Acuerdo de Procesamiento de Datos de Cybersource

Actualizado: 14 de junio de 2023

Este Acuerdo de Procesamiento de Datos (“ (“APD”) es un acuerdo entre usted y la entidad que representa (“Cliente” o “Usted”), por un lado, y Cybersource Corporation y/o cualesquiera otras entidades contratantes afiliadas aplicables de Cybersource (“Cybersource”), por otro lado. Forma parte de cualquier acuerdo escrito o electrónico entre Usted y Cybersource (cada uno, un “Acuerdo”) en virtud del cual Cybersource procese información personal en su nombre (“Información personal del Cliente”), excepto respecto de cualquier Acuerdo en virtud del cual Usted y Cybersource hayan establecido condiciones de procesamiento de datos que aborden el objeto del presente documento.

1 Procesamiento de la Información personal del Cliente. Las partes reconocen y aceptan que, en virtud de la Ley de Protección de Datos Aplicable, Cybersource puede actuar bajo diversos roles en el tratamiento de datos. Para que cada parte pueda cumplir con sus obligaciones en virtud de la Ley de Protección de Datos Aplicable, cada una se compromete además a cumplir con las disposiciones correspondientes del Anexo A: Ley de Privacidad del Consumidor de California y/o Anexo B: Reglamento General de Protección de Datos, en la medida en que sea aplicable.

1.1 RGPD. Cuando el Reglamento General de Protección de Datos (Reglamento (UE) 2016/679, el “RGPD”) se aplique a tu uso de los Servicios transaccionales o si la Ley de Protección de Datos Aplicable imponga un requisito comparable, las partes reconocen y acuerdan con respecto a la Información personal del Cliente que Cybersource procesa, lo siguiente:

1.1.1 Cybersource es un “procesador” o el término equivalente a éste en virtud de la Ley de Protección de Datos Aplicable, en su caso (denominado "Procesador" a efectos del presente APD) para los “Servicios de Procesador”. Dichos Servicios de Procesador incluyen, a modo de ejemplo y con fines ilustrativos, el Procesamiento detallado en Detalles del procesamiento (Anexo 2, sección 1); y

1.1.2 tanto el Cliente como Cybersource son “controladores conjuntos”, o el término equivalente a éste en virtud de la Ley de Protección de Datos Aplicable, en su caso, para los “Servicios de Controlador”. Dichos Servicios de Controlador incluyen el Procesamiento detallado en la sección Detalles del Procesamiento (Anexo 2, sección 2).

1.2 Otras Leyes de Protección de Datos Aplicables. Cuando no aplique la sección 1.1, las partes reconocen y aceptan que Cybersource es un Procesador para todos los Servicios Transaccionales.

2 Cumplimiento de la ley. Tanto Cybersource, en su prestación de Servicios transaccionales al Cliente, como el Cliente, en su uso de los Servicios Transaccionales, procesarán la Información personal del Cliente de acuerdo con la Ley de Protección de Datos Aplicable.

3 Aviso de privacidad. El Cliente proporcionará a su(s) Usuario(s) final(es) todos los avisos de privacidad, información y todas las opciones necesarias y obtendrá todos los consentimientos necesarios para que las partes puedan cumplir con la Ley de Protección de Datos Aplicable con respecto a los Servicios transaccionales.

4 Obligaciones del Procesador

4.1 Autorización para procesar. Cuando Cybersource actúe como Procesador, procesará la Información personal en nombre del Cliente para proporcionar dichos Servicios transaccionales, y el Procesador está autorizado a procesar la Información personal del Cliente únicamente en relación con las siguientes actividades:

4.1.1 De conformidad con el/los Acuerdo(s) aplicable(s), incluidos, entre otros, cualesquiera anexos, calendarios y lista(s) de precios aplicable(s), para prestar los Servicios transaccionales, y cualquier Procesamiento exigido por la legislación o normativa aplicable;

4.1.2 Basándose en las instrucciones del Cliente y en su uso de los Servicios transaccionales, el Procesador transfiere Información personal a bancos adquirentes, bancos emisores, procesadores de pagos que prestan servicios en nombre de bancos adquirentes, empresas de tarjetas de crédito/débito o proveedores de servicios que prestan servicios de autenticación de pagadores utilizados por el Cliente, como Verified by Visa y MasterCard Identity Check (ID Check); y

4.1.3 Cuando sea razonablemente necesario para que el Procesador pueda cumplir cualquier otra instrucción o directriz proporcionada por el Cliente.

4.2 Derechos del titular de los datos. El Procesador, en la medida en que la ley lo permita, proporcionará asistencia razonable al Cliente para responder a las solicitudes de los Usuarios finales para ejercer sus derechos en virtud de la Ley de Protección de Datos Aplicable (por ejemplo, derechos de acceso o eliminación de Información personal) de una manera que sea coherente con la naturaleza y la funcionalidad de los Servicios transaccionales. El Cliente deberá presentar dichas solicitudes de asistencia al Business Center. Cuando el Procesador reciba una solicitud de este tipo, informará al Usuario final de que el Cliente es responsable de gestionar dichas solicitudes de un Usuario final de conformidad con la Ley de Protección de Datos Aplicable.

4.3 Compromiso con los Subprocesadores. El Procesador se asegurará de que, cuando contrate a otro procesador de datos, incluidas las Filiales (un “Subprocesador”) a los efectos de llevar a cabo actividades específicas de Procesamiento en nombre del Cliente, exista un contrato escrito en vigor entre el Procesador y el Subprocesador pertinente. Dichos contratos escritos, en la medida en que sean aplicables a la naturaleza de los Servicios transaccionales prestados por el Subprocesador pertinente, proporcionarán como mínimo el mismo nivel de protección de la Información personal del Cliente que el establecido en el presente APD.

4.4 Personal. El Procesador se asegurará de que las personas autorizadas para procesar la Información personal del Cliente se hayan comprometido a mantener la confidencialidad o estén bajo una obligación legal apropiada de confidencialidad.

