Actualizado: 24 de agosto de 2021

El presente Acuerdo de Procesamiento de Datos (“DPA”) es un contrato entre usted y la entidad que usted representa (“Cliente” o “Usted”), por una parte, y por la otra, Cybersource Corporation y/o toda entidad contratante o empresa vinculada de Cybersource (“Cybersource”) que resulte pertinente. Forma parte de todo contrato escrito o electrónico celebrado entre usted y Cybersource (cada uno de los cuales, un “Contrato”) en virtud de los cuales Cybersource procese datos personales en su nombre (“Datos Personales del Cliente”), salvo en lo que respecta a todo contrato celebrado entre usted y Cybersource mediante el cual se hayan establecido condiciones de procesamiento de datos que contemplen el objeto de este contrato.

1 Procesamiento de Datos Personales del Cliente. Las partes reconocen y acuerdan que, de conformidad con la Ley de Protección de Datos Aplicable, Cybersource podrá actuar en varios roles en relación con el procesamiento de datos. A fin de permitir a cada parte el cumplimiento de sus obligaciones respecto de la Ley de Protección de Datos Aplicable, cada una de las partes acuerda además cumplir con toda disposición requerida en el Anexo A: Ley de Protección de la Privacidad del Consumidor de California y/o por el Anexo B: Reglamento General de Protección de Datos, ambas, en cuanto resulten aplicables.

1.1 RGPD. En los casos en que el Reglamento General de Protección de Datos (Reglamento UE - 2016/679 (el “RGPD”) resulte de aplicación para el uso del cliente de los Servicios de Transacciones por parte del cliente, o si la Ley de Protección de Datos Aplicableimpone un requisito comparable, las partes reconocen y acuerdan lo siguiente con respecto a los Datos Personales del Cliente que Cybersource procese:

1.1.1 Cybersource es un “encargado del procesamiento” o el término equivalente que resulte de la Ley de Protección de Datos Aplicable, de existir, (denominado “Procesador” a los fines de este DPA) respecto de los “Servicios de Procesamiento”. Tales Servicios de Procesamiento incluyen, a mero título ejemplificativo, los Procesamientos detallados en los Detalles de Procesamiento (Apéndice 2, cláusula 1) y

1.1.2 tanto el Cliente como Cybersource son “controladores conjuntos” o el término equivalente que resulte de la Ley de Protección de Datos Aplicable, de existir, respecto de los “Servicios del Controlador”.

Tales Servicios del Controlador incluyen el Procesamiento detallado en los Detalles de Procesamiento (Apéndice 2, cláusula 2).

1.2 Otra Legislación Aplicable en Protección de Datos. En los casos en que no resulte de aplicación la cláusula 1.1. las partes reconocen y acuerdan que Cybersource es el Procesador para todos los Servicios de Transacciones.

2 Cumplimiento de la normativa. Tanto Cybersource, en el suministro de Servicios de Transacciones al Cliente, como el Cliente, en el uso de esos Servicios, procesarán los Datos Personales del Cliente de acuerdo con la Ley de Protección de Datos Aplicable.

3 Notificación de Privacidad. El cliente deberá brindar a sus Usuarios Finales las notificaciones de privacidad, información y todas las opciones necesarias y deberá obtener todos los consentimientos que resulten menester para permitir que las partes cumplan con la Ley de Protección de Datos Aplicablecon respecto a los Servicios de Transacciones.

4 Obligaciones del Procesador

4.1 Autorización para Procesar. Cuando Cybersource actúe como Procesador, procesará los Datos Personales en nombre del Cliente para proveer los Servicios de Transacciones, y el Procesador está autorizado para Procesar Datos Personales del Cliente exclusivamente en conexión con las siguientes actividades:

4.1.1 De acuerdo con los Contratos vigentes, incluyendo sin limitación, todo apéndices, anexos y esquemas de precios aplicables, a fin de proveer los Servicios de Transacciones, y todo otro Procesamiento requerido por la ley o reglamentos vigentes;

4.1.2 En base a las instrucciones del Cliente y su uso de los Servicios de Transacciones, el Procesador transfiere los Datos Personales a los bancos adquirentes, bancos emisores y procesadores de pago que presten servicios en nombre de los bancos adquirentes, empresas de tarjetas de crédito y/o débito, o a proveedores de servicios de Payer Authentication utilizados por el Cliente, como ser Verified by Visa y MasterCard Identity Check (Verificación de ID); y

4.1.3 En tanto resulte razonablemente necesario para permitir al Procesador el cumplimiento de otras directivas o instrucciones provistas por el Cliente.

4.2 Derechos del Titular de los Datos. El Procesador deberá, en la medida en que resulte legalmente permitido, proveer asistencia razonable al Cliente para responder solicitudes de los Usuarios Finales para ejercer sus derechos de conformidad con la Ley de Protección de Datos Aplicable (p. ej. El derecho de acceder a sus Datos Personales o suprimirlos) de modo que resulte consistente con la naturaleza y funcionalidad de los Servicios de Transacciones. El Cliente deberá presentar tales solicitudes de asistencia al Business Center. Al recibir tal solicitud, el Procesador informará al Usuario Final que el Cliente es responsable del manejo de tales requerimientos por parte del Usuario Final de acuerdo con la Ley de Protección de Datos Aplicable.

4.3 Contratación de Subprocesadores. El Procesador deberá asegurar que, al acordar con otros procesadores de datos, incluidas sus Empresas Vinculadas (“Subprocesadores”) el cumplimiento de actividades específicas de Procesamiento en nombre del Cliente formalizrá un contrato por escrito entre el Procesador y el Subprocesador correspondiente. Tales contratos por escrito, en cuanto resulte aplicable a la naturaleza de los Servicios de Transacciones suministrados por el Subprocesador correspondiente, deberán establecer, al menos, el mismo nivel de protección de Datos Personales del Cliente que el que se establece en este DPA.

4.4 Personal. El Procesador se asegurará de que el personal autorizado a Procesar Datos Personales del Cliente se haya comprometido a mantener la confidencialidad o que se encuentre alcanzado por la obligación legal de mantener la confidencialidad.

4.5 Seguridad del Procesamiento. Teniendo en cuenta los avances tecnológicos, los costos de implementación, y la naturaleza, el alcance, el contexto y los fines del Procesamiento como así también los riesgos de gravedad y probabilidad variables para los derechos y libertades de las personas naturales, el Procesador implementará las medidas técnicas y organizativas que resulten apropiadas para asegurar un nivel de seguridad adecuado a dicho riesgo. Al evaluar la adecuación del nivel de seguridad, el Procesador deberá tener especialmente en cuenta el grado de sensibilidad de los Datos Personales y los riesgos que presente su Procesamiento, en particular los derivados del Procesamiento contrario a la ley o no autorizado, destrucción, pérdida o alteración accidental o ilícita, divulgación o acceso no autorizado a los Datos Personales del Cliente transmitidos, almacenados o procesados de cualquier otra forma. El Procesador deberá brindar al Cliente asistencia razonable a fin de asegurar que este sus propias obligaciones con relación a las medidas de seguridad antedichas. Asimismo, las partes cumplirán con el estándar PCI-DSS del modo establecido en el Contrato.

