Sitio de Socios  |  Contáctenos  |  

La seguridad de los datos es un buen negocio.

Aprenda cómo seguir los pasos necesarios para proteger a sus clientes y sus negocios.

La Política Operativa de Seguridad de los Datos
Mantener la información del Socio segura y protegida es una parte importante de su compromiso para aceptar las tarjetas de American Express®. Los datos comprometidos tienen un efecto negativo para todas las personas involucradas, pero existen pasos que usted puede seguir para minimizar esta amenaza y mantener la confianza del cliente.
La protección de los datos puede ayudar a:
Mejorar las relaciones con los clientes
Incrementar la rentabilidad general
Prevenir el daño a la reputación de su negocio
Argentina
Reporte un Incidente de Datos
+1-602-537-3021 (aplica una cuota internacional) o EIRP@aexp.com
Informe el estado de seguridad de los datos
Cómo reportar su estado de seguridad a American Express
Los requisitos de presentación de informes se basan en su volumen anual de transacciones con tarjetas American Express. Simplemente a continuación determine su nivel de negocios, y le diremos exactamente qué debe hacer para cumplir con la Política Operativa de Seguridad de los datos.
Tenga en cuenta que estos requisitos se aplican tanto a Establecimientos como a
proveedores de servicios.
Argentina
Si necesita asistencia para informar su estado de seguridad de los datos
Nivel 1:  2.5 millones de transacciones o más con tarjetas American Express al año (o si ha sido considerado como Nivel 1 por American Express)
Informe Anual de Auditoría de Seguridad In-Situ (obligatorio)
Esta es una evaluación detallada del equipo, los sistemas, las redes y los componentes donde se almacena, procesa o transmite la información del Socio.
Esta evaluación es realizada por un Asesor de Seguridad Calificado o bien usted realiza la evaluación y hace que los resultados sean certificados por su Presidente, Director financiero ejecutivo, Oficial de seguridad de la información o director. Los resultados deben sernos presentados anualmente.
Para obtener más información, consulte la Sección 4, Paso 2 de Política Operativa de Seguridad de los Datos(PDF)
Escaneado Trimestral de Red (Obligatorio)
Esta es una prueba remota de sus redes y servidores web conectados a Internet para detectar potenciales vulnerabilidades.
Un Proveedor de Escaneo Aprobado debe realizar la prueba. A continuación, debe completar y presentarnos la Declaración de cumplimiento de Escaneo de ASV o el resumen ejecutivo de hallazgos del escaneo cada 90 días.
Para obtener más información, consulte la Sección 4, Paso 2 de Política Operativa de Seguridad de los Datos(PDF)
Nivel 2: 50.000 a 2.5 millones de transacciones con tarjetas American Express al año (Proveedores de servicios: menos de 2.5 millones de transacciones)
Cuestionario Anual de Autoevaluación (Obligatorio)
Esta es una autoevaluación del equipo, los sistemas, las redes y sus componentes en donde la información del Socio es almacenada, procesada o transmitida mediante el uso del PCI Data Security Standards Self-Assessment Questionnaire (Cuestionario de autoevaluación de las Normas de seguridad de datos de PCI,“SAQ”).
Usted debe completar el cuestionario y hacerlo certificar por su Presidente, Director financiero ejecutivo, Oficial de seguridad de la información o director. Los resultados deben sernos presentados anualmente.
Para obtener más información, consulte la Sección 4, Paso 2 de Política Operativa de Seguridad de los Datos(PDF)
Escaneado Trimestral de Red (Obligatorio)
Esta es una prueba remota de sus redes y servidores web conectados a Internet para detectar potenciales vulnerabilidades.
Un Proveedor de Escaneo Aprobado debe realizar la prueba. A continuación, debe completar y presentarnos la Declaración de cumplimiento de Escaneo de ASV o el resumen ejecutivo de hallazgos del escaneo cada 90 días.
Para obtener más información, consulte la Sección 4, Paso 2 de Política Operativa de Seguridad de los Datos(PDF)
Nivel 3 Designado: Menos de 50.000 Transacciones con tarjetas American Express al año y si hubiera sido designado por American Express como que debe enviar los documentos de validación. (únicamente Establecimientos; no aplica a Proveedores de Servicios). American Express se comunicará con aquellos Establecimientos designados y les brindará los detalles para informar su estado de seguridad mediante la presentación de documentos de validación de PCI.
Cuestionario Anual de Autoevaluación (Obligatorio)
Esta es una autoevaluación del equipo, los sistemas, las redes y sus componentes en donde la información del Socio es almacenada, procesada o transmitida mediante el uso del PCI Data Security Standards Self-Assessment Questionnaire (Cuestionario de Autoevaluación de las Normas de seguridad de datos de PCI, “SAQ”).