4.5 Seguridad del procesamiento. Teniendo en cuenta el estado de la técnica, los costos de aplicación y la naturaleza, el alcance, el contexto y los fines del Procesamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el Procesador aplicará medidas técnicas y organizativas que garanticen un nivel de seguridad adecuado a dicho riesgo. A la hora de evaluar el nivel de seguridad adecuado, el Procesador tendrá en cuenta, en particular, la sensibilidad de la Información personal y los riesgos que presenta el Procesamiento, especialmente los derivados del Procesamiento no autorizado o ilícito, la destrucción accidental o ilícita, la pérdida, la alteración, la divulgación no autorizada o el acceso a la Información personal del Cliente transmitida, almacenada o procesada de otro modo. El Procesador proporcionará asistencia razonable al Cliente para garantizar que el Cliente cumpla con sus propias obligaciones de cumplimiento con respecto a estas mismas medidas de seguridad. Las partes también cumplirán con PCI-DSS según lo establecido en el Acuerdo.

5 Violación de seguridad. Cualquiera de las partes, en la medida en que le sea aplicable, investigará rápida y exhaustivamente todas las alegaciones de acceso, uso o divulgación no autorizados de la Información personal del Cliente. En caso de que se produzca una Violación de seguridad real (definida a continuación) que afecte a la Información personal del Cliente, las partes cooperarán y se asistirán mutuamente de buena fe en la medida necesaria para cumplir la Ley de Protección de Datos Aplicable, incluida, en su caso, la notificación de la Violación de seguridad a una Autoridad de supervisión y la comunicación de la Violación de seguridad a los Titulares de los datos pertinentes. En caso de que se produzca una Violación de seguridad real (definida a continuación) que afecte a la Información personal del Cliente contenida en uno cualquiera de los siguientes ambientes:

5.1 los sistemas de Cybersource, Cybersource notificará al Cliente de la Violación de seguridad sin demora indebida y continuará manteniendo informado al Cliente de forma periódica sobre el progreso de los esfuerzos de investigación y remediación. La notificación de conformidad con esta sección se realizará mediante el envío de un correo electrónico y/o mensaje de texto a la dirección de correo electrónico y/o número de teléfono móvil registrados por el Cliente en el Business Center. Para los Servicios de Controlador, el Cliente cooperará y ayudará a Cybersource según sea necesario para que Cybersource comunique la Violación de seguridad a las Autoridades supervisoras pertinentes.

5.2 los sistemas del Cliente, el Cliente puede optar por notificar a Cybersource de la Violación de seguridad, y dicha notificación debe hacerse mediante el envío de un correo electrónico a vsirt@visa.com. Cybersource cooperará y asistirá al Cliente en lo necesario para que éste comunique la Violación de seguridad a las Autoridades supervisoras pertinentes.

5.3 El Cliente será responsable de comunicar cualquier Violación de seguridad a los Usuarios finales si la Ley de Protección de Datos Aplicable así lo exige.

5.4 Salvo que así lo exija la legislación o normativa aplicable, ninguna de las partes realizará (ni permitirá que lo haga un tercero) ninguna declaración relativa a la Violación de seguridad que haga referencia directa o indirectamente a la otra parte, a menos que ésta otorgue su autorización explícita por escrito.

5.5 En la medida en que una Violación de seguridad haya sido causada por el Cliente o por los Usuarios finales del Cliente, el Cliente será responsable de los costos derivados de la prestación de asistencia por parte del Procesador en virtud de la presente sección 5.

6 Eliminación y conservación. El Procesador, a elección del Cliente, eliminará o devolverá toda la Información personal del Cliente al finalizar el Acuerdo y eliminará las copias existentes a menos que el almacenamiento sea requerido por la ley aplicable.

7 Disposiciones varias. Los términos de este APD se aplicarán únicamente en la medida exigida por la Ley de Protección de Datos Aplicable. En la medida en que no sean incompatibles con el presente documento, se aplicarán al presente APD las disposiciones aplicables del Acuerdo o Acuerdos (incluidas, entre otras, las indemnizaciones, las limitaciones de responsabilidad, la ejecución y la interpretación). En caso de conflicto entre el presente APD y los términos de un Acuerdo aplicable, prevalecerán los términos del presente APD únicamente en lo que respecta a los términos del tratamiento de datos cuando así lo exija la Ley de Protección de Datos Aplicable, y, en todos los demás aspectos, prevalecerán los términos del Acuerdo aplicable. No obstante cualquier término o condición del APD, el APD no se aplica a ningún dato o información que no se refiera a uno o más individuos identificables en virtud de la Ley de Protección de Datos Aplicable, como los datos que han sido agregados, desidentificados o anonimizados, o en la medida en que Cybersource y el Cliente hayan suscrito condiciones de procesamiento de datos independientes que aborden el objeto de la presente acuerdo.

8 Definiciones. A menos que se defina de otro modo en el Acuerdo (incluido este APD), todos los términos de este APD tendrán las definiciones que se les da en la Ley de Protección de Datos Aplicable.

