Manual del Programa de Certificación Privacy+ PRISM International 8735 W. Higgins Road, Suite 300 Chicago, IL 60631 United States 800.336.9793 (U.S. residents only), 847.375.6344 www.prismintl.org | info@prismintl.org Prefacio El Manual del Programa de Certificación Privacy+ fue preparado para ser usado en conexión con, y como parte de, el Programa de Certificación Privacy+ de PRISM International. PRISM International, como titular del logotipo y de las normas de Privacy+, se reserva el derecho a cuestionar en cualquier momento las reclamaciones de conformidad con el mismo, así como de revisar los procedimientos de cualquier empresa que haga dicha reclamación. También se entiende que los no participantes en el programa Privacy+ no tendrán derecho a utilizar la marca Privacy+, o cualquier facsímil o reproducción de la misma, o en relación con alguno de sus procedimientos o literatura relacionados con dichos procedimientos. Todo el contenido de PRISM International © 2014. Todos los derechos reservados. El contenido de este manual no puede ser reproducido, copiado, o difundido, todo o en parte, sin el permiso expreso de PRISM International. Este manual contiene instrucciones e información para ser usadas por empresas de registro y gestión de la información que deseen obtener la certificación a través de PRISM International. 2 Contenido Sección I. Información Básica de Privacy+. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Descripción y Objetivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Historia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Disponibilidad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Cómo Solicitarla . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Renovación de la Certificación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Política Antimonopolio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 El Ámbito de la Auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Normas de la Auditoría: Estados Unidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Normas de la Auditoría: Internacionales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Marketing y Uso del Logotipo de Privacy+ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Confidencialidad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Tarifas de Privacy+. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Sección II. Objetivos de Control y Controles Internos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Sección III. Formularios Formulario de Aprobación y Compromiso del Auditor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Formulario de Solicitud Privacy+. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Formulario A de Informe de Auditoría Privacy+ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Formulario B de Informe de Auditoría Privacy+. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 Contrato de Licencia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 3 Sección I. Información Básica de Privacy+ Institute of Certified Public Accountants [AICPA]) en los Estados Unidos, o el International Standard on Assurance Engagements (ISAE) 3402 (International Auditing and Assurance Standards Board [IAASB]) usado internacionalmente. Las empresas que obtuvieron la Certificación Privacy+ en 2012 o principios de 2013 mediante el proceso de autocertificación, continuarán teniendo la Certificación Privacy+ hasta el 31 de diciembre de 2014. Descripción y Objetivo Privacy+ es un programa de certificación internacional disponible para todas las empresas que proporcionan servicios de almacenamiento externalizado, protección de registros en papel y soportes informáticos removibles fuera de línea. La participación en Privacy+ es voluntaria y permite a las empresas demostrar públicamente su compromiso de proteger la privacidad de la información que sus clientes les confían. La Certificación Privacy+ es propiedad de, y está administrada por, PRISM International (Professional Records & Information Services Managemen), también denominada aquí como “Asociación” comercial sin fines de lucro para la industria de la gestión de la información comercial. La Certificación Privacy+ aplica sólo al almacenamiento físico y al manejo de registros en papel y soportes informáticos removibles fuera de línea de las empresas participantes. Sin limitación alguna, Privacy+ no aplica para servicios relacionados como imágenes de documentos, servicios de trituración, o cualquier otra forma de almacenamiento en la nube. Los propósitos del programa Privacy+ son • proporcionar a los participantes un medio para demostrar públicamente su compromiso de garantizar la privacidad de la información bajo su custodia • compartir recursos y mejores prácticas para ayudar a los participantes a reducir los riesgos en sus negocios • reducir el número de incidentes de violación de privacidad causados por miembros de nuestra industria, con lo que – se preserva la reputación y la confianza de nuestra industria – se reduce la probabilidad y severidad de la legislación impuesta por el gobierno a nuestra industria. Disponibilidad PRISM International ofrece la Certificación Privacy+ que se encuentra a disposición de todas las empresas que prestan servicios de almacenamiento externalizado, de protección de registros en papel y de medios informáticos removibles fuera de línea. Los miembros de PRISM International no están obligados a participar en Privacy+, sin embargo, recibirán un descuento en los precios si lo hacen. Aprovechando el poder adquisitivo de la membresía completa de PRISM International, se han negociado tasas preferenciales con la empresa de contabilidad Kirkpatrick Price para los servicios de auditoría relacionados con Privacy+. Kirkpatrick Price tiene conocimientos especializados dentro de la industria de gestión de registros e información y también tiene acceso a la red internacional de auditores de ISACA (www.isaca.org) y a auditores certificados CISA, lo que le permite realizar o gestionar las auditorías de Privacy+ en todo el mundo. Las auditorías de Privacy+ pueden ser llevadas a cabo por empresas que no sean Kirkpatrick Price siempre y cuando sean aprobadas previamente por PRISM International. PRISM International puede solicitar un permiso por escrito por medio del Formulario de Aprobación y compromiso del auditor de Privacy+. Antes de contratar una empresa de auditoría que no sea Kirkpatrick Price, los posibles solicitantes deberán compartir con su futuro auditor los formularios A y B de Informe de auditoría de Privacy+ para asegurar la disposición del auditor a completar y presentar los formularios. Historia El programa de Certificación Privacy+ fue lanzado por PRISM International en 2012. Inicialmente, Privacy+ incluía un componente de educación obligatoria, además del requisito de que los participantes auto-certificaran su implementación en una lista específica de las mejores prácticas de la industria. En 2013, se agregaron al programa las auditorías independientes, lo cual reemplazó tanto al componente educativo obligatorio como a la lista de auto-certificación. Para completar el proceso de la auditoría independiente y obtener el estatus de Certificación Privacy+, las empresas deberán de establecer controles internos diseñados para cumplir con una serie de objetivos de control, éstos habían sido diseñados por PRISM International con el objetivo de promover la privacidad de la información. Los participantes tienen la obligación de someter sus operaciones a una auditoria, la cual debe ser llevada a cabo por un auditor independiente de acuerdo con el Statement on Standards for Attestation Engagements (SSAE) Número 16 (American Cómo Solicitarla Los pasos para solicitar la Certificación Privacy+ son los siguientes: 1.Revisar minuciosamente este Manual de Privacy+ para asegurarse de que comprende tanto el programa como los objetivos de control de Privacy+, así como el proceso necesario para establecer y mantener la Certificación Privacy+. 2.Asegurar que su auditor complete el formulario de aprobación y compromiso. Tenga en cuenta que si va a utilizar un auditor distinto a Kirkpatrick Price, éste debe ser aprobado por PRISM International por escrito. Aunque no es necesario, le sugerimos que espere hasta que PRISM International apruebe su auditor antes de continuar con la auditoría ya que 4 la aprobación de su auditor por parte de PRISM International no está garantizada. 3.Presentar los siguientes formularios a PRISM International: a. Formulario de solicitud b. Contrato de licencia c. Formulario de aprobación y compromiso del auditor. 