En la ciudad de Montevideo, el 25 de junio de 2015, entre: POR UNA PARTE: SISTECO
En la ciudad de Montevideo, el 25 xx xxxxx de 2015, entre: POR UNA PARTE: SISTECO
S.A. representada en este acto por Xxxxx Xxxxxxxxx 1.421.321-1, constituyendo domicilio en la xxxxx Xxxxxxxxx 0000 xx xxxx ciudad; POR OTRA PARTE: SOCUR S.A., en adelante CREDITEL, representada en este acto por
Xxxx Xxxxxx, titular de la cédula de identidad número 4.024149-4 y Xxxxxxx Xxxxxx, titular de la cédula de identidad número 0.000.000-0, constituyendo domicilio en 18 de Julio 1317 de esta ciudad, se reúnen y convienen celebrar el siguiente acuerdo:
1. Antecedentes
1.1 SISTECO S.A. (en adelante “Administrador”) es una empresa nacional de tecnología informática especializada en soluciones para el comercio minorista, que desde el año 2002 brinda servicios de interconexión de datos en la modalidad de “Administrador de Red de Terminales de procesamiento electrónico de pagos". Dicha solución integra a la caja registradora en forma conjunta la venta y el pago electrónico de la mercadería; disponiendo para este logro software e infraestructura.
1.2 CREDITEL, (en adelante “Adquirente”) es quien brinda los servicios de procesamiento de transacciones electrónicas con las tarjetas de crédito, débito y/o compra emitidas cuyos número BIN sean procesados por CREDITEL.
1.3 La red de Sisteco S.A. se encuentra interconectada con el Adquirente, desde el año 2007, tramitándose mediante su red las transacciones electrónicas de los clientes del adquirente.
1.4 En cumplimiento de lo dispuesto por la Ley 18.910 en su artículo 14 y el Decreto N° 306/23014 de fecha 13 de octubre de 2014, las partes acuerdan la suscripción del presente CONVENIO DE INTERCONEXION:
2. Objeto del Convenio
El presente convenio tiene por objeto establecer los términos y condiciones para la interconexión de la red de "cajas registradoras” de los comercios, que integran la red de SISTECO S.A. a efectos de la tramitación de pagos que realicen los consumidores finales mediante la utilización de medios electrónicos de pago del Adquirente.
3. Definiciones
Las partes se remiten a las definiciones que establece el art. 3’ del Decreto 306/14, y
las que se plasmen en los respectivos anexos.
4. Plazo
4.1 El plazo del presente Convenio será de 24 meses a partir de su suscripción, renovándose en forma automática por plazos anuales, salvo comunicación expresa de cualquiera de las partes, la que será notificada con un preaviso mínimo de 60 días antes de la fecha del vencimiento. En atención a que las normas vigentes establecen la imposibilidad de interrumpir la interconexión, en caso de no renovación del acuerdo, deberán esgrimirse los motivos fundados y solicitarse autorización previa al Organismo Regulador competente.
4.2 En caso de incumplimiento grave al presente acuerdo de interconexión, podrá rescindirse unilateralmente el contrato, previa autorización de URSEC, tal como lo establece el art. 5 literal c) del Decreto 306/014.
5. Condiciones interconexión y servicios asociados
5.1 La interconexión entre el administrador y el adquirente en las condiciones básicas "de seguridad y servidos* se describirán en el Anexo I tendrán los cargos asociados que allí se detallarán.
5.2 SISTECO S.A., en su calidad de Administradora de Red de procesamiento de pagos electrónicos, previo acuerdo con el Adquirente; adecuará la red a los requerimientos particulares de este, no comprendidos en las -condiciones básicas de interconexión- de acuerdo a lo que se establece en el Anexo II.
5.3 SISTECO S.A, en su calidad de Administradora de Red de pagos electrónicos, brindará los servicios de valor agregado, de acuerdo a lo que se establece en el Anexo III.
6. Obligaciones de las partes
6.1 Las partes se obligan a mantener la interconexión en los términos establecidos en el Decreto 306/014-y en el presente Convenio y sus Anexos. En consecuencia, no podrá interrumpirse la interconexión por ningún motivo, salvo en los casos previstos en el art. 5° literal C) del Decreto 306/2014.
6.2 Las partes deberán cumplir las condiciones técnicas, operativas, de seguridad y confiabilidad, así como las condiciones económicas de la interconexión descriptas en el presente convenio y sus Anexos.