5 Violación a la Seguridad. Las partes investigarán de manera inmediata y acabada toda alegación de acceso no autorizado, uso o divulgación de los Datos Personales del Cliente. En caso de existir una Violación a la Seguridad (tal como se define a continuación) que afecte los Datos Personales del Cliente, las partes se brindarán de buena fe la cooperación y asistencia mutua que sea necesaria para cumplir con la Ley de Protección de Datos Aplicable, incluso, en cuanto sea aplicable, notificar a la Autoridad de Control acerca de la Violación a la Seguridad y comunicar esto a los Titulares de los Datos correspondientes. En caso de una Violación a la Seguridad (tal como se define a continuación) que afecte los Datos Personales del Cliente en:

5.1 Los sistemas de Cybersource, Cybersource deberá notificar al Cliente de la Violación a la Seguridad sin demoras injustificadas, y mantener al Cliente informado de manera regular sobre el progreso de la investigación y los esfuerzos para remediar la situación. La notificación a que hace referencia esta cláusula deberá efectuarse mediante envío de correo electrónico y/o mensaje de texto a la dirección de correo electrónico o número telefónico registrado por el cliente en el Business Center. Respecto de los Servicios del Controlador, el Cliente deberá brindar a Cybersource la asistencia y cooperación que sea menester para que Cybersource pueda comunicar la Violación a la Seguridad a las Autoridades de Contror correspondientes.

5.2 Sistemas del Cliente, el Cliente podrá elegir notificar a Cybersource de la Violación a la Seguridad, y tal notificación deberá efectuarse mediante correo electrónico a vsirt@visa.com. Cybersource deberá brindar al Cliente la asistencia y cooperación necesarias para que el Cliente pueda comunicar la Violación a la Seguridad a las Autoridades de Contror correspondientes.

5.3 El Cliente será responsable de comunicar de toda Violación a la Seguridad a los Usuarios Finales si tal notificación es requerida por la Ley de Protección de Datos Aplicable.

5.4 Salvo que fuera requerido por la ley o las regulaciones aplicables, ninguna de las partes efectuará (ni permitirá que ningún tercero efectúe) declaraciones concernientes a la Violación a la Seguridad que incluyan referencias directas o indirectas a la otra parte, salvo que medie autorización expresa por escrito.

5.5 En la medida en que la Violación a la Seguridad haya sido causada por el Cliente o Usuario Final del Cliente, el Cliente será responsable de los costos que surjan de la asistencia brindada por el Procesador en virtud de la presente cláusula 5.

6 Supresión o Conservación. El Procesador, a elección del Cliente, suprimirá o restituirá al Cliente todos los Datos Personales del Cliente a la finalización del presente Contrato, y suprimirá todas las copias existentes salvo que la legislación aplicable requiera su conservación.

7 Disposiciones Generales. Los términos del presente DPA solo se aplicarán en la medida requerida por la Ley de Protección de Datos Aplicable. Las disposiciones del Contrato o los Contratos vigentes (incluyendo sin limitación, las indemnidades, limitaciones de responsabilidad, cumplimiento e interpretación) se aplicarán a este DPA, en la medida en que no sean contrarias a él. En caso de conflicto entre el presente DPA y los términos del Contrato vigente, los términos de este DPA prevalecerán exclusivamente en lo que se refiere a las condiciones de procesamiento de datos según sea requerido por la Ley de Protección de Datos Aplicabley, respecto de todo lo demás, prevalecerán los términos del Contrato respectivo. Sin perjuicio de lo establecido en las condiciones del DPA, este no aplica a los datos o información que no se relacione con uno o más individuos identificables de conformidad con la Ley de Protección de Datos Aplicable, como ser, los datos que han sido agrupados, seudonimizados o anonimizados, o en la medida en que Cybersource y el Cliente hayan acordado términos de procesamiento de datos distintos que se refieran al objeto de este acuerdo.

8 Definiciones. Salvo estipulación en contrario en el Contrato (lo que incluye este DPA), los términos del DPA tendrán las definiciones que les asigna la Ley de Protección de Datos Aplicable.

“Ley de Protección de Datos Aplicable”

se refiere a la ley o regulación sobre protección de datos, privacidad y/o el Procesamiento de Datos Personales, en la medida que resulte aplicable respecto de las obligaciones de alguna de las partes en virtud del Contrato y este DPA. A modo meramente ilustrativo, las Leyes de Protección de Datos Aplicables incluyen, sin limitación y en la medida que sea aplicable.:: el Reglamento General de Protección de Datos (Reglamento (EU) 2016/679) (el “RGPD”), la Ley de Protección de la Privacidad de los Consumidores de California de 2018, Cód. Civ. Calif, art. 1798.100 y sig. (“CCPA”), la Ley de Protección de Datos Personales y Documentos Electrónicos de Canadá, S.C. 2000, c. 5 (“PIPEDA”), las Leyes de Protección de Datos del Reino Unido, las Leyes PD de Suiza y a toda otra legislación o normativa relacionada o que modifique, reemplace o se considere sustancialmente similar a la antedicha.

“Cláusulas Contractuales Tipo del EEE”

significa las Cláusulas Contractuales Tipo establecidas en la Decisión de Ejecución (UE) 2021/914 sobre las cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, con las modificaciones y reemplazos que oportunamente pudiere introducir la autoridad competente en virtud de la Ley de Protección de Datos Aplicable.

“Usuario/s Final/es”

se refiere a cualquier persona que adquiera bienes y servicios del Cliente, cuyos datos sean entregados por el Cliente a Cybersource durante el curso del uso de los Servicios de Transacciones según este contrato.

“Datos Personales”

significan todos los datos o información, bajo cualquier modalidad o formato, que identifican, se refieren a, describen, o son susceptibles de ser asociados o conectadosrazonablemente con un consumidor en particular (“Titular de los Datos”) o con personas en general, sea de modo directo o indirecto, o bien que estén regulados como “datos Personales”, “información personal” o de otro modo en la Ley de Protección de Datos Aplicable. A fin de disipar dudas, ello incluye toda información relativa a un Usuario Final conforme se define en el Contrato.