“Ley de Protección de Datos Aplicable”	se refiere a cualquier ley o reglamento relativo a la protección de datos, la privacidad y/o el Procesamiento de Información personal, en la medida en que sea aplicable con respecto a las obligaciones de una de las partes en virtud del Acuerdo y el presente APD. A efectos meramente ilustrativos, las Leyes de Protección de Datos Aplicables incluyen, sin limitación, y en la medida en que sean aplicables, el Reglamento General de Protección de Datos (Reglamento (UE) 2016/679, el “RGPD”), la Ley de Privacidad del Consumidor de California de 2018, Cal. Civ. Código § 1798.100 y ss. (“LPCC”), la Ley de Protección de Datos Personales y Documentos Electrónicos, S.C. 2000, c. 5 (“PIPEDA”), las Leyes de Protección de Datos del Reino Unido, las Leyes Suizas de Protección de Datos y cualquier otra normativa asociada a este asunto, o cualquier otra legislación o normativa que las transponga, sustituya o se considere sustancialmente similar a las leyes anteriores.
“Cláusulas Contractuales Tipo del EEE”	se refiere a las Cláusulas Contractuales Tipo establecidas en la Decisión Europea de Ejecución (UE) 2021/914 relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679, modificadas o sustituidas cada cierto tiempo por una autoridad competente en virtud de la Ley de Protección de Datos Aplicable, incluidas las modificaciones suizas de las Cláusulas Contractuales Tipo de la UE exigidas por el Comisionado Federal Suizo de Información sobre Protección de Datos (la "Adenda Suiza") en la medida en que sean aplicables.
“Usuario(s) final(es)”	se refiere a cualquier persona que compre bienes o servicios del Cliente, cuya información sea enviada por el Cliente a Cybersource durante el curso de la utilización por parte del Cliente de los Servicios transaccionales aquí descritos.
“Información personal”	se refiere a todos los datos y toda información, plasmada en cualquier forma o formato, que identifique, se refiera, describa, pueda asociarse o pueda vincularse razonablemente, de forma directa o indirecta con un consumidor ("Titular de los datos") o un hogar en particular, o que esté regulada como "datos personales", "información personal" o de otro modo equivalente, en virtud de la Ley de Protección de Datos Aplicable. Para evitar cualquier duda, esta noción incluye cualquier información relativa a un Usuario final, tal y como se define en el Acuerdo. Adicionalmente incluye datos relativos a personas legales, siempre y cuando estén protegidos por las Leyes Suizas de Protección de Datos, así como cualquier información relativa a un Usuario final, tal y como se define en el Acuerdo.
“Procesar” o “Procesado” o “Procesamiento”	supone cualquier operación o conjunto de operaciones que se realicen con Datos personales, ya sea por medios automáticos o no, como el acceso, recolección, registro, organización, almacenamiento, adaptación o alteración, recuperación, divulgación o cualquier otra forma de puesta a disposición, duplicación, transmisión, combinación, bloqueo, redacción, supresión o destrucción.
“Violación de seguridad”	implica una violación de la seguridad que provoque la destrucción accidental o ilegal, la pérdida, la alteración, la divulgación no autorizada o el acceso a Información personal. Una Violación de seguridad incluye una “violación de datos personales” (como se define ésta en el RGPD), una “violación de seguridad de un sistema” (como se define ella en las leyes estadounidenses), una “violación de las garantías de seguridad” (como se define en PIPEDA) o cualquier término similar (que esté definido en cualquier otra ley de privacidad aplicable), así como cualquier otro evento que comprometa la seguridad, confidencialidad o integridad de la Información personal.
“Leyes Suizas de Protección de Datos”	se refiere a la Ley Federal de Protección de Datos de 19 de junio de 1992 (y las actualizaciones, modificaciones y sustituciones que se produzcan sobre ella de tiempo en tiempo), incluidas todas las ordenanzas de aplicación. En el presente APD, en circunstancias en las que se apliquen al RGPD y a sus disposiciones y únicamente en relación con ellas se interpretarán como referencias a las Leyes Suizas de Protección de Datos y a sus disposiciones correspondientes.
“Transferencia”	significa transmitir o poner a disposición de otro modo Información personal del Cliente a través de fronteras nacionales en circunstancias restringidas por la Ley de Protección de Datos Aplicable.
“Leyes de Protección de Datos del Reino Unido”	significa el RGPD transpuesto a la legislación nacional del Reino Unido en virtud de la sección 3 de la Ley de la Unión Europea (Retirada) de 2018 y modificado por la Ley de Protección de Datos, Privacidad y Comunicaciones Electrónicas (Enmiendas, etc.) Reglamento (Salida de la UE) de 2019 ("RGPD RU”), junto con la Ley de Protección de Datos de 2018, la Ley de Protección de Datos, Privacidad y Comunicaciones Electrónicas (Enmiendas, etc.) el Reglamento (Salida de la UE) de 2019 y cualquier otra legislación sobre protección de datos o privacidad vigente de tiempo en tiempo en el Reino Unido. En el presente APD, en circunstancias en las que se aplique el RGPD del Reino Unido y únicamente en la medida en que éste se aplique, las referencias al RGPD y a sus disposiciones se interpretarán como referencias al RGPD del Reino Unido y a sus disposiciones correspondientes.
“IDTA del Reino Unido”	se refiere a la Adenda de Transferencia Internacional de Datos a las Cláusulas Contractuales Estándar del EEE emitida por el Comisionado de Información del Reino Unido en virtud de la sección 119A (1) de la Ley de Protección de Datos de 2018.

ANEXO A
LEY DE PRIVACIDAD DEL CONSUMIDOR DE CALIFORNIA

Este Anexo LPCC se aplica además de cualquier término establecido en el cuerpo del APD (y se incorpora al mismo) cuando la LPCC se aplica al uso que usted haga de los Servicios transaccionales o si la Ley de Protección de Datos Aplicable impone un requisito comparable descrito en el Anexo A. Los términos escritos en mayúsculas no definidos aquí tienen el significado que se les asigna en el APD. En caso de conflicto entre el presente Anexo LPCC y el APD, prevalecerá el presente Anexo LPCC.

1 Cybersource no deberá:

(i) vender o compartir con fines de publicidad contextual cruzada Información personal de los Clientes;
(ii) combinar la Información personal del Cliente con información personal obtenida de diferentes fuentes;
(iii) conservar, utilizar o divulgar Información personal del Cliente con fines distintos a los específicos establecidos en el cuerpo del APD; o
(iv) en su caso, utilizar cualquier Información personal sensible recibida por parte del Cliente que no sea para ayudar al Cliente en los fines autorizados por las instrucciones del Cliente;

en cada caso, excepto cuando sea necesario para llevar a cabo un propósito comercial definido en el presente Acuerdo o cuando lo permita la Ley de Protección de Datos Aplicable.

2 En la medida en que lo exija la Ley de Protección de Datos Aplicable, el presente Anexo LPCC constituye su certificación de las restricciones de Procesamiento aquí establecidas para permitir al Cliente:

(i) garantizar que la Información personal del Cliente se utilice de conformidad con la Ley de Protección de Datos Aplicable;
(ii) detener y remediar el uso no autorizado de la Información personal del Cliente, y
(iii) realizar evaluaciones razonables de las políticas y medidas técnicas y organizativas de Cybersource. Cybersource concede al Cliente los derechos establecidos en el Anexo B, Sección 4 a los efectos de la Sección 2(iii) de este Anexo.

3 Las obligaciones del subprocesador en virtud de la LPCC se regirán por la sección 4.3 del APD.

Tanto Cybersource como el Cliente cumplirán con las disposiciones aplicables de la LPCC, incluyendo, en el caso del Cliente, proporcionar notificaciones y divulgaciones requeridas con respecto a las obligaciones de la empresa en virtud de la LPCC; y en el caso de Cybersource, notificar al Cliente con prontitud (y, en cualquier caso, dentro de cualquier plazo requerido por la ley) al tomar la determinación de que ya no puede cumplir con sus obligaciones con respecto a la Información personal del Cliente en virtud de la LPCC.

