCI DSS y, si
Página 4
AMERICANEXPRESS.COM/DATASECURITY
Quarterly Network Scan – Este análisis trimestral de la
red es un proceso de exploración remota de posibles
puntos débiles y vulnerabilidades en sus redes
informáticas y servidores web conectados a internet.
Debe ser ejecutado por un proveedor de análisis
autorizado (“Approved Scanning Vendor” o ASV). Usted
deberá rellenar y enviar trimestralmente a American
Express el informe “ASV Scan Report Attestation of
Scan Compliance” (AOSC) o el resumen ejecutivo de
resultados del análisis (junto con copias del análisis
completo, si se le solicitan). Mediante el AOSC o
resumen ejecutivo se certifica que los resultados se
obtuvieron ajustándose a los procedimientos de
exploración de PCI DSS, que no se han identificado
problemas de alto riesgo y que la exploración se ha
superado favorablemente o se ajusta a la norma (todos
los Comercios salvo del Nivel EMV; todos los
Proveedores de Servicios).
Annual Assessment of Compliance Milestones 1-4 of the
PCI DSS Prioritized Approach Validation Documentation
– La evaluación anual de los hitos de cumplimiento 1-4
de la documentación priorizada de PCI DSS es un
análisis de los equipos, sistemas y redes (y de sus
componentes) utilizados para almacenar, procesar o
transmitir Datos de Titulares de Tarjetas o Datos
Confidenciales de Autenticación (o ambos). Debe ser
realizado por usted, ser certificado por su director
ejecutivo, director financiero, director de seguridad
informática o responsable principal y ser enviado
anualmente a American Express en el resumen y
certificación “PCI DSS Prioritized Approach Summary &
Attestation of Compliance” (PASAOC). El PASAOC debe
certificar el cumplimiento de los hitos 1-4 del enfoque
priorizado de PCI DSS y, cuando le sea solicitada, incluir
información detallada sobre dicho cumplimiento. (Sólo
Comercios de Nivel EMV).
Incumplimiento del estándar PCI DSS – Si usted no
cumple los requisitos del estándar PCI DSS, deberá
cumplimentar un AOC incluyendo la parte “Part 4.
Action Plan for Non-Compliant Status”, indicando una
fecha de subsanación del incumplimiento con un plazo
máximo de doce meses contados desde la fecha de la
AOC. Usted deberá enviar esta AOC a American Express
con el “Action Plan for Non-Compliant Status”,
utilizando uno de los métodos enumerados en el Paso 4.
Usted deberá informar periódicamente a American
Express sobre sus avances de subsanación siguiendo el
plan de acción en caso de incumplimiento “Action Plan
for Non-Compliant Status” (Comercios de Nivel 1, Nivel
DSOP ESP Oct 2014
2 y designados de Nivel 3; todos los Proveedores de
Servicios).
Penalizaciones por no validación y Terminación del
Contrato
Aunque
American
Express
no
le
impondrá
penalizaciones por no validación (descritas más abajo)
por los incumplimientos que se hayan producido con
anterioridad a la fecha de subsanación, usted seguirá
siendo responsable ante American Express de todas las
obligaciones de indemnización derivadas de cualquier
posible Incidencia de Datos y deberá cumplir todas las
demás disposiciones de esta política.
American Express tendrá derecho a imponerle
penalizaciones por no validación y a resolver el Contrato
si usted incumple estos requisitos o no proporciona la
Validación de Documentación obligatoria a American
Express dentro del plazo establecido. American Express
le comunicará individualmente la fecha tope de cada
periodo de comunicación anual y trimestral.
Comerciante
o Proveedor
de Servicios
de Nivel 1
Comerciante
o Proveedor
de Servicios
de Nivel 2,
Comerciante
de Nivel EMV
Se aplicará una
penalización por no
validación si la
Documentación de
Validación no se
recibe dentro del
primer plazo
establecido.
