Descargar documento en PDF

ANEXO Nº 3. AL “CONTRATO DE PRESTACIÓN DE SERVICIOS DE SOFTWARE AGREGADOR PSP ENTRE QVO SpA (KUSHKI) Y (___)”

POLÍTICA DE PRIVACIDAD

KUSHKI ha desarrollado una plataforma tecnológica (en adelante el “Software”) que facilita efectuar pagos en línea mediante el uso de diferentes tarjetas de crédito/débito y PSE en (_). Estamos conscientes que la privacidad es fundamental para los clientes/usuarios del Software. KUSHKI respeta la privacidad de cliente y usuarios del Software.

¿A qué aplica esta Política de Privacidad? KUSHKI, es una compañía constituida y existente bajo las leyes de la República de Chile. Esta Política aplica a la página web de KUSHKI, y también aplica para todo el software y los servicios que ofrecemos. Esta Política no aplica a cualquier página web, producto o servicio de una tercera parte aún si la página web tiene vínculos con la página web de KUSHKI. Por favor siempre revise las prácticas de privacidad de una compañía antes de decidir si les suministrará información. Al usar la página web o servicios de KUSHKI, usted está aceptando las prácticas descritas en esta política así como los términos de servicios constantes en nuestra página web. Si usted no está de acuerdo con esta Política, borre todas las cookies del caché de su explorador después de visitar nuestra página web y no visite o utilice la página web o los servicios de KUSHKI. El uso de la página web o de servicios de KUSHKI significa que usted acepta esta Política y los Términos del Servicio.

¿Recaudación y uso de la información? En general, KUSHKI recauda información de las siguientes formas: (i) cuando el usuario la suministra directamente a nosotros, (ii) cuando obtenemos información de verificación acerca del usuario o su compañía a través de terceras partes autorizadas para tal efecto, y (iii) pasivamente a través de nuestra tecnología tal como las “cookies”. Los tipos de información que KUSHKI tendrá acceso dependerá de si el usuario es un Visitante de la Página Web, un Usuario de Prueba, un Usuario del SOFTWARE, o un Usuario Activo, tal como se describe más adelante. Información Personal El término “Información Personal”, tal como se utiliza en esta Política, se refiere a cualquier información que puede ser utilizada para identificar a una persona específica, o cualquier información anónima (por ejemplo, la Dirección IP) que está vinculada a una persona específica. La Información Personal no incluye información que ha sido acumulada o que ha sido hecha anónimamente de tal forma que ya no puede ser asociada con una persona específica. Cookies y Bitácoras del Servidor Web Así como en muchas páginas web comerciales, utilizamos “cookies” y otras tecnologías para recaudar información que no es identificable personalmente de nuestra Página Web de KUSHKI. Las “cookies” son una característica del software de los exploradores web que permite a los servidores web reconocer la computadora utilizada para acceder una página web. Las cookies almacenan información la cual es accedida a través de su explorador y la cual está relacionada a las actividades de senderos en páginas web relacionadas, y hacen que la experiencia en línea sea más fácil y más personalizada. La información recopilada a través de cookies y de los archivos bitácora de los servidores web podrían incluir información tal como la fecha y la hora de las visitas, las páginas que fueron vistas, las direcciones IP, los vínculos a / desde cualquier página, y el tiempo de estadía en la página web. Utilizamos la información de las cookies para medir el tráfico web y la actividad de uso en nuestra Página Web para propósitos de mejorar y ampliar la funcionalidad de nuestra Página Web, para detectar posible actividad fraudulenta, ypara entender de mejor forma las fuentes de tráfico y las transacciones en nuestra Página Web y en las páginas web de los comerciantes que utilizan el SOFTWARE de KUSHKI.

Las cookies también permiten que nuestros servidores recuerden su información de su cuenta para futuras visitas y para suministrar Información Personalizada y optimizada a lo largo de las páginas relacionadas a nuestra Página Web. Los archivos bitácora son utilizados para monitorear, medir, analizar, mejorar y resolver problemas de nuestros Servicios. Usted puede escoger el deshabilitar las cookies para nuestra Página Web, pero esto podría limitar su capacidad de usar nuestra Página Web y nuestros Servicios. Para entender y mejorar la efectividad de nuestra publicidad, también podríamos utilizar balizas, cookies y otra tecnología para identificar el hecho de que el usuario ha visitado nuestra Página Web o ha visto una de nuestras publicidades, y podríamos suministrar aquella información a una o más redes independientes de publicidad. La información que suministramos podría incluir la hora y la fecha de su visita a nuestra Página Web, las páginas web revisadas, los vínculos accedidos y otra información identificadora no personal, aquellas redes de publicidad podrían reconocer la baliza web o la cookie asociado con su visita a nuestra Página Web cuando usted visita otras páginas web en las cuales ellos suministran publicidad, y ellos podrían tomar decisiones acerca de la publicidad que usted ve basándose en eso.