4.Recibir una factura de PRISM International por las cuotas de la solicitud, de los derechos de licencia del primer año, y, si está utilizando los servicios de Kirkpatrick Price, por los honorarios de la auditoría. Si usted está usando los servicios de una empresa de auditoría que no sea Kirkpatrick Price, se requiere una factura de PRISM International indicando que su auditor ha sido aprobado. Si su auditor no es aprobado, el personal de PRISM International lo contactará directamente. 5.Pagar la factura de PRISM dentro de los primeros 30 días de su recepción. 6.Programar la auditoría. Preferiríamos que su auditoría de Privacy+ se realizara dentro de los 6 meses posteriores a la presentación de su solicitud a Privacy+. Si su auditoría no se ha realizado pasado un año de la presentación de su solicitud, usted tendrá que presentar una nueva solicitud y pagar la cuota correspondiente. 7.Cuando su auditoría esté completa, su auditor enviará a PRISM International el formulario B del informe de auditoría de Privacy+ y los formularios A y B del informe de auditoría de Privacy+ a usted. 8.PRISM International otorgará la Certificación Privacy+ dentro de los primeros 30 días de haber recibido el formulario B del informe de auditoría llenado de manera satisfactoria. con respecto a los precios, términos o condiciones de venta, volumen, territorios o clientes. 2.PRISM International no permitirá ninguna actividad o comunicación que incluya una discusión sobre precios, métodos de fijación de precios, cuotas de venta, u otras limitaciones ya sea de tiempo, de volumen de ventas, o de asignación de territorios o clientes. 3.PRISM International no permitirá ninguna actividad de un comité de la asociación, sin consultar previamente con el asesor legal, ese implica el intercambio de información en cuanto a precios, método de fijación de precios o ventas. 4.PRISM International no participará en actividades o comunicaciones que pudieran ser interpretadas como un intento de evitar que cualquier persona o entidad tenga acceso a algún mercado o cliente de bienes o servicios, o que cualquier negocio obtenga un servicio o un suministro de bienes. 5.PRISM International no establecerá estándares para ningún producto o servicio de la industria a menos que sea voluntario y que haya llegado por consenso de la industria. 6.PRISM International no participará en ninguna actividad o comunicación que pudiera interpretarse como un acuerdo para abstenerse de comprar o usar materiales, equipos, servicios o suministros de algún proveedor. 7.PRISM International no participará en ninguna actividad que pudiera ser interpretada como una acción para impedir o limitar la investigación básica o el desarrollo de cualquier producto, proceso o servicio. El Ámbito de la Auditoría La Certificación Privacy+ se concede sobre una base de país a país; las instalaciones individuales y específicas dentro de un país no podrán ser excluidas del ámbito de la auditoría. El número y el tipo del sitio visitado dependen del auditor y de la capacidad del participante para demostrar la uniformidad del control. Durante una auditoría de Privacy+, el auditor deberá obtener suficiente evidencia mediante procedimientos de auditoría con el fin de establecer una base razonable para fundamentar una opinión sobre los controles internos que están siendo auditados. En general, los participantes con tres o menos instalaciones dentro de un país deben esperar que todas sus instalaciones sean inspeccionadas físicamente. Si el auditor determina que se puede aplicar un método de muestreo adecuado, los participantes con más de tres instalaciones dentro de un país pueden cumplir con los requisitos de la auditoría aun cuando menos del 100 % de sus instalaciones sea inspeccionado físicamente. En estos casos, el auditor debe determinar que la población de la cual se extrae la muestra es apropiada para el objetivo específico de la auditoría. Generalmente el factor determinante será la capacidad del participante para demostrar la uniformidad y la actividad de control. El tamaño necesario de la muestra para obtener evidencia suficiente dependerá tanto de los objetivos como de Renovación de la Certificación 1.Para mantener la Certificación Privacy+, las empresas deben realizar una auditoría Privacy+ cada 2 años. 2.Para renovar la certificación, las empresas solicitantes deberán repetir los pasos 2-7 (enumerados en ‘Cómo solicitarla’) antes del segundo aniversario de la certificación inicial y posteriormente cada 2 años. Teniendo en cuenta el tiempo de espera necesario para completar una auditoría, se aconseja a los participantes que comiencen el proceso de renovación al menos 6 meses antes del segundo aniversario. 3.Si PRISM International no recibe un nuevo formulario B del informe de auditoría a los 2 años de la fecha inicial de la certificación, la empresa dejará de contar con la Certificación Privacy+ y deberá dejar de utilizar el nombre y las etiquetas de Privacy+ en todos los materiales de mercadotecnia. Política Antimonopolio Todos los aspectos del programa Privacy+ deberán acatar la política antimonopolio de PRISM International. 1.PRISM International no permitirá ninguna discusión entre miembros y no miembros que intenten llegar a un acuerdo 5 la eficiencia de la muestra. Para un objetivo dado, la eficiencia de la muestra tendrá que ver con su diseño; una muestra será más eficiente que otra si logra los mismos objetivos con una muestra de menor tamaño. El número exacto, o el porcentaje, de instalaciones que requieren inspección física lo determinará el auditor del participante, basándose en los lineamientos del AICPA o de la International Federation of Accountants (IFAC) para el muestreo de auditoría. Los participantes con más de tres instalaciones deben consultar con su auditor antes de presentar una solicitud a PRISM International para saber cuántas instalaciones tendrán que ser auditadas para obtener la certificación Privacy+. auditoría ISAE 3402 Tipo 2 que es más completa (véase Tarifas de Privacy+ para más detalles). Marketing y Uso del Logotipo de Privacy+ El nombre Privacy+ y su logotipo son marcas comerciales de PRISM International. Las empresas con certificación Privacy+ están autorizadas a utilizar el nombre y el logotipo de Privacy+ en sus materiales de marketing, mientras que su certificación se mantenga activa. Las empresas que permitan que su certificación caduque están obligadas a retirar de inmediato el nombre y el logotipo de Privacy+ de todos sus materiales de marketing. Las empresas que operan en más de un país, pero que no tienen la certificación Privacy+ en todos los países en los que operan, no podrán usar el nombre o el logotipo de Privacy+ en ventas, marketing, u otras comunicaciones que puedan llegar a países donde no estén certificadas, a menos que las referencias a Privacy+ en esas comunicaciones atraigan específicamente la atención hacia los países en los que la empresa está operando pero que no está certificada (estas comunicaciones podrían incluir, pero no están limitados a, sitios web, correos electrónicos masivos, comunicaciones de redes sociales, etc.) Las empresas que no muestran adecuadamente el nombre o el logotipo de Privacy+ estarán obligadas a retirar de inmediato el nombre y el logotipo la Privacy+ de todos los materiales de marketing tras la resolución de PRISM International. Mientras su certificación se mantenga activa, las empresas con Certificación Privacy+ aparecerán por país en el sitio web de PRISM International. Normas de Auditoría: Estados Unidos En los Estados Unidos, las auditorias de Privacy+ deben realizarse de acuerdo con la SSAE No. 16, (Reporting on Controls at a Service Organization). La SSAE 16 fue diseñada para reemplazar a la norma de auditoría SAS No. 70 (Statement on Auditing Standards). Utilizando varias disposiciones establecidas por la SAS 70, la auditoría SSAE 16 añade aspectos importantes para poder ser más viables en el mercado global y ampliar el uso del servicio de informes de auditoría. Estos cambios ayudan a que la SSAE 16 sea un espejo estadounidense de la internacionalmente utilizada ISAE 3402. La SSAE 16 entra en vigor el 15 de junio de 2011. El objetivo del informe del auditor del servicio SSAE 16, también conocido como SOC 1, es ofrecer la opinión de un auditor sobre la presentación que hace una empresa de sus controles actuales en cuanto a la protección de la información de sus clientes que podrían afectar la información financiera; proporcionar una evaluación de la descripción de sus controles, y establecer si están diseñados de manera adecuada para alcanzar los objetivos de control establecidos por la organización de servicios. El informe es entregado a las organizaciones de usuarios para ayudarlos en sus auditorías independientes. Los participantes de Privacy+ pueden cubrir el requisito de auditoría ya sea con una auditoría SSAE 16 Tipo 