ANEXO B
REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS

Este Anexo RGPD se aplica además de cualquier término establecido en el cuerpo del APD (y se incorpora al mismo) cuando el RGPD se aplica a tu uso de los Servicios transaccionales o si la Ley de Protección de Datos Aplicable impone un requisito comparable descrito en el Anexo B. Los términos en mayúsculas no definidos aquí tienen el significado que se les asigna en el APD. En la medida en que existan conflictos entre el presente Anexo RGPD y el APD, prevalecerá el presente Anexo GDPR.

1 Obligaciones del Procesador. El Procesador procesará la Información personal del Cliente únicamente siguiendo instrucciones razonables y documentadas del Cliente (incluidas instrucciones con respecto a transferencias de Información personal del Cliente a un tercer país, si procede), a menos que el Procesador esté obligado a procesar de otro modo la Información personal del Cliente en virtud de la Ley de Protección de Datos Aplicable. En tales circunstancias, el Procesador informará al Cliente de dicho requisito legal antes del Procesamiento, a menos que lo prohíba la legislación aplicable, por motivos importantes de interés público. El Procesador informará inmediatamente al Cliente si, a juicio del Procesador, las instrucciones del Cliente infringen la Ley de Protección de Datos Aplicable. El Cliente acepta que el Procesador no tendrá obligación alguna de adoptar medidas encaminadas a formarse tal opinión.

2 Uso de un Subprocesador

2.1 El Cliente autoriza al Procesador a trabajar con los Subprocesadores que figuran en el Business Center. El Procesador se reserva el derecho de mantener su lista de Subprocesadores a través de medios tales como la publicación de su lista de Subprocesadores en línea.

2.2 El Procesador deberá informar al Cliente de cualquier cambio previsto relativo a la adición o sustitución de otros Subprocesadores para dar al Cliente una oportunidad razonable de oponerse a dichos cambios. En caso de que el Cliente se oponga a que el Procesador cambie o añada un Subprocesador, el Cliente notificará inmediatamente al Procesador sus objeciones por escrito en un plazo de 10 días hábiles tras la recepción de la notificación del Procesador de dicho cambio o adición.

2.3 El Procesador podrá, a su elección, realizar esfuerzos razonables para poner a disposición del Cliente un cambio en los Servicios transaccionales o recomendar un cambio comercialmente razonable en la configuración o uso de los Servicios transaccionales por parte del Cliente para evitar el Procesamiento de la Información personal del Cliente por parte del nuevo Subprocesador objetado. Si el Procesador no puede realizar dicho cambio en un plazo razonable, que no excederá de treinta (30) días, el Cliente podrá rescindir el Contrato únicamente con respecto a aquellos aspectos de los Servicios transaccionales que no puedan ser prestados por el Procesador sin el uso del nuevo Subprocesador objetado, notificándolo por escrito al Procesador. En el caso de que los Servicios transaccionales en su totalidad no puedan realizarse sin el uso del nuevo Subprocesador objetado, el Cliente podrá rescindir el Contrato completo.

2.4 El Procesador acuerda no imponer penalización alguna al Cliente por la rescisión que proceda en virtud de esta sección 2.

3 Evaluaciones de impacto sobre la protección de datos y consulta previa al Regulador. El Procesador proporcionará asistencia razonable al Cliente relacionada con cualquier: (i) evaluación de impacto de protección de datos legalmente requerida; y (ii) consulta previa iniciada por el Cliente con su regulador en relación con dichas evaluaciones de impacto de protección de datos. Dicha asistencia se limitará estrictamente al Procesamiento de la Información personal del Cliente por parte del Procesador en nombre del Cliente en virtud del Acuerdo, teniendo en cuenta la naturaleza del Procesamiento y la información disponible para el Procesador.

4 Demostración del cumplimiento del presente APD. El Procesador pondrá a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de sus obligaciones en virtud del presente APD y permitirá (y contribuirá con) las auditorías, incluidas las inspecciones realizadas por el Cliente u otro auditor bajo las instrucciones del Cliente con los mismos fines de demostrar el cumplimiento de las obligaciones establecidas en el presente APD. El derecho del Cliente en virtud de la sección 4 de este Anexo RGPD está sujeto a lo siguiente:

4.1 Si el Procesador puede demostrar el cumplimiento de sus obligaciones establecidas en el presente APD mediante la adhesión a un código de conducta aprobado, la obtención de una certificación aprobada, o la entrega al Cliente de un informe de auditoría emitido por un auditor externo independiente (siempre que el Cliente cumpla con las obligaciones de confidencialidad pertinentes establecidas en el Acuerdo y no utilice dicho informe de auditoría para ningún otro fin), el Cliente acepta que no llevará a cabo una auditoría o inspección en virtud de la sección 4 anterior; y

4.2 Teniendo en cuenta el tiempo, los gastos y la interrupción de actividad empresarial asociados a la realización de auditorías e inspecciones que impliquen entrevistas y visitas in situ, el Cliente acepta realizar dichas auditorías e inspecciones únicamente con la condición de que el Cliente pueda demostrar que dicha auditoría o inspección es necesaria además de la información facilitada por el Procesador en virtud de la sección 4 anterior. Dichas auditorías e inspecciones se realizarán a intervalos razonables (pero no más de una vez al año) con un preaviso no inferior a 60 días y en una fecha acordada mutuamente por las Partes, siempre que la auditoría (i) no interrumpa la actividad del Procesador; (ii) se realice en horario laboral y a cargo del Cliente; (iii) no interfiera con los intereses de otros clientes del Procesador; y (iv) no exceda un periodo de dos días hábiles sucesivos.

5 Transferencias transfronterizas para servicios de Procesador. El Procesador cumplirá las instrucciones documentadas del Cliente en relación con la Transferencia de Información personal del Cliente a un tercer país. El Procesador solo transferirá la Información personal del Cliente fuera de la jurisdicción aplicable del Cliente o de la jurisdicción residente del Usuario final, incluyendo, sin limitación, fuera del Espacio Económico Europeo. (“EEE”), el Reino Unido o Suiza, de conformidad con la Ley de Protección de Datos Aplicable. El Cliente acepta y reconoce que el Procesador transfiere y almacena Información personal determinada del Cliente (incluida la relativa a personas físicas ubicadas en el EEE, Suiza y/o el Reino Unido) en Estados Unidos.