19.000 €
4.000 €
Se aplicará una
penalización adicional
por no validación si la
Documentación de
Validación no se
recibe dentro de los
30 días siguientes al
primer plazo
establecido.
26.000 €
7.500 €
Se aplicará una
penalización adicional
por no validación si la
Documentación de
Validación no se
recibe dentro de los
60 días siguientes al
primer plazo
establecido.
34.000 €
11.000 €
Paso 4 – Enviar la Documentación de Validación a
American Express
Los Comercios de Nivel 1, Comercios de Nivel 2,
Comercios designados de Nivel 3, Comercios de Nivel
EMV y todos los Proveedores de Servicios deben enviar
la Documentación de Validación marcada como
“obligatoria” en las tablas del Paso 2.
Usted deberá presentar su Documentación de
Validación a Trustwave mediante uno de estos
métodos:
Portal seguro: La Documentación de Validación se
puede transmitir a través del portal seguro de
Trustwave en la dirección https://login.trustwave.com.
Puede solicitar a Trustwave las instrucciones de uso de
este portal llamando al +1 (312) 267-3208 o enviando un
correo electrónico a
AmericanExpressCompliance@trustwave.com.
Fax seguro: La Documentación de Validación se puede
enviar por fax a: +1 (312) 276-4019. (sustituya el signo
“+” por el prefijo de marcación internacional directa
“IDD”. Son aplicables las tarifas de llamadas
internacionales). Indique su nombre, su nombre DBA
(“Doing Business As”), el nombre de su contacto
responsable de la seguridad de datos, su dirección, su
número de teléfono y, sólo en el caso de Comercios, su
número de Comerciante de American Express (10
dígitos).
Si tiene preguntas de carácter general sobre el
programa o sobre el proceso descritos anteriormente,
póngase en contacto con Trustwave llamando al
+1 (312) 267-3208 o enviando un correo electrónico a
AmericanExpressCompliance@trustwave.com
Usted correrá con todos los gastos de cumplimiento y
validación. En el momento de presentar la
Documentación de Validación, usted declara y garantiza
a American Express que está autorizado a revelar la
información contenida en dicha Documentación de
Validación y que la proporciona a American Express sin
violar los derechos de ninguna otra parte.
Página 5
AMERICANEXPRESS.COM/DATASECURITY
Descripción
(divisa EUR €)
Sólo
Comercios
designados de
Nivel 3
15 €
Si American Express no recibe su Documentación de
Validación obligatoria dentro de los 60 días siguientes a
la primera fecha tope, American Express podrá resolver
el Contrato en los términos establecidos en el mismo,
así como imponerle el pago de penalizaciones por no
validación adicionales a las anteriormente descritas.
DSOP ESP Oct 2014
SECCIÓN 5 – CONFIDENCIALIDAD
American Express adoptará (e impondrá a sus agentes
y subcontratistas, como Trustwave, que adopten)
medidas razonables para mantener la confidencialidad
de sus informes de cumplimiento, incluida la
Documentación de Validación, así como para impedir la
divulgación de la Documentación de Validación a
terceros (salvo a filiales, agentes, representantes,
Proveedores de Servicios y subcontratistas de
American Express) durante un plazo de tres años
contados desde la fecha de su recepción. Este
compromiso de confidencialidad no será aplicable a la
Documentación de Validación que:
i.
ii.
iii.
iv.
v.
American Express ya conociera antes de su
divulgación,
deje de ser confidencial y pase a ser de dominio
público sin que American Express haya
incumplido los términos de este párrafo,
American Express haya recibido legítimamente de
un tercero sin obligación de confidencialidad,
American Express haya generado por su cuenta, o
cuya divulgación se deba al cumplimiento de una
orden judicial, administrativa o gubernamental, de
cualquier ley, disposición o reglamentación, de
una citación, petición de documentación u otro
proceso administrativo o legal, o de cualquier
petición de información formal o informal por
parte de cualquier organismo o autoridad oficial
(reguladores, inspectores, evaluadores o agencias
de orden público).
