American Express® Política de Seguridad de Datos (Data Security Operating Policy) - España Como líder en medidas de protección del consumidor, American Express mantiene un compromiso permanente para proteger los datos de los titulares de sus tarjetas de crédito, para garantizar su total seguridad. Cualquier pérdida o acceso indebido de datos puede afectar negativamente a consumidores, Comercios, Proveedores de Servicios y entidades emisoras de tarjetas. Cualquier incidencia en este sentido puede dañar gravemente la reputación de una empresa e impedir el normal desarrollo de su negocio. La implantación de políticas de seguridad de datos puede aumentar tanto la confianza de los clientes como la rentabilidad y la reputación de la empresa. En American Express sabemos que nuestros ComerciosComercios y Proveedores de Servicios (denominados en adelante colectivamente usted o ustedes) comparten esta preocupación. Por ello les pedimos que, como parte de sus responsabilidades, cumplan estrictamente las normas de seguridad de datos descritas en su contrato (en adelante, el Contrato) a la hora de aceptar (en el caso de Comercios) o de procesar (en el caso de Proveedores de Servicios) la tarjeta American Express®, así como la presente Política de Seguridad de Datos, que está sujeta a modificaciones periódicas. Estos requisitos son aplicables a todos los equipos, sistemas y redes en los que se almacenan, procesan o transmiten claves de cifrado, Datos de Titulares de Tarjetas o Datos Confidenciales de Autenticación (o ambos). Los términos en mayúsculas utilizados, pero no definidos, en este documento tienen el significado explicado en el glosario incluido al final de esta política. SECCIÓN 1 – NORMAS PARA LA PROTECCIÓN DE CLAVES DE CIFRADO, DATOS DE TITULARES DE TARJETAS Y DATOS CONFIDENCIALES DE AUTENTICACIÓN en todos los demás aspectos, de garantizar el cumplimiento de estas normas de seguridad de datos por parte de Sus Terceros (salvo para demostrar dicho cumplimiento de esta política por Sus Terceros, según se indica más adelante en la Sección 4). Usted debe asegurarse de que tanto usted como Sus Terceros: SECCIÓN 2 – OBLIGACIONES PARA GESTIONAR INCIDENCIAS DE DATOS almacenen Datos de Titulares de Tarjetas exclusivamente con el fin de facilitar operaciones con tarjetas American Express cumpliendo estrictamente los términos del Contrato y cumplan los requisitos de las versiones vigentes del Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS) y de los Requisitos de Seguridad PCI Pin desde la misma fecha de entrada en vigor de dichas versiones. a la hora de implementar dispositivos o aplicaciones de pago (o ambos), tanto nuevos como de sustitución, utilicen sólo los homologados por PCI. Usted deberá notificar a American Express cualquier Incidencia de Datos inmediatamente, y en ningún caso después de transcurridas veinticuatro (24) horas desde su detección. Usted debe proteger, siguiendo estas normas de seguridad de datos, todos los registros de cargos y abonos de American Express conservados en cumplimiento del Contrato; utilizará dichos registros sólo para los fines estipulados en el Contrato, y los salvaguardará en consecuencia. Usted será responsable ante American Express, tanto económicamente como Página 1 AMERICANEXPRESS.COM/DATASECURITY Para avisar a American Express, llame al departamento American Express Enterprise Incident Response Program (EIRP) en el número +1 (602) 537-3021 (sustituya el signo “+” por el prefijo de marcación internacional directa “IDD”. Son aplicables las tarifas de llamadas internacionales), o envíe un correo electrónico a EIRP@aexp.com. Usted deberá designar una persona como contacto para todo lo relacionado con la Incidencia de Datos. Usted deberá realizar una investigación exhaustiva de cada Incidencia de Datos. Cuando la Incidencia de Datos afecte a 10.000 o más números de cuenta únicos de tarjetas American Express (o siempre que American Express lo solicite), esta investigación DSOP ESP Oct 2014 deberá encomendarse a un investigador forense de PCI (“PCI Forensic Investigator” o PFI). Usted deberá facilitar prontamente a American Express todos los Números de Tarjeta Comprometidos junto con el informe de la investigación forense correspondiente a la Incidencia de Datos. Usted cooperará activamente con American Express en la rectificación de cualesquiera problemas y dudas que puedan derivarse de la Incidencia de Datos, así como en elaborar con American Express los comunicados a los Titulares de Tarjetas American Express afectados por la misma, y facilitará a American Express toda la información pertinente (previa obtención de las autorizaciones necesarias) para que podamos verificar su capacidad de prevenir futuras Incidencias de Datos