5.1 Transferencias sujetas al RGPD, al RGPD del Reino Unido o a las Leyes de Protección de Datos de Suiza. El Módulo 2 (Transferencia de controlador a procesador) de las Cláusulas Contractuales Tipo del EEE se aplicará con respecto a cualquier Transferencia de Información personal del Cliente desde el EEE, Reino Unido o Suiza a Cybersource y cualquiera de sus entidades afiliadas en Estados Unidos u otros terceros países. ("Entidades de Cybersource"). Las partes reconocen y acuerdan que el Módulo 2 (Transferencia de controlador a procesador) de las Cláusulas Contractuales Tipo del EEE se incorpora por referencia y;

5.1.1 El Cliente y cualquiera de sus filiales de propiedad o control común que hayan firmado un Acuerdo de servicios de Procesador ("Entidades del Cliente") serán considerados el “exportador de datos” y las Entidades de Cybersource serán consideradas el "importador de datos";

5.1.2 Cláusula 7 – Cláusula de muelle se aplicará;

5.1.3 Cláusula 9 – Uso de subprocesadores Se aplicará la Opción 2 y el “periodo de tiempo” será de 10 días hábiles;

5.1.4 Cláusula 11(a) – Desagravio el idioma opcional no se aplicará;

5.1.5 Cláusula 13(a) – Supervisión

5.1.5.1 Cuando el exportador de datos esté establecido en un Estado miembro de la UE, se aplicará lo siguiente: “La autoridad de control responsable de garantizar el cumplimiento por parte del exportador de datos del Reglamento (UE) 2016/679 en lo que respecta a la transferencia de datos, tal como se indica en el anexo I.C, actuará como autoridad de control competente.”

5.1.5.2 Cuando el exportador de datos no esté establecido en un Estado miembro de la UE, pero entre en el ámbito territorial de aplicación del Reglamento (UE) 2016/679 de conformidad con su artículo 3, apartado 2, y haya designado a un representante con arreglo al artículo 27, apartado 1, del RGPD, se aplicará lo siguiente: “La autoridad de supervisión del Estado miembro en el que esté establecido el representante en el sentido del artículo 27, apartado 1, del Reglamento (UE) 2016/679, tal como se indica en el anexo I.C, actuará como autoridad de supervisión competente.”

5.1.5.3 Cuando el exportador de datos no esté establecido en un Estado miembro de la UE, pero entre en el ámbito territorial de aplicación del RGPD de conformidad con su artículo 3, apartado 2, sin tener, no obstante, que designar a un representante con arreglo al artículo 27, apartado 2, del RGPD, se aplicará lo siguiente: “Actuará como autoridad de control competente la autoridad de control de uno de los Estados miembros en los que se encuentren los titulares de los datos cuyos datos personales se transfieran en virtud de las presentes Cláusulas en relación con la oferta de bienes o servicios a los mismos, o cuyo comportamiento sea objeto de seguimiento, según se indica en el Anexo I.C.”

5.1.6 Cláusula 17 – Legislación aplicable se aplicará la Opción 1 y el “Estado miembro” será Irlanda;

5.1.7 Cláusula 18 – Elección de foro y jurisdicción el Estado miembro será Irlanda; y

5.1.8 la información que figura en el Anexo 1 (Cuadro 1) del presente Anexo del RGPD se incorpora a los Anexos 1, 2 y 3 de las Cláusulas Contractuales Tipo del EEE.

5.1.9 Transferencias sujetas al GDPR del Reino Unido: cuando la Transferencia esté sujeta al GDPR del Reino Unido, las Cláusulas Contractuales Tipo del EEE y la Cláusula 5.1 del presente Anexo B se interpretarán de conformidad con las disposiciones de la Parte 2 (Cláusulas obligatorias) del IDTA del Reino Unido y se considerarán modificadas por las mismas. A efectos de la Tabla 4 de la Parte 1 (Tablas) del IDTA del Reino Unido, las partes seleccionan la opción "ninguna de las partes". Por lo demás, las Partes confirman que la información requerida a efectos de la Parte 1 (Tablas) del IDTA del Reino Unido figura en el Anexo 1. En caso de conflicto o incoherencia entre una cláusula del cuerpo del presente APD, un Acuerdo y una cláusula del Módulo 2 (Transferencia de controlador a procesador) de las Cláusulas Contractuales Tipo del EEE, incorporadas al presente APD, prevalecerá la cláusula del Módulo 2 (Transferencia de controlador a procesador) de las Cláusulas Contractuales Tipo del EEE.

5.1.10 Transferencias sujetas a las Leyes Suizas de Protección de Datos: Cuando la Transferencia esté sujeta a las Leyes Suizas de Protección de Datos, las Cláusulas Contractuales Tipo del EEE y la Cláusula 5.1 de este Anexo B se interpretarán de conformidad con la sección 13.4 del Anexo B de este APD.

6 Obligaciones del Controlador conjunto. Las obligaciones del presente APD, incluidas las establecidas a continuación en este Anexo del RGPD, constituirán el acuerdo escrito de asignación de responsabilidades entre los corresponsables del tratamiento exigido en virtud del artículo 26 del RGPD con respecto a los Servicios del Controlador.

7 Asistencia razonable. Con respecto a los Servicios de Controlador, cada una de las partes asistirá a la otra, según se requiera razonablemente, en el cumplimiento de sus obligaciones reglamentarias en relación con la seguridad de los datos, la notificación de violaciones de la seguridad y las evaluaciones de impacto de la protección de datos para los Servicios de Controlador.

8 Aviso. Con respecto a los Servicios de Controlador, el Cliente proporcionará a su(s) Usuario(s) final(es) todos los avisos de privacidad, la información y todas las opciones necesarias, y obtendrá todos los consentimientos necesarios para que las partes puedan cumplir la Ley de Protección de Datos Aplicable con respecto a los Servicios transaccionales.

9 Derechos de los Titulares de los datos. Las partes acuerdan que el Cliente será el punto de contacto designado frente al Titular de los datos con respecto a las solicitudes de Derechos del Titular de los datos para los Servicios de Controlador, y Cybersource cooperará razonablemente con el Cliente y le ayudará en la ejecución y el cumplimiento de sus obligaciones en virtud de las Leyes de Protección de Datos Aplicables en relación con dichas solicitudes.

10 Autoridad de supervisión. Las partes se notificarán mutuamente sin demora indebida la recepción de cualquier correspondencia de una Autoridad de supervisión en relación con los Servicios de Controlador cuando y en la medida en que lo permita la legislación aplicable.

11 Seguridad del procesamiento. Cada una de las partes será responsable de garantizar la seguridad adecuada con respecto al procesamiento de la Información personal para los Servicios de Controlador que tengan lugar dentro de los propios sistemas de dicha parte.