1, o con la auditoría SSAE 16 Tipo 2 que es más completa (véase Tarifas de Privacy+ para más detalles). Confidencialidad En el proceso de tener sus operaciones auditadas, los participantes de Privacy+ estarán obligados a compartir información sobre sus operaciones con sus auditores. Se aconseja a los participantes pedir a sus auditores que firmen un acuerdo de confidencialidad para asegurar que la información compartida permanecerá confidencial. PRISM International no se hará responsable de ninguna violación de confidencialidad por parte un auditor del participante. PRISM International no pedirá a los auditores que compartan información detallada sobre los participantes de Privacy+. Sin embargo, para emitir un certificado de Privacy+ a un participante, PRISM International debe tener un poco de información básica sobre las operaciones de los participantes y también debe saber que todos los objetivos de control se cumplieron sin excepción. Como resultado, los participantes deben hacer que sus auditores completen el Formulario de Informe de Auditoría B de Privacy+. Los auditores son responsables de presentar el Formulario de informe de auditoría B de Privacy+ directamente a PRISM International. Además, cuando se considere necesario, PRISM International podrá solicitar que los participantes compartan cierta información con PRISM International, como el número de sus instalaciones dentro de un país. Normas de Auditoría: Internacionales Fuera de los Estados Unidos, las auditorías de Privacy+ deben realizarse de acuerdo con la norma ISAE No. 3402, (Assurance Reports on Controls at a Service Organization). La norma ISAE 3402 se introdujo en 2009, y proporciona una norma global que le da a los contadores públicos la capacidad de emitir informes para ser usados por las organizaciones y sus auditores. La ISAE 3042 es un reflejo internacional de la norma estadounidense SSAE 16. Los participantes de Privacy+ pueden cubrir el requisito de auditoría ya sea con una auditoría ISAE 3402 Tipo 1, o con la 6 Tarifas de Privacy+ Cuotas pata los miembros de PRISM Solicitud y derechos de licencia durante 2 años Cuotas de auditoría (auditorías válidas por 2 años desde la fecha de emisión) Honorarios totales a pagar cada dos años 1ª instalación $560 cuota por licencia $100 cuota por solicitud $2,600** por auditorías internas $2,000 por renovación de auditorías $3,260 por auditorías iniciales $2,660 por auditorías renovadas 2a y 3a instalaciones $560 cuota por licencia de instalación $2,000 por instalación $2,560 por instalación 4a–25a instalaciones $280 cuota por licencia de instalación $2,000 por instalación auditada* $2,280 por instalación auditada* 26 + instalaciones $140 cuota por licencia de instalación $2,000 por instalación auditada* $2,140 por instalación auditada* a *Muestreo de la auditoría Las organizaciones con más de tres instalaciones, podrán auditar menos del 100% de sus instalaciones siempre y cuando se pueda establece la uniformidad de los controles en todas las instalaciones (véase la sección sobre el Ámbito de la Auditoría). Sólo se les pedirá a los solicitantes que paguen las cuotas de las auditorías de las instalaciones realmente auditadas. Sin embargo, las cuotas por derecho de licencia se aplicarán a todas las instalaciones, aun cuando no se haya auditado el 100% de las instalaciones. Si el número de instalaciones cambia en el transcurso de la auditoría, PRISM International se reserva el derecho de ajustar las tarifas relacionadas con Privacy+ para que coincidan con el número real de instalaciones. Auditoría Tipo 1 versus auditoría Tipo 2 Las cuotas de la auditoría mencionadas anteriormente, se basan en las auditorías Tipo 1 (véase la sección sobre Normas de la auditoría). Kirkpatrick Price puede realizar una auditoría Tipo 2 que es más amplia con un costo adicional de $1,250 por instalación, con una cuota para una nueva auditoría de $ 1,500 si fuera necesario en caso de incumplimiento. Ambos tipos de auditorías, la 1 y la 2, son válidos para Privacy+. Cuotas por servicios fuera del territorio continental de los Estados Unidos Kirkpatrick Price sólo puede llevar a cabo auditorías fuera de los Estados Unidos continentales si todo el proceso se lleva a cabo en el idioma inglés. De lo contrario, los solicitantes con instalaciones fuera del territorio continental de los Estados Unidos pueden elegir otro auditor que no sea Kirkpatrick Price. **Taller de preparación La cuota inicial de la auditoría de la primera instalación incluye $600 para cubrir la asistencia obligatoria de un participante a un taller de preparación de Kirkpatrick Price (los gastos de viaje y el alojamiento son responsabilidad del solicitante). Se ofrecerán talleres en la Web para las empresas que están fuera de los Estados Unidos o para aquellos que no desean viajar a este país (los talleres se imparten en inglés). Cada asistente adicional pagará $600. Precio para los no miembros de PRISM International Las tasas anteriores son extensivas a todas las empresas miembro de PRISM International que estén en regla. Aquellas que no socias deben pagar una cuota adicional por derechos de licencia de $ 1,000 por cada instalación. Cuotas para una nueva auditoría Kirkpatrick Price determina que se aplicará una cuota de $750 por cada instalación que requiera ser auditada nuevamente por incumplimiento. Definición de “instalación” Una instalación se define como un edificio en el que se almacenan los registros en papel o soportes informáticos removibles fuera de línea. Los edificios de almacenamiento múltiple dentro de la misma área general que no compartan una pared común con los edificios adyacentes se considerarán instalaciones independientes. El uso de auditores que no sean Kirkpatrick Price Los aspirantes que opten por utilizar auditores que no sean Kirkpatrick Price serán responsables de negociar y pagar las cuotas de auditoría directamente a sus auditores. Sin embargo, las cuotas de la solicitud y de los derechos de licencia se deberán pagar a PRISM International antes de comenzar el trabajo de auditoría. Los auditores externos deben ser aprobados por PRISM International a través del formulario de Aprobación y Compromiso del Auditor. Cuotas Las cuotas se pagarán por adelantado por 2 años de Certificación Privacy+. Una cuota de procesamiento de 3% se aplicará a todos los pagos con tarjeta de crédito mayores o iguales a $ 5,000. Ejemplo de Escenarios de Precios Escenario Miembros de PRISM International que usan Kirkpatrick Price Miembros de PRISM International que usan otro auditor No miembros de PRISM International La empresa tiene tres locales en los Estados Unidos. La empresa quiere obtener la Certificación Privacy+ en los Estados Unidos El costo será de $4,190 por año para PRISM: Costos de 2 años: $100 de cuota de solicitud, $1,680 de derechos de licencia ($ 560 x 3), $6,600 cuotas de auditoría ($2,600 + 2 x $2,000) El costo será de $890 por año: Cuotas de solicitud y derechos de licencia para PRISM, más el costo que haya acordado con el auditor aprobado. Costo de 2 años para PRISM: $100 cuota de solicitud, $1,680 cuota de derecho de licencia ($560 x 3) El costo será el mismo que el de la izquierda, más $1,500 por año. La empresa tiene 10 instalaciones—siete en los Estados Unidos y tres en Brasil. La empresa quiere obtener la Certificación Privacy+ en los Estados Unidos y en Brasil El costo será de $9,170 por año para PRISM: Costos de 2 años: $100 de cuota de solicitud, $3,640 de derechos de licencia ($560 x 3 + 280 x 7), $14,600 cuotas de auditoría* ($2,600 + 6 x $2,000) El costo será de $1,870 por año: Cuotas de solicitud y derechos de licencia para PRISM, más el costo que haya acordado con el auditor aprobado. Costo de 2 años para PRISM: $100 cuota de solicitud, $3,640 cuota de derecho de licencia ($560 x 3 + 280 x 7) El costo será el mismo que el de la izquierda, más $5,000 por año. Enviar esta página a la oficina de PRISM International PRISM International | 8735 W. Higgins Road | Suite 300 | Chicago, IL 60631 | United States | Tel: 847.375.6344 | Fax: 847.375.6343 | E-mail: info@prismintl.org 7 Sección II. Objetivos de Control y Controles Internos Objetivo de Control 9—Seguridad de la Red Los controles proporcionan una garantía razonable de que se han implementado las mejores prácticas para restringir el acceso no autorizado a los recursos de la red interna. Objetivo de Control 10—Acceso Electrónico a los Clientes Los controles de información proporcionan una seguridad razonable de que se han implementado las mejores prácticas para proteger la información del cliente que se almacena o se transmite a través de medios electrónicos. Todas las empresas participantes en Privacy+ tendrán un conjunto exclusivo de controles internos