SECCIÓN 6 – DESCARGO DE RESPONSABILIDADES
POR LA PRESENTE, AMERICAN EXPRESS DECLINA
TODARESPONSABILIDAD Y/O GARANTÍA ASUMIDA O
RELACIONADA CON ESTA POLÍTICA DE SEGURIDAD
DE DATOS, CON EL ESTÁNDAR PCI DSS, CON LAS
ESPECIFICACIONES EMV Y CON LA DESIGNACIÓN Y
EL RENDIMIENTO DE CUALQUIER QSA, ASV O PFI,
TANTO EXPRESA COMO IMPLÍCITA, LEGAL O DE
CUALQUIER OTRO TIPO, INCLUSO TODA GARANTÍA
DE IDONEIDAD PARA UN FIN EN PARTICULAR. LAS
ENTIDADES EMISORAS DE TARJETAS AMERICAN
EXPRESS NO SON TERCEROS BENEFICIARIOS DE
ESTA POLÍTICA.
Sitios web útiles
Seguridad de datos de American Express:
http://www.americanexpress.com/datasecurity
PCI Security Standards Council, LLC:
http://www.pcisecuritystandards.org
Página 6
AMERICANEXPRESS.COM/DATASECURITY
DSOP ESP Oct 2014
APÉNDICE A: CÁLCULO DE INDEMNIZACIONES
Cuando una Incidencia de Datos sólo afecte a números
de cuenta de tarjetas American Express, usted deberá
indemnizar a American Express inmediatamente
mediante el pago de una penalización por
incumplimiento. Este importe no superará los
100.000 USD por Incidencia de Datos. Cuando una
Incidencia de Datos afecte a números de cuenta de
tarjetas American Express con Datos Confidenciales de
Autenticación,
usted
deberá
indemnizar
inmediatamente a American Express por:
 Fraude Incremental (definido más adelante) sufrido
durante la Duración de la Incidencia de Datos y
 Costes de supervisión y sustitución de tarjetas por un
importe (i) de 1,00 USD por cada número de cuenta
de tarjeta, correspondientes a un 90 % del total de
Números de Tarjeta Comprometidos y (ii) de
5,00 USD por cada número de cuenta de tarjeta,
correspondientes a un 10 % del total de Números de
Tarjeta Comprometidos, respectivamente, y
 Penalización por incumplimiento con resultado de
Incidencia de Datos, por un importe máximo de
100.000 USD por Incidencia de Datos.
realizados por American Express con este método son
definitivos.
Las obligaciones de indemnización de los Comercios en
casos de Incidencias de Datos descritos en el presente
documento no tendrán la consideración de daños
fortuitos, indirectos, especulativos, consecuentes,
especiales, punitivos ni ejemplares según el Contrato.
American Express calculará el “Fraude Incremental”
aplicando la siguiente metodología:
Fraude Incremental = (X – Y) multiplicado por Z, donde:
X=
Pérdidas totales causadas por fraude a las entidades
emisoras de tarjetas, salvo las retrocesiones de cargos y las
pérdidas generadas por utilización fraudulenta de los
Números de Tarjeta Comprometidos durante la Incidencia de
Datos, divididas por el volumen total de cargos con Números
de Tarjeta Comprometidos registrados por las entidades
emisoras durante la Incidencia de Datos.
Y=
 Las pérdidas totales causadas por fraude a las entidades
emisoras de tarjetas, excluyendo las devoluciones de
cargos y las pérdidas por fraude de solicitudes fraudulentas
de tarjetas American Express en números de tarjeta no
comprometidos durante la ventana de datos de eventos de
incidencias, dividido por
 Volumen total de cargos con Números de Tarjeta no
Comprometidos registrados por las entidades emisoras
durante la Incidencia de Datos.
Volumen total de cargos con Números de Tarjeta
Comprometidos registrados por las entidades emisoras
durante la Incidencia de Datos.