12 Violación de seguridad. Para evitar cualquier duda, en caso de una Violación de seguridad relacionada con los Servicios de Controlador, regirá la sección 5 del cuerpo del Acuerdo.

13 Transferencias transfronterizas de Servicios de Controlador

13.1 Transferencias sujetas al RGPD, al RGPD del Reino Unido o a las Leyes de Protección de Datos de Suiza: El Módulo 1 (transferencia de controlador a controlador) de las Cláusulas Contractuales Tipo del EEE se aplicará con respecto a cualquier Transferencia de Información personal del Cliente desde el EEE, Reino Unido o Suiza a Cybersource Corporation en Estados Unidos, únicamente cuando Cybersource Corporation actúe como controlador a efectos de los Servicios de Controlador. Las partes reconocen y acuerdan que el Módulo 1 (transferencia de controlador a controlador) de las Cláusulas Contractuales Tipo del EEE se incorpora por referencia y;

13.1.1 El Cliente y cualesquiera Entidades del Cliente se considerarán “exportadores de datos” y las Entidades de Cybersourse se considerarán el "importador de datos";

13.1.2 Cláusula 7 – Cláusula de muelle se aplicará;

13.1.3 Cláusula 11(a) – Desagravio el idioma opcional no se aplicará;

13.1.4 Cláusula 13(a) – Supervisión

13.1.4.1 Cuando el exportador de datos esté establecido en un Estado miembro de la UE, se aplicará lo siguiente: “La autoridad de control responsable de garantizar el cumplimiento por parte del exportador de datos del Reglamento (UE) 2016/679 en lo que respecta a la transferencia de datos, tal como se indica en el anexo I.C, actuará como autoridad de control competente.”

13.1.4.2 Cuando el exportador de datos no esté establecido en un Estado miembro de la UE, pero entre en el ámbito territorial de aplicación del Reglamento (UE) 2016/679 de conformidad con su artículo 3, apartado 2, y haya designado a un representante con arreglo al artículo 27, apartado 1, del RGPD, se aplicará lo siguiente: “La autoridad de supervisión del Estado miembro en el que esté establecido el representante en el sentido del artículo 27, apartado 1, del Reglamento (UE) 2016/679, tal como se indica en el anexo I.C, actuará como autoridad de supervisión competente.”

13.1.4.3 Cuando el exportador de datos no esté establecido en un Estado miembro de la UE, pero entre en el ámbito territorial de aplicación del RGPD de conformidad con su artículo 3, apartado 2, sin tener, no obstante, que designar a un representante con arreglo al artículo 27, apartado 2, del RGPD, se aplicará lo siguiente: “Actuará como autoridad de control competente la autoridad de control de uno de los Estados miembros en los que se encuentren los titulares de los datos cuyos datos personales se transfieran en virtud de las presentes Cláusulas en relación con la oferta de bienes o servicios a los mismos, o cuyo comportamiento sea objeto de seguimiento, según se indica en el Anexo I.C.”

13.1.5 Cláusula 17 - Legislación aplicable Se aplicará la opción 1 y el "Estado miembro" será Irlanda;

13.1.6 Cláusula 18 - Elección de foro y jurisdicción el Estado miembro será Irlanda;

13.1.7 la información que figura en el Anexo 1 (Cuadro 1) del presente Anexo del RGPD se incorpora a los Anexos 1, 2 y 3 de las Cláusulas Contractuales Tipo del EEE.

13.2 Transferencias sujetas al RGPD del Reino Unido: cuando la Transferencia esté sujeta al GDPR del Reino Unido, las Cláusulas Contractuales Tipo del EEE y la Cláusula 13.1 del presente Anexo B se interpretarán de conformidad con las disposiciones de la Parte 2 (Cláusulas obligatorias) del IDTA del Reino Unido y se considerarán modificadas por las mismas. A efectos de la Tabla 4 de la Parte 1 (Tablas) del IDTA del Reino Unido, las partes seleccionan la opción "ninguna de las partes". Por lo demás, las Partes confirman que la información requerida a efectos de la Parte 1 (Tablas) del IDTA del Reino Unido figura en el Anexo 1.

13.3 En caso de conflicto o incoherencia entre una cláusula del cuerpo del presente APD, un Acuerdo y una cláusula del Módulo 1 (transferencia de controlador a controlador) de las Cláusulas Contractuales Tipo del EEE, incorporadas al presente APD, prevalecerán las Cláusulas Contractuales Tipo del EEE.

13.4 Transferencias sujetas a las Leyes Suizas de Protección de Datos: en la medida en que las Leyes Suizas de Protección de Datos sean aplicables a una exportación de datos en virtud de las Cláusulas Contractuales Tipo del EEE establecidas en el presente APD, las Partes acuerdan las siguientes modificaciones de las Cláusulas Contractuales Tipo del EEE y de la Cláusula 13.1 del presente Anexo B:

13.4.1 El término "Estado miembro", de conformidad con la Cláusula 18 (c) de las Cláusulas Contractuales Tipo del EEE, no se interpretará de forma que los titulares de los datos en Suiza queden excluidos del ejercicio de sus derechos, si los hubiere, en su lugar de residencia habitual;

13.4.2 La autoridad supervisora de conformidad con la cláusula 13 de las Cláusulas Contractuales Tipo del EEE es el Comisionado Federal Suizo de Protección de Datos e Información;

13.4.3 La legislación aplicable a las Cláusulas Contractuales Tipo del EEE de conformidad con la Cláusula 17 de las Cláusulas Contractuales Tipo del EEE serán las Leyes Suizas de Protección de Datos;

13.4.4 La jurisdicción competente en virtud de la Cláusula 18 (b) de las Cláusulas Contractuales Tipo del EEE serán los tribunales de la ciudad de Zurich;

13.4.5 Cuando las Cláusulas Contractuales Tipo del EEE incluyan referencias al RGPD, dichas referencias se entenderán como referencias a las Leyes Suizas de Protección de Datos.