que apoyen los objetivos de control descritos anteriormente. Los controles internos deben ser, a juicio del auditor del participante, suficientes para apoyar los objetivos de control. Para ayudar a los participantes a comprender los tipos de control internos necesarios para apoyar los objetivos de control, PRISM International proporciona una muestra de controles internos para apoyar cada objetivo de control. Estos son sólo ejemplos, los participantes pueden reemplazar o agregar controles internos individuales sobre la base de su propia evaluación interna de los riesgos de operaciones específicas. Objetivo de Control 1—Control de Organización y de Gestión Los controles proporcionan una garantía razonable de que la administración supervisa, separa las funciones, y guía el comportamiento de los empleados a través de un programa formal. • La organización cuenta con un organigrama actualizado. • La organización cuenta con un manual formal escrito para el empleado. • La organización cuenta con descripciones escritas de puestos formales. Objetivo de Control 2—Política de Seguridad de la Información Los controles proporcionan una garantía razonable de que la administración ha implementado un programa de seguridad de la información que rige las prácticas de seguridad. • La organización cuenta con una política formal escrita de seguridad de la información. • La organización cuenta con una declaración de política escrita formal que comunica cómo se accede y utilizan los datos del consumidor. • La política de seguridad de la información nombra a un administrador o responsable para supervisar el programa. • La política de seguridad de la información identifica las leyes o reglamentos que la organización debe seguir. • La política de seguridad de la información específica los procedimientos operativos para el acceso físico y el manejo Para la Certificación Privacy+, las empresas deberán establecer y realizar una auditoría por parte de un tercero. Esta auditoría valorará los controles internos diseñados para satisfacer un conjunto específico de objetivos de control destinados a preservar la privacidad de la información. Los objetivos de control han sido establecidos por PRISM International y todos los participantes de Privacy+ deben de cumplidos. Los objetivos de control son los siguientes: Objetivo de Control 1—Control de Organización y de Gestión Los controles proporcionan una garantía razonable de que la administración supervisa, separa las funciones, y guía el comportamiento de los empleados a través de un programa formal. Objetivo de Control 2—Política de Seguridad de la Información Los controles proporcionan una garantía razonable de que la administración ha implementado un programa de seguridad de la información que rige las prácticas de seguridad. Objetivo de Control 3—Evaluación de Riesgos Los controles proporcionan una garantía razonable de que la administración ha implementado una función de evaluación de riesgos para identificar nuevos riesgos o cambios en el entorno que requerirían modificar los controles. Objetivo de Control 4—Control de Recursos Humanos Los controles proporcionan una garantía razonable de que los empleados y los contratistas comprenden sus responsabilidades de seguridad y que son aptos para las funciones para las que han sido considerados. Objetivo de Control 5—Gestión del Vendedor Los controles proporcionan una garantía razonable de que las terceras personas comprenden sus responsabilidades de seguridad y que son capaces de cumplir con los requisitos de seguridad de la organización. Objetivo de Control 6—Control de Acceso Físico Los controles proporcionan una garantía razonable de que se impide el acceso no autorizado a las zonas seguras de los lugares de almacenamiento tanto administrativos como de información. Objetivo de Control 7—Controles Ambientales Los controles proporcionan una garantía razonable de que los efectos negativos de los factores ambientales se mitigan eficazmente. Objetivo de Control 8—Controles Lógicos de Acceso Los controles proporcionan una garantía razonable de que los mecanismos lógicos de acceso están en su lugar para restringir adecuadamente el acceso a las aplicaciones, datos, recursos de red y sistemas operativos. 8 de la información del cliente almacenada físicamente o electrónicamente en el sitio de la organización. • La política de seguridad de la información especifica el procedimiento para respuestas ante incidentes que cumple con el Requisito 12.9. de la norma Payment Card Industry Data Security Standard (PCI DSS). • La política de seguridad de la información especifica los métodos para la capacitación de los empleados para ser llevada a cabo por lo menos una vez al año. • La política de seguridad de la información especifica los procedimientos disciplinarios para los empleados que violen la política. Objetivo de Control 3—Evaluación de Riesgos Los controles proporcionan una garantía razonable de que la administración ha implementado una función de evaluación de riesgos para identificar nuevos riesgos o cambios en el entorno que requerirían modificar los controles. • La organización cuenta con un plan formal escrito de evaluación de riesgos. • La organización lleva a cabo una evaluación de riesgos, al menos anualmente, lo que da como resultado la documentación de amenazas y planes de mitigación. Objetivo de Control 4—Control de Recursos Humanos Los controles proporcionan una garantía razonable de que los empleados y los contratistas comprenden sus responsabilidades de seguridad y que son aptos para las funciones para las que han sido considerados. • La organización lleva a cabo verificaciones de los antecedentes de los potenciales empleados, incluyendo antecedentes penales, de crédito, de empleos anteriores y controles de referencias. • Todos los empleados y contratistas firma un acuerdo de confidencialidad. • La organización ha documentado los procedimientos de contratación y terminación de contrato para proporcionar o retirar el acceso a la información de los clientes. Objetivo de Control 5—Gestión del Vendedor Los controles proporcionan una garantía razonable de que las terceras personas comprenden sus responsabilidades de seguridad y que son capaces de cumplir con los requisitos de seguridad de la organización. • La organización cuenta con un proceso de selección formal para evaluar las capacidades de terceros y la prestación de servicios. • Todos los vendedores firman un acuerdo de confidencialidad. • La organización comunica a cada proveedor las responsabilidades contractuales de seguridad. Objetivo de Control 6—Control de Acceso Físico Los controles proporcionan una garantía razonable de que se impide el acceso no autorizado a las zonas seguras de los lugares de almacenamiento tanto administrativos como de información. • Todos los puntos de acceso a la instalación están bloqueados o tienen un mecanismo electrónico de acceso. • La instalación está equipada con una alarma antirrobo y vigilada las 24 horas durante los 7 días de la semana. • Todos los puntos de entrada están monitoreados en todo momento. • Todos los visitantes proporcionan una identificación válida y firman un registro para poder entrar. • Todos los visitantes llevan un distintivo que los identifica claramente como visitantes. • Todos los visitantes son acompañados en todo momento por un empleado autorizado, a no ser que estén previamente autorizados como visitantes conocidos, como vendedor habitual por ejemplo. • Los vehículos desatendidos que contienen la información del cliente son cerrados con llave. • Se inscriben las entradas a los sitios donde se encuentran los registros de los clientes, ya sea manual o electrónicamente. • Se mantiene un estricto control de la distribución interna o externa de cualquiera de los medios, incluyendo los siguientes controles: – Clasificar los materiales para que la sensibilidad de los datos pueda ser determinada. – Enviar los materiales por correo seguro u otro método de entrega que se pueda controlar con precisión. Objetivo de Control 7—Controles de Ambientales Los controles proporcionan una garantía razonable de que los efectos negativos de los factores ambientales se mitigan eficazmente. • La instalación está equipada con un sistema de extinción de incendios. • La instalación está equipada con un sistema de detección de incendios y vigilada las 24 horas durante los 7 días de la semana. • Los servidores de operación crítica, incluyendo aquellos que contienen información propiedad del cliente, están equipados con sistemas de respaldo de batería. • Los servidores de operación crítica se enfrían adecuadamente dentro de una sala de de cómputo cerrada. Objetivo de Control 8—Controles Lógicos de Acceso Los controles proporcionan una garantía razonable de que los mecanismos lógicos de acceso están en su lugar para restringir adecuadamente el acceso a las aplicaciones, datos, recursos de red y sistemas operativos. • Cada cuenta de usuario es autorizada de acuerdo con las necesidades del negocio. Todos los privilegios se asignan sobre la base de la clasificación del puesto y la función. • Existe un procedimiento formal de registro y cancelación de registro de usuarios para otorgar y revocar el acceso a todos los sistemas de información y servicios. 