Z=
American Express excluirá de sus cálculos de Fraude
Incremental y de Costes de supervisión y sustitución de
tarjetas todos los números de cuenta de tarjetas
American Express que hayan estado involucrados en
cualquier otra Incidencia de Datos que haya afectado a
números de cuenta de tarjeta American Express con
Datos Confidenciales de Autenticación, siempre que
American Express haya sido notificada de la otra
Incidencia de Datos dentro de los doce (12) meses
anteriores a la Fecha de Notificación. Todos los cálculos
Página 7
AMERICANEXPRESS.COM/DATASECURITY
DSOP ESP Oct 2014
APÉNDICE B: GLOSARIO
Las siguientes definiciones serán aplicables exclusivamente a
efectos de esta política:
Tarjeta American Express, o simplemente Tarjeta, significa
 cualquier tarjeta, dispositivo de acceso a cuentas, o
dispositivo o servicio de pago que lleve un logotipo, marca
registrada, marca de servicio, nombre comercial u otro
diseño o denominación de American Express o de una de
sus filiales y que haya sido emitido por una entidad emisora
o
 un número de cuenta de tarjeta
Attestation of Compliance (AOC) es una declaración que
describe el grado de cumplimiento del estándar PCI DSS, en el
formato proporcionado por Payment Card Industry Security
Standards Council, LLC.
Approved Scanning Vendor (ASV) es una entidad autorizada
por Payment Card Industry Security Standards Council, LLC
para comprobar el cumplimiento de determinados requisitos
del estándar PCI DSS mediante análisis de vulnerabilidad de
entornos conectados a internet.
Attestation of Scan Compliance (AOSC) es una declaración
que describe el grado de cumplimiento del estándar PCI DSS
mediante una exploración de la red, en el formato
proporcionado por Payment Card Industry Security Standards
Council, LLC.
Datos de Titulares de Tarjetas tiene el significado descrito en la
versión vigente en cada momento del glosario del estándar
PCI DSS.
Titular de Tarjeta es una persona o entidad que (i) ha suscrito
con una entidad emisora un acuerdo para crear una cuenta
asociada a su tarjeta o (ii) cuyo nombre figura en la tarjeta.
Datos de Titulares de Tarjetas es la información de los titulares
de tarjetas American Express y de las operaciones que
realizan con dichas tarjetas: nombres, direcciones, números
de las cuentas asociadas a las tarjetas y números de
identificación de las tarjetas (CIDs).
Cargo es un pago o una compra que se ha realizado con una
tarjeta.
Chip es un microchip integrado incrustado en una tarjeta.
Contiene los datos del titular de la tarjeta y la información de
la cuenta asociada.
Tarjeta Chip es una tarjeta que contiene un microchip y puede
solicitar la introducción de un número PIN para verificar la
identidad del titular de la tarjeta o cuenta que consta en el
chip, o ambos datos (en nuestra documentación también
solemos denominarla “tarjeta inteligente”, “tarjeta EMV”,
“ICC” o “tarjeta con circuito integrado”).
Dispositivo Compatible con Chip es un dispositivo de punto de
venta que dispone de una homologación/certificación válida y
actual de EMVco (www.emvco.com) y que permite procesar
operaciones con tarjetas chip conformes con la norma AEIPS.
Número de Tarjeta Comprometido es el número de la cuenta
asociada a la tarjeta American Express involucrada en una
Incidencia de Datos.
Página 8
AMERICANEXPRESS.COM/DATASECURITY
Sus Terceros se refiere a cualquier entidad (empleados,
agentes, representantes, subcontratistas, Procesadores,
Proveedores de Servicios, proveedores de equipos o sistemas
punto de venta o de soluciones de procesamiento de pagos, y
a cualquier otra parte a la que usted pueda facilitar Datos de
Titulares de Tarjetas de conformidad con el Contrato.
Abono es el importe equivalente al cargo reembolsado a
Titulares de Tarjetas por compras o pagos realizados con la
tarjeta.