Podríamos escoger trabajar con Google AdWords, Doubleclick, AdRoll u otras redes de publicidad. Cada una de estas compañías tienen su propia política de privacidad, la cual alentamos que sea revisada por los usuarios. Para más información acerca de publicidad y monitoreo en línea, visite la Iniciativa de Publicidad de la Red. Esta página web les permite a los consumidores el “optar por salir” de la publicidad que se basa en comportamiento de las compañías miembros. Información adicional acerca de aquel programa se puede encontrar aquí. Visitantes de la Página Web Para simplemente explorar nuestra Página Web, no se requiere que suministre ninguna Información Personal. Sin embargo, podríamos recopilar información que no es personalmente identificable tal como se menciona anteriormente, sólo para propósitos de monitorear y mejorar nuestra Página Web y nuestros Servicios. No compartiremos esta información con terceras partes excepto como una parte necesaria de suministrar nuestra Página Web y nuestros Servicios, ni la usaremos para dirigir cualquier publicidad al usuario. Cuando un usuario utiliza el SOFTWARE de KUSHKI en una página web de un comerciante para almacenar sus credenciales de pago, recopilaremos y almacenaremos la información de la tarjeta con la cual está haciendo el pago, la dirección de correo electrónico, el número de teléfono celular, y la dirección de envío y de facturación. Utilizaremos esta información para completar las compras que el usuario escoja hacer en otras páginas web o aplicaciones que también utilizan el SOFTWARE de KUSHKI, pero solamente con su permiso. También podríamos compartir la información de contacto, pero no la información de tarjeta, con comerciantes como parte de las compras que realice el usuario. No compartiremos esta información con otras terceras partes excepto como una parte necesaria de suministrar nuestra Página Web y nuestros servicios. El usuario debería revisar cuidadosamente las políticas de privacidad de los comerciantes para entender de mejor forma como cada uno utiliza su información.

Usuarios de Prueba Cuando visita a KUSHKI, tiene la capacidad de realizar un número limitado de transacciones de “prueba” y experimentar el funcionamiento de los Servicios sin registrarse para una cuenta de KUSHKI. Para monitorear estas transacciones de prueba, recaudamos la dirección IP, información acerca de la computadora y otra información estándar de la sesión web. También recaudamos la Información Personal y cualquier información de tarjetas de crédito que el usuario suministra para realizar las transacciones de prueba. No utilizaremos esta información para dirigir ninguna publicidad hacia el usuario. Compartiremos y divulgaremos la Información Personal y la información de la tarjeta de crédito solamente como se describe más adelante.

Usuarios Activos Para obtener un acceso completo a nuestra Página Web y a nuestros Servicios, los usuarios debe registrarse para obtener una cuenta de KUSHKI. Cuando el usuario se registra para una cuenta, se recauda Información Personal cuando el usuario la suministra voluntariamente a nosotros, tal como la siguiente: 1. nombre, el nombre de su compañía, su ubicación, su dirección de correo electrónico, número telefónico, y la contraseña de su cuenta, para establecer la cuenta. 2. número de identificación empresarial y número personal de impuestos, número de seguridad social o de otro tipo emitido por el gobierno, así como su fecha de nacimiento, para verificar la identidad para propósitos de la suscripción. 3. La información de la cuenta bancaria, para liquidar los fondos para las transacciones. 4. Las direcciones IP de los dispositivos y ubicaciones utilizadas para acceder a la cuenta de KUSHKI, las cuales estarán vinculadas a su cuenta para propósitos de detección y prevención de fraudes. Podríamos recuperar Información Personal adicional acerca de (_) de terceras partes y otros servicios de identificación / verificación que estén autorizadas para tal efecto. Con elsu consentimiento, podríamos recolectar Información Personal adicional de otras formas incluyendo correos electrónicos, encuestas, y otras formas de comunicación. Una vez que el Establecimeinto Comercial empiece a utilizar el Servicio a través de su cuenta de KUSHKI, mantendremos registros de sus transacciones y recaudaremos información de sus otras actividades relacionadas con nuestros Servicios. La Información Personal que se acaba de mencionar será compartida y divulgada tal como se menciona más adelante. El uso de la página web y servicios KUSHKI solamente puede ser efectuado por personas mayores de edad y legalmente capaces.