“Proceso” o “Procesado/a” o “Procesamiento”

significa cualquier operación o conjunto de operaciones realizadas sobre Datos Personales, ya sea mediante procedimientos automatizados o no, como el acceso, la recolección, registro, organización, conservación, adaptación o modificación, extracción, divulgación o de cualquier otra forma de habilitación de acceso, duplicación, transmisión, combinación, bloqueo, tachado, supresión o destrucción;

“Violación a la Seguridad”

significa una violación de la seguridad que da lugar -en forma accidental o ilícita- a la destrucción, pérdida o alteración o bien a la divulgación o acceso no autorizados a Datos Personales. Una Violación a la Seguridad implica una “violación de la seguridad de los datos personales” (de acuerdo con la definición del RGPD) una “violación de la seguridad de un sistema” (de acuerdo con la definición de cualquier ley de los Estados Unidos de América), una “violación de las medidas de seguridad” (de acuerdo con la definición de PIPEDA), o cualquier término similar (de acuerdo con toda otra definición contenida en una normativa de privacidad aplicable) como así también todo otro evento que comprometa la seguridad, confidencialidad o integridad de los Datos Personales.

“Leyes PD de Suiza”

significa la Ley Federal de Protección de datos del 19 de junio de 1992, con sus actualizaciones, modificaciones y reemplazos, incluyendo todos sus reglamentos de implementación.

“Transferencia”

Significa transmitir o de cualquier otro modo poner a disposición los Datos Personales del Cliente fuera de las fronteras nacionales en circunstancias restringidas por la Ley de Protección de Datos Aplicable.

“Leyes de Protección de Datos del Reino Unido”

Se refiere el RGPD vigente en el derecho interno del Reino Unido en virtud del artículo 3 de la Ley de 2018 de Retiro de la Unión Europea, con las modificaciones introducidas por el Reglamento de Protección de Datos, Privacidad y Comunicaciones Electrónicas (Modificaciones, etc.) (Salida de la UE) Reglamentos de 2019 (“RGPD RU”), juntamente con la Ley de Protección de Datos de 2018, el Reglamento de Protección de Datos, Privacidad y Comunicaciones Electrónicas (Modificaciones, etc.) (Salida de la UE) Reglamentos de 2019 y toda otra legislación referida a la protección de datos o a la privacidad oportunamente vigente en el Reino Unido. En el presente DPA, salvo y en la medida en que sean de aplicación exclusivamente para el RGPD RU, las referencias al RGPD y sus disposiciones deberán interpretarse como referencias al RGPD RU y sus disposiciones respectivas.

“Cláusulas Contractuales Tipo del Reino Unido”

 

Se refiere, en conjunto a: las cláusulas contractuales tipo de controlador a procesador establecidas en la Decisión C(2010)593 del 5 de febrero de 2010, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo (RU “UK C2P SCC”) y las cláusulas contractuales tipo de controlador a controlador (adoptadas por la Decisión 2004/915/EC de fecha 27 de diciembre de 2004 de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo, y las que oportunamente las modifiquen o reemplacen) (RU “UK C2C SCC”).

 

ANEXO A LEY DE PROTECCIÓN DE LA PRIVACIDAD DEL CONSUMIDOR DE CALIFORNIA (CCPA)

El presente Anexo CCPA se aplica de forma complementaria a los términos establecidos en el cuerpo del DPA (y se incorpora a este último) en los casos en que el CCPA se aplica al uso del cliente de los Servicios de Transacciones o si la Ley de Protección de Datos Aplicableimpone un requisito similar al descripto en el Anexo A. Los términos en mayúsculas no definidos en el presente poseen el significado que se les asigna en el DPA. En la medida en que existieren conflictos entre este Anexo CCPA y el DPA, prevalecerá el CCPA.

1 Cybersource se abstendrá de: (i) vender Datos Personales del Cliente; y de (ii) retener, usar o divulgar Datos Personales del Cliente, salvo los que se establecen en el cuerpo del DPA, y a excepción que sea requerido o permitido por la Ley de Protección de Datos Aplicable.

2 En la medida requerida por la Ley de Protección de Datos Aplicable, el presente Anexo CCPA constituye su certificación de las restricciones al Procesamiento aquí contenidas.

La versión en español de este DPA se proporciona solo por conveniencia. En caso de conflicto entre las versiones en español e inglés, prevalecerá la versión en inglés, disponible en https://www.cybersource.com/en-us/about/dpa.html.

ANEXO B REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS

El presente Anexo GDPR se aplica de forma complementaria a los términos establecidos en el cuerpo del DPA (y se incorpora a este último) en los casos en que el GDPR se aplica al uso del cliente de los Servicios de Transacciones o si la Ley de Protección de Datos Aplicableimpone un requisito similar al descripto en el Anexo B. Los términos en mayúsculas no definidos en el presente poseen el significado que se les asigna en el DPA. En la medida en que existieren conflictos entre este Anexo RGPD y el DPA, prevalecerá este Anexo RGPD.

1 Obligaciones del Procesador. El Procesador solo procesará los Datos Personales del Cliente de acuerdo con las instrucciones razonables documentadas del Cliente (lo que incluye instrucciones con respecto a las transferencias Datos Personales del Cliente a terceros países, si es aplicable), salvo en el caso que el Procesador esté obligado a Procesar los Datos Personales del Cliente de un modo diferente en virtud de la Ley de Protección de Datos Aplicable. En tales circunstancias, el Procesador informará al Cliente en forma previa al Procesamiento ese requisito legal, salvo que ello estuviere prohibido por la legislación aplicable, por razones relevantes de interés público. El Procesador informará inmediatamente al Cliente si, a criterio del Procesador, las instrucciones del Cliente implicarían un incumplimiento de la Ley de Protección de Datos Aplicable. El Cliente acuerda que no existe obligación para el Procesador de llevar adelante ninguna acción determinada para arribar a tal criterio.

2 Uso de Subprocesadores

2.1 El Cliente autoriza al Procesador a contratar con los Subprocesadores que se enumeran en el Business Center. El Procesador se reserva del derecho de mantener su lista de Subprocesadores a través de medios como ser la publicación online de la lista de Subprocesadores.

2.2 El Procesador informará al Cliente de su intención de introducir cambios mediante al agregado o reemplazo de Subprocesadores, de modo tal de brindar al Cliente una oportunidad razonable para objetar dichos cambios. En caso de que el Cliente objete el cambio o agregado de un Subprocesador por parte del Procesador, deberá notificar sin demora sus objeciones por escrito al Procesador dentro de los 10 días hábiles a partir de la recepción de la notificación referida a tal cambio o agregado.