Incidencia de Datos se refiere a una incidencia de uso
fraudulento de claves de cifrado de American Express, o de al
menos un número de cuenta asociado a una tarjeta American
Express en el que se produzca un:
 acceso o uso no autorizado de Datos de Titulares de
Tarjetas o Datos Confidenciales de Autenticación (o ambos)
almacenados, procesados o transmitidos mediante sus
equipos, sistemas y/o redes (o sus componentes);
 uso no conforme con el Contrato de dichos Datos de
Titulares de Tarjetas o Datos Confidenciales de
Autenticación (o ambos); y/o
 sospecha o confirmación de pérdida, robo o apropiación
indebida por cualquier método o medio de cualquier
soporte, material, registro o información que contenga
dichos datos de Titulares de Tarjetas o Datos
Confidenciales de Autenticación.
Duración de la Incidencia de Datos es el periodo de tiempo que
comienza 365 días antes de la fecha de notificación y termina
30 días después de la misma.
Especificaciones EMV son las especificaciones elaboradas por
EMVCo, LLC y disponibles en http://www.emvco.com.
Transacciones EMV se refiere a operaciones realizadas
mediante tarjetas con circuito integrado (también conocidas
como “tarjetas IC”, “tarjetas chip”, “tarjetas inteligentes”,
“tarjetas EMV” o simplemente “ICC”) en puntos de venta
equipados con terminales punto de venta (POS) compatibles y
que dispongan de una homologación EMV válida y vigente. Las
homologaciones de tipo EMV están disponibles en
http://www.emvco.com.
Clave de Cifrado (“clave de cifrado de American Express”), se
refiere a todas las claves utilizadas para el procesamiento, la
generación, la carga y/o la protección de los datos de cuentas.
Abarca los siguientes tipos de claves, aunque sin limitarse a
ellos:
 Claves de cifrado: ZMKs (“Zone Master Keys”) y ZPKs
(“Zone Pin Keys”)
 Claves maestras utilizadas en dispositivos criptográficos
seguros: LMKs (“Local Master Keys”)
 CSCKs (“Card Security Code Keys”)
 Claves PIN: BDKs (“Base Derivation Keys”), PEKs (“PIN
Encryption Key”) y ZPKs
Comercio de Nivel 1 – 2,5 millones o más de operaciones
anuales con tarjetas American Express, o cualquier
Comerciante al que American Express considere de Nivel 1.
Comercio de Nivel 2 – Entre 50.000 y 2,5 millones de
operaciones anuales con tarjetas American Express.
DSOP ESP Oct 2014
Comercio de Nivel 3 (no designado) – Menos de 50.000
operaciones anuales con tarjetas American Express y no
designado por American Express.
Comercio de Nivel 3 (designado) se refiere a Comercios a los
que American Express ha notificado que deben participar en el
programa de cumplimiento “American Express PCI
Compliance” e informar sobre su grado de cumplimiento.
Proveedor de Servicios de Nivel 1 – 2,5 millones o más de
operaciones anuales con tarjetas American Express, o
cualquier Proveedor de Servicios al que American Express
considere de Nivel 1.
Proveedor de Servicios de Nivel 2 – Menos de 2,5 millones de
operaciones anuales con tarjetas American Express, o
cualquier Proveedor de Servicios al que American Express no
considere de Nivel 1.
Comerciante de Nivel EMV – Que no haya estado involucrado
en ninguna Incidencia de Datos durante los 12 últimos meses y
además:
 Procese como mínimo 50.000 operaciones anuales con
tarjetas American Express
 Al menos un 75% del número total de operaciones del
Comerciante se hagan con tarjetas físicas y se realicen en
Sistemas Punto de Venta que cumplan las especificaciones
EMV de American Express.
Hitos 1-4 son niveles de prioridad asignados a los requisitos de
PCI DSS en el enfoque priorizado de PCI (“PCI Prioritised
Approach”),
que
se
puede
descargar
en
https://www.pcisecuritystandards.org.