Usted debe completar el cuestionario y hacerlo certificar por su Presidente, Director financiero ejecutivo, Oficial de seguridad de la información o director. Los resultados deben sernos presentados anualmente.
Para obtener más información, consulte la Sección 4, Paso 2 de Política Operativa de Seguridad de los Datos(PDF)
Escaneado Trimestral de Red (Obligatorio)
Esta es una prueba remota de sus redes y servidores web conectados a Internet para detectar potenciales vulnerabilidades.
Un Proveedor de Escaneo Aprobado debe realizar la prueba. A continuación, debe completar y presentarnos la Declaración de cumplimiento de Escaneo de ASV o el resumen ejecutivo de hallazgos del escaneo cada 90 días.
Para obtener más información, consulte la Sección 4, Paso 2 de Política Operativa de Seguridad de los Datos(PDF)
Nivel 3: Menos de 50,000 transacciones con tarjetas American Express al año (únicamente Establecimientos; no aplica a Proveedores de Servicios)
Cuestionario Anual de Autoevaluación (Recomendado)
Esta es una autoevaluación del equipo, los sistemas, las redes y sus componentes en donde la información del Socio es almacenada, procesada o transmitida mediante el uso del PCI Data Security Standards Self-Assessment Questionnaire (Cuestionario de autoevaluación de las Normas de seguridad de datos de PCI,“SAQ”).
Usted debe completar el cuestionario y hacerlo certificar por su Presidente, Director financiero ejecutivo, Oficial de seguridad de la información o director. Los resultados deben sernos presentados anualmente.
Para obtener más información, consulte la Sección 4, Paso 2 de Política Operativa de Seguridad de los Datos(PDF).
Escaneo Trimestral de la Red (Recomendado)
Esta es una prueba remota de sus redes y servidores web conectados a Internet para detectar potenciales vulnerabilidades.
Un Proveedor de Escaneo Aprobado debe realizar la prueba. A continuación, debe completar y presentarnos la Declaración de cumplimiento de Escaneo de ASV o el resumen ejecutivo de hallazgos del escaneo cada 90 días.
Para obtener más información, consulte la Sección 4, Paso 2 de Política Operativa de Seguridad de los Datos(PDF)
Establecimiento Nivel EMV  aquellos Establecimientos que no se han visto involucrados en un Incidente de Datos dentro de los últimos 12 meses y procesan 50.000 transacciones o más con tarjetas American Express al año (de las cuales al menos el 75 % de todas las transacciones realizadas por el Socio con la tarjeta física presente y se originan de dispositivos habilitados por chip EMV. 
1-4 Acontecimientos importantes de la Evaluación Anual de Cumplimiento de la Documentación de Validación de Enfoque Priorizado de PCI DSS
Los 1-4 Acontecimientos importantes de la Evaluación Anual de Cumplimiento de la Documentación de Validación de Enfoque Priorizado de PCI DSS es una evaluación del equipo, los sistemas y las redes (y sus componentes) en donde se almacenan, procesan o transmiten los datos del Socio o los datos de Autenticación Confidencial (o ambos). La debe realizar usted y debe estar certificada por su Presidente, Director financiero ejecutivo, Oficial de seguridad de la información o director, y se debe enviar anualmente a American Express en la PCI DSS Prioritized Approach Summary & Attestation of Compliance (Declaración de cumplimiento y Resumen de enfoque priorizado, “PASAOC”).
Para obtener más información, consulte la Sección 4, Paso 2 de Política Operativa de Seguridad de los Datos(PDF)
Presentación de los documentos requeridos
Trustwave es un proveedor de soluciones de seguridad de la información y de gestión de cumplimiento, y es el administrador del programa de nuestro Programa de Cumplimiento de Seguridad de los Datos. Envíele los documentos requeridos por medio de su portal o fax seguro.
Asegúrese de incluir lo siguiente:
el nombre por el que se lo conoce comercialmente
Nombre, dirección y número de teléfono de su contacto de seguridad de datos
el número de 10 dígitos de Establecimiento de American Express (si corresponde)
Presente por medio del portal seguro
Inicie sesión con su nombre de usuario en login.trustwave.com.
¿Olvidó su nombre de usuario o contraseña? Comuníquese con el
Presente por medio de fax seguro
Envíe por fax su documentación de validación al +1 (312) 276-4019.
*Las transacciones que califican deben ser realizadas por el Socio con la tarjeta física presente en un sistema de punto de venta en cumplimiento con las especificaciones de EMV y capaz de procesar tarjetas con chip de American Express con contacto y sin él. Solamente califican Establecimientos que no han tenido un Incidente de Datos en los últimos 12 meses.
Cargos pore No Validación y Terminación del acuerdo
American Express podría imponer cargos por no validación a los Establecimientos y terminar el acuerdo si los Establecimientos o Proveedores de Servicios no presentasen la documentación obligatoria a American Express en la fecha límite aplicable.