según los términos establecidos en el Contrato. American Express no le exigirá ninguna indemnización por una Incidencia de Datos (a) que afecte a menos de 10.000 Números de Tarjeta Comprometidos únicos o (b) si: Los informes forenses de estas investigaciones deben contener análisis forenses, informes sobre el cumplimiento de normas y cualquier otra información relacionada con la Incidencia de Datos, identificar la causa de la Incidencia de Datos, determinar si en el momento de producirse la Incidencia de Datos usted cumplía el estándar PCI DSS y verificar su capacidad de prevenir futuras Incidencias de Datos mediante la presentación de un plan de subsanación de todas las deficiencias relacionadas con el estándar PCI DSS. A petición de American Express, usted deberá demostrar que las deficiencias han sido subsanadas, para lo cual deberá aportar la correspondiente certificación de un Asesor de Seguridad Certificado (QSA). Usted deberá realizar las validaciones anuales y trimestrales siguientes para verificar su cumplimiento del estándar PCI DSS. Deberá verificarse el estado de los equipos, sistemas y/o redes (y de sus componentes) en los que almacenen, procesen o transmitan Datos de Titulares de Tarjetas o Datos Confidenciales de Autenticación. Sin perjuicio de cualesquiera otras obligaciones de confidencialidad establecidas en el Contrato, American Express tendrá derecho a revelar información sobre cualquier Incidencia de Datos a Titulares de Tarjetas American Express, a entidades emisoras, a otros participantes de la red de American Express y al público en general según establezca la legislación aplicable, una orden judicial, administrativa o reglamentaria, un decreto, una citación, solicitud u otro proceso legal, con el fin de reducir el riesgo de fraude u otros daños o para garantizar la continuidad de funcionamiento de la red de American Express. Paso 3 – Averiguar qué Documentación de Validación deberá enviar a American Express SECCIÓN 3 – INDEMNIZACIÓN EN CASOS DE INCIDENCIAS DE DATOS En esta sección se definen sus obligaciones de indemnización a American Express en el marco del Contrato en caso de producirse alguna Incidencia de Datos, sin perjuicio de los demás derechos y recursos de American Express. Página 2 AMERICANEXPRESS.COM/DATASECURITY usted notificó a American Express la Incidencia de Datos cumpliendo la Sección 2 de esta política, en el momento de producirse la Incidencia de Datos, usted cumplía el estándar PCI DSS (según determine PFI en su informe sobre la Incidencia de Datos) y la Incidencia de Datos no fue causada por conducta ilícita suya o de alguno de Sus Terceros. El cálculo de las indemnizaciones se realizará de acuerdo a lo previsto en el Apéndice A al final de este documento. SECCIÓN 4 – ¡IMPORTANTE! VALIDACIÓN PERIÓDICA DE SUS SISTEMAS Para realizar la validación deberá dar estos cuatro pasos: Paso 1 – Inscribirse en el Programa de Cumplimiento de American Express descrito en este documento Paso 2 – Averiguar su nivel y sus requisitos de validación Paso 4 – Enviar la Documentación de Validación a American Express Paso 1 – Inscribirse en el Programa de Cumplimiento de American Express descrito en este documento Los Comercios de Nivel 1, los Comercios de Nivel 2, los Comercios de Nivel 3 que American Express haya designado (según se indica más adelante), los Comercios de Nivel EMV y todos los Proveedores de Servicios deberán, según se describe más adelante, inscribirse en el programa de cumplimiento de American Express en los términos establecidos en este documento, debiendo indicar el nombre completo, la dirección de correo electrónico, el número de teléfono y la dirección de correo postal de una persona que actuará como su contacto general para cuestiones relacionadas con la seguridad de datos. Usted debe DSOP ESP Oct 2014 facilitar estos datos a Trustwave, que administra el programa en nombre de American Express, utilizando uno de los métodos enumerados en el Paso 4. Usted deberá avisar a Trustwave cada vez que estos datos cambien y proporcionar los datos actualizados que correspondan. American Express puede exigir mediante notificación escrita a determinados Comercios de Nivel 3 que se inscriban en el programa de cumplimiento de American Express en cumplimiento de esta política. El Comerciante designado de Nivel 3 deberá inscribirse en un plazo máximo de 90 días contados desde la fecha de recepción de dicha notificación. Paso 2 – Averiguar su nivel y sus requisitos de validación Existen cinco niveles para Comercios y dos niveles para Proveedores de Servicios. La mayoría de niveles se definen por el volumen de las operaciones realizadas con tarjetas American Express. En el caso de los Comercios, se trata del volumen generado por sus