ACUERDO DE INTERCONEXIÓN
ACUERDO DE INTERCONEXIÓN
En la ciudad de Montevideo, el día 1° de Octubre de 2015, entre:
POR UNA PARTE, OCA S.A., con domicilio en Colonia 1426 de esta ciudad, representada en este acto por el Cr. Xxxxxxx Xxxxxx, C.l. 1.292.155-3 y el Ing. Xxxxxxxx Xxxxxxx, C.l. 1.734.301-1 (en adelante denominada "OCA" o el "Adquirente"), número de RUT 211 739 340 016, constituyendo domicilio a todos los efectos del presente contrato en Colonia 1426,11.200 Montevideo; y
POR OTRA PARTE, Galanet S.A., con No. de RUT 217606710016, representada en este acto por Xxxxxxx Xxxxxxxx X.x. 1.429.015-0 y Xxxxxxx Xxxxx, C.l. 5.338.618-2, constituyendo domicilio a todos los efectos del presente contrato en Xx. 00 xx Xxxxx 000 xx. 000, (xx xxxxxxxx, "XxxXXX" o el "Administrador"), convienen lo siguiente:
1. ANTECEDENTES
1.1 El Administrador es administrador de una red de terminales de procesamiento electrónico de pagos, desarrollando y gestionando dicha red para fa utilización de los medios de pago electrónicos ("la Red").
1.2 OCA es una empresa Administradora de Créditos, que entre otras actividades emite, procesa y realiza la adquirencia de la tarjeta de crédito OCA CARD.
1.3 Las partes reconocen que la seguridad, la prevención del fraude, la estabilidad y adecuación a los requerimientos legales son esenciales al funcionamiento de sistemas de procesamiento electrónico de pagos. Es en función de lo anterior que el Administrador reconoce y acepta que la Red debe reunir las pautas técnicas y de seguridad a las que se hace referencia en Anexo I, y las que a futuro se exijan en virtud de la evolución y cambios tecnológicos, así como la adecuación a las pautas y estándares internacionales de seguridad.
1.4 El Administrador ha solicitado a OCA la interconexión, esto es, la conexión técnica y
funcional con el objeto de que los medios de pago electrónicos cuyas transacciones sean procesadas por OCA puedan ser trasmitidos por medio de la Red.
Por lo expuesto, las partes convienen en celebrar el presente acuerdo ("el Acuerdo").
2. OBJETO
2.1 El presente Acuerdo tiene como objeto sentar las bases y condiciones técnicas y operacionales para el acceso a OCA de la red de terminales de puntos de venta del Administrador instalados en comercios de plaza para la autorización y captura electrónica de transacciones, y dirigida a permitir a estos comercios manejar su operativa de ventas con tarjetas de crédito o débito procesadas por OCA ("la Interconexión").
2.2 Para ello, y en función de la solicitud realizada (Cláusula 1.4), el Administrador dará acceso
-autorizando y permitiendo el pasaje de información- de manera de permitir el uso de la Red por parte de OCA y de esa manera permitir el procesamiento de operaciones realizadas con la tarjeta OCA CARD, o cualquier otra tarjeta que OCA pueda emitir en el futuro, y cuyas transacciones son procesadas actualmente o puedan ser procesadas en el futuro por OCA, todo ello en los términos de este documento.
3. CARGOS
El presente Acuerdo y la interconexión que el mismo regula no supondrán el pago de cargo alguno por parte de OCA o del Administrador.
En caso de que OCA requiera una reprogramación, el desarrollo será cotizado por el Administrador, en función del alcance del mismo; los plazos requeridos, y los costos que la misma demande. En caso de reprogramaciones que sean necesarias por modificaciones legales o normativas, estas serán sin costo para OCA y serán realizadas en los tiempos a ser acordados por las partes.
4. OBLIGACIONES DEL ADMINISTRADOR, DETERMINACIÓN DE SU RESPONSABILIDAD E INDEMNIZACIONES
4.1 El Administrador se obliga a poner la Red a disposición de OCA, en los términos del presente Acuerdo y en un todo de conformidad con sus previsiones y las de sus Anexos.