9 • Las contraseñas de los empleados deben ser cambiadas en intervalos designados que no excedan los 90 días. • Los sistemas están configurados para reforzar una construcción sólida de contraseñas (al menos 7 caracteres, caracteres alfa-numéricos con al menos un carácter especial), siempre y cuando el software actual sea compatible con esta función. • Los clientes pasan por un proceso de autorización predeterminado antes de tener acceso a las herramientas de gestión de registros. Objetivo de Control 9—Seguridad de Red Los controles proporcionan una garantía razonable de que se han implementado las mejores prácticas para restringir el acceso no autorizado a los recursos de la red interna. • Existe un servidor de seguridad en cada conexión a internet y entre todas las redes inalámbricas. • Se llevan a cabo escaneos externos de vulnerabilidades al menos cada tres meses o después de cualquier cambio significativo en la red para validar e identificar cualquier vulnerabilidad en la configuración. • Existen aplicaciones antivirus y antimalware instaladas en todos los sistemas comúnmente afectados por códigos maliciosos, configuradas con actualizaciones automáticas. • La gestión de parches se realiza al menos cada tres meses, en el caso de las emisiones críticas, se realiza cada 30 días. Objetivo de Control 10—Acceso Electrónico a los Clientes Los controles de información proporcionan una seguridad razonable de que se han implementado las mejores prácticas para proteger la información del cliente que se almacena o se transmite a través de medios electrónicos. • Los sitios Web o los servicios públicos basados en el navegador usan el protocolo de seguridad SSL (Secure Sockets Layer) al acceder a la información del cliente. 10 Formulario de Aprobación y Compromiso del Auditor Fecha Nombre de la empresa Sitio Web de la empresa Nombre de la persona que realiza la auditoría Nombre de la empresa Privacy+ solicitante que será auditada Si la auditoría va a ser realizada por un tercero, se debe de tratar de una empresa CPA calificada. La empresa CPA debe contar con experiencia previa en la realización de evaluaciones de acuerdo con la Statement on Standards for Attestation Engagements No. 16, debe estar registrada en PCAOB, con licencia obtenida directamente o a través de la equivalencia NASBA del estado en el que opere el miembro, y contar con la certificación CISA® o CISSP®. ¿La empresa que va a realizar la auditoría cumple con las normas antes mencionadas? o Sí o No Si no es así, describa por favor cómo es exactamente que la empresa no cumple con los estas normas. ¿Esta empresa de contabilidad o empresa CPA independiente está siendo contratada por la empresa que será auditada? o Sí o No ¿En qué país(es) va a realizar la auditoría de las instalaciones del solicitante? ¿Cuántas instalaciones* del solicitante en total operan en este país? ¿Cuántas del total de instalaciones planea inspeccionar físicamente para la auditoría? Mi empresa y yo hemos revisado los materiales del Manual de Privacy+ y estamos de acuerdo con los procedimientos y requisitos establecidos para la realización de una Auditoría Privacy+. Afirmamos además que la información presentada en este Formulario de aprobación y compromiso del auditor es correcta y exacta. Fecha Firma de la persona que realiza la revisión Fecha Firma de la empresa CPA que supervisará la auditoría si es diferente *Una instalación se define como un edificio en el que se almacenan los registros en papel o medios informáticos removibles fuera de línea. Los edificios de almacenamiento múltiple dentro de la misma área general que no compartan una pared común con los edificios adyacentes se considerarán instalaciones independientes. Para uso exclusivo de la oficina de PRISM: ¿El auditor es aceptado? Fecha de procesamiento Enviar esta página a la oficina de PRISM International PRISM International | 8735 W. Higgins Road | Suite 300 | Chicago, IL 60631 | United States | Tel: 847.375.6344 | Fax: 847.375.6343 | E-mail: info@prismintl.org 11 Formulario de Solicitud Privacy+ Fecha Nombre de la empresa Persona de contacto para Privacy+ Dirección CiudadProvincia/Estado Código Postal/ZIP País Teléfono Fax Correo electrónico Sitio web ¿Es usted actualmente miembro de PRISM International? o Sí o No ¿Va a utilizar los servicios de Kirkpatrick Price para la auditoría Privacy+? o Sí o No ¿En qué país(es) desea tener la certificación Privacy+?____________________________________________________________ ¿Cuántos instalaciones* en total opera su empresa en estos países?_________________________________________________ Si ha optado por excluir las instalaciones, por favor, explique por qué. ________________________________________________ Nuestra empresa ha revisado el Manual de Certificación Privacy+ y tiene la intención de solicitar la Certificación Privacy+. Adjunto encontrará nuestro o Contrato de licencia firmado o Formulario de aprobación y compromiso del auditor o Entiendo que PRISM International me facturará por adelantado las cuotas de solicitud, de auditoría (si uso el servicio Kirkpatrick Price), y de derechos de licencia por 2 años. Después de que mi empresa haya pagado las cuotas por adelantado, se podrá proceder con la Auditoría Privacy+. o Entiendo que si el número o el ámbito de la auditoría cambia en el transcurso de la misma, PRISM International se reserva el derecho de ajustar las tarifas asociadas a Privacy+ para que coincidan con el número de instalaciones revisadas o con el ámbito de la auditoría. * Una instalación se define como un edificio en el que se almacenan los registros en papel o medios informáticos removibles fuera de línea. Los edificios de almacenamiento múltiple dentro de la misma área general que no compartan una pared común con los edificios adyacentes se considerarán instalaciones independientes. La instalación debe excluirse si la ubicación no incluye el almacenamiento de registros físicos y/o medios informáticos fuera de línea. Pago (debe acompañar la inscripción) o o o o o Cheque (anexar) •Se cobrarán $25 por refacturar un cargo de tarjeta de crédito. •Una cuota de procesamiento de 3% se aplicará a todos los pagos con tarjeta de crédito mayores o iguales a $ 5,000. •En caso de un error de cálculo, autorizo a PRISM a cargar a mi tarjeta de crédito la cantidad que PRISM estime pertinente. •Haga el cheque a nombre de PRISM International. •Los cheques que no sean en dólares estadounidenses serán devueltos. Cheque número______________________ Se hará un cargo de $25 por cheque devuelto por falta de fondos. Número de cuenta Fecha de caducidad Firma Nombre del titular (en letra de imprenta) Enviar esta página a la oficina de PRISM International PRISM International | 8735 W. Higgins Road | Suite 300 | Chicago, IL 60631 | United States | Tel: 847.375.6344 | Fax: 847.375.6343 | E-mail: info@prismintl.org 12 Formulario A de Informe de Auditoría—El auditor lo entregará únicamente a la empresa que será auditada (NO ENTREGAR A PRISM INTERNATIONAL) Nombre de la empresa a ser auditada Dirección Nombre del contacto País(es) para el (los) cual (es) se está buscando la Certificación Privacy+ Teléfono Correo electrónico Nombre del auditor (en letra de imprenta) Fecha Firma del auditor Nombre de la empresa Indique si la empresa cumple con cada uno de los objetivos de control de Privacy+ que se enumeran a continuación. Áreas Cumple (X) No cumple (X) Comentarios Objetivo de Control 1—Control de Organización y de Gestión Los controles proporcionan una garantía razonable de que la administración supervisa, separa las funciones, y guía el comportamiento de los empleados a través de un programa formal. Objetivo de Control 2—Política de Seguridad de la Información Los controles proporcionan una garantía razonable de que la administración ha implementado un programa de seguridad de la información que rige las prácticas de seguridad Objetivo de Control 3—Evaluación de Riesgos Los controles proporcionan una garantía razonable de que la administración ha implementado una función de evaluación de riesgos para identificar nuevos riesgos o cambios en el entorno que requerirían modificar los controles Objetivo de Control 4—Control de Recursos Humanos Los controles