establecimientos, acumulable hasta alcanzar el nivel máximo de cuenta de Comerciante de American Express. Usted será asignado a uno de los niveles especificados en las tablas de Comercios y Proveedores de Servicios que se incluyen más adelante. Comerciante de Nivel EMV – Que no haya estado involucrado en ninguna Incidencia de Datos durante los 12 últimos meses y además: procese como mínimo 50.000 operaciones anuales con tarjetas American Express haya realizado al menos el 75% de todas las operaciones realizadas por el titular contra la presentación física de la tarjeta las operaciones realizadas se generen mediante dispositivos compatibles con chips EMV Tabla de Comercios Nivel (defi-nido anteriormente) Comerciante de Nivel 1 – 2,5 millones o más de operaciones anuales con tarjetas American Express, o cualquier Comerciante al que American Express considere de Nivel 1. Comerciante de Nivel 2 – Entre 50.000 y 2,5 millones de operaciones anuales con tarjetas American Express Comerciante de Nivel 3 (designado) – Menos de 50.000 operaciones anuales con tarjetas American Express y que haya sido designado por American Express como obligado a presentar documentos de validación. American Express notificará por escrito a los Comercios designados al menos 90 días antes de la fecha tope de presentación de los documentos. Comerciante de Nivel 3 (no designado) – Menos de 50.000 operaciones anuales con tarjetas American Express y que no haya sido designado por American Express como obligado a presentar documentos de validación. Página 3 AMERICANEXPRESS.COM/DATASECURITY Requisito 1 Informe sobre la evaluación anual de seguridad “Annual Onsite Security Assessment” Análisis trimestral de la red Obligatorio 2 Cuestionario de autoevaluación “Annual Self Assessment” Análisis trimestral de la red Obligatorio 3 Designado Cuestionario de autoevaluación “Annual Self Assessment” Análisis trimestral de la red Obligatorio 3* Cuestionario de autoevaluación “Annual Self Assessment” Análisis trimestral de la red Muy recomendado EMV** Resumen y certificación de PCI DSS: “Prioritized Approach Summary & Attestation of Compliance” Obligatorio Requisitos para Comercios Los Comercios (no los Proveedores de Servicios) pueden ser asignados a cinco categorías diferentes en cuanto a nivel y requisitos de validación. Una vez determinado su nivel de Comerciante en la lista siguiente, consulte la tabla Comercios para averiguar los requisitos de documentación de validaciones. Validación Documentación (definida en el paso 3 más adelante) *Para evitar cualquier posible duda, los Comercios de Nivel 3 (salvo los designados de Nivel 3) no necesitan presentar Documentación de Validación, aunque sí deben cumplir todas las disposiciones de esta Política de Seguridad de Datos y asumir las responsabilidades que de ella se derivan. **El Nivel EMV no está disponible para Comercios que hayan sufrido alguna Incidencia de Datos durante los doce (12) meses anteriores a la fecha de su Evaluación Anual de Cumplimiento. Requisitos para Proveedores de Servicios Los Proveedores de Servicios (no los Comercios) pueden ser asignados a dos categorías diferentes en cuanto a nivel y requisitos de validación. Una vez determinado su nivel de Proveedor de Servicios en la lista siguiente, consulte la tabla Proveedores de Servicios para averiguar los requisitos de documentación de validaciones. Proveedor de Servicios de Nivel 1 – 2,5 millones o más de operaciones anuales con tarjetas American Express, o cualquier Proveedor de Servicios al que American Express considere de Nivel 1. Proveedor de Servicios de Nivel 2 – Menos de 2,5 millones de operaciones anuales con tarjetas American Express, o cualquier Proveedor de Servicios al que American Express no considere de Nivel 1. DSOP ESP Oct 2014 Tabla de Proveedores de Servicios Nivel (defi-nido anteriormente) Validación Documentación (definida en el paso 3 más adelante) así se le solicita, ir acompañada de copias completas del SAQ (Comercios de Nivel 2 y todos los de Nivel 3, más Proveedores de Servicios de Nivel 2). Requisito 1 Informe sobre la evaluación anual de seguridad “Annual Onsite Security Assessment” Análisis trimestral de la red Obligatorio 2 Cuestionario de autoevaluación “Annual Self Assessment” Análisis trimestral de la red Obligatorio Paso 3 – Averiguar qué Documentación de Validación deberá enviar a American Express Los diferentes niveles de Comercios y Proveedores de Servicios enumerados en las respectivas tablas de Comercios y de Proveedores de Servicios deberán aportar los siguientes documentos. Annual Onsite Security Assessment – Este informe sobre la evaluación anual de seguridad es un análisis in situ detallado de los equipos, sistemas y redes (y de sus componentes) utilizados