Compartición y divulgación de la información KUSHKI no vende o renta la Información Personal a comercializadores o a terceras partes. Podríamos compartir la Información Personal de () con terceras partes confiables que son una parte integral de la operación de nuestra Página Web y de nuestros Servicios, incluyendo, pero sin limitarse a, instituciones financieras, procesadores de pagos, así como cualquier tercera parte que () haya autorizado a que reciba su Información Personal. Podríamos almacenar la Información Personal en ubicaciones fuera del control directo de KUSHKI, por ejemplo, en servidores o bases de datos co-ubicadas con proveedores de alojamiento. Podríamos divulgar la Información Personal a entidades de la aplicación de la ley, oficiales gubernamentales u otras partes si: (i) se nos obliga a hacerlo por medio de una citación, una orden judicial u otro proceso legal, (ii) debemos hacerlo así para cumplir con las leyes, estatutos, reglas o regulaciones (iii) creemos de buena fe que la divulgación es necesaria para prevenir un daño físico o una pérdida financiera, para reportar una sospecha de una actividad ilegal, o para investigar incumplimientos de nuestros Términos de Servicio. Solamente divulgaremos la Información Personal en respuesta a aquel requerimiento si creemos de buena fe que el hacerlo así es necesario para cumplir con la ley pertinente o una obligación legal a la cual estamos obligados. Si recibimos tal requerimiento, utilizaremos esfuerzos razonables para darle un aviso oportuno, para que () pueda impugnarlo si decide hacerlo. No le suministraremos aquel aviso si determinamos de buena fe que (a) no se nos permite suministrarlo bajo la ley pertinente, o (b) el hacerlo así resultaría en un riesgo inminente de muerte, de una lesión física sería o de una pérdida significativa de bienes o un daño a KUSHKI o a una tercera parte. Adicionalmente, en el caso de una fusión, una adquisición, una reorganización, bancarrota u otros eventos similares, cualquier información en nuestra posesión podría ser transferida a nuestro sucesor o a la entidad a la que se cede. Elección y retención de la información Se nos requiere que recolectemos cierta Información Personal para confirmar la identidad y cumplir con nuestras obligaciones. Si escoge el no suministrar Información Personal en campos opcionales podría limitar su capacidad para utilizar nuestros servicios. () puede actualizar su información de cuenta al ingresar en nuestra Página Web con su cuenta de KUSHKI. Podríamos enviarle por correo electrónico ocasionalmente información acerca de ofertas o de nuevos Servicios. () puede optar no recibir estas comunicaciones por correo electrónico al responder escribiendo “terminar la suscripción” en el campo de asunto, o por medio de un enlace de término de suscripción en aquellas comunicaciones. Sin embargo, () continuará recibiendo ciertas comunicaciones por correo electrónico relacionadas con su cuenta incluyendo información relacionada con transacciones y su relación con KUSHKI. En el caso de que () o el usuario desee escoger dejar de tener cookies establecidas en su explorador web (tal como se describió anteriormente), la única forma de asegurar que esto suceda es el administrar las configuraciones en su explorador web para borrar todas las cookies y deshabilitar aceptaciones adicionales de cookies. Para mayor información, refiérase ala información técnica de su explorador web. () y el usuario también podría considerar visitar about cookies.org, que suministra información útil acerca de las cookies. Tome en cuenta que deshabilitar las cookies en su explorador web evita que KUSHKI rastree sus actividades en relación a nuestra Página Web y nuestros Servicios. Sin embargo, también podría deshabilitar muchas de las características disponibles a través de nuestras Páginas Web y nuestros Servicios. Por lo tanto, recomendamos que mantenga habilitadas a las cookies. KUSHKI tiene una variedad de obligaciones para retener la información que se nos suministra, para asegurar que las transacciones puedan procesarse, liquidarse, reembolsarse o se puedan cargar de vuelta apropiadamente, para identificar fraudes, y también para cumplir con las leyes que son aplicables para nosotros y para nuestros proveedores bancarios y para nuestros procesadores de tarjetas de crédito. Asimismo, incluso si (_) cierra su cuenta de KUSHKI retendremos cierta información tal como sea necesario para cumplir con estas obligaciones. Protección de la información Aunque ninguna transmisión de información puede garantizarse que sea 100% segura, tomamos los pasos razonables para proteger toda la Información Personal. KUSHKI mantiene procedimientos administrativos, técnicos y físicos estrictos para proteger la información almacenada en nuestros servidores, que están ubicados en los Estados Unidos. Acceso a la información es limitada (a través de credenciales de usuario / contraseña y sistemas de software) a aquellos empleados que la requieren para realizar sus funciones laborales.