4.2 Salvo en los casos y en las formas previstas en el Art. 5S literal C del Decreto 306/014 (13 de octubre de 2014), el Administrador no suspenderá ni interrumpirá la interconexión. La violación a la presente estipulación será considerada como un
incumplimiento grave del Acuerdo y dará lugar a los daños y perjuicios que pudieren corresponder, así como a la rescisión por incumplimiento del presente Acuerdo.
4.3 El Administrador deberá cumplir en un todo de conformidad con los requerimientos (técnicos, operativos, de seguridad y confiabilidad) ampliamente descriptos en el Anexo I del presente, considerado parte integrante de este instrumento. La violación a la presente estipulación será considerada como un incumplimiento grave del Acuerdo y dará derecho a OCA a hacer uso de las facultades conferidas en la Cláusula
8.1 del presente así como a reclamar los daños y perjuicios que pudieren corresponder.
4.4 En forma previa a cualquier modificación, adaptación o actualización que el Administrador pretenda introducir en la Red, sus sistemas o su software, el Administrador deberá cursar una comunicación escrita a OCA a efectos de que ésta proceda a la evaluación y en su caso aceptación de dicha modificación, adaptación o actualización. Toda modificación, adaptación o actualización deberá cumplir con todos los estándares de seguridad y confiabilidad establecidos en el presente Acuerdo y sus Anexos.
4.5 El Administrador declara y garantiza que cuenta con las instalaciones, el personal, el equipamiento, los sistemas, la capacidad, la experiencia técnica y tecnológica y los conocimientos necesarios para mantener el correcto funcionamiento de la Red las 24 horas del día, los 365 días del año.
4.6 El Administrador tomará las medidas necesarias para no dañar el ambiente tecnológico del Adquirente, y en caso de causar daños y perjuicios, será responsable de los mismos.
5. OBLIGACIONES DE OCA
5.1 OCA recibirá del Administrador, la información necesaria para dar de alta las terminales solicitadas por este último. Esa información se enviará por medio a convenir (mail o página web destinada a dichos efectos) Debe contener número de terminal asignada por el Administrador, código de comercio adherido a OCA, nombre comercial, razón social, numero de RUT y dirección
donde estará instalada la terminal. OCA verificará los datos en su sistema, y procederá a darla de alta si corresponde en un plazo máximo de 5 días hábiles, y confirmará al Administrador el ingreso o no de dicha terminal por el mismo medio que recibió la información.
5.2 OCA tomará las medidas necesarias para no dañar la Red, y en caso de causar daños y perjuicios, será responsable de los mismos.
6. CRONOGRAMA DE INTERCONEXIÓN
Las partes acordaron por escrito de común acuerdo un cronograma de adaptación de los sistemas del Administrador a las condiciones estipuladas en el Anexo I del presente Acuerdo. El cronograma al que deberán ajustarse las partes para la interconexión se adjunta como Anexo II,
Las partes se comprometen que hasta tanto no estén totalmente en cumplimiento con los términos establecidos en los Anexos I y II de este contrato, no se podrán realizar instalaciones de terminales.
7. PLAZO Y RESCISIÓN
7.1 El plazo de este Acuerdo es de 12 meses contados a partir de la fecha de su firma, prorrogable automáticamente por períodos sucesivos de 12 meses adicionales cada uno, a menos que cualquiera de las partes notificara a la otra, por escrito y con una anticipación no menor a 60 días previos al vencimiento del período inicial o de cualquiera de sus prórrogas, su decisión de dejar sin efecto el Acuerdo.
7.2 Sin perjuicio de lo establecido en la Cláusula 7.1 que antecede, cualquiera de las partes podrá rescindir el Acuerdo sin responsabilidad en el caso de incumplimiento de la otra parte de las obligaciones establecidas en el presente y de acuerdo a lo establecido en la Cláusula 8.infra.
