Start of menu
Close Menu

Estándar de Seguridad Informática


Estimado Socio de Negocio,

Leinformamos que hemos realizado algunas modificaciones al Contrato de Afiliación para Establecimientos que tenemos celebrado, que regula la aceptación de Las Tarjetas American Express. Estas modificaciones principalmente se incluyen en la sección 7 del Contrato con la finalidad de regular el procedimiento de aceptación de Las Tarjetas American Express con Chip de una forma clara y transparente, con el firme propósito de que su Establecimiento lleve a cabo en forma adecuada los procesos y pasos necesarios para la debida aceptación de Las Tarjetas American Express con Chip, así como los procesos que regulan las transacciones con Tarjeta no presente, vía Internet, por teléfono, etc.Adicionalmente le recomendamos revisar la sección 7.4 que habla de Autorizaciones donde hay cambios en los tiempos de envío de información hacía nosotros. Puede consultar el ejemplar electrónico del nuevo Contrato que regulara su relación contractual con American Express Company (México), S.A. de C.V ("American Express") descargando el Contrato de Afiliación para Establecimientos:Reafirmando así nuestro compromiso de brindarle toda la seguridad y al mismo tiempo la flexibilidad que las nuevas formas de hacer negocios requieren. 

 Asimismo, le informamos que las modificaciones al Contrato de Afiliación en cuestión entrarán en vigor el próximo 16 de Octubrede 2013.

 Para cualquier duda o aclaración puede descargar aquí la guía de preguntas frecuentes o comunicarse al Teléfono de Servicio a Establecimientos 01 800 501 9500 de lunes a viernes de 9:00 a 20:00 hrs..

Estándar de Seguridad Informática para Establecimientos

En la medida en que la vulnerabilidad de los datos se torna más sofisticada, todo negocio que transmite, procesa o almacena información de Tarjetahabientes sabe que debe tomar todas las precauciones posibles para proteger a sus clientes y a sí mismo.

Consulte la Política Operativa de Seguridad de la Información (PDF) . La implementación del Estándar de Seguridad Informática PCI en conformidad con la Política Operativa de Seguridad Informática (DSOP) aumenta el nivel de confianza de los Tarjetahabientes y de su Establecimiento. American Express tiene el orgullo de formar parte del Consejo de Estándares de Seguridad Informática PCI, donde desempeñó un papel decisivo en la conversión del Estándar de Seguridad Informática PCI en un estándar apropiado para toda la industria.


Éstos son los pasos necesarios para abordar uno de los problemas clave que hoy enfrenta la industria: la seguridad de Tarjetahabientes y Establecimientos afiliados. Consulte el Estándar de Seguridad Informática de la Industria de Pago de Tarjetas

 
Obligación de Notificar a American Express en caso de infracción

En su condición de Establecimiento, si usted sabe o sospecha que se ha tenido acceso o se ha usado información de Tarjetahabientes sin la debida autorización, debe proceder según lo detallado en la Política de Protección de Datos, es decir:
  1. Notificar a American Express de inmediato.
  2. Trabajar con American Express y con los auditores para efectuar una detallada auditoría del incidente.
  3. Proveer cualquier información relevante y seguir todas las instrucciones solicitadas por American Express relacionadas con el incidente.
Si usted sospecha que la información de los Tarjetahabientes ha sido utilizada inadecuadamente, comuníquese de inmediato con su Ejecutivo de Cuenta, o bien, llame a nuestro Equipo de Servicios al Cliente al 01 800 501 9500 (opciones 2,0).
También puede notificar al Programa de Respuesta ante Incidentes Empresariales (EIRP, por sus siglas en inglés) de American Express completando el Formulario de Aviso Inicial y enviándolo por correo electrónico a EIRP@aexp.com.

Para evitar que se le impongan costos adicionales relacionados con un incidente informático, usted debe:
  1. Notificar a American Express de inmediato si sabe o sospecha que sus datos han sido violados.
  2. Asegurarse de estar actuando en total conformidad con la Política de Protección de Datos de American Express.
  3. Verificar que el incidente no haya sido causado por conducta incorrecta de su parte o de alguno de sus empleados o agentes.
Niveles de Establecimientos

 

Niveles de Establecimientos

Los Establecimientos de American Express están categorizados en tres niveles para seguridad informática. Estos niveles se basan principalmente en el volumen de transacciones de American Express del Establecimiento. Sus requisitos de seguridad están determinados por su nivel. El siguiente cuadro le ayudará a identificar tanto el nivel de seguridad como los requisitos que su Establecimiento debe cubrir para actuar en conformidad con la Política de Protección de Datos de American Express.

Niveles de Establecimientos

Consulte la Política de Protección de Datos (PDF).