para almacenar, procesar o transmitir Datos de Titulares de Tarjetas o Datos Confidenciales de Autenticación (o ambos). Debe ser realizado por un asesor certificado (“Qualified Security Assessor” o QSA) o por usted, y seguidamente ser certificado por su director ejecutivo, director financiero, director de seguridad informática o responsable principal y ser enviado anualmente a American Express en la correspondiente certificación de cumplimiento (“Attestation of Compliance” o AOC). El AOC deberá certificar el cumplimiento de todos los requisitos del estándar PCI DSS y, si así se le solicita, adjuntar copias del informe de cumplimiento completo (Comercios de Nivel 1 y Proveedores de Servicios de Nivel 1) Annual Self Assessment Questionnaire – Este informe de autoevaluación anual es un proceso basado en el cuestionario de PCI DSS “Self-Assessment Questionnaire” (SAQ), que permite realizar una autoevaluación de los equipos, sistemas y redes (y de sus componentes) utilizados para almacenar, procesar o transmitir Datos de Titulares de Tarjetas o Datos Confidenciales de Autenticación (o ambos). Debe ser realizado por usted y certificado por su director ejecutivo, director financiero, director de seguridad informática o responsable principal. La sección AOC del SAQ debe presentarse anualmente a American Express. La sección AOC del SAQ debe certificar que usted cumple todos los requisitos del estándar PCI DSS y, si Página 4 AMERICANEXPRESS.COM/DATASECURITY Quarterly Network Scan – Este análisis trimestral de la red es un proceso de exploración remota de posibles puntos débiles y vulnerabilidades en sus redes informáticas y servidores web conectados a internet. Debe ser ejecutado por un proveedor de análisis autorizado (“Approved Scanning Vendor” o ASV). Usted deberá rellenar y enviar trimestralmente a American Express el informe “ASV Scan Report Attestation of Scan Compliance” (AOSC) o el resumen ejecutivo de resultados del análisis (junto con copias del análisis completo, si se le solicitan). Mediante el AOSC o resumen ejecutivo se certifica que los resultados se obtuvieron ajustándose a los procedimientos de exploración de PCI DSS, que no se han identificado problemas de alto riesgo y que la exploración se ha superado favorablemente o se ajusta a la norma (todos los Comercios salvo del Nivel EMV; todos los Proveedores de Servicios). Annual Assessment of Compliance Milestones 1-4 of the PCI DSS Prioritized Approach Validation Documentation – La evaluación anual de los hitos de cumplimiento 1-4 de la documentación priorizada de PCI DSS es un análisis de los equipos, sistemas y redes (y de sus componentes) utilizados para almacenar, procesar o transmitir Datos de Titulares de Tarjetas o Datos Confidenciales de Autenticación (o ambos). Debe ser realizado por usted, ser certificado por su director ejecutivo, director financiero, director de seguridad informática o responsable principal y ser enviado anualmente a American Express en el resumen y certificación “PCI DSS Prioritized Approach Summary & Attestation of Compliance” (PASAOC). El PASAOC debe certificar el cumplimiento de los hitos 1-4 del enfoque priorizado de PCI DSS y, cuando le sea solicitada, incluir información detallada sobre dicho cumplimiento. (Sólo Comercios de Nivel EMV). Incumplimiento del estándar PCI DSS – Si usted no cumple los requisitos del estándar PCI DSS, deberá cumplimentar un AOC incluyendo la parte “Part 4. Action Plan for Non-Compliant Status”, indicando una fecha de subsanación del incumplimiento con un plazo máximo de doce meses contados desde la fecha de la AOC. Usted deberá enviar esta AOC a American Express con el “Action Plan for Non-Compliant Status”, utilizando uno de los métodos enumerados en el Paso 4. Usted deberá informar periódicamente a American Express sobre sus avances de subsanación siguiendo el plan de acción en caso de incumplimiento “Action Plan for Non-Compliant Status” (Comercios de Nivel 1, Nivel DSOP ESP Oct 2014 2 y designados de Nivel 3; todos los Proveedores de Servicios). Penalizaciones por no validación y Terminación del Contrato Aunque American Express no le impondrá penalizaciones por no validación (descritas más abajo) por los incumplimientos que se hayan producido con anterioridad a la fecha de subsanación, usted seguirá siendo responsable ante American Express de todas las obligaciones de indemnización derivadas de cualquier posible Incidencia de Datos y deberá cumplir todas las demás disposiciones de esta política. American Express tendrá derecho a imponerle penalizaciones por no validación y a resolver el Contrato si usted incumple estos requisitos o no proporciona la Validación de Documentación obligatoria a American Express dentro del plazo establecido. American Express le comunicará individualmente la fecha tope de cada periodo de comunicación anual y trimestral. Comerciante o Proveedor de Servicios de Nivel 1 Comerciante o Proveedor de Servicios de Nivel 2, Comerciante de Nivel EMV Se aplicará una penalización por no validación si la Documentación de Validación no se recibe dentro del primer plazo establecido. 