Utilizamos la codificación de Capa de Conexión Segura (SSL Secure Socket Layer) la cual es estándar en la industria para salvaguardar el proceso de suscripción de la cuenta y la información de apertura de cuentas. Otras medidas de seguridad incluyen, pero no se limitan a, la codificación de datos, cortafuegos y controles físicos de acceso a edificios y a expedientes. Cambios y avisos Nos reservamos el derecho, a nuestra discreción exclusiva y absoluta, para realizar cambios a esta Política periódicamente.

Si cualquier cambio es material, podríamos suministrar un aviso adicional y/o una oportunidad de “elegir entrar”, tal como sea apropiado bajo las circunstancias. KUSHKI suministrará con divulgaciones y alertas en relación a esta política al publicarlas en nuestra Página Web, al mandarle correos electrónicos a la dirección de correo electrónico listada en su cuenta de KUSHKI, y/o al enviar correos postales a la dirección física listada en su cuenta de KUSHKI. (_) acuerda que las divulgaciones y avisos electrónicos tienen el mismo significado y efecto que si lo hubiésemos suministrado con una copia en papel.

Aquellas divulgaciones y avisos en relación a esta política serán consideradas como recibidas en las primeras 24 horas desde el momento en que se publicaron en nuestra Página Web o que se mandaron por correo electrónico (a menos que recibamos un aviso que el correo electrónico no fue entregado). KUSHKI ha certificado que se adhiere a los principios de privacidad de hospedaje.

Estándares para la seguridad en aplicaciones web

Ambitio/Actividad Requerimientos
General
  • Los datos personales que sean requeridos por el sistema, se deben enviar en el cuerpo del mensaje http (es decir, nunca como parámetro URL o GET) pudiendo utilizar los métodos de transmisión segura como: POST o ws-secure.
Cifrado de las comunicaciones
  • La transmisión de información del negocio mediante servicios web públicos transaccionales deberá estar cifrada. Se utilizaran mecanismo de cifrado SSL o TSL que deberán ser validados por una autoridad de certificación de confianza, bien interna (PKI interna) o externa (Verisign, etc.).
  • Se debe utilizar como mínimo SSL v.3.0 o TSL como protocolo de comunicación segura de lado del servidor para todo sistema que: requiera autenticación de usuario, requiera cambiar contraseñas, envíe y/o reciba datos sensibles, estén relacionados con la administración de la aplicación.
Gestión de sesiones cookies
  • Las cookies de sesión deben utilizar el flag “HTTPOnly”, para acceso específico desde JavaScript, y el flag “secure” para los datos sensibles, incluyendo la cookie de sesión.
  • No debe soportar cookies de sesión ni URL rewriting. Sin embargo, toda cookie utilizada debe ser validada por Seguridad de Informacion.
Arquitectura de seguridad
  • El diseño de la arquitectura de seguridad antes de pasar al ambiente de producción debe ser evaluado por Seguridad de Tecnología.
Aplicación de Pago
  • La infraestructura nueva utilizada debe ser certificada tanto a nivel de sistema Operativo como Software Base (Servidores de BDD, Servidores Web) con la guía de blindaje correspondiente y un antivirus activo y actualizado.
  • Se deben utilizar protocolos seguros en la implementación de la aplicación tales como https, IPsec, PGP con algoritmos fuertes de encripción como AES 512, TLS 1.2, SSH2.
  • Todos los datos de entrada de la APP deben ser validados en la capa de negocio, se debe controlar el tamaño de los datos de entrada y no permitir caracteres especiales tales como “’< >#/-+., esto para prevenir Buffer Overflow o inyección de código en la misma. Los datos de tarjeta habiente no deben ser almacenados de forma temporal o permanente en dispositivos móviles, los mismos deben ser validados en línea por el switch transaccional.
  • El servidor que recibe las peticiones de la APP debe colocarse en una DMZ protegida por un FW, no deben existir peticiones directas desde la app a la BDD.
  • No enviar el PAN, PIN, CVV no cifrado por tecnologías de mensajería de usuario final, por ejemplo, mensajería instantánea, chat, etc.
  • Implementar un registro de logs que contemple la fuente del evento como la IP del dispositivo, Id de usuario, acción realizada, indicación de éxito o fallo y timestamp, esto con el fin de poder reconstruir un evento en caso de un incidente de seguridad, dichos logs deben estar restringidos por permisos de acceso.