7.3 Todo ello sin perjuicio de la rescisión del contrato por el mutuo consentimiento de ambas partes.
8. INCUMPLIMIENTO
8.1 En caso que cualquiera de las partes incumpliera las obligaciones que el presente expresa de la Unidad Reguladora de Servicios de Comunicaciones -, rescindiendo en su caso el Acuerdo y reclamando los daños y perjuicios a que hubiere lugar.
8.2 Ninguna de las partes será responsable por el incumplimiento de sus obligaciones bajo el Acuerdo que se debiera a caso fortuito, fuerza mayor o circunstancias fuera del control de la parte.
9. INDEPENDENCIA DE LAS PARTES, CUMPLIMIENTO DE NORMAS LABORALES, INDEMNIDAD. TERCERIZACIONES
9.1 No existe entre las partes vinculación laboral, societaria, organizacional, ni jerárquica, ni de dependencia o subordinación, ni relación jurídica alguna fuera de la emergente de este Acuerdo, por lo que las partes se reconocen autónomas e independientes. En consecuencia, cada una de ellas en sus relaciones externas deberá abstenerse de realizar cualquier acto, declaración o contrato, susceptibles de inducir en error a terceros, o que pueda causar confusión respecto de la independencia y autonomía de ellas.
9.2 El Administrador no tendrá facultad alguna de representación de OCA, ni podrá invocar pública o privadamente ninguna legitimación o capacidad para obligar a OCA frente a terceros.
9.3 Las Partes reconocen que no existe obligación o relación laboral entre ellas y los empleados, socios, accionistas, administradores, gerentes, directores o subcontratistas de la otra. El Administrador será responsable en exclusividad por el pago de:
a. rubros laborales salariales, indemnizatorios, compensatorios o diferenciales y sumas reclamadas por accidentes de trabajo o enfermedades profesionales a sus empleados, causahabientes o terceros contratados por el Administrador para la ejecución en forma directa o indirecta del objeto del presente;
b. aportes a la seguridad social;
c. contratación del seguro de accidentes de trabajo y enfermedades profesionales; y
d. las primas, sanciones y recuperos correspondientes a dicho seguro y de la inscripción en todos los organismos que pudieran corresponder de sus funcionarios asignados a la ejecución del Acuerdo.
9.4 El Administrador cumplirá estrictamente, en relación con los empleados que se requieran para ejecutar el Acuerdo, con la legislación laboral aplicable. El incumplimiento de cualquier obligación laboral, derivada xx xxxxx, decretos, convenciones internacionales, laudos, etc., respecto de cualquiera de los empleados contratados por el Administrador y afectados al cumplimiento de este Acuerdo, será de responsabilidad exclusiva del Administrador y dará derecho a OCA a hacer uso de las facultades conferidas en la Cláusula 8.1 del presente.
9.5 El Administrador mantendrá indemne a OCA por las sumas reclamadas por empleados, causahabientes o terceros contratados por el Administrador, el Banco de Previsión Social u otro
organismo de seguridad social, el Ministerio de Trabajo y Seguridad Social y el Banco de Seguros del Estado por los conceptos relacionados en la esta Cláusula, incluidos multas, recargos, sanciones, gastos y honorarios que pudieran generarse a OCA en caso de reclamo. OCA no tendrá responsabilidad alguna por estos conceptos.
10. XXXX
Se pacta la xxxx automática. Las partes convienen que caerán en xxxx por el solo vencimiento de los plazos establecidos para el cumplimiento de las obligaciones que asumen, así como por la acción u omisión en contrario de lo convenido, sin necesidad de intimación ni interpelación judicial ni extrajudicial alguna, y sin necesidad de ninguno de los otros procedimientos previstos en el art. 1336 del Código Civil.
11. CESION
El Administrador no podrá ceder, total o parcialmente, el Acuerdo ni las obligaciones que emergen de él sin el previo consentimiento escrito de OCA.
12. ÁMBITO DE APLICACION
El Acuerdo será de aplicación en todo el xxxxxxxxxx xxxxxxxx xxxxxxxx.
00. COMPETENCIA Y LEY APLICABLE
13.1 Todas las diferencias o controversias que pudieran surgir entre las partes en la interpretación o ejecución del Acuerdo serán sometidas a la jurisdicción de los Juzgados competentes de la ciudad de Montevideo.