ANEXO 1
INFORMACIÓN REQUERIDA PARA LAS CLÁUSULAS CONTRACTUALES TIPO DEL EEE, EL IDTA DEL REINO UNIDO Y LAS LEYES SUIZAS DE PROTECCIÓN DE DATOS

Tabla 1: Información que debe incorporarse a las Cláusulas Contractuales Tipo del EEE
ANEXO I A. Lista de Partes
Identidad y datos de contacto del EXPORTADOR de datos
Nombre	Entidades del Cliente
Dirección	Se facilitará previa solicitud
Nombre, cargo y datos de la persona de contacto:	Se facilitará previa solicitud
Actividades relacionadas con los datos transferidos en virtud de las presentes cláusulas:	Como se indica en el tabla del Anexo 2, en "Naturaleza y finalidad del tratamiento".
Rol (controlador/procesador):	Controlador
Identidad y datos de contacto del IMPORTADOR de datos
Nombre	Entidades de Cybersource
Dirección	900 Metro Center Boulevard Foster City, CA 94404 U.S.A.
Nombre, cargo y datos de la persona de contacto:	privacy@visa.com
Actividades relacionadas con los datos transferidos en virtud de las presentes cláusulas:	Como se indica en el tabla del Anexo 2, en "Naturaleza y finalidad del tratamiento".
Rol (controlador/procesador):	Módulo 1: Controlador Módulo 2: Procesador
ANEXO I B. Descripción de la transferencia
Categorías de titulares de los datos cuyos datos personales se transfieren	Como se indica en el cuadro del Anexo 2, en "Categorías de Titulares de los Datos".
Categorías de datos personales transferidos	Como se indica en el cuadro del Anexo 2, en "Tipos de información personal".
Datos sensibles transferidos (si procede) y restricciones o salvaguardias aplicadas que tengan plenamente en cuenta la naturaleza de los datos y los riesgos que conllevan, como por ejemplo una estricta limitación de la finalidad, restricciones de acceso (incluido el acceso únicamente del personal que haya seguido una capacitación especializada), mantenimiento de un registro de acceso a los datos, restricciones para las transferencias ulteriores o medidas de seguridad adicionales.	No aplicable
La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma puntual o continua).	Continua
Naturaleza del procesamiento	Como se indica en el tabla del Anexo 2, en "Naturaleza y finalidad del tratamiento".
Finalidad(es) de la transferencia de datos y procesamiento posterior	Como se indica en el tabla del Anexo 2, en "Naturaleza y finalidad del tratamiento".
El periodo durante el cual se conservarán los datos personales o, si esto no fuera posible, los criterios utilizados para determinar dicho periodo	Los datos personales se conservarán de acuerdo con las políticas de conservación de Cybersource, solo durante el tiempo necesario para cumplir los requisitos legales, normativos y operativos de Cybersource y según sea necesario para prestar los servicios.
Para las transferencias a (sub)procesadores, especifique también el objeto, la naturaleza y la duración del procesamiento	Como se indica en el tabla del Anexo 2, en "Naturaleza y finalidad del tratamiento".
Anexo I C. Autoridad de control competente
Autoridad(es) de control competente(s)	Será facilitada por el exportador de datos previa solicitud.
ANEXO II Medidas técnicas y organizativas incluidas las medidas técnicas y organizativas para garantizar la seguridad de los datos
Descripción de las medidas técnicas y organizativas aplicadas por el importador o importadores de datos (incluidas las certificaciones pertinentes) para garantizar un nivel de seguridad adecuado, teniendo en cuenta la naturaleza, el alcance, el contexto y la finalidad del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas.	Cybersource Corporation está certificada como conforme con todas las normas establecidas por el Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (junto con cualquier organización que le suceda, “PCI DSS”, por sus siglas en inglés) aplicables a Cybersource Corporation y sus filiales (dichos estándares, los “Estándares PCI”). Como prueba de cumplimiento, el Cliente puede acceder al Certificado de cumplimiento actual de Cybersource Corporation firmado por un Evaluador de seguridad cualificado de la Industria de tarjetas de pago en Visa Online. Cybersource Corporation mantiene y aplica políticas, procedimientos y normas de seguridad física y seguridad de la información que son comercialmente razonables y que están diseñadas (i) para garantizar la seguridad y confidencialidad de los registros e información del Cliente, (ii) para proteger contra cualquier amenaza o peligro previsto para la seguridad o integridad de dichos registros, y (iii) para proteger contra el acceso no autorizado o el uso de dichos registros o información que podría resultar en un daño sustancial (el “Visa Information Security Program”). Como mínimo, el Visa Information Security Program está diseñado para cumplir los estándares establecidos en la norma ISO 27002 publicada por la Organización Internacional de Normalización, así como cualesquiera revisiones, versiones u otras normas u objetivos que sustituyan o reemplacen a las anteriores. Cybersource Corporation contrata a sus contables públicos independientes para llevar a cabo una revisión de las operaciones y procedimientos de Cybersource Corporation a costa de Cybersource Corporation. Los contadores llevan a cabo la revisión de conformidad con la Declaración de Normas para Trabajos de Atestiguación nº 18 SOC I Tipo II del Instituto Americano de Contabilidad Pública Certificada (“SSAE 18”, por sus siglas en inglés) y registran sus conclusiones y recomendaciones en un informe dirigido a Cybersource Corporation. Previa solicitud, y sujeto a las obligaciones de confidencialidad estándar, Cybersource Corporation proporcionará su SSAE 18 más reciente y, a discreción razonable de Cybersource Corporation, la información adicional razonablemente solicitada para abordar preguntas o inquietudes con respecto a los hallazgos de la SSAE 18.
Para las transferencias a (sub)procesadores, describe también las medidas técnicas y organizativas específicas que deberá adoptar el (sub)procesador para poder prestar asistencia al controlador y, para las transferencias de un procesador a un subprocesador, y al exportador de datos.	Con respecto a los Servicios transaccionales: las iniciativas, los productos, los procesos y la tecnología de apoyo se evalúan desde la perspectiva de la privacidad de los datos, lo que permite a Cybersource incorporar controles de privacidad para mitigar los riesgos en las primeras fases (privacidad desde el diseño). Cybersource cuenta con un sólido marco de evaluación de riesgos para la privacidad (que incluye evaluaciones de impacto sobre la privacidad), integrando este proceso en nuestros vehículos de cambio en toda la empresa, para garantizar que se revisan tanto las actividades de tratamiento de datos personales nuevas como las modificadas. Cuando el Cliente requiera asistencia específica, podrá presentar dichas solicitudes de asistencia al Business Center.
ANEXO III Lista de Subprocesadores El controlador ha autorizado el uso de los siguientes subprocesadores:
Como figura en Business Center.