2.3 El Procesador podrá, a su sola opción, llevar adelante esfuerzos razonables para poner a disposición del Cliente una modificación en los Servicios de Transacciones o recomendar una modificación comercialmente razonable de la configuración o utilización por parte del Cliente de los Servicios de Transacciones, a fin de evitar el Procesamiento de Datos Personales del Cliente por parte del nuevo Subprocesador objetado. Si el Procesador no estuviere en condiciones de realizar tal modificación dentro de un plazo razonable, que no podrá exceder los treinta (30) días, el Cliente podrá dar por rescindido el presente Contrato solo respecto de aquellos aspectos de los Servicios de Transacciones que no puedan ser provistos por el Procesador sin utilizar al nuevo Subprocesador objetado, mediante notificación por escrito al Procesador. Si los Servicios de Transacciones no pueden brindarse en su totalidad sin intervención del nuevo Subprocesador objetado, el Cliente podrá rescindir el Contrato en su totalidad.

2.4 El Procesador acuerda que la rescisión en virtud de lo normado en la presente cláusula no dará lugar a la imposición de penalidades.

3 Evaluación de Impacto en la Protección de Datos y Consulta Previa con las Autoridades Regulatorias. El Procesador brindará razonable asistencia al Cliente con relación a los siguientes requerimientos legales: (i) evaluación de impacto en la protección de datos, y (ii) consultas previas iniciadas por el Cliente con la autoridad regulatoria en relación con dichas evaluaciones de impacto de la protección de datos. Tal asistencia deberá limitarse estrictamente al Procesamiento de los Datos Personales del Cliente por parte del Procesador en nombre del Cliente en virtud del presente Contrato, tomando en cuenta la naturaleza del Procesamiento y la información disponible para el Procesador.

4 Acreditación del Cumplimiento de este DPA. El Procesador pondrá a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones asumidas en virtud del presente DPA y permitirá (y prestará colaboración) en auditorías, incluso inspecciones por parte del Cliente u otro auditor por este designado a los mismos fines de acreditar el cumplimiento de las obligaciones establecidas en el presente DPA. El derecho del Cliente establecido en la cláusula 4 de este Anexo RGPD se encuentra supeditado a lo siguiente:

4.1 Si el Procesador puede demostrar cumplimiento con sus obligaciones bajo el DPA mediante la observancia de un código de conducta aprobado, la obtención de una certificación o mediante la entrega al Cliente de un informe de auditoría emitido por un tercero independiente (siempre y cuando el Cliente cumpla con las obligaciones de confidencialidad establecidas en este Contrato y no utilice tal informe de auditoría para ningún otro propósito), el Cliente acuerda que no llevará adelante una auditoría o inspección conforme la cláusula 4 precedente; y

4.2 En reconocimiento al tiempo, gastos e interrupción de las actividades comerciales relacionadas con las tareas de auditoría e inspecciones que involucren entrevistas o visitas al lugar, el Cliente acuerda que solo llevará adelante tales auditorías e inspecciones bajo condición de demostrar que éstas resultan necesarias más allá de la información puesta a disposición del Procesador en virtud de la cláusula 4 precedente. Tales auditorías e inspecciones se llevarán a cabo con intervalos razonables (pero no más de una vez al año) mediante notificación con una antelación no menor a los 60 días, en la fecha que acuerden las Partes y siempre y cuando la auditoría (i) no interrumpa las actividades comerciales del Procesador; (ii) se realice durante horas de oficina y que los gastos que genere sean soportador por el Cliente; (iii) no interfiera con los intereses de los demás clientes del Procesador; y (iv) no exceda el plazo de dos días laborables consecutivos.

5 Transferencia de Servicios de Procesamiento a otros países. El Procesador deberá cumplir con las instrucciones documentadas emitidas por el Cliente en lo relativo a la transferencia de Datos Personales del Cliente a un tercer país. El Procesador solo transferirá Datos Personales del Cliente fuera de la jurisdicción correspondiente al Cliente o la jurisdicción de residencia del Usuario Final, lo que incluye, sin limitación, fuera del Espacio Económico Europeo (“EEE”), el Reino Unido o Suiza, de conformidad con la Ley de Protección de Datos Aplicable. El Cliente acuerda y reconoce que el Procesador transfiere y conserva determinados Datos Personales del Cliente (incluidos los relacionados con individuos situados en el EEE, Suiza y/o el Reino Unido) en los Estados Unidos de América.

5.1 Transferencias sujetas al RGPD, o las leyes PD de Suiza. El Módulo 2 (Transferencia del controlador al procesador) de las Cláusulas Tipo del EEE se aplicará a toda Transferencia de Datos Personales del Cliente desde el EEE o Suiza a Cybersource o a cualquiera de sus empresas vinculadas en los Estados Unidos de América u otros terceros países (“Entidades Cybersource”). Las partes reconocen y acuerdan que el Módulo 2 (Transferencia del controlador al procesador) de las Cláusulas Tipo del EEE se incorpora al presente por referencia y;

5.1.1 Tanto el Cliente como sus empresas vinculadas o controladas que han suscripto un Contrato de Servicios de Procesador (“Entidades del Cliente”) serán consideradas “exportador de datos” y las Entidades Cybersource, “importador de datos”.

5.1.2 La Cláusula 7 - Incorporación, será aplicable;

5.1.3 La Cláusula 9 - Uso de Subprocesadores Opción 2 será aplicable; y el “plazo” será de 10 días hábiles;

5.1.4 La Cláusula 11(a) - Reparación, no se aplicará el idioma opcional;

5.1.5 Cláusula 13(a) – Supervisión

5.1.5.1 Lo siguiente será aplicable cuando el exportador de datos está establecido en un Estado Miembro de la UE: “La autoridad de control responsable de garantizar que el exportador de datos cumpla el Reglamento (UE) 2016/679 en cuanto a la transferencia de los datos, indicada en el anexo I.C, actuará como autoridad de control competente.

5.1.5.2 Cuando el exportador de datos no esté establecido en un Estado Miembro de la UE, pero esté dentro del ámbito territorial de aplicación del Reglamento (UE) 2016/679, de conformidad con el artículo 3(2), y haya nombrado a un representante con arreglo al artículo 27(1) del RGPD, será de aplicación lo siguiente: “La autoridad de control del Estado miembro en que esté establecido el representante en el sentido del artículo 27(1) del Reglamento (UE) 2016/679, indicada en el anexo I.C, actuará como autoridad de control competente”.