Fecha de Notificación es la fecha designada por American
Express en la que las entidades emisoras son notificadas de
una Incidencia de Datos.
Aplicación de Pago tendrá en cada momento el significado
indicado en el Glosario del Estándar de Seguridad de Datos de
la Industria de Tarjetas de Pago (“Payment Card Industry Data
Security
Standard”,
PCI
DSS),
disponible
en
https://www.pcisecuritystandards.org.
Homologado por PCI significa que, en el momento de la
implementación, la lista de empresas y proveedores
homologados por PCI Security Standards Council, LLC
contiene un determinado dispositivo de introducción de PIN o
una determinada aplicación de pago (o ambos). Dicha lista
está disponible en https://www.pcisecuritystandards.org.
PCI DSS es el acrónimo del estándar de seguridad de datos de
la industria de tarjetas de pago (“Payment Card Industry Data
Security Standard”), que está disponible en
https://www.pcisecuritystandards.org.
El término PCI DSS Prioritized Approach se refiere al
documento sobre el estándar de protección de datos para el
sector de tarjetas de pago (PCI DSS) publicado en
https://www.pcisecuritystandards.org/security_standards/p
rioritized.php.
el formato proporcionado por Payment Card Industry Security
Standards Council, LLC.
PCI Forensic Investigator o PFI es un investigador forense de
PCI, una entidad autorizada por la Payment Card Industry
Security Standards Council, LLC para realizar investigaciones
forenses en casos de incumplimiento de normas o violación de
los datos de tarjetas de pago.
Requisitos de Seguridad PCI PIN son requisitos de seguridad
para PIN de la industria de tarjetas de pago. Se pueden
descargar en https://www.pcisecuritystandards.org.
Dispositivo de Introducción de PIN tendrá en cada momento el
significado indicado en el Glosario de Seguridad en las
Transacciones con PIN de la Industria de Tarjetas de Pago
(“Payment Card Industry PIN Transaction Security”, PTS),
Puntos de Interacción (POI), Requisitos de Seguridad
Modular,
disponible
en
https://www.pcisecuritystandards.org.
Sistema de Puntos de Venta (POS) es un sistema o equipo de
procesamiento de información, compuesto por un terminal, un
ordenador personal, una caja registradora electrónica, un
lector sin contacto o motor o proceso de pagos, utilizado por
un Comerciante para obtener autorizaciones o para registrar
datos de transacciones, o para ambos fines.
Procesador es un proveedor de servicios para Comercios que
facilita el procesamiento de autorizaciones y transmisión a la
red de American Express.
Qualified Security Assessor (QSA) es una entidad homologada
por Payment Card Industry Security Standards Council, LLC
para verificar el grado de cumplimiento del estándar PCI DSS.
Self-Assessment Questionnaire (SAQ) es un cuestionario de
autoevaluación creado por Payment Card Industry Security
Standards Council, LLC para
evaluar y certificar la
conformidad con el estándar PCI DSS.
Datos Confidenciales de Autenticación tiene el significado
descrito en la versión vigente en cada momento del glosario
del estándar PCI DSS.
Proveedores de Servicios son procesadores autorizados,
procesadores ajenos, proveedores de pasarelas y
cualesquiera otros proveedores a Comercios de equipos,
software o sistemas punto de venta, o de otras soluciones o
servicios de procesamiento de pagos.
Operación o Transacción es un cargo o abono realizado por
medio de una tarjeta.
Documentación de Validación es la certificación AOC
presentada con la evaluación anual “Annual Online Security
Assessment” (SAQ), la AOSC y los resúmenes de los
resultados obtenidos por los análisis trimestrales de la red
“Quarterly Network Scans” o por la certificación anual “Annual
EMV Attestation”.
PCI DSS Prioritized Approach Summary & Attestation of
Compliance o “PASAOC” es una declaración que describe el
grado de cumplimiento del enfoque priorizado de PCI DSS, en
Página 9
AMERICANEXPRESS.COM/DATASECURITY
DSOP ESP Oct 2014
Descargar