ANEXO 2
DETALLES DEL PROCESAMIENTO DE LA INFORMACIÓN PERSONAL DEL CLIENTE

1 Detalles del Procesamiento con respecto a los Servicios de Procesador

La siguiente tabla incluye ciertos detalles del Procesamiento de la Información personal del Cliente con respecto a los Servicios de Procesador, según lo requerido por el artículo 28(3) del RGPD. Cada una de las descripciones de servicio que figuran a continuación se aplica en la medida en que el Cliente utilice dicho servicio en virtud del Acuerdo.

*Servicio*	*Naturaleza y finalidad del procesamiento*	*Tipos de información personal*	*Categorías de titulares de los datos a los que se refiere la información personal*
Servicio de pasarela de pagos	Servicios de pasarela para transferencias bancarias, débitos directos, autorización de tarjetas de crédito/débito, liquidación, autenticación y crédito, incluido el procesamiento y la prestación de asistencia al cliente.	Información bancaria y del titular de la tarjeta, incluidos, entre otros, números de tarjeta, números de cuenta bancaria, nombre, dirección, número de teléfono y dirección de correo electrónico.	Usuarios finales, tal y como se definen en el Acuerdo (incluidos titulares de tarjetas de crédito, usuarios de transferencias bancarias, usuarios de débitos directos, todos los Usuarios finales cuyos datos de titular de tarjeta o cuenta bancaria se envíen al Procesador para su procesamiento).
Tokenización	La tokenización es una tecnología de seguridad de datos que ayuda a los Clientes a facilitar la transferencia y el almacenamiento seguros de información confidencial. El servicio de tokenización de Cybersource sustituye los datos de pago sensibles por un identificador único o token. Esto simplifica las operaciones de los Clientes y elimina los datos confidenciales de su entorno. Los datos de pago reales se almacenan de forma segura en los centros de datos de Visa dentro de la cámara acorazada de tokens de los Clientes.	Si el Cliente se inscribe en el servicio de tokenización, puede elegir qué datos del Cliente desea almacenar. Cybersource puede admitir datos como números de cuenta, nombre, dirección de facturación, dirección de envío, número de teléfono, dirección de correo electrónico, etc.
Payer Authentication	Payer Authentication, también llamado 3D Secure, proporciona al Cliente servicios de gestión de riesgos y autenticación. Payer Authentication facilita el intercambio de datos entre el Cliente y el emisor de la tarjeta para autenticar al titular de la tarjeta enviando los datos a los programas de Payer Authentication como Visa Secure, Mastercard Identity Check (ID Check), American Express SafeKey y JCB J/Secure. Payer Authentication ayuda a minimizar las costosas transacciones fraudulentas añadiendo una capa adicional de protección al proceso de pago, lo que contribuye a aumentar las tasas de aprobación de autorizaciones, así como a reducir el riesgo de fraude.	Si el Cliente opta por utilizar el servicio de Autenticación, el servicio puede utilizar información bancaria y del titular de la tarjeta, incluyendo, sin limitación, números de tarjeta, números de cuenta bancaria, nombres, direcciones, números de teléfono y direcciones de correo electrónico como parte del procesamiento de la solicitud de autenticación con el emisor.
Evaluación de pedidos	Evaluación de pedidos ofrece a los Clientes servicios de gestión de riesgos y revisión de pedidos. La Información personal del Cliente se utiliza para evaluar el potencial de fraude y marcar esas transacciones con recomendaciones para el Cliente.	Evaluación de pedidos aprovecha los datos del Cliente disponibles en el servicio Decision Manager. Estos datos incorporan información bancaria y del titular de la tarjeta, incluyendo, sin limitación, números de tarjeta, números de cuenta bancaria, nombre, dirección, número de teléfono, dirección de correo electrónico, así como el dispositivo del titular de la tarjeta que se utiliza para completar las transacciones del Cliente (como la huella digital del dispositivo si el Cliente opta por utilizar ThreatMetrix).
Monitoreo del rendimiento	Monitoreo del rendimiento pone a disposición del Cliente un analista de riesgos experto con fines consultivos en el ámbito de la gestión del fraude, concretamente en relación con el uso de Decision Manager.	Monitoreo del rendimiento aprovecha los datos del Cliente disponibles en el servicio Decision Manager. Estos datos incorporan información bancaria y del titular de la tarjeta, incluyendo, sin limitación, números de tarjeta, números de cuenta bancaria, nombre, dirección, número de teléfono, dirección de correo electrónico, así como el dispositivo del titular de la tarjeta que se utiliza para completar las transacciones del Cliente (como la huella digital del dispositivo si el Cliente opta por utilizar ThreatMetrix).
Pagos alternativos	Servicios de pagos alternativos para transferencias bancarias en línea, monederos electrónicos (eWallets), pagos de "Comprar ahora, pagar después" y pagos en efectivo.	Nombre, dirección, dirección de correo electrónico, número de teléfono, IBAN (opcional), BIC/SWIFT (opcional)

2 Detalles del Procesamiento con respecto a los Servicios del Controlador

La tabla que figura a continuación incluye determinados detalles del Procesamiento de la Información personal del Cliente con respecto a los Servicios del Controlador. Cada una de las descripciones de servicio que figuran a continuación se aplica en la medida en que el Cliente utilice dicho servicio en virtud del Acuerdo.

Servicio

Naturaleza y finalidad del procesamiento

Tipos de información personal

Categorías de titulares de los datos a los que se refiere la información personal

Decision Manager

Decision Manager proporciona al Cliente servicios de gestión de riesgos y mitigación del fraude.

La Información personal del Cliente se utiliza para apoyar la creación y mejora de herramientas y modelos de seguridad y prevención del fraude para su uso por el Cliente y cualquier otro Cliente de Cybersource. Estos modelos garantizan que la puntuación en los Servicios de fraude se mantenga actualizada.

Información bancaria y del titular de la tarjeta, incluyendo, sin limitación, números de tarjeta, números de cuenta bancaria, nombre, dirección, número de teléfono, dirección de correo electrónico, así como el dispositivo del titular de la tarjeta que se utiliza para completar las transacciones del Cliente (como la huella digital del dispositivo si el cliente opta por utilizar ThreatMetrix).

Usuarios finales, tal y como se definen en el Acuerdo (incluidos titulares de tarjetas de crédito, usuarios de transferencias bancarias, usuarios de débitos directos, todos los Usuarios finales cuyos datos de titular de tarjeta o cuenta bancaria se envíen al Procesador para su procesamiento).

FME (Fraud Management Essentials)

Fraud Management Essentials proporciona al Cliente servicios de gestión de riesgos y mitigación del fraude.