13.2 La interpretación, ejecución y aplicación del Acuerdo queda sujeta a las leyes de la República Oriental del Uruguay.
14. CONFIDENCIALIDAD
14.1 Las Partes reconocen que toda información a la que puedan acceder en cumplimiento del presente Acuerdo se encuentra amparada por el secreto profesional con el alcance previsto en el artículo 302 del Código Penal, comprometiéndose a mantener su confidencialidad en forma indefinida, independientemente de la vigencia o no del presente Acuerdo. El Administrador se obliga a guardar la más estricta confidencialidad de toda información que OCA le haya suministrado o le suministre en el futuro o a la que acceda en virtud de las relaciones entabladas entre las partes en virtud del presente Acuerdo. Igual obligación asume OCA respecto de la información recibida del Administrador.
14.2 A modo de ejemplo y sin que signifique una enumeración taxativa, el Administrador deberá guardar la más estricta reserva y no podrá revelar en ninguna circunstancia ninguna información que reciba directa o indirectamente de OCA relativa a sus planes de negocios, clientes, empleados, procedimientos de contratación, inversiones, información acerca de los volúmenes de operaciones, así como de cualquier documentación relativa al Comercio al que tenga acceso en virtud de! Acuerdo.
14.3 En caso de que cualesquiera de las partes sea emplazada judicialmente a dar información, deberá notificar previamente a la otra parte.
14.4 Queda especialmente convenido que la información a la que acceda el Administrador en virtud del presente Acuerdo, tanto de OCA como de sus clientes (a modo de ejemplo su identidad, ubicación, volumen de ventas, etc.), es propiedad de OCA y por tanto bajo ninguna circunstancia, e independientemente de la vigencia o no del presente Acuerdo, podrá ser utilizada por el Administrador fuera del marco del presente Acuerdo.
14.4 La violación de lo establecido en la presente Cláusula por una de las partes dará derecho a la otra parte a hacer uso de las facultades conferidas en la Cláusula 8.1 del presente.
15. AUDITORIAS, CERTIFICACIONES Y REGISTROS
15.1 El Administrador realizará - a su exclusivo costo - una auditoría de seguridad anual con el objetivo de verificar el cumplimiento de las obligaciones de seguridad que se establecen en el Anexo I.
15.2 OCA se reserva el derecho de inspeccionar o exigir una auditoría en cualquiera de los componentes de fa Red por las que pasen las tarjetas OCA CARD. Los costos de estas inspecciones o auditorías correrán por cuenta de OCA. Esta auditoría puede ser realizada por OCA
o por quien ésta designe.
16. MODIFICACIÓN DE REQUISITOS TECNICOS, OPERATIVOS, FUNCIONALES O DE SEGURIDAD
16.1 OCA se reserva expresamente el derecho a modificar en cualquier momento todas y cualesquiera de las especificaciones técnicas, operativas, funcionales y/o de seguridad establecidas en el Anexo I al presente a efectos de la adecuación de las mismas a la continua evolución tecnológica, así como para el fortalecimiento de las medidas de seguridad que pudieran ser necesarias.
16.2 A efectos de los establecido en la Cláusula 16.1 precedente, OCA comunicará dichas modificaciones al Administrador, acordándose entre las partes los plazos de adecuación que fueren necesarios a efectos de ajustar la Red a los nuevos requerimientos.
17. MARCAS
El presente Acuerdo no supone autorización al Administrador al uso de las expresiones "OCA", "OCA CARD", ni al uso de las marcas y/o nombres comerciales propiedad de OCA, o de cualesquiera de las empresas vinculadas a ésta, ni al uso de las marcas o nombres comerciales respecto de las cuales OCA pudiera tener una licencia o derecho de uso.