6.3 Él incumplimiento por cualquiera de las partes de las obligaciones anteriormente descriptas, serán consideradas como incumplimiento grave y podrán dar lugar a la rescisión del presente acuerdo y suspensión de la interconexión previa notificación de la autoridad competente.
6.4 Las partes se obligan a comunicar por escrito, en forma previa, cualquier modificación, adaptación o actualización que deba requerir a la contraria, solicitud que seguirá el procedimiento que se acuerda en el capítulo 9, a efectos de que se proceda a la evaluación y en su caso aceptación de dicha modificación, adaptación o actualización.
6.5 El adquirente se obliga a abonar a Sisteco S.A. los cargos que se generen por los servicios de interconexión que ésta brinda y así como por la prestación de los servicios descriptos en los Anexos.
6.6 Las partes se obligan a cumplir cabalmente la obligación de confidencialidad establecida en el capítulo 9 del presente, el incumplimiento habilitará el reclamo de daños y perjuicios que se pudieran ocasionar.
7. Incumplimiento
7.1 En caso de incumplimiento de cualquiera de las partes de las obligaciones pactadas en el presente instrumento y sus Anexos, podrá requerirse el cumplimiento de las mismas mediante telegrama colacionado y en su caso podrá dar lugar a la rescisión del acuerdo, previa autorización del órgano competente.
7.2 En todos los casos, se podrán reclamar los daños y perjuicios que el incumplimiento pueda causar.
8. Limitación de Responsabilidad
8.1 La responsabilidad máxima de Sisteco S.A por todo concepto relacionado directa o indirectamente con el presente acuerdo asciende a la suma de U$S 10.000, o su equivalente en pesos uruguayos.
8.2 En forma previa al reclamo judicial por los eventuales daños y perjuicios de que Sisteco S.A. pueda ser responsable, se deberá iniciar el procedimiento de resolución extrajudicial de conflictos que a continuación se detalla: el adquirente deberá presentar su reclamo y fundamentos por escrito al Administrador, quien contará con un plazo de 15 días hábiles para otorgar respuesta. En caso de no arribarse a un acuerdo entre las partes en el término de 30 días, quedará habilitada Ja vía judicial para el Adquirente.
9. Modificación del convenio
9.1 Durante la vigencia del presente Convenio cualquiera de las partes podrá solicitar la revisión de las condiciones acordadas, así como solicitar modificaciones de especificaciones técnicas, operativas, funcionales y/o de seguridad establecidas en el presente Convenio y sus Anexos.
9.2 La mencionada solicitud deberá efectuarse por escrito, en la que incluirá como mínimo el detalle de las cláusulas o especificaciones técnicas, operativas, funcionales o de seguridad establecidas en el presente convenio o sus anexos que considera que deben ser revisados, así como los fundamentos que justifiquen tal solicitud.
9.3 La parte requerida contará con un plazo de 30 días para su análisis, debiendo responder a la requirente en un plazo de 60 días.
9.4 Si a los 90 días hábiles de la fecha de recepción de la solicitud, las partes no hubieran llegado a un acuerdo, cualquiera de ellas podrá'requerir la Intervención de URSEC en los términos establecidos en el Decreto 306/14.
9.5 Acordadas las modificaciones entre las partes, comunicarán las mismas a URSEC así como los plazos acordados para la adecuación que fueren necesarios.
10. Mora
Se pacta la xxxx automática. Las partes convienen que caerán en xxxx por el sólo vencimiento de los plazos establecidos para el cumplimiento de las obligaciones que asumen, así como por la acción u omisión en contrario de lo convenido, sin necesidad de intimación ni interpelación judicial ni extrajudicial alguna, y sin necesidad de ninguno de
los otros procedimientos previstos en el art. 1336 del Código Civil 1
11. Confidencialidad
11.1 Toda información que sea intercambiada entre las Partes al amparo o en ocasión de este Convenio, será tratada en forma confidencial. En tal sentido, las Partes se comprometen a tratar en forma confidencial toda información técnica y comercial, incluyendo y sin que ello implique limitación, la referida a los sistemas, ingeniería o datos técnicos, registros comerciales, correspondencia, datos sobre costos, listas de clientes, estimaciones, estudios xx xxxxxxx, secretos comerciales, dibujos, bocetos, especificaciones, muestras, herramientas registros de clientes y empleados, reportes financieros y toda otra información que por su naturaleza deba ser considerada como tal, debiendo mantenerse y guardarse de manera segura atento a su carácter reservado.