proporcionan una garantía razonable de que los empleados y los contratistas comprenden sus responsabilidades de seguridad y que son aptos para las funciones para las que han sido considerados Objetivo de Control 5—Gestión del Vendedor Los controles proporcionan una garantía razonable de que las terceras personas comprenden sus responsabilidades de seguridad y que son capaces de cumplir con los requisitos de seguridad de la organización. Objetivo de Control 6—Control de Acceso Físico Los controles proporcionan una garantía razonable de que se impide el acceso no autorizado a las zonas seguras de los lugares de almacenamiento tanto administrativos como de información. Objetivo de Control 7—Controles de Ambientales Los controles proporcionan una garantía razonable de que los efectos negativos de los factores ambientales se mitigan eficazmente. Objetivo de Control 8—Controles Lógicos de Acceso Los controles proporcionan una garantía razonable de que los mecanismos lógicos de acceso están en su lugar para restringir adecuadamente el acceso a las aplicaciones, datos, recursos de red y sistemas operativos. Objetivo de Control 9—Seguridad de Red Los controles proporcionan una garantía razonable de que se han implementado las mejores prácticas para restringir el acceso no autorizado a los recursos de la red interna. Objetivo de control 10—Acceso Electrónico a los Clientes Los controles de información proporcionan una seguridad razonable de que se han implementado las mejores prácticas para proteger la información del cliente que se almacena o se transmite a través de medios electrónicos. Enviar esta página a la oficina de PRISM International PRISM International | 8735 W. Higgins Road | Suite 300 | Chicago, IL 60631 | United States | Tel: 847.375.6344 | Fax: 847.375.6343 | E-mail: info@prismintl.org 13 Formulario B de Informe de Auditoria—El auditor* lo entrega a la empresa que será auditada y a PRISM International Nombre de la empresa a ser auditada Fecha Nombre de la empresa auditora Auditor/Nombre del contacto Dirección CiudadProvincia/Estado_______________ Código Postal/ZIP Teléfono Fax Correo electrónico Sitio web País(es) para el (los) cual (es) se está buscando la Certificación Privacy+ Núm. total de instalaciones** en el (los) país(es) donde se busca la certificación País Núm. real de instalaciones inspeccionadas físicamente por el auditor de acuerdo con la auditoría de Privacy+ Dirección(es) de la(s) instalaciones donde se busca obtener la certificación (adjuntar lista por separado si es necesario). Estado de la Auditoría: Fecha:��������������La Empresa cumple, en todas sus instalaciones en el (los) país(es) antes mencionado(s), en todos sus aspectos significativos y sin restricción, todos los objetivos de control efectivos a la fecha de hoy, que se enumeran en el Manual de Certificación Privacy+. Fecha:��������������La Empresa no cumple con los objetivos de control efectivos a la fecha de hoy. Certificamos que la empresa arriba mencionada, a partir de las fechas indicadas en el campo “Fecha”, ha sido auditada de acuerdo a las normas SSAE 16 o ISAE 3402. Certificamos que la fecha más reciente que aparece más arriba indica los resultados o la situación de nuestra auditoría. Para uso exclusivo de la oficina de PRISM Nombre del titular (en letra de imprenta) Fecha de recepción: Firma del auditor Fecha de procesamiento: Fecha *Los auditores deben cumplir con ciertos requisitos para llevar a cabo auditorías de conformidad con Privacy+. Por favor consulte el Formulario de aprobación y compromiso del auditor de Privacy+. **Una instalación se define como un edificio en el que se almacenan los registros en papel o medios informáticos removibles fuera de línea. Los edificios de almacenamiento múltiple dentro de la misma área general que no compartan una pared común con los edificios adyacentes se considerarán instalaciones independientes. Enviar esta página a la oficina de PRISM International PRISM International | 8735 W. Higgins Road | Suite 300 | Chicago, IL 60631 | United States | Tel: 847.375.6344 | Fax: 847.375.6343 | E-mail: info@prismintl.org 14 Contrato de Licencia Favor de completar la información solicitada en el presente Contrato de licencia. Haga una copia y firme ambas copias. Devuelva ambas copias firmadas a PRISM International. PRISM International formalizará una copia y la otra le será devuelta para que usted la tenga en sus archivos. Fecha Empresa Dirección CiudadProvincia/Estado Código Postal/ZIP País Persona de contacto TeléfonoFax Lista de los sitios de otras instalaciones (Adjuntar otra hoja si es necesario) La empresa anteriormente mencionada solicita a PRISM International (Asociación) una licencia para exhibir el logotipo de Privacy* en conformidad con los términos de este Contrato de licencia. Las obligaciones y acuerdos de PRISM International, según lo establecido en este documento, están condicionados expresamente al cumplimiento continuo de la empresa de conformidad con los términos y condiciones establecidos en el presente Contrato y en el Manual de Certificación de Privacy+. 1. General 1.1 Definiciones: Cuando se utilicen en el presente Contrato, los siguientes términos tendrán el siguiente significado: A. Marca Privacy+: La marca y el logotipo propiedad de PRISM International cuya licencia de uso la tendrán las empresas que hayan finalizado el proceso de certificación y protección de datos. B. Empresa: Empresas de gestión externalizada de registros e información con fines de lucro que soliciten la Certificación de Privacy+. Como ejemplo están los centros de registros comerciales y operaciones de bóveda de resguardo de medios. C. Auditor: Empresa auditora aprobada por PRISM International para que evalúe si la empresa ha cumplido con los requisitos de Privacy+. D. Certificación / Certificado: Certificación por parte de PRISM International, con base en un informe de auditoría, de que la empresa cumple con los requisitos de las normas Privacy+ establecidos en el Manual de Certificación de Privacy+. E. Auditoría: Informe emitido a la empresa por la empresa auditora. F. Comité: El grupo de trabajo de PRISM Privacy+ o su sucesor. G. Fecha de vigencia: La fecha a partir de la cual una empresa certificada, o un nuevo solicitante de la Certificación Privacy+, debe cumplir con los requisitos de Privacy+, como fue reconocido por escrito por PRISM International. 1.2 El presente Contrato se regirá por las leyes del Estado de Illinois. 1.3 Cualquier notificación requerida en virtud del presente se considerará entregada si es enviada correctamente por correo electrónico, el servicio de correos de los Estados Unidos y con porte prepagado de primera clase o, en el caso de una empresa extranjera, por el servicio de correos de su país. 1. 4Las facturas emitidas por PRISM International se pagarán dentro de los primeros 30 días. Las facturas que no se resuelvan dentro de los 60 días siguientes a la fecha de facturación, deberán ser revocadas de este Contrato de licencia. El restablecimiento de este Contrato se obtendrá mediante el pago de todos los cargos pendientes, más una cuota de $100 por reincorporación. Si no se obtiene la reincorporación, PRISM International podrá, después de 90 días, informar a la empresa sobre la revocación. 1.5 La Certificación Privacy+ será llevada a cabo conforme a los requisitos establecidos en el Manual de Certificación vigentes en el momento de la auditoría inicial o de cualquiera auditoría posterior. 1.6 Se anima a la empresa certificada a usar la Marca Privacy+. 1.7 Las empresas y sus auditores son instruidos expresamente a no presentar resultados detallados de sus auditorías. Ninguna información relacionada con una auditoría o certificación podrá ser divulgada a persona o personas, salvo (a) por la empresa o (b) por PRISM International en respuesta a una citación u otro proceso legal. PRISM International no tiene el deber ni la obligación a resistirse a una citación válida u otro requisito legal. PRISM International, sin embargo, deberá notificar de inmediato a cualquier empresa de cualquier citación judicial dirigida a la empresa. Si la empresa opta por divulgar un informe de auditoría, deberá ser el informe completo, junto con cualquier limitación de responsabilidad del auditor que se incluya. PRISM International deberá acordar por escrito mantener en estricta confidencialidad toda la información confidencial proporcionada por la empresa o en relación con los procedimientos de la misma. No será una violación de la confidencialidad de PRISM International divulgar las auditorías o sus resultados si lo hace en respuesta a una citación u otro proceso legal, o requerido por ley. 1.8 Si la empresa certificada altera o modifica los procedimientos de una empresa certificada en la medida en que es razonable suponer que su certificación se ve afectada, dichas alteraciones o procedimientos modificados deberán ser aprobados por el auditor ya sea por análisis o por auditoría a fin de conservar la certificación. 