19.000 € 4.000 € Se aplicará una penalización adicional por no validación si la Documentación de Validación no se recibe dentro de los 30 días siguientes al primer plazo establecido. 26.000 € 7.500 € Se aplicará una penalización adicional por no validación si la Documentación de Validación no se recibe dentro de los 60 días siguientes al primer plazo establecido. 34.000 € 11.000 € Paso 4 – Enviar la Documentación de Validación a American Express Los Comercios de Nivel 1, Comercios de Nivel 2, Comercios designados de Nivel 3, Comercios de Nivel EMV y todos los Proveedores de Servicios deben enviar la Documentación de Validación marcada como “obligatoria” en las tablas del Paso 2. Usted deberá presentar su Documentación de Validación a Trustwave mediante uno de estos métodos: Portal seguro: La Documentación de Validación se puede transmitir a través del portal seguro de Trustwave en la dirección https://login.trustwave.com. Puede solicitar a Trustwave las instrucciones de uso de este portal llamando al +1 (312) 267-3208 o enviando un correo electrónico a AmericanExpressCompliance@trustwave.com. Fax seguro: La Documentación de Validación se puede enviar por fax a: +1 (312) 276-4019. (sustituya el signo “+” por el prefijo de marcación internacional directa “IDD”. Son aplicables las tarifas de llamadas internacionales). Indique su nombre, su nombre DBA (“Doing Business As”), el nombre de su contacto responsable de la seguridad de datos, su dirección, su número de teléfono y, sólo en el caso de Comercios, su número de Comerciante de American Express (10 dígitos). Si tiene preguntas de carácter general sobre el programa o sobre el proceso descritos anteriormente, póngase en contacto con Trustwave llamando al +1 (312) 267-3208 o enviando un correo electrónico a AmericanExpressCompliance@trustwave.com Usted correrá con todos los gastos de cumplimiento y validación. En el momento de presentar la Documentación de Validación, usted declara y garantiza a American Express que está autorizado a revelar la información contenida en dicha Documentación de Validación y que la proporciona a American Express sin violar los derechos de ninguna otra parte. Página 5 AMERICANEXPRESS.COM/DATASECURITY Descripción (divisa EUR €) Sólo Comercios designados de Nivel 3 15 € Si American Express no recibe su Documentación de Validación obligatoria dentro de los 60 días siguientes a la primera fecha tope, American Express podrá resolver el Contrato en los términos establecidos en el mismo, así como imponerle el pago de penalizaciones por no validación adicionales a las anteriormente descritas. DSOP ESP Oct 2014 SECCIÓN 5 – CONFIDENCIALIDAD American Express adoptará (e impondrá a sus agentes y subcontratistas, como Trustwave, que adopten) medidas razonables para mantener la confidencialidad de sus informes de cumplimiento, incluida la Documentación de Validación, así como para impedir la divulgación de la Documentación de Validación a terceros (salvo a filiales, agentes, representantes, Proveedores de Servicios y subcontratistas de American Express) durante un plazo de tres años contados desde la fecha de su recepción. Este compromiso de confidencialidad no será aplicable a la Documentación de Validación que: i. ii. iii. iv. v. American Express ya conociera antes de su divulgación, deje de ser confidencial y pase a ser de dominio público sin que American Express haya incumplido los términos de este párrafo, American Express haya recibido legítimamente de un tercero sin obligación de confidencialidad, American Express haya generado por su cuenta, o cuya divulgación se deba al cumplimiento de una orden judicial, administrativa o gubernamental, de cualquier ley, disposición o reglamentación, de una citación, petición de documentación u otro proceso administrativo o legal, o de cualquier petición de información formal o informal por parte de cualquier organismo o autoridad oficial (reguladores, inspectores, evaluadores o agencias de orden público). SECCIÓN 6 – DESCARGO DE RESPONSABILIDADES POR LA PRESENTE, AMERICAN EXPRESS DECLINA TODARESPONSABILIDAD Y/O GARANTÍA ASUMIDA O RELACIONADA CON ESTA POLÍTICA DE SEGURIDAD DE DATOS, CON EL ESTÁNDAR PCI DSS, CON LAS ESPECIFICACIONES EMV Y CON LA DESIGNACIÓN Y EL RENDIMIENTO DE CUALQUIER QSA, ASV O PFI, TANTO EXPRESA COMO IMPLÍCITA, LEGAL O DE CUALQUIER OTRO TIPO, INCLUSO TODA GARANTÍA DE