CONVENIO DE INTERCONEXIÓN

XXXXXXXX XX XXXXXXXXXXXXX

Xx xx xxxxxx xx Xxxxxxxxxx, el 29 xx xxxxx de 2015, entre: por una parte: Hosting S.A, inscripta en el RUT con el N° 215248600010, con domicilio en la calle Santiago de Chile 1023 de esta ciudad, representada en este acto por Xxxxx Xxxxxxxxxx, titular de la cédula de identidad 0.000.000-0 en su calidad de Director (en adelante “Administrador de la Red”); y por otra parte: Socur S.A., inscripta en el RUT con elN° 211223510015, con domicilio en la xxxxx 00 xx Xxxxx 0000 xx xx xxxxxx xx Xxxxxxxxxx, representada en este acto por Xxxx Xxxxxx y Xxxxxxx Xxxxxx, titulares de la cédula de identidad N° 0.000.000-0 y 0.000.000-0 respectivamente en su calidad de apoderados (en adelante, “Emisor”), acuerdan suscribir el presente Convenio, de acuerdo a las cláusulas que se exponen a continuación.

PRIMERO: ANTECEDENTES

1.1. El Administrador de la Red es una compañía que desarrolla y gestiona una red de terminales de procesamiento electrónico de pagos para la utilización, entre otras cosas, de medios de pago electrónicos.

1.2. El Emisor es una entidad financiera autorizada a emitir un medio de pago electrónico que habilita a su titular a abonar la adquisición de bienes o servicios en los establecimientos adheridos, que desarrolla actividades vinculadas al proceso de emisión y utilización del medio de pago directamente o a través de un tercero.

1.3. El Administrador de la Red y el Emisor han acordado firmar el presente Convenio de Interconexión en un todo de acuerdo con lo establecido .en el Decreto 306/2014, que se regirá por las siguientes cláusulas.

1.4. Las partes reconocen que la seguridad, la prevención del fraude, la estabilidad y adecuación a los requerimientos legales son esenciales al funcionamiento de sistemas de procesamiento electrónico de pagos. Es en función de lo anterior que tanto el Administrador de la Red como el Emisor reconocen y aceptan que la Red debe reunir las pautas técnicas y de seguridad a las que se hace referencia en Anexo I, y las que a futuro se exijan en virtud de la evolución y cambios tecnológicos así como la adecuación a las pautas y estándares internacionales de seguridad.

SEGUNDO: OBJETO DEL CONTRATO Y SERVICIOS A PRESTAR

El objeto del presente Convenio es establecer las bases y condiciones generales que regularán la prestación del servicio de interconexión entre los comercios que cuenten con un iPos (terminal de Punto de Venta y procesamiento electrónico de pagos) o que pertenezcan a la red del Administrador de la Red