5.1.5.3 Cuando el exportador de datos no esté establecido en un Estado miembro de la UE, pero esté dentro del ámbito territorial de aplicación del RGPD de conformidad con el artículo 3(2) pero no esté obligado a nombrar a un representante con arreglo al artículo 27(2) del RGPD, será de aplicación lo siguiente: “La autoridad de control de uno de los Estado miembros en que estén situados los interesados cuyos datos personales se transfieran en virtud de las presentes Cláusulas en el contexto de una oferta de bienes o servicios, o cuyo comportamiento esté siendo controlado, conforme lo indicado en el Anexo I.C, actuará como autoridad de control competente.”

5.1.6 La Cláusula 17 - Legislación aplicable: se aplicará la Opción 1 y el “Estado Miembro” será Irlanda;

5.1.7 La Cláusula 18 - Elección del foro y jurisdicción del Estado Miembro será Irlanda; y

5.1.8 la información contenida en el Apéndice 1 (Tabla 1) del presente Anexo RGPD se incorpora a los Anexos 1, 2 y 3 de las Cláusulas Contractuales Tipo del EEE.

5.2 Transferencias sujetas al RGPD RU: Las cláusulas contractuales tipo del Reino Unido (“UK C2P SCC”) se aplicarán a toda Transferencia de Datos Personales del Cliente desde el Reino Unido a las Entidades Cybersource. Las partes acuerdan y reconocen que:

5.2.1 El UK C2P SCC (RU Controlador a Procesador) se incorpora al presente por referencia;

5.2.2 Las Entidades del Cliente serán consideradas “exportador de datos” y las Entidades Cybersource, “importador de datos”;

5.2.3 la información contenida en el Apéndice 1 (Tabla 2) del presente Anexo RGPD se incorpora a los Anexos 1 y 2 del UK C2P SCC; y

5.2.4 En caso de que el gobierno del Reino Unido o el Comisario de Información aprueben el uso de las Cláusulas Contractuales Tipo del EEE a los fines del RGPD RU, las Cláusulas Contractuales Tipo del EEE se aplicarán en lugar de lo estipulado en la cláusula 5.1 (Transferencias sujetas al RGPD, o las leyes DP de Suiza) del presente (pero se entenderá que incorpora toda modificación requerida por el RGPD RU o recomendada por el Comisario de Información, y la autoridad de control competente será la Oficina del Comisario de Información; y la legislación aplicable, la de Inglaterra y Gales.

5.2.5 En caso de discrepancia entre un término del cuerpo de este DPA, un Contrato correspondiente y un término en el Módulo 2 (Transferencia del controlador al procesador) de las Cláusulas Contractuales Tipo del EEE (o, en la medida que resulta aplicable, el UK C2P SCC) incorporadas a este DPA, prevalecerá el término en el Módulo 2 (Transferencia del controlador al procesador) de las Cláusulas Contractuales Tipo del EEE (o, en la medida que resulta aplicable, el UK C2P SCC).

6 Obligaciones de los Controladores Conjuntos. Las obligaciones incluidas en el presente DPA, incluso aquellas establecidas en el Anexo RGPD, constituyen el acuerdo escrito que atribuye las responsabilidades entre los controladores conjuntos que requiere el Artículo 26 del RGPD con respecto a los Servicios del Controlador.

7 Asistencia Razonable. Con respecto a los Servicios del Controlador, las partes se brindarán asistencia mutua en la medida que resulte razonable, para cumplir con las obligaciones impuestas por la regulación sobre seguridad de los datos, notificación de una Violación a la Seguridad y las evaluaciones de impacto en la protección de datos por los Servicios del Controlador.

8 Notificaciones. Con respecto a los Servicios del Controlador, el cliente deberá brindar a sus Usuarios Finales las notificaciones de privacidad, información y todas las opciones necesarias y deberá obtener todos los consentimientos que resulten menester para permitir que las partes cumplan con la Ley de Protección de Datos Aplicablecon respecto a los Servicios de Transacciones.

9 Derechos del Titular de los Datos. Las partes acuerdan que el Cliente será designado punto de contacto para el Titular de los Datos con respecto a las solicitudes sobre Derechos del Titular de los Datos hechas en virtud de los Servicios del Controlador, y Cybersource brindará colaboración razonable y asistencia al Cliente en el desempeño y cumplimiento de sus obligaciones conforme la Ley de Protección de Datos Aplicablecon relación a tales solicitudes.

10 Autoridad de Control. Las partes se notificarán mutuamente y sin demora de la recepción de toda comunicación de una Autoridad de Control con respecto a los Servicios del Controlador, en la medida que resulte permitido por la ley aplicable.

11 Seguridad del Procesamiento. Cada una de las partes será responsable de asegurar un nivel adecuado de seguridad con respecto al procesamiento de Datos Personales para los Servicios del Controlador que tengan lugar dentro de los sistemas propios de cada una de las partes.

12 Violación a la Seguridad. A los efectos de clarificar, en el caso de un evento de violación a la seguridad relacionado con los Servicios del Controlador, será de aplicación la cláusula 5 del cuerpo del Contrato.

13 Transferencia de Servicios del Controlador a otros países.

13.1 Transferencias sujetas al RGPD, o las leyes PD de Suiza: El Módulo 1 (Transferencia de controlador a controlador) de las Cláusulas Contractuales Tipo del EEE se aplicará a toda transferencia de Datos Personales del Cliente desde el EEE o Suiza a Cybersource Corporation en los Estados Unidos de América, exclusivamente cuando Cybersource Corporation esté actuando como controlador a los fines de los Servicios del Controlador. Las partes reconocen y acuerdan que el Módulo 1 (Transferencia de controlador a controlador) de las Cláusulas Tipo del EEE se incorpora al presente por referencia y;

13.1.1 El Cliente y cualquiera de las Entidades del Cliente serán consideradas “exportador de datos” y las Entidades Cybersource, “importador de datos”;

13.1.2 La Cláusula 7 - Incorporación, resulta de aplicación;

13.1.3 La Cláusula 11(a) - Reparación, no se aplicará el idioma opcional;

13.1.4 Cláusula 13(a) – Supervisión

13.1.4.1 Lo siguiente será aplicable cuando el exportador de datos está establecido en un Estado Miembro de la UE: “La autoridad de control responsable de garantizar que el exportador de datos cumpla el Reglamento (UE) 2016/679 en cuanto a la transferencia de los datos, indicada en el anexo I.C, actuará como autoridad de control competente.

13.1.4.2 Cuando el exportador de datos no esté establecido en un Estado Miembro de la UE, pero esté dentro del ámbito territorial de aplicación del Reglamento (UE) 2016/679, de conformidad con el artículo 3(2), y haya nombrado a un representante con arreglo al artículo 27(1) del RGPD, será de aplicación lo siguiente: “La autoridad de control del Estado miembro en que esté establecido el representante en el sentido del artículo 27(1) del Reglamento (UE) 2016/679, de conformidad con lo indicado en el anexo I.C, actuará como autoridad de control competente”.

