Skip to main content
Select Your Country:
INTRODUCCIÓN...
 
Frequently Asked Questions
 

Aquí encontrará las respuestas a las preguntas más frecuentes que suelen hacerse los Establecimientos.


 
FAQ's - Answers
 

¿Qué son las normas operativas de seguridad de datos?
Las normas operativas de seguridad de datos son un conjunto de normas de American Express que deben cumplir todos los Establecimientos, empresas procesadoras y proveedores de servicio que almacenen, procesen o transmitan información relativas a los Titulares de Tarjetas de American Express®. Dichas normas, que se han reforzado para adaptarlas a las condiciones del mercado, constituyen un mecanismo de protección más eficaz de los datos de los Titulares de tarjetas y están en consonancia con las normas de seguridad de datos vigentes para pagos con tarjeta (Normas PCI). Las normas de seguridad de datos PCI definen unos requisitos técnicos comunes para la protección de los datos de pago de carácter confidencial, y se aplican en todo el sector.

Arriba

¿A quién se aplican las normas operativas de seguridad de datos?
Las normas operativas de seguridad de datos se aplican a todas las empresas (ya se trate de Establecimientos o de proveedores de servicio) que procesan, almacenan o transmiten la información relativa a los Titulares de Tarjetas. Sus disposiciones afectan a la totalidad de los equipos, sistemas y redes utilizados para procesar, almacenar o transmitir la información correspondiente a los Titulares de Tarjetas American Express.

Arriba

¿Por qué son las normas operativas de seguridad de datos importantes para mi empresa?
Todo riesgo en cuestión de datos afecta negativamente a su empresa, otros Establecimientos y las entidades emisoras de tarjetas. La mínima incidencia puede dañar gravemente la reputación de una empresa y entorpecer su capacidad para desarrollar su actividad con eficacia. Abordar este problema mediante la implantación de procedimientos operativos de seguridad contribuye a fomentar la confianza del cliente y mejorar la reputación de su empresa.

Arriba

¿Por qué debo cumplir las normas operativas de seguridad de datos?
Las normas operativas de seguridad de datos son prácticas empresariales de reconocida solvencia y obligado cumplimiento para quienes trabajan con American Express. La aceptación de pagos con Tarjetas American Express® está supeditada a las condiciones del acuerdo de aceptación de Tarjetas, en el que se detallan los requisitos de seguridad de datos y se exige el cumplimiento de la normativa y los procedimientos de American Express.

Arriba

¿Cuál es la fecha límite de adopción de las normas?
Todos los Establecimientos y proveedores de servicio de American Express deberán cumplir las normas operativas de seguridad de datos. Dichas normas contienen requisitos adicionales que dependen del volumen de transacciones, entre otros, la exigencia de que Establecimientos y proveedores de servicio documenten el cumplimiento de las normas de seguridad de datos PCI. La inspección correrá a cargo de un asesor independiente aceptado por American Express. La fecha límite para la recepción de la documentación acreditativa es el 30 de septiembre de 2008. American Express se reserva el derecho de imponer sanciones económicas por incumplimiento de las normas operativas de seguridad de datos si no se presentara la documentación acreditativa dentro del plazo establecido.

Arriba

¿Me afectan las normas operativas de seguridad de datos aunque no sea responsable de almacenar la información relativa a los Titulares de Tarjetas?
Sí, las normas se aplicarán al equipo, el sistema y las redes utilizados para procesar, almacenar o transmitir la información relativa a los Titulares de Tarjetas.

Arriba

¿Se considerará que un Establecimiento o proveedor de servicio cumple las normas si tiene problemas pendientes en cuanto a cumplimiento pero presenta un plan para subsanarlos?
Aconsejamos a los Establecimientos y proveedores de servicio que realicen una evaluación inicial, elaboren un plan correctivo, adopten las medidas necesarias para ponerlo en práctica y, por último, acrediten que se han resuelto los asuntos pendientes. Mientras se toman las medidas propuestas, el plan puede someterse a la evaluación de American Express. Si American Express decide, a su entera discreción, aceptar el plan, es posible que no se apliquen sanciones económicas aunque el Establecimiento no proporcione la documentación acreditativa que demuestre que cumple las normas de seguridad de datos PCI, pero podrá responsabilizarse al Establecimiento de fraude si se producen incidentes que afecten a la seguridad de los datos.

Arriba

¿En qué se diferencian las normas operativas de seguridad de datos y las normas de seguridad de datos PCI?
Las normas de seguridad de datos PCI son la base técnica en la que se fundamentan las normas operativas de seguridad de datos, que permiten a los Establecimientos y proveedores de servicio regirse por unas normas técnicas básicas destinadas a proteger los datos. Las normas operativas de seguridad de datos definen varios niveles de seguridad, los requisitos necesarios para cumplirlos y el plazo límite para enviar la documentación acreditativa a American Express.

Arriba

¿Adónde debo enviar la documentación?
Los Establecimientos deberán enviar la documentación acreditativa indicada en las normas operativas de seguridad de datos con las debidas garantías de protección, en CD y con formato cifrado, a la siguiente dirección:

American Express Payment Services Limited
GNO Data Security Unit
PO Box 54886
London, SW1W 0YW
United Kingdom


Envíe un mensaje de correo electrónico con la clave cifrada y su número identificativo de 10 cifras de American Express a la siguiente dirección: americanexpressdatasecurityemea@aexp.com
Arriba

¿Cuál es la fecha límite de adopción de las normas para Establecimientos de los niveles 1 y 2?
La fecha límite para la recepción de la documentación acreditativa es el 30 de septiembre de 2008.

Arriba

¿Cuál es la fecha límite de adopción de las normas para Establecimientos del nivel 3?
Los Establecimientos de nivel 3 no tienen necesidad de enviar la documentación acreditativa a American Express, pero deberán cumplir íntegramente el resto de las disposiciones de estas normas operativas de seguridad de datos, y se les exigirán las responsabilidades correspondientes. Se recomienda encarecidamente que los Establecimientos de nivel 3 hagan inspecciones de la red cada tres meses.

Arriba