 
Obligación de Notificar a American Express en caso de infracción

En su condición de Establecimiento, si usted sabe o sospecha que se ha tenido acceso o se ha usado información de Tarjetahabientes sin la debida autorización, debe proceder según lo detallado en la Política de Protección de Datos, es decir:
  1. Notificar a American Express de inmediato.
  2. Trabajar con American Express y con los auditores para efectuar una detallada auditoría del incidente.
  3. Proveer cualquier información relevante y seguir todas las instrucciones solicitadas por American Express relacionadas con el incidente.
Si usted sospecha que la información de los Tarjetahabientes ha sido utilizada inadecuadamente, comuníquese de inmediato con su Ejecutivo de Cuenta, o bien, llame a nuestro Equipo de Servicios al Cliente al 01 800 501 9500 (opciones 2,0).
También puede notificar al Programa de Respuesta ante Incidentes Empresariales (EIRP, por sus siglas en inglés) de American Express completando el Formulario de Aviso Inicial y enviándolo por correo electrónico a EIRP@aexp.com.

Para evitar que se le impongan costos adicionales relacionados con un incidente informático, usted debe:
  1. Notificar a American Express de inmediato si sabe o sospecha que sus datos han sido violados.
  2. Asegurarse de estar actuando en total conformidad con la Política de Protección de Datos de American Express.
  3. Verificar que el incidente no haya sido causado por conducta incorrecta de su parte o de alguno de sus empleados o agentes.
Requisitos de conformidad

 

Requisitos de Conformidad para Establecimientos

Todos los Establecimientos deben adherirse a la Política Operativa de Seguridad de la Información de American Express, incluyendo su conformidad con el Estándar de Seguridad Informática de la Industria de Pago de Tarjetas. Además, algunos Establecimientos pueden tener que tomar medidas adicionales para garantizar la seguridad informática.

Paso 1:

Determine a qué nivel de seguridad pertenece su Establecimiento y la consecuente documentación requerida. Si aún no lo ha hecho, por favor consulte el cuadro de Niveles de Establecimientos para determinar el nivel de seguridad de su Establecimiento. Dependiendo de sus requisitos específicos, deberá proveer una o ambas de las siguientes documentaciones:

  1. Documentación de Validación de Auditoría Anual de Seguridad Local.

    La Auditoría Anual de Seguridad Local es un examen local detallado de los equipos, sistemas y redes de los Establecimientos donde se procesa, almacena y transmite la información de los Tarjetahabientes.

  2. Documentación de Validación de Escaneado Trimestral de Red.

    El Escaneado Trimestral de Red es un proceso de verificación remota de las redes de computación conectadas a Internet y de los servidores Web para detectar posibles debilidades y vulnerabilidades. Debe ser realizado por un asesor de seguridad externo aceptable para American Express.

Paso 2:

Una vez completados sus requisitos, envíe su documentación de validación en los formatos indicados, en disco compacto, como se detalla en la Política de Protección de Datos, a la siguiente dirección:

A aquellos Establecimientos que no actúen en conformidad con esta política o que no provean la documentación de validación correspondiente, se les podrán imponer cargos por no conformidad y su Contrato de Aceptación de Tarjeta de American Express podrá ser rescindido.

 
Obligación de Notificar a American Express en caso de infracción

En su condición de Establecimiento, si usted sabe o sospecha que se ha tenido acceso o se ha usado información de Tarjetahabientes sin la debida autorización, debe proceder según lo detallado en la Política de Protección de Datos, es decir:
  1. Notificar a American Express de inmediato.
  2. Trabajar con American Express y con los auditores para efectuar una detallada auditoría del incidente.
  3. Proveer cualquier información relevante y seguir todas las instrucciones solicitadas por American Express relacionadas con el incidente.
Si usted sospecha que la información de los Tarjetahabientes ha sido utilizada inadecuadamente, comuníquese de inmediato con su Ejecutivo de Cuenta, o bien, llame a nuestro Equipo de Servicios al Cliente al 01 800 501 9500 (opciones 2,0).
También puede notificar al Programa de Respuesta ante Incidentes Empresariales (EIRP, por sus siglas en inglés) de American Express completando el Formulario de Aviso Inicial y enviándolo por correo electrónico a EIRP@aexp.com.

Para evitar que se le impongan costos adicionales relacionados con un incidente informático, usted debe:
  1. Notificar a American Express de inmediato si sabe o sospecha que sus datos han sido violados.
  2. Asegurarse de estar actuando en total conformidad con la Política de Protección de Datos de American Express.
  3. Verificar que el incidente no haya sido causado por conducta incorrecta de su parte o de alguno de sus empleados o agentes.