13.1.4.3 Cuando el exportador de datos no esté establecido en un Estado miembro de la UE, pero esté dentro del ámbito territorial de aplicación del RGPD de conformidad con el artículo 3(2) pero no esté obligado a a un representante con arreglo al artículo 27(2) del RGPD, será de aplicación lo siguiente: “La autoridad de control de uno de los Estados Miembros en que estén situados los interesados cuyos datos personales se transfieran en virtud de las presentea Cláusulas en el contexto de una oferta de bienes o servicios, o cuyo comportamiento esté siendo controlado, de conformidad con lo indicado en el anexo I.C, actuará como autoridad de control competente.”

13.1.5 La Cláusula 17 - Legislación aplicable: se aplicará la Opción 1 y el “Estado Miembro” será Irlanda;

13.1.6 La Cláusula 18 - Elección del foro y jurisdicción del Estado Miembro será Irlanda; y

13.1.7 la información contenida en el Apéndice 1 (Tabla 1) del presente Anexo RGPD se incorpora a los Anexos 1, 2 y 3 de las Cláusulas Contractuales Tipo del EEE.

13.2 Transferencias sujetas al RGPD RU: Las cláusulas contractuales tipo del Reino Unido (“UK C2C SCC”) se aplicarán a toda Transferencia de Datos Personales del Cliente desde el Reino Unido a las Entidades Cybersource. Las partes acuerdan y reconocen que el UK C2P SCC se incorpora al presente por referencia y que:

13.2.1 Las Entidades del Cliente serán consideradas “exportador de datos” y las Entidades Cybersource, “importador de datos”;

13.2.2 Las partes acuerdan que la información contenida en el Apéndice 1 (Tabla 3 del presente Anexo RGPD se incorpora a la Cláusula II (h) y Anexo B del UK C2C SCC.

13.2.3 En caso que el gobierno del Reino Unido o el Comisario de Información aprueben el uso de las Cláusulas Contractuales Tipo del EEE a los fines del RGPD RU, las Cláusulas Contractuales Tipo del EEE se aplicarán en lugar de lo estipulado en la cláusula 13.1 (Transferencias sujetas al RGPD, o las leyes DP de Suiza) del presente (pero se entenderá que incorpora toda modificación requerida por el UK GDPR o recomendada por el Comisario de Información, y la autoridad de control competente será la Oficina del Comisario de Información; y la legislación aplicable, la de Inglaterra y Gales).

13.2.4 En caso de discrepancia entre un término en el cuerpo del presente DPA, un Contrato y un término en el Módulo 1 (Transferencia de controlador a controlador) de las Cláusulas Contractuales Tipo del EEE (o, en la medida que resulta aplicable, el UK C2C SCC) incorporadas a este DPA, prevalecerá el término en las Cláusulas Contractuales Tipo del EEE (o, en la medida que resulta aplicable, el UK C2C SCC).

APÉNDICE 1

INFORMACIÓN REQUERIDA POR LAS CLÁUSULAS CONTRACTUALES TIPO DEL EEE

Y EL REINO UNIDO

Tabla 1: Información para incorporar a las Cláusulas Contractuales Tipo del EEE

ANEXO I A. Lista de las Partes

Datos de identidad y contacto del EXPORTADOR de Datos

Apellido y Nombre o Razón Social

Entidades del Cliente

Domicilio

A ser suministrado a requerimiento

Nombre de persona de contacto, cargo y datos de contacto:

A ser suministrado a requerimiento

Actividades relevantes a los datos transferidos en virtud de estas Cláusulas:

De acuerdo a lo establecido en el Apéndice 2 bajo el título “Naturaleza y Propósito del Procesamiento

Rol (controlador/procesador):

Controlador

Datos de identidad y contacto del IMPORTADOR de Datos

Apellido y Nombre o Razón Social

Entidades Cybersource

Domicilio

900 Metro Center Boulevard

Foster City, CA 94404

Estados Unidos de América.

Nombre de persona de contacto, cargo y datos de contacto:

privacy@visa.com

Actividades relevantes a los datos transferidos en virtud de estas Cláusulas:

De acuerdo a lo establecido en el Apéndice 2 bajo el título “Naturaleza y Propósito del Procesamiento

Rol (controlador/procesador):

Módulo 1: Controlador

Módulo 2: Procesador

ANEXO I B. Descripción de la Transferencia

Categorías de titular de los datos cuyos datos personales son transferidos.

De acuerdo a lo establecido en el Apéndice 2 bajo el título “Categorías de Titulares de los Datos”.

Categorías de datos personales transferidos.

De acuerdo con lo establecido en el Apéndice 2 bajo el título “Clases de Datos Personales”.

Datos sensibles transferidos (de resultar aplicable) y restricciones o medidas de seguridad aplicadas que tengan en total consideración la naturaleza de los datos y los riesgos involucrados, como ser, por ejemplo, limitación estricta con respecto al objeto, restricciones de acceso (incluso acceso exclusivo por parte del personal que haya recibido capacitación específica), mantener registro del acceso a los datos, restricciones a transferencias subsiguientes o medidas de seguridad adicionales.

No aplica

La frecuencia de la transferencia (p. ej. Si los datos son transferidos de una sola vez o de manera continua).

Continuos

Naturaleza del procesamiento.

De acuerdo con lo establecido en el Apéndice 2 bajo el título “Naturaleza y Propósito del Procesamiento”.

Propósito/s de la transferencia de datos y procesamiento subsiguiente.

De acuerdo con lo establecido en el Apéndice 2 bajo el título “Naturaleza y Propósito del Procesamiento”.

El período de tiempo durante el cual los datos personales serán retenidos o, si ello no fuere posible, el criterio utilizado para determinar dicho período.

Los Datos Personales serán retenidos de acuerdo con las políticas de retención de Cybersource, solo hasta tanto sea necesario para cumplir con los requerimientos legales, regulatorios y operacionales de Cybersource y en tanto resulte necesario para brindar los servicios.

Para transferencias a subprocesadores, especificar además el objeto, naturaleza, y duración del procesamiento.

De acuerdo con lo establecido en el Apéndice 2 bajo el título “Naturaleza y Propósito del Procesamiento”.

Anexo I C. Autoridad de Control Competente

Autoridad/es de control competente/s

A ser suministradas por el exportador de datos a requerimiento.

ANEXO II Medidas de Seguridad Técnicas y Organizativas incluso Medidas de Seguridad Técnicas y Organizativas para Asegurar la Seguridad de los Datos

Descripción de las medidas técnicas y organizativas implementadas por los importadores de datos (incluso las certificaciones correspondientes) para asegurar un nivel de seguridad apropiado, teniendo en cuente la naturaleza, el alcance, el contexto y los fines del procesamiento como así también los riesgos para los derechos y libertades de las personas naturales.