IDONEIDAD PARA UN FIN EN PARTICULAR. LAS ENTIDADES EMISORAS DE TARJETAS AMERICAN EXPRESS NO SON TERCEROS BENEFICIARIOS DE ESTA POLÍTICA. Sitios web útiles Seguridad de datos de American Express: http://www.americanexpress.com/datasecurity PCI Security Standards Council, LLC: http://www.pcisecuritystandards.org Página 6 AMERICANEXPRESS.COM/DATASECURITY DSOP ESP Oct 2014 APÉNDICE A: CÁLCULO DE INDEMNIZACIONES Cuando una Incidencia de Datos sólo afecte a números de cuenta de tarjetas American Express, usted deberá indemnizar a American Express inmediatamente mediante el pago de una penalización por incumplimiento. Este importe no superará los 100.000 USD por Incidencia de Datos. Cuando una Incidencia de Datos afecte a números de cuenta de tarjetas American Express con Datos Confidenciales de Autenticación, usted deberá indemnizar inmediatamente a American Express por: Fraude Incremental (definido más adelante) sufrido durante la Duración de la Incidencia de Datos y Costes de supervisión y sustitución de tarjetas por un importe (i) de 1,00 USD por cada número de cuenta de tarjeta, correspondientes a un 90 % del total de Números de Tarjeta Comprometidos y (ii) de 5,00 USD por cada número de cuenta de tarjeta, correspondientes a un 10 % del total de Números de Tarjeta Comprometidos, respectivamente, y Penalización por incumplimiento con resultado de Incidencia de Datos, por un importe máximo de 100.000 USD por Incidencia de Datos. realizados por American Express con este método son definitivos. Las obligaciones de indemnización de los Comercios en casos de Incidencias de Datos descritos en el presente documento no tendrán la consideración de daños fortuitos, indirectos, especulativos, consecuentes, especiales, punitivos ni ejemplares según el Contrato. American Express calculará el “Fraude Incremental” aplicando la siguiente metodología: Fraude Incremental = (X – Y) multiplicado por Z, donde: X= Pérdidas totales causadas por fraude a las entidades emisoras de tarjetas, salvo las retrocesiones de cargos y las pérdidas generadas por utilización fraudulenta de los Números de Tarjeta Comprometidos durante la Incidencia de Datos, divididas por el volumen total de cargos con Números de Tarjeta Comprometidos registrados por las entidades emisoras durante la Incidencia de Datos. Y= Las pérdidas totales causadas por fraude a las entidades emisoras de tarjetas, excluyendo las devoluciones de cargos y las pérdidas por fraude de solicitudes fraudulentas de tarjetas American Express en números de tarjeta no comprometidos durante la ventana de datos de eventos de incidencias, dividido por Volumen total de cargos con Números de Tarjeta no Comprometidos registrados por las entidades emisoras durante la Incidencia de Datos. Volumen total de cargos con Números de Tarjeta Comprometidos registrados por las entidades emisoras durante la Incidencia de Datos. Z= American Express excluirá de sus cálculos de Fraude Incremental y de Costes de supervisión y sustitución de tarjetas todos los números de cuenta de tarjetas American Express que hayan estado involucrados en cualquier otra Incidencia de Datos que haya afectado a números de cuenta de tarjeta American Express con Datos Confidenciales de Autenticación, siempre que American Express haya sido notificada de la otra Incidencia de Datos dentro de los doce (12) meses anteriores a la Fecha de Notificación. Todos los cálculos Página 7 AMERICANEXPRESS.COM/DATASECURITY DSOP ESP Oct 2014 APÉNDICE B: GLOSARIO Las siguientes definiciones serán aplicables exclusivamente a efectos de esta política: Tarjeta American Express, o simplemente Tarjeta, significa cualquier tarjeta, dispositivo de acceso a cuentas, o dispositivo o servicio de pago que lleve un logotipo, marca registrada, marca de servicio, nombre comercial u otro diseño o denominación de American Express o de una de sus filiales y que haya sido emitido por una entidad emisora o un número de cuenta de tarjeta Attestation of Compliance (AOC) es una declaración que describe el grado de cumplimiento del estándar PCI DSS, en el formato proporcionado por Payment Card Industry Security Standards Council, LLC. Approved Scanning Vendor (ASV) es una entidad autorizada por Payment Card Industry Security Standards Council, LLC para comprobar el cumplimiento de determinados requisitos del estándar PCI DSS mediante análisis de vulnerabilidad de entornos conectados a internet. Attestation of Scan Compliance (AOSC) es una declaración que describe el grado de cumplimiento del estándar PCI DSS mediante una exploración de la red, en el formato proporcionado por Payment Card Industry Security Standards Council, LLC. Datos de Titulares de Tarjetas tiene el significado descrito en la versión vigente en cada momento