18. ANTICORRUPCION
El Administrador se obliga a cumplir, o hacer cumplir, por si, sus afiliadas o sus propietarios, accionistas, funcionarios o eventuales sub-contratados, las normas que les fueren aplicables y versen sobre actos de corrupción y actos lesivos contra la administración pública, en la forma de la Ley N° 17.060 y su decreto reglamentario N° 30/003, debiendo
(i) mantener políticas y procedimientos internos que aseguren el cumplimiento integral de tales normas;
(ii) dar conocimiento pleno de tales normas a todos sus profesionales que vengan a estar relacionados con OCA, previamente al inicio de su actuación en el ámbito de este contrato;
(iii) (abstenerse de practicar actos de corrupción y de actuar en forma lesiva a la administración pública, nacional o extranjera, en interés o para beneficio, exclusivo o no, de OCA;
(iv) en caso que tenga conocimiento de cualquier acto o hecho que viole las normas aludidas, y que se refiera a la relación jurídica mantenida a través de este contrato comunicar inmediatamente a OCA, la cual podrá tomar todas las providencias que considere necesarias obligando, también, el Administrador, a no divulgar a cualquier tercero, en ninguna circunstancia, la comunicación hecha a OCA; y
(v) realizar eventuales pagos relacionados con este contrato por medio de transferencia bancada o cheque.
19. DOMICILIOS
Todas las notificaciones relacionadas con el Acuerdo deberán realizarse por escrito y dirigirse a los domicilios constituidos por las partes en la comparecencia, siendo el telegrama colacionado el medio válido para la intimación de las mismas.
En señal de conformidad, los comparecientes firman el presente Acuerdo en 3 (tres) originales de igual tenor, en la ciudad y fecha arriba indicados.
ANEXO I
CARACTERÍSTICAS TÉCNICAS Y OPERATIVAS DE LA INTERCONEXIÓN Y PARÁMETROS DE
CALIDAD Y CONFÍABILIDAD DE LA MISMA
1. Funcionalidades Generales
Las funcionalidades con las que el aplicativo y su hardware correspondiente deben cumplir al momento son:
o Mensajería ISO8583 y funcionalidades de punto de venta según especificaciones vigentes de OCA. Deberá cumplirse el proceso de homologación de la misma según pautas definidas por OCA, todas las veces que existan modificaciones de programas, planificando la misma en forma conjunta, y con antelación suficiente.
o Dichas funcionalidades deben cubrir todas las reglamentaciones vigentes (leyes de beneficios fiscales, etc.) como las operativas vigentes para OCA.
o Las transacciones con chip (EMV) y/o PIN serán exigibles por parte de OCA cuando ésta así lo informe al Administrador, y se acordará de manera conjunta el cronograma de implementación. La implementación de transacciones con chip (EMV) y/o PIN no implicará costo alguno a asumir por parte de OCA.
o Debe formalizarse un compromiso de cumplimiento de las modificaciones de aplicativos
o adecuación de terminales estipulado por OCA, en un tiempo razonable.
a) Manejo de PIN
• Cumplir tanto a nivel de hardware como de software con lo dispuesto en los estándares PCI-DSS relativo al tema (ej. PIN Transaction Security (PTS), etc.). Estos manuales estipulan los requisitos de seguridad física y lógica para todos los dispositivos de seguridad en pagos.
■ Cumplir con los requerimientos de implementación específicos definidos por OCA (algoritmos, operativa y mensajería), debiendo cumplir con el proceso de homologación correspondiente con OCA. De acuerdo con lo estipulado en el ítem 1. de este Anexo, este punto será exigible cuando OCA así lo disponga y se coordine con el Administrador el cronograma de implementación.
b) Manejo de chip (EMV)
■ Hardware de lector de chip con certificación EMV Co (nivel 1)
■ Software de manejo de chip con certificación EMV Co (nivel 2)
■ Cumplir con el proceso de homologación para el manejo de chip, de acuerdo con los estándares vigentes de OCA. De acuerdo con lo estipulado en el ítem 1. de este Anexo, este punto será exigible cuando OCA así lo disponga y se coordine con el Administrador el cronograma de implementación.
c) Tecnología NFC
■ Toda adquisición de nuevos dispositivos deberá contar con dicha tecnología.