De acuerdo con lo establecido en la Tabla 2 del presente Apéndice 1 bajo el título “Descripción de las medidas de seguridad técnicas y organizativas implementadas por el importador de datos”.

Para transferencias a subprocesadores, describir además las medidas de seguridad técnicas y organizativas específicas que deben ser adoptadas por los subprocesadores para permitirles brindar asistencia al controlador y, para transferencias de un procesador a un subprocesador, al exportador de datos.

Con respecto a los Servicios de Transacciones: las iniciativas, productos, procesos y tecnología de soporte son evaluados desde una perspectiva de privacidad de los datos, permitiendo a Cybersource la incorporación de controles de privacidad para mitigar los riesgos en las etapas tempranas (privacidad por diseño). Cybersource cuenta con un marco de evaluación de riesgos robusto (que incluye la evaluación de impacto a la privacidad) que embebe este proceso en nuestros vehículos de cambio en el negocio, a fin de asegurar la evaluación tanto de las actividades de procesamiento de datos personales nuevas como de las que sufrieron modificaciones. Cuando el Cliente solicita asistencia específica El Cliente puede remitir sus solicitudes de asistencia al Business Center.

ANEXO III Listado de Subprocesadores

El responsable ha autorizado el uso de los subprocesadores que se listan a continuación:

Listados en el Business Center.

 

Tabla 2: Información para incorporar al UK C2P SCC

Información para incorporar al Anexo 1 del UK C2P SCC

Categoría de Información requerida por el Anexo 1 de las Cláusulas Contractuales Tipo del C2P (Controlador a Procesador).

Información acordada por las Partes.

Exportador de Datos

Entidades del Cliente

Importador de Datos

Entidades Cybersource

Titulares de los Datos

De acuerdo con lo establecido en el Apéndice 2 bajo el título “Categorías de Titulares de los Datos

Categorías de Datos

De acuerdo con lo establecido en el Apéndice 2 bajo el título “Clases de Datos Personales”.

Categorías Especiales de Datos

No aplica

Operaciones de Procesamiento

De acuerdo a lo establecido en el Apéndice 2 bajo el título “Naturaleza y Propósito del Procesamiento

Información para incorporar al Anexo 2 del UK C2P SCC

Categoría de Información requerida por el Anexo 2 de las Cláusulas Contractuales Tipo del C2P (Controlador a Procesador).

Información acordada por las Partes

Descripción de las medidas de seguridad técnicas y organizativas implementadas por el importador de datos de conformidad con las cláusulas 4(d) y 5(c) (o bien la documentación/legislación que se adjunta).

 

Cybersource Corporation posee certificación de cumplimiento de los estándares establecidos en las Normas de Seguridad de los Datos de la Industria de las Tarjetas de Pago (y las que en el futuro las reemplacen, “PCI DSS”) que resultan aplicables a Cybersource Corporation y sus empresas vinculadas (los “Estándares PCI”). A fin de acreditar dicho cumplimiento, el Cliente podrá acceder a la Certificación de Conformidad de Cybersource Corporation suscripta por un Asesor de Seguridad Calificado (QSA) por la Industria de Tarjetas de Pago a través de Visa Online.

Cybersource Corporation m y hace cumplir políticas de seguridad de información y de seguridad física, procedimientos y estándares, comercialmente razonables diseñados para (i) asegurar la seguridad y confidencialidad de los registros y la información del Cliente, (ii) brindar protección contra amenazas o riesgos previsibles a la seguridad e integridad de tales archivos, y (iii) brindar protección contra el acceso no autorizado o el uso de dichos archivos o información de modo en que pudiere resultar un daño significativo (el “Sistema de Seguridad de la Información de Visa”). Como mínimo, el Sistema de Seguridad de la Información de Visa está designado para cumplir con el estándar ISO 27002 publicados por la Organización Internacional de Normalización, como así también sus revisiones, versiones u otros estándares u objetivos que los sustituyan o reemplacen.

Cybersource Corporation contrata a contadores públicos independientes a fin de que lleven adelante la evaluación de sus operaciones y procedimientos, y soporta los gastos que ello demanda. Los contadores llevan adelante la evaluación de acuerdo con la Declaración sobre Estándares para Compromisos de Certificación del Instituto Americano de Contadores Públicos Certificados No. 18 SOC I Tipo II (“SSAE 18”) y dejan constancia de sus hallazgos y recomendaciones en su informe para Cybersource Corporation. A requerimiento, y sujeto a las obligaciones de confidencialidad usuales, Cybersource Corporation proporcionará su SSAE 18 más reciente y, a su razonable discrecionalidad, la información adicional que se le requiera a fin de atender los cuestionamientos o reparos que pudieren surgir con relación a la información del SSAE 18.

 

Tabla 3: Información para incorporar al UK C2C SCC

Información para incorporar a la Cláusula II (h) del UK C2C SCC

El importador de datos procesará los datos personales de conformidad con

(iii) los principios de procesamiento de datos establecidos en el Anexo A.

Información para incorporar al Anexo B del C2C (controlador a controlador) de las Cláusulas Contractuales Tipo del EEE

Titulares de los Datos

De acuerdo con lo establecido en el Apéndice 2 bajo el título “Categorías de Titulares de los Datos”.

Propósito/s de la/s transferencia/s

De acuerdo con lo establecido en el Apéndice 2 bajo el título “Naturaleza y Propósito del Procesamiento”.

Categorías de Datos

De acuerdo con lo establecido en el Apéndice 2 bajo el título “Clases de Datos Personales”.

Destinatarios

Servicios de Terceros, a discrecionalidad del Cliente.

Datos sensibles

De acuerdo con lo establecido en el Apéndice 2 bajo el título “Clases de Datos Personales”.

Registro de protección de datos información del exportador de datos.

A ser suministrado a requerimiento.

Punto de contacto para solicitudes de protección de datos (importador de datos).

privacy@visa.com

Punto de contacto para solicitudes de protección de datos (exportador de datos).

A ser suministrado a requerimiento.

 

APÉNDICE 2 DATOS DEL PROCESAMIENTO DE DATOS PERSONALES DEL CLIENTE

1 Datos del Procesamiento con respecto a los Servicios del Procesador.

En la tabla a continuación se incluye determinada información del Procesamiento de Datos Personales del Cliente con respecto a los Servicios del Procesador de conformidad con el artículo 28(3) del RGPD. Cada una de las descripciones de servicio que se listan a continuación se aplican en la medida en que el Cliente utilice tal servicio según el Contrato.