del glosario del estándar PCI DSS. Titular de Tarjeta es una persona o entidad que (i) ha suscrito con una entidad emisora un acuerdo para crear una cuenta asociada a su tarjeta o (ii) cuyo nombre figura en la tarjeta. Datos de Titulares de Tarjetas es la información de los titulares de tarjetas American Express y de las operaciones que realizan con dichas tarjetas: nombres, direcciones, números de las cuentas asociadas a las tarjetas y números de identificación de las tarjetas (CIDs). Cargo es un pago o una compra que se ha realizado con una tarjeta. Chip es un microchip integrado incrustado en una tarjeta. Contiene los datos del titular de la tarjeta y la información de la cuenta asociada. Tarjeta Chip es una tarjeta que contiene un microchip y puede solicitar la introducción de un número PIN para verificar la identidad del titular de la tarjeta o cuenta que consta en el chip, o ambos datos (en nuestra documentación también solemos denominarla “tarjeta inteligente”, “tarjeta EMV”, “ICC” o “tarjeta con circuito integrado”). Dispositivo Compatible con Chip es un dispositivo de punto de venta que dispone de una homologación/certificación válida y actual de EMVco (www.emvco.com) y que permite procesar operaciones con tarjetas chip conformes con la norma AEIPS. Número de Tarjeta Comprometido es el número de la cuenta asociada a la tarjeta American Express involucrada en una Incidencia de Datos. Página 8 AMERICANEXPRESS.COM/DATASECURITY Sus Terceros se refiere a cualquier entidad (empleados, agentes, representantes, subcontratistas, Procesadores, Proveedores de Servicios, proveedores de equipos o sistemas punto de venta o de soluciones de procesamiento de pagos, y a cualquier otra parte a la que usted pueda facilitar Datos de Titulares de Tarjetas de conformidad con el Contrato. Abono es el importe equivalente al cargo reembolsado a Titulares de Tarjetas por compras o pagos realizados con la tarjeta. Incidencia de Datos se refiere a una incidencia de uso fraudulento de claves de cifrado de American Express, o de al menos un número de cuenta asociado a una tarjeta American Express en el que se produzca un: acceso o uso no autorizado de Datos de Titulares de Tarjetas o Datos Confidenciales de Autenticación (o ambos) almacenados, procesados o transmitidos mediante sus equipos, sistemas y/o redes (o sus componentes); uso no conforme con el Contrato de dichos Datos de Titulares de Tarjetas o Datos Confidenciales de Autenticación (o ambos); y/o sospecha o confirmación de pérdida, robo o apropiación indebida por cualquier método o medio de cualquier soporte, material, registro o información que contenga dichos datos de Titulares de Tarjetas o Datos Confidenciales de Autenticación. Duración de la Incidencia de Datos es el periodo de tiempo que comienza 365 días antes de la fecha de notificación y termina 30 días después de la misma. Especificaciones EMV son las especificaciones elaboradas por EMVCo, LLC y disponibles en http://www.emvco.com. Transacciones EMV se refiere a operaciones realizadas mediante tarjetas con circuito integrado (también conocidas como “tarjetas IC”, “tarjetas chip”, “tarjetas inteligentes”, “tarjetas EMV” o simplemente “ICC”) en puntos de venta equipados con terminales punto de venta (POS) compatibles y que dispongan de una homologación EMV válida y vigente. Las homologaciones de tipo EMV están disponibles en http://www.emvco.com. Clave de Cifrado (“clave de cifrado de American Express”), se refiere a todas las claves utilizadas para el procesamiento, la generación, la carga y/o la protección de los datos de cuentas. Abarca los siguientes tipos de claves, aunque sin limitarse a ellos: Claves de cifrado: ZMKs (“Zone Master Keys”) y ZPKs (“Zone Pin Keys”) Claves maestras utilizadas en dispositivos criptográficos seguros: LMKs (“Local Master Keys”) CSCKs (“Card Security Code Keys”) Claves PIN: BDKs (“Base Derivation Keys”), PEKs (“PIN Encryption Key”) y ZPKs Comercio de Nivel 1 – 2,5 millones o más de operaciones anuales con tarjetas American Express, o cualquier Comerciante al que American Express considere de Nivel 1. Comercio de Nivel 2 – Entre 50.000 y 2,5 millones de operaciones anuales con tarjetas American Express. DSOP ESP Oct 2014 Comercio de Nivel 3 (no designado) – Menos de 50.000 operaciones anuales con tarjetas American Express y no designado por American Express. Comercio de Nivel 3 (designado) se refiere a Comercios a los que American Express ha notificado que deben participar en el programa de cumplimiento “American Express PCI Compliance” e informar sobre su grado de cumplimiento. Proveedor de Servicios de Nivel 1 – 2,5 millones o más de operaciones anuales con tarjetas American Express, o cualquier Proveedor de Servicios al que