Cómo ayudar a asegurar sus sistemas contra Incidentes de Datos

54 % de los activos dirigidos son comercios electrónicos1

31 % de las intrusiones anuales se deben a contraseñas débiles2

60 % de las empresas pequeñas cierran dentro de los seis meses posteriores a un Incidente de Datos3

Argentina
Reporte un Incidente de Datos
+1-602-537-3021 (aplica una cuota internacional) o EIRP@aexp.com
Informe el estado de seguridad de los datos
¿Qué más puede hacer para proteger la información del Socio?

Siga las Normas de Seguridad de Datos de PCI

Utilice estas normas globales de seguridad de datos adoptadas por las marcas de tarjetas de pago para asegurarse que toda la información de su cliente esté lo más segura posible.

Cambie su contraseña

Esta es una de las formas más seguras de ayudar a prevenir Incidentes de Datos. Las mejoras pequeñas y fáciles de recordar para las contraseñas pueden marcar una gran diferencia en el tiempo que toma descifrar una contraseña.

Recursos rápidos

Desde firewalls a tecnología de chips, mire estos videos cortos para comprender mejor los puntos básicos de seguridad de datos.

Capacitación en Seguridad de Datos

Eche un vistazo a la capacitación de conocimiento de seguridad de datos disponible para usted y sus empleados.

1.Trustwave 2014 Informe de Seguridad Global

2.Trustwave 2014 Informe de Seguridad Global

3.Symantec 2013 Informe de Seguridad de Internet

Qué hacer si tiene un Incidente de Datos

Si la información del Socio se ve comprometida por un acceso no autorizado, uso incorrecto o pérdida, usted debe realizar lo siguiente:

Enviar inmediatamente un correo electrónico a EIRP@aexp.com dentro de las 24 horas de descubrir el Incidente de Datos. Completar el Formulario de Aviso Inicial- Incidente de Datos del Establecimiento y adjuntarlo a su correo electrónico.

Lleve a cabo una investigación, para lo cual podría tener que contratar a un auditor externo autorizado por American Express.

Facilítenos rápidamente todos los números de tarjeta de American Express® comprometidos.

Trabaje con nosotros para ayudarnos a resolver cualquier problema que pudiera surgir del incidente de datos.

Las Normas de Seguridad de Datos de PCI
Goals
PCI DSS requirements
Construya y mantenga una red y sistemas seguros
1.
Instale y mantenga un firewall para proteger los datos del Socio
2.
No utilice datos predeterminados suministrados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad
Proteja los datos del Socio
3.
Proteja los datos almacenados del Socio. Codifique la transmisión de datos del Socio en redes abiertas y públicas
4.
Cifrar la transmision de los datos del titular de la tarjeta en las redes publicas abiertas
Mantenga un Programa de Gestión de Vulnerabilidad
5.
Utilizar y actualizar con regularidad los programas o software antivirus
6.
Desarrolle y mantenga sistemas y aplicaciones seguras
Implemente fuertes medidas de control de acceso
7.
Restrinja el acceso a los datos del Socio mediante lo que la empresa necesite saber
8.
Identifique y autentique el acceso a los componentes del sistema
9.
Restrinja el acceso físico a los datos del Socio
Monitoree y evalúe las redes de forma regular
10.
Rastree y monitoree todos los recursos de la red de acceso y los datos del Socio
11.
Verifique regularmente los sistemas y procesos de seguridad
Mantenga una Política de Seguridad de la Información
12.
Mantenga una política que trate la seguridad de la información para todo el personal
¿Qué tan fuerte es su contraseña?
Las contraseñas deben ser fáciles de recordar pero difíciles de adivinar para otras personas
Trate de evitar contraseñas con:
Una sola palabra que aparezca en el diccionario
Primera letra mayúscula
Dígitos al final de la contraseña
Nombres de mascotas, familiares o equipos deportivoss
Ejemplos - contraseñas débiles
Contraseña
Contraseña
Contraseña123
Fito1, Daniel, Boca
Las contraseñas fuertes son largas e incluyen:
Múltiples palabras o abreviaturas (12 caracteres)
Números sustituidos por letras (12 caracteres)
Números y caracteres especiales (20 caracteres)
Las secuencias largas de caracteres - abreviaturas son fáciles de recordar: mi viaje en la Ruta 101 Es una Pesadilla
Ejemplos - contraseñas fuertes
(No utilice estos ejemplos, cree los suyos)
aMoelvino
aM@3lvin@
#aMoel#V1n0
mcoRt#101iaNmcoRt#101iaNmcort
Proveedores de Servicios son los procesadores autorizados, procesadores de terceros, proveedores de puertas de enlace y cualquier otro proveedor de equipamientos de punto de ventas, software o sistemas u otras soluciones o servicios de procesamiento de pago de los Establecimientos.