Servicio

Naturaleza y propósito del procesamiento

Clases de Datos Personales

Categorías de Titulares de Datos Personales a las cuales se relacionan los Datos Personales

Servicio de Plataforma de Pagos

Plataforma de Servicios para transferencias bancarias, débitos directos, autorización de créditos/débitos, pagos, autenticación y crédito, incluso el procesamiento y provisión de soporte al cliente.

Tarjetahabiente e información bancaria, incluso los números de tarjeta, números de cuenta bancaria, nombre, domicilio, número de teléfono y dirección de correo electrónico, entre otros.

 

Los Usuarios Finales definidos de conformidad con el Contrato (incluso los titulares de tarjetas de crédito, usuarios de transferencias bancarias, usuarios de tarjetas de débito, todos los Usuarios Finales cuya información de cuenta bancaria o de tarjetahabiente se envía al Procesador para su procesamiento).

Tokenización

La tokenización es una tecnología de Protección de Datos que ayuda a los clientes a facilitar la transferencia y almacenamiento de información sensible de manera segura.
El Servicio de Tokenización de Cybersource reemplaza a los datos sensibles de pago con un identificador o token único. Esto simplifica las operaciones del cliente y suprime los datos sensibles de su entorno. Los datos reales de pago quedan guardados en los centros de procesamiento de datos de Visa dentro de la bóveda de token del cliente.

Si el Cliente se inscribe para el Servicio de Tokenización, podrá elegir qué datos del Cliente guardar. Cybersource puede mantener datos como ser números de cuenta, nombre, domicilio de facturación, domicilio de envío, número de teléfono, dirección de correo electrónico, etc.

 

 

 

 

 

 

Payer Authentication

Payer Authentication, también llamada 3D Secure, provee servicios de gestión de riesgo y de autenticación al Cliente.

Payer Authentication facilita el intercambio de datos entre el Cliente y un emisor de tarjeta para autenticar a un tarjetahabiente mediante el ruteo de datos a programas de Payer Authentication, como ser: Visa Secure, Mastercard Identity Check (ID Check), American Express SafeKey y JCB J/Secure.

Payer Authentication ayuda a minimizar transacciones fraudulentas onerosas al añadir una capa de protección adicional al proceso de pago, y ello ayuda a incrementar las tasas de aprobación, como así también a disminuir el riesgo de fraude.

Si el Cliente opta por utilizar el servicio de Authentication, este último podrá utilizar información bancaria y del Tarjetahabiente, incluso números de tarjetas, números de cuentas bancarias, nombres, domicilios, números de teléfono y direcciones de correo electrónico, entre otros, como parte del proceso de solicitud de autorización con el emisor.

Order Screening

Order Screening provee a los clientes gestión de riesgo y servicios de revisión de órdenes.

Los Datos Personales del Cliente se utilizan para evaluar el potencial de fraude y para marcar dichas transacciones con recomendaciones para el cliente.

Order Screening aprovecha los datos del Cliente disponibles en el servicio Decision Manager.

Estos datos abarcan información bancaria y de tarjetahabiente, incluso los números de tarjeta, números de cuenta bancaria, nombre, domicilio, número de teléfono y dirección de correo electrónico, entre otros, así como el dispositivo del tarjetahabiente utilizado para completar la transacción del Cliente (como ser la huella digital del dispositivo si el cliente opta por utilizar ThreatMetrix).

Performance Monitoring

Performance Monitoring brinda al Cliente un analista experto en riesgo a los fines de asesorarlo en el entorno de administración de fraude, especialmente en relación al uso de Decision Manager.

Performance Monitoring aprovecha los datos del Cliente disponibles en el servicio Decision Manager.

Estos datos abarcan información bancaria y de tarjetahabiente, incluso los números de tarjeta, números de cuenta bancaria, nombre, domicilio, número de teléfono y dirección de correo electrónico, entre otros, así como el dispositivo del tarjetahabiente utilizado para completar la transacción del Cliente (como ser la huella digital del dispositivo si el cliente opta por utilizar ThreatMetrix).

 

Alternative payments

Servicios Alt Pay para Transferencias Bancarias Online, eWallets, Buy Now Pay Later y pagos basados en Efectivo.

Nombre, domicilio, correo electrónico, número de teléfono, IBAN (opcional), BIC/SWIFT (opcional).

 

2 Información del Procesamiento con respecto a los Servicios del Controlador.

En la tabla a continuación se incluye determinada información del Procesamiento de Datos Personales del Cliente con respecto a los Servicios del Controlador. Cada una de las descripciones de servicio que se listan a continuación resultan de aplicación en la medida en que el Cliente utilice tal servicio según el Contrato.

Servicio

Naturaleza y propósito del procesamiento

Clases de Datos Personales

Categorías de Titulares de Datos Personales a las cuales se relacionan los Datos Personales

Decision Manager

Decision Manager brinda al Cliente servicios de gestión de riesgos y mitigación de fraude.

Los Datos Personales del Cliente se utilizan de sustento para la creación y mejora de herramientas y modelos de seguridad y prevención del fraude para su uso por el Cliente o todo otro cliente de Cybersource. Estos modelos aseguran que el scoring de los Servicios Anti-Fraude se mantenga actualizado.

Información bancaria y de Tarjetahabiente, incluso los números de tarjeta, números de cuenta bancaria, nombre, domicilio, número de teléfono y dirección de correo electrónico, entre otros, así como el dispositivo del tarjetahabiente utilizado para completar la transacción del Cliente (como ser la huella digital del dispositivo si el cliente opta por utilizar ThreatMetrix).

 

Los Usuarios Finales definidos de conformidad con el Contrato (incluso los titulares de tarjetas de crédito, usuarios de transferencias bancarias, usuarios de tarjetas de débito, todos los Usuarios Finales cuya información de cuenta bancaria o de tarjetahabiente se envía al Procesador para su procesamiento).

FME (Fraud Management Essentials)

FME (Fraud Management Essentials) brinda al Cliente servicios de gestión de riesgos y mitigación de fraude.

Los Datos Personales del Cliente se utilizan de sustento para la creación y mejora de herramientas y modelos de seguridad y prevención del fraude para su uso por el Cliente o todo otro cliente de Cybersource. Estos modelos aseguran que el scoring de los Servicios Anti-Fraude se mantenga actualizado.

Información bancaria y de Tarjetahabiente, incluso los números de tarjeta, números de cuenta bancaria, nombre, domicilio, número de teléfono y dirección de correo electrónico, entre otros, así como el dispositivo del tarjetahabiente utilizado para completar la transacción del Cliente (como ser la huella digital del dispositivo si el cliente opta por utilizar ThreatMetrix).