11.2 Las disposiciones de esta cláusula no se aplicarán a ninguna información que: sea o llegue a ser de dominio público por motivo distinto al incumplimiento por parte de la PARTE que recibe la información; o esté autorizada por escrito por la parte divulgante para ser divulgada en la medida de la autorización concedida; o esté obligada a suministrar a requerimiento de la autoridad judicial o administrativa competente, en cuyo caso se deberá comunicar a la otra parte el tenor de la solicitud y la respuesta a brindar en forma previa a la entrega de información a la autoridad requirente.
11.3 Toda información que intercambien las partes en el cumplimiento del presente acuerdo es confidencial y se utilizará exclusivamente para los fines para los cuales se entregó o comunicó. Cualquier uso fuera de los fines del presente contrato, se considerará un Incumplimiento grave y será pasible de las acciones expresadas en la Cláusula 7 del presente.
12. Jurisdicción y competencia
Sin perjuicio de las facultades que la normativa vigente otorga a la URSEC, todas las diferencias o controversias que pudieran surgir entre las partes en la interpretación, ejecución y aplicación del Acuerdo queda sujeta a las leyes de la República Oriental del Uruguay y a la jurisdicción de los Juzgados de la ciudad de Montevideo.
13. Comunicaciones
13.1 Todas las comunicaciones relacionadas con el presente acuerdo deberán realizarse por escrito y dirigirse a los domicilios constituidos en la comparecencia.
13.2 Asimismo las partes fijan las siguientes casillas d$ correo para cursar válidamente sus comunicaciones:
Sisteco S.A.: conveniointerconexion@sisteco.com.uv Socur S.A.: xxxxxxx@xxxxxxxx.xxx.xx
14. Anexos
Forman parte integrante del presente Convenio los siguientes Anexos: Anexo I - Interconexión - condiciones básicas.
Anexo II - Condiciones adicionales de seguridad. Anexo lll - Servicios de valor Agregado.
ANEXO l "INTERCONEXIÓN - CONDICIONES BÁSICAS"
1. Seguridad de la red.
1.1 Para la interconexión SISTECO S.A. mantiene una política de seguridad de la información alineada a los más altos estándares de seguridad de la industria: ISO/IEC 27001 y PCI DSS.
1.2 La protección de la información que transporta es un xxxxx fundamental de su negocio y es por ello que garantiza los mayores controles de seguridad que pueda implementar en toda la cadena de transacciones. Dispone de una amplia red, dando en su operativa diaria el alta y baja a comercios y sus correspondientes terminales, con soporte xx xxxx de ayuda.
1.3 Se detallan a continuación las características y procedimientos que SISTECO S.A. utiliza para la interconexión de redes de transacciones que cumplen sus servicios a los efectos de garantizar la Confidencialidad, Integridad y Disponibilidad de la información que maneja.
2. Descripción técnica.
2.1 Protocolo de intercambio de información:
2.1.1 El intercambio de información se realiza por medio del protocolo ISO 8583, estándar para sistemas que intercambian transacciones electrónicas realizadas por poseedores de tarjetas.
2.1.2 ISO 8583 define el formato de mensaje y flujo de comunicación para el intercambio de transacciones financieras entre distintos sistemas. SISTECO S.A. a solicitud del Adquirente, lo ha adaptado y homologado a las características particulares de este último.
2.1.3 La información de la tarjeta de Crédito/Debito es obtenida mediante la
lectura de la "banda magnética de la misma” (pistas 1 y 2). De ser requerido PIN este es ingresado mediante PinPads Marca Verifone Modelos Vx 810/805. La inyección de “clave maestra”, es realizada por el adquirente a su cargo. 4
2.2 Protección de Datos
2.2.1 Almacenamiento
2.2.1.1 La Información de las transacciones no es almacenada de manera persistente en la infraestructura propia de SISTECO S.A. La información de las transacciones se guarda cifrada en los dispositivos de los clientes y únicamente mientras dura el proceso de autorización.
2.2.1.2 Una vez procesada la transacción, ya sea aprobada o rechazada por el adquirente, los datos de la tarjeta son eliminados a excepción de aquellos datos que el adquirente determine necesarios para procesar los cierres y eventuales conciliaciones.
2.2.3 Datos sensibles
2.2.3.1 La siguiente información es considera sensible:
• Pistas 1 y 2
• PAN
• PIN BLOCK
• CW
• CW2 o CVC
• Vencimiento
2.2.3.2 El PAN (número de tarjeta) se imprime y reporta a los clientes en forma enmascarada. En aquellos casos que el adquirente o emisor lo autorice el PAN podrá ser almacenado y presentado en claro en los reportes de actividad generados para el comercio.