2. Requisitos específicos para puntos de venta (POS) conectados a un proveedor de servicios:
o El proveedor de servicio debe contar con la certificación vigente de sus instalaciones y procesos según las normas PCI-DSS por parte de una empresa QSA (Certificador autorizado por el PCI Council).
o El aplicativo que involucre el manejo de datos de tarjeta debe contar con la certificación vigente PCI (PA-DSS).
3. Requisitos específicos para comercios con soluciones propias:
o En el caso que la red sea propiedad de un comercio y para su uso exclusivo, deberá contar con un certificado de cumplimiento PCI-DSS de su ambiente de TI (instalaciones y procesos), pero el mismo puede ser realizado por una empresa reconocida y aceptada por OCA a tales efectos (en términos generales, podrá aplicar cualquier empresa auditora internacional establecida en el país) o una empresa certificada QSA.
4. Requisitos específicos para puntos de venta (POS) standalone:
o La conexión debe establecerse directamente entre el punto de venta y OCA, a través de alguno de los mecanismos aceptados por esta última y de conformidad con los métodos de comunicación y encripción de cada uno de ellos.
o El aplicativo que involucre el manejo de datos de tarjeta debe contar con la certificación PCI (PA-DSS) vigente.
5. Requisitos operativos:
o Servicio continuo 7x24x365 días del año con un nivel de servicio mínimo (SLA) acordado con OCA.
o Establecer niveles de servicio (SLA) para la instalación / reparación de las terminales.
o Contar con un plan de continuidad de negocios y un sitio de operación alternativo, incluyendo un segundo carrier alternativo que le permita cumplir con dicho nivel de servicio.
o Se implementará el intercambio de información periódica, en la cual se describirá el estado de cada terminal instalada o dada de baja por el proveedor.
o Se deberán implementar herramientas web para una adecuada gestión de las terminales, con acceso a todas las personas designadas por OCA.
o Se implementará en plazos razonables toda otra herramienta e intercambio de información que OCA entienda necesario para el control y administración de sus terminales
o Se deberá de intercambiar con periodicidad a acordar con OCA una lista de las terminales instaladas con la información precisa de su ubicación comercial y geográfica.
6. Sitios y enlaces de referencia;
xxxxx://xxx.xxxxxxxxxxxxxxxxxxxx.xxx
ANEXO II
CRONOGRAMA DE INTERCONEXIÓN
Las partes acuerdan destinar los recursos humanos y técnicos para realizar la interconexión de acuerdo al siguiente cronograma:
HOMOLOGACION DE APLICACIÓN
16/11/15 Desarrollo de la aplicación de adquirencia por parte de el Administrador (ya iniciada).
01/12/15 El Administrador comienza pruebas remotas de la aplicación de adquirencia con tarjetas de prueba de OCA.
15/12/15 Finaliza proceso de pruebas remotas. Aplicación se
encuentra PROBADA.
15/12/15 El Administrador entrega a OCA la terminal con la aplicación para que OCA realice sus propias pruebas.
15/02/16 Finaliza proceso de pruebas de OCA.
26/02/16 Se presenta validación formal (X.XX) de estándares PCI aplicables por parte de el Administrador
01/03/16 Se puede comenzar a dar de alta terminales del Administrador.
En caso de desvío de cualesquiera de las fechas indicadas en este cronograma, las partes acordarán conjuntamente las acciones a tomar por la o las partes que corresponda.
INTERCONEXION SEGURA
Las partes acuerdan las siguientes fases para la forma de interconexión y cifrado según PA-DSS para las terminales POS que se conectan vía protocolo IP:
Fase 1: comenzando la implementación a la firma de este Acuerdo
o Interconexión cifrada desde el POS hacia un proveedor de servicios seleccionado por el Adquirente, quien realiza el descifrado y reenvía la transacción al Adquirente. Las partes aceptan TLS versión 1.2 como método de cifrado aceptable hasta el proveedor de servicios antes mencionado.
Fase 2: con fechas a coordinar entre las partes
o Interconexión con cifrado según PA-DSS directo entre el POS y el Adquirente. Las partes aceptan TLS versión 1.2 como método de cifrado aceptable hasta el Adquirente.