1.9 La empresa certificada podrá ser cualquier empresa sin importar que sea o no miembro de PRISM International. 2. Privacy+ Licencia de Marca 2.1 Sólo con el propósito de identificar los procedimientos certificados por Privacy+, de acuerdo con los términos de esta Solicitud y Contrato, se le concede a la empresa certificada una licencia no exclusiva, intransferible y revocable (“Licencia”) para exhibir la Marca Privacy+ de PRISM International. 2.2 Sin embargo, la licencia concedida en 2.1 está expresamente condicionada al completo y continuo cumplimiento de todos los términos y condiciones establecidos en este Contrato de licencia, incluyendo los siguientes: A. La empresa certificada sigue cumpliendo con el Manual de Certificación y con los procedimientos establecidos en esta Solicitud y Contrato, y se limita a usar la Marca Privacy+ durante el período de certificación. B. La empresa certificada siempre deberá acompañar la Marca Privacy+ de PRISM International con el símbolo ™. 2.3 Al aceptar esta licencia, la empresa certificada reconoce por medio del presente que PRISM International posee de manera exclusiva y válida la Marca Privacy+, en todo su derecho, título e interés. La empresa certificada renuncia expresamente a cualquier derecho que pudiera tener o haya tenido a disputar dicha propiedad y se compromete a no impugnar o perjudicar de manera alguna los derechos, títulos e intereses de PRISM International. La empresa certificada reconoce y acepta que: (i) no utilizará la Marca Privacy+ de manera que pudiera disminuir el valor comercial de la Marca Privacy+, (ii) no utilizará, a sabiendas, Enviar esta página a la oficina de PRISM International PRISM International | 8735 W. Higgins Road | Suite 300 | Chicago, IL 60631 | United States | Tel: 847.375.6344 | Fax: 847.375.6343 | E-mail: info@prismintl.org 15 o permitirá el uso de cualquier marca, nombre o imagen que pueda causar confusión con la Marca Privacy, (iii) toda la clientela asociada con el uso de la Marca Privacy+ redundará en PRISM International, (iv) la Marca Privacy+ es y seguirá siendo propiedad exclusiva de PRISM International, y (v) ninguna disposición en el presente Contrato conferirá a la empresa certificada derecho alguno de propiedad de la Marca Privacy+, y la compañía certificada no hará ninguna declaración en este sentido, o utilizará la Marca Privacy+ de una manera que sugiera que tales derechos se confieren. 2.4 El alcance de esta licencia es mundial. 2.5 PRISM International se reserva expresamente su derecho a conceder licencias similares a otras entidades que cumplan con los procedimientos contemplados en los lineamientos de Privacy+ ya sea que dichos procedimientos compitan o no con los procedimientos de la empresa certificada. 2.6 A petición del abogado de la Asociación, la empresa certificada se compromete a proporcionar una muestra representativa de cualquier anuncio impreso o electrónico, literatura, o etiqueta elaborada por la empresa certificada utilizando la Marca Privacy+. A petición del abogado de la Asociación, la empresa certificada se compromete además a presentar cualquier modificación de la misma, solicitada en un plazo de 30 días. La empresa certificada se compromete a no alterar o modificar la Marca Privacy+. 2.7 La licencia concedida en este documento a la empresa certificada no es transferible ni divisibles a menos que cuente con el consentimiento previo por escrito de PRISM International. Dicho consentimiento podrá retenerse a discreción, única y absoluta, de PRISM International. Cualquier cesión o transferencia sin dicho consentimiento será nula y carecerá de valor y podrá invalidar la certificación según lo determinado por PRISM International. Al expedir esta licencia, PRISM International no asume ninguna responsabilidad por los actos u omisiones de la empresa certificada o de sus directores, funcionarios, propietarios, socios, empleados o agentes. A excepción de las reclamaciones por infracción de marcas relacionadas con Privacy+, la empresa certificada deberá indemnizar y mantener indemne tanto a PRISM International, como a sus funcionarios, directores, miembros y agentes en relación con cualquier reclamación o acción en contra de los mismos presentada por un tercero en función de cualquier acto u omisión de la empresa, sus directores, funcionarios, propietarios, socios, empleados o agentes, incluyendo las resoluciones, transacciones, costos y honorarios de abogados asociados a tales reclamaciones o acciones en contra. 2.8 PRISM International publicará periódicamente actualizaciones de las listas y sitios web de las empresas que han sido certificadas por Privacy+, que se encuentran en regla, y que cuentan con el permiso de la Marca Privacy+. 2.9 Se calculará y pagará una cuota de licencia que es independiente de cualquier otra comisión o pago establecido en esta Solicitud y Acuerdo de conformidad con la lista de cuotas de Privacy+. Los derechos de licencia se pagarán dentro de los primeros 30 días de la recepción de la factura. Cualquier incumplimiento de pago de la licencia dentro de los 60 días dará lugar a la revocación inmediata y automática de la licencia concedida en este documento; su restablecimiento se efectuará de conformidad con la Sección 1.4 en el presente documento. 2.10La empresa no podrá utilizar u ofrecer como prueba de Certificación Privacy+ ningún informe emitido por el auditor, con excepción de los procedimientos existentes cuando dicha certificación se encontraba en vigor. La emisión, o período de vigencia, del informe deberá estar supeditado al cumplimiento de todos los aspectos relacionados con las disposiciones de la presente Solicitud y Manual de Certificación. 2.11Posteriormente a la terminación de este Contrato de licencia por cualquier motivo, la empresa certificada no deberá utilizar la Marca Privacy+ de PRISM International hasta que esta última lo apruebe por escrito. 2.12La empresa certificada, sus directores, funcionarios, propietarios, socios, empleados y agentes deberán en todo momento realizar sus obligaciones profesionales cumpliendo con las leyes federales, estatales y locales y no emprenderán ninguna acción u omisión que pueda desacreditar a PRISM International o a la profesión de gestión de registros e información. 3.Inspección y pruebas continuas de certificación 3.1 La empresa certificada deberá proveer para su inspección los procedimientos actuales de la empresa, ya sea en la sede de la empresa, otro punto de operación, o cualquier otro lugar, según se coordine con el auditor. La empresa deberá mantener con el auditor una lista actual de todos los lugares de operación. 3.2 La empresa deberá cooperar en todo momento con el auditor para facilitar las inspecciones. 3.3 La renovación o continuación de la Certificación Privacy+ se basará en el cumplimiento de la empresa de las disposiciones de esta Solicitud y Manual de Certificación. 4.Actualizaciones de los requisitos de Privacy+ 4.1 Una vez establecida la fecha de vigencia de los requisitos, ya sean nuevos o revisados, aplicables a cualquier Certificación Privacy+, PRISM International publicará de inmediato un Manual de Certificación revisado. 5. Procedimientos que indican de manera inapropiada una Certificación de Privacy+. 5.1 Si PRISM International se da cuenta de que alguna empresa certificada utiliza alguna marca que pretende indicar que una empresa tiene la Certificación Privacy+, cuando en realidad dicha empresa no cumple con los requisitos, PRISM International deberá notificar el hecho a la empresa certificada. La empresa certificada debe suspender inmediatamente el uso de la marca de Certificación de Privacy+. Si la empresa certificada desea ejercer una apelación se deberá aplicar lo establecido en la Sección 6. 5.2 Si la empresa certificada no suspende y desiste, la Junta Directiva de PRISM International tendrá el derecho de iniciar acciones legales. 