2.2.3.3 Los datos sensibles se manejan con todos los recaudos y controles que se detallan en este Anexo.
2.2.4 Uso de la Información
2.2.4.1 SlSTECO S.A. no hace uso de la información de las transacciones ni las almacena de forma persistente en medio alguno.
2.2.4.2 Toda información que el cliente suministra en el marco de la resolución de algún incidente se considera reservada y se mantiene hasta tanto se de resolución al mismo. Dicha información no es usada para otros fines ni divulgada a terceros, respetando cabalmente el principio de finalidad.
3. Desarrollo de Adaptaciones o modificaciones
3.1 Sisteco S.A. trabaja siguiendo prácticas de desarropo seguro y alineadas con las mejores prácticas de la industria. Entre los controles que se implementan para garantizar la calidad del software se encuentran:
• Separación de los entornos de desarrollo, prueba y producción.
• Anonimizaclón del conjunto de datos de prueba.
• Proceso de pruebas de calidad donde se verifican tanto los requisitos funcionales como la seguridad de las aplicaciones.
• Sistema de control de cambios.
i
4. Protección contra código malicioso
4.1 Todo el equipamiento involucrado en la transmisión de transacciones perteneciente a SlSTECO S.A. cuenta con controles de prevención de virus, malware, troyanos y otros códigos maliciosos. Los bordes de los segmentos de red implementan filtrado para contener la propagación de gusanos o problemas que explotan las comunicaciones como vía de proliferación.
4.2 Los sistemas de soporte del servicio de autorizaciones implementan control de cambios a nivel de sistema operativo para la detección temprana de intentos de vulnerar la seguridad de los mismos y como medida contra la implantación de código malicioso persistente.
5. Respaldo y Recuperación
5.1 SISTECO S.A. no almacena en forma persistente información de transacciones.
5.2 Los procesos de respaldo y recuperación se limitan a los sistemas de soporte y a aquella información que temporalmente se mantiene para la resolución de incidentes. En ningún caso se almacenan datos sensibles. Todos los medios usados para este fin se almacenan en ambientes controlados.
6. Registros de actividad v auditoría
Toda la actividad administrativa y operativa sobre los equipos de la infraestructura es monitorizada y registrada en un sistema independiente. Dicho sistema permite el almacenamiento de los registros por períodos prolongados de tiempo a los efectos de tener trazas de auditoría de estas actividades. La infraestructura mantiene sincronización de relojes para facilitar las tareas de búsqueda de problemas, auditoría y correlación.
7. Infraestructura
7.1 La infraestructura de soporte para proporcionar el servicio se encuentra alojada en un Centro de Procesamiento de Datos con las siguientes características:
• Alineado al estándar TIA/942
• Redundancia de hardware, comunicaciones y energía.
• Comunicaciones se realizan por medio de circuitos privados dedicados, Antel (Frame Relay o MPLS), e inalámbrico de las empresas DEDICADO y CLARO.
• Red de conmutación de transacciones, aislada de otras redes de SISTECO
S.A. y de Internet.
• La información conmutada como parte del servicio de switching de transacciones no es almacenada persistentemente en esta infraestructura.
• El acceso a las instalaciones está restringido al personal estrictamente necesario para realizar las tareas de gestión y mantenimiento y cuenta con controles de acceso físico y seguridad perimetral.
7.2 La red de terminales está conformada por “Terminales Punto de Venta”, IBM Sure Pos con PinPad Marca Verifone Modelo Vx810/805.-
8. Segmentación de la Red
Sisteco S.A. dispone y mantiene una red de producción segregada y segura para proteger los datos de los propietarios de tarjetas. Estos datos son transmitidos a través de segmentos de red aislados físicamente de otras subredes utilizadas.
9. Control de Accesos
9.1 SISTECO S.A. cuenta con una política de control de acceso tanto físico como lógico a la infraestructura que soporta las transacciones. Dicha política pauta las directivas y controles que se detallan a continuación.
9.2 Gestión de Contraseñas
9.2.1 Se dispone de Política de Contraseñas de acuerdo con los estándares de la industria. Entre los controles que implementa incluye el descarte del uso de contraseñas y parámetros de configuración predeterminados por los proveedores de los sistemas de base, así como directivas de complejidad y expiración.
9.3 Control de Acceso Lógico '
9.3.1 La Política de Control de Acceso prevé usuarios nominados con privilegios restringidos según sea su rol. El acceso administrativo está restringido a segmentos de red controlados y protocolos seguros de autenticación y transmisión de datos. Existe un proceso de altas y bajas de usuarios así como de asignación de privilegios que entre otras cosas mantienen registro de los cambios. Los registros de acceso son revisados periódicamente.