American Express considere de Nivel 1. Proveedor de Servicios de Nivel 2 – Menos de 2,5 millones de operaciones anuales con tarjetas American Express, o cualquier Proveedor de Servicios al que American Express no considere de Nivel 1. Comerciante de Nivel EMV – Que no haya estado involucrado en ninguna Incidencia de Datos durante los 12 últimos meses y además: Procese como mínimo 50.000 operaciones anuales con tarjetas American Express Al menos un 75% del número total de operaciones del Comerciante se hagan con tarjetas físicas y se realicen en Sistemas Punto de Venta que cumplan las especificaciones EMV de American Express. Hitos 1-4 son niveles de prioridad asignados a los requisitos de PCI DSS en el enfoque priorizado de PCI (“PCI Prioritised Approach”), que se puede descargar en https://www.pcisecuritystandards.org. Fecha de Notificación es la fecha designada por American Express en la que las entidades emisoras son notificadas de una Incidencia de Datos. Aplicación de Pago tendrá en cada momento el significado indicado en el Glosario del Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (“Payment Card Industry Data Security Standard”, PCI DSS), disponible en https://www.pcisecuritystandards.org. Homologado por PCI significa que, en el momento de la implementación, la lista de empresas y proveedores homologados por PCI Security Standards Council, LLC contiene un determinado dispositivo de introducción de PIN o una determinada aplicación de pago (o ambos). Dicha lista está disponible en https://www.pcisecuritystandards.org. PCI DSS es el acrónimo del estándar de seguridad de datos de la industria de tarjetas de pago (“Payment Card Industry Data Security Standard”), que está disponible en https://www.pcisecuritystandards.org. El término PCI DSS Prioritized Approach se refiere al documento sobre el estándar de protección de datos para el sector de tarjetas de pago (PCI DSS) publicado en https://www.pcisecuritystandards.org/security_standards/p rioritized.php. el formato proporcionado por Payment Card Industry Security Standards Council, LLC. PCI Forensic Investigator o PFI es un investigador forense de PCI, una entidad autorizada por la Payment Card Industry Security Standards Council, LLC para realizar investigaciones forenses en casos de incumplimiento de normas o violación de los datos de tarjetas de pago. Requisitos de Seguridad PCI PIN son requisitos de seguridad para PIN de la industria de tarjetas de pago. Se pueden descargar en https://www.pcisecuritystandards.org. Dispositivo de Introducción de PIN tendrá en cada momento el significado indicado en el Glosario de Seguridad en las Transacciones con PIN de la Industria de Tarjetas de Pago (“Payment Card Industry PIN Transaction Security”, PTS), Puntos de Interacción (POI), Requisitos de Seguridad Modular, disponible en https://www.pcisecuritystandards.org. Sistema de Puntos de Venta (POS) es un sistema o equipo de procesamiento de información, compuesto por un terminal, un ordenador personal, una caja registradora electrónica, un lector sin contacto o motor o proceso de pagos, utilizado por un Comerciante para obtener autorizaciones o para registrar datos de transacciones, o para ambos fines. Procesador es un proveedor de servicios para Comercios que facilita el procesamiento de autorizaciones y transmisión a la red de American Express. Qualified Security Assessor (QSA) es una entidad homologada por Payment Card Industry Security Standards Council, LLC para verificar el grado de cumplimiento del estándar PCI DSS. Self-Assessment Questionnaire (SAQ) es un cuestionario de autoevaluación creado por Payment Card Industry Security Standards Council, LLC para evaluar y certificar la conformidad con el estándar PCI DSS. Datos Confidenciales de Autenticación tiene el significado descrito en la versión vigente en cada momento del glosario del estándar PCI DSS. Proveedores de Servicios son procesadores autorizados, procesadores ajenos, proveedores de pasarelas y cualesquiera otros proveedores a Comercios de equipos, software o sistemas punto de venta, o de otras soluciones o servicios de procesamiento de pagos. Operación o Transacción es un cargo o abono realizado por medio de una tarjeta. Documentación de Validación es la certificación AOC presentada con la evaluación anual “Annual Online Security Assessment” (SAQ), la AOSC y los resúmenes de los resultados obtenidos por los análisis trimestrales de la red “Quarterly Network Scans” o por la certificación anual “Annual EMV Attestation”. PCI DSS Prioritized Approach Summary & Attestation of Compliance o “PASAOC” es una declaración que describe el grado de cumplimiento del enfoque priorizado de PCI DSS, en Página 9 AMERICANEXPRESS.COM/DATASECURITY DSOP ESP Oct 2014