6. Procedimientos de la apelación 6.1 La compañía certificada tendrá derecho a apelar las acciones de PRISM International siempre y cuando dichas acciones no se relacionen con la auditoría realizada por un tercero independiente, y cualquier asunto que una empresa certificada tenga con un auditor deberá tratarla directamente con el auditor. Después de 30 días de la apelación realizada por la compañía certificada, PRISM International deberá llevar a cabo una audiencia no vinculante. Si la audiencia no tiene éxito, la empresa certificada contará con 15 días naturales para notificar a PRISM International por escrito sobre su intención de buscar arbitraje. El arbitraje y la selección del árbitro deberán seguir las reglas de la American Arbitration Association o de su sucesora. El arbitraje debe llevarse a cabo en Chicago, Illinois. Ambas partes están de acuerdo en que están obligadas por la decisión del árbitro, la cual deberá ser asentada por escrito y presentar una base objetiva para cualquier conclusión. Cualquier decisión del arbitraje por parte del jurado, se podrá presentar a un tribunal con jurisdicción apropiada para su aplicación. Todos los gastos relacionados con el proceso de arbitraje serán pagados en su totalidad por la empresa certificada. Si el fallo es a favor de la empresa certificada, PRISMA International le reembolsará el 50% de los gastos relacionados con el proceso de arbitraje. 6.2 La audiencia se programará en una fecha que le permita a la empresa certificada prepararse, por lo menos 30 días después de que la empresa certificada indique su intención de apelar. La empresa certificada tendrá derecho a asistir a la audiencia de arbitraje, a ser escuchada, y a estar representada por un abogado. La empresa certificada puede participar vía telefónica. 6.3 Ninguna de las disposiciones del presente contrato impedirá que PRISM International tome medidas legales si es necesario para evitar el uso ilegal o transgresiones en el uso de la Marca Privacy+, incluyendo el derecho a una orden judicial de restricción que impida a cualquier empresa certificada violar los derechos de PRISM International en la Marca Privacy+. 7. Cancelación y revocación de la solicitud de Certificación Privacy+ 7.1 En el caso de violación de cualquiera de las disposiciones de esta Solicitud o de los términos en este documento por la empresa certificada, y previa notificación por escrito especificando tal violación enviada por correo a la empresa certificada, PRISM International deberá, además de cualquier otro recurso que tenga conforma a derecho o equidad : (a) cancelar esta Solicitud y Acuerdo, y (b) revocar y suspender cualquiera o todas las certificaciones emitidas al solicitante, incluyendo la Licencia otorgada en la Sección 2 en el presente documento. La terminación del presente Acuerdo también dará por terminado la Certificación Privacy+ de la empresa certificada, sin embargo, siempre y cuando los artículos 1.7, 2.8, 2.9, 2.13, 6., 7., y 8 se conservaran y continuarán vigentes. 8. Limitaciones de responsabilidad 8.1 En consideración adicional con el auditor que lleva a cabo las revisiones, la compañía certificada por este medio libera a PRISM International, a sus oficiales, directores, miembros y agentes de cualquiera y todas las reclamaciones o pérdidas, daños y perjuicios de cualquier naturaleza, que provengan o estén relacionadas con tales auditorías o la negación de la Certificación como resultado de la misma, o la revocación o cancelación de la misma en las condiciones aquí expuestas. 8.2 Además de lo estipulado en 8.1, si la empresa certificada señala de manera ilícita (por medio del mal uso de la marca que indica la certificación de Privacy+ o de cualquier otra forma) que está certificada, la empresa deberá indemnizar y eximir de toda responsabilidad y gastos a PRISM International, incluyendo los honorarios razonables del abogado adjudicados a PRISM International por razones de tal acto ilícito llevado a cabo por la empresa o por razones de daños o perjuicios que resulten directa o indirectamente de dicha Certificación de Privacy+. 8.3 Ni PRISM International ni la empresa certificada serán responsables en caso de retraso o incumplimiento de los acuerdos que deban cumplir, si la demora o incumplimiento se debe a bombardeos, invasiones, u otros actos de guerra por cualquiera de las fuerzas armadas de los Estados Unidos o cualquier otra nación o territorio; por insurrecciones, disturbios, huelgas, terremotos, incendios, inundaciones, o situaciones de fuerza mayor, o por la imposibilidad real de obtener materiales o personal para llevar a cabo los servicios, u otras condiciones más allá del control razonable del solicitante o la empresa certificada ya sea del tipo o naturaleza especificados en este documento o de cualquier otra índole. 8.4 Esta Solicitud se convertirá en un contrato entre la empresa certificada y PRISM International a partir de que ésta señale su aceptación en el espacio de más abajo. Ambas han acordado que este instrumento y sus anexos contienen todos y los únicos acuerdos entre PRISM International y la empresa certificada, y que ningún agente o representante de ninguna de las partes ha hecho ninguna declaración, representación o argumento, verbal o escrito, modificando, contradiciendo, o añadiendo algo a estos términos y condiciones. 9.Revisiones y vigencia 9.1 PRISM International se reserva el derecho de modificar el Manual de Certificación, la Solicitud y el Acuerdo y a emitir un nuevo Acuerdo que se convertirá en Contrato entre la empresa certificada y PRISM International al ser aceptado por escrito por ambas partes. Enviar esta página a la oficina de PRISM International PRISM International | 8735 W. Higgins Road | Suite 300 | Chicago, IL 60631 | United States | Tel: 847.375.6344 | Fax: 847.375.6343 | E-mail: info@prismintl.org 16 9.2 A menos que se rescinda antes del plazo, conforme lo estipulado en la Sección 7, o debido a que la empresa certificada decida no recertificar, esta aplicación será válida por 2 años a partir de la fecha de aceptación por parte de PRISM International. 10.4Para los efectos de este Acuerdo, un documento (o las firmas en la página correspondiente) firmado y transmitido por fax o facsímil deberá ser considerado como documento original. Para los efectos de este Acuerdo, la firma de cualquiera de las partes en este documento se considerará como firma original y el documento transmitido tendrá el mismo efecto vinculante que la firma original de un documento original. A petición de cualquiera de las partes, cualquier documento en facsímil o fax volverá a ser elaborado en forma original por las partes que ejecutaron el documento en facsímile o fax. Ninguna de las partes podrá argumentar el uso de una máquina de facsímil o fax, o el hecho de que la firma haya sido transmitida a través de una máquina de facsímil o fax, como justificación para el cumplimiento de este Acuerdo o de cualquier modificación o de cualquier otro documento ejecutado conforme a lo dispuesto en la presente sección. 10.5El presente Acuerdo podrá ser ejecutado por las partes en cualquier número de ejemplares separados, y todos los ejemplares así ejecutados constituirán un acuerdo vinculante para todas las partes a pesar de que no todas las partes sean signatarias del mismo ejemplar. 10.6Todos los derechos no concedidos o autorizados específicamente en este documento a una empresa certificada, quedan reservados para PRISM International. 10.7Este Acuerdo contiene el acuerdo completo entre las partes y no podrá ser modificado o enmendado, excepto por medio de un acuerdo por escrito firmado por ambas partes. 10. Disposiciones varias 10.1Si cualquier cláusula o disposición de este Acuerdo es inválida, ilegal o inaplicable o no puede ser aplicada por razón de cualquier norma jurídica, orden administrativa, resolución judicial o política pública, el resto de las condiciones y disposiciones del presente Acuerdo seguirán estando en pleno vigor. Las partes realizarán los cambios a este Acuerdo que sean necesarios para reparar la invalidez, en consonancia con los objetivos originales de las partes. 10.2Ninguna disposición del presente Acuerdo, o de las relaciones entre las partes en el mismo, se interpretará en el sentido de constituir una asociación o empresa conjunta entre dos o más de las partes de este Acuerdo. La empresa certificada no tendrá ningún derecho o autoridad para vincular u obligar a PRISM International en forma alguna, y no incurrirá, ni expresa ni tácitamente, en ninguna responsabilidad u obligación en nombre de PRISM International. 10.3Cualquier notificación o requerimiento solicitado o permitido por el presente Acuerdo se hará por escrito y se considerará entregado al ser recibido por las partes en la dirección indicada más arriba. Para el año que comienza (Fecha) Empresa solicitante Por (Firma del propietario o director) Nombre del propietario o director (Letra de imprenta) Por medio de la presente PRISM International acepta la solicitud anterior y acepta los términos de este acuerdo. PRISM International Fecha Firma Director ejecutivo Enviar esta página a la oficina de PRISM International PRISM International | 8735 W. Higgins Road | Suite 300 | Chicago, IL 60631 | United States | Tel: 847.375.6344 | Fax: 847.375.6343 | E-mail: info@prismintl.org 17