9.4 Control de Acceso Físico
9.4.1 El acceso a las instalaciones del centro de procesamiento de datos, así como a los equipos afectados a la prestación del servicio de autorizaciones, está restringido a usuarios cuyos rotes determinen la estricta necesidad de acceso. Dicho control se realiza mediante tarjetas dé proximidad seguras manteniendo registro de entradas y revisión periódica de los mismos. El centro está alineado con los requerimientos del estándar TIA/942.
10. tiempos de Respuesta en las Transacciones
Se obtiene tiempo de respuesta entre el adquirente y administrador menor o Igual a 5 segundos.
i
11. Servicios
11.1 Mesa de ayuda por la cual el Adquiriente será asistido por técnicos especializados con capacidad de respuesta y solución ante incidentes que pudiesen afectar la continuidad de operación.
11.2 Administración de Aftas y Bajas, se realizará el mantenimiento de códigos de comercio y número de terminal asignado por el Adquiriente.
11.3 Los servicios estarán disponibles de lunes a viernes de 09.00 a 18.00 horas.
12. Precio
12.1 La interconexión entre el administrador y el adquirente se proporciona en las condiciones descriptas anteriormente.
12.2 Por dicha interconexión se establece un cargo de $ 60 más impuestos (pesos uruguayos sesenta) por terminal pagaderos mensualmente y reajustado por IPC en forma trimestral. Se establece el IPC base el de diciembre de 2014, publicado enero de 2015.-
12.3 Sin perjuicio de lo anterior, se establece la siguiente tabla de precios de acuerdo a la cantidad de terminales conectados:
Las primeras 2.000 terminales | $ 60.00 más impuestos por terminal |
De 2.001 hasta 5.000 terminales | $ 30.00 más impuestos por terminal |
De 5.001 hasta 10.000 terminales | $ 18.00 más impuestos por terminal |
De 10.001 en adelante | $ 10.00 más impuestos por terminal |
Anexo II
Condiciones adicionales de Seguridad
1. Requisitos particulares de cada Adquiriente.
Los adquirentes que requieran del Administrador condiciones adicionales de seguridad a las establecidas en el Anexo I, tales como y sin perjuicio: funcionalidades, operativas, algoritmos, mensajería, requisitos técnicos, certificaciones, se acordarán oportunamente
2. Hardware
El Adquiriente indicará los requisitos del Pin Pad (lector de chip, tecnología NFC, etc.) y las certificaciones de seguridad, tanto del hardware y firmware (PCI y/o EMV) requeridas del fabricante.
3. Software de Aplicación y certificaciones
3.1 Para el caso que el software de aplicación deba ser modificado y/o adaptado a los requisitos particulares del Adquiriente, ya sea por niveles de seguridad y/o manejo de otro tipo tarjetas, como chip, serán establecidos, para elaborar un cronograma de implantación, de común acuerdo.
3.2 Sisteco S.A. realizará las tareas de adecuaciones, modificaciones y desarrollo para la integración al punto de venta (Registradora dei comercio), además de cumplir con el proceso de homologación correspondiente con el Adquiriente.
4. Cronograma.
Las partes establecerán el cronograma de ejecución de tareas para el cumplimiento de los nuevos requerimientos.
5. Registros
El Adquiriente que requiera de Sisteco S.A. cualquier tipo de registro, sea nacional o internacional, asumirá la totalidad de los costos de dicha gestión.
i
6. Precios
El precio de las condiciones adicionales de seguridad, su implementación mantenimiento y certificaciones, serán cotizados y pactados en su oportunidad.
ANEXO lll Servicios de valor agregado
1. Servicios de valor agregado.
1.1 Los adquirentes que requieran del Administrador cualquier servicio de valor agregado deberán acordarse con Sisteco S.A. las condiciones de su prestación oportunamente.
1.2 El administrador ofrece los servicios de valor agregado que a continuación se detallan, ello sin perjuicio’ de otros servicios que pueda requerir el adquirente, los que también serán objeto de nuevo acuerdo.
2. Servicios de mantenimiento y soporte técnico: • 7 x 24 Todos los días del año.
• Nivel de servicios (SLA) a ser acordados con el adquiriente.
• Reportes mensuales sobre el cumplimiento de los niveles de servicios y desempeño.
3. Servicios adicionales
*
i
9
4. Precios
El precio de los servicios de valor agregado que fueran requeridos a Sisteco S.A. por el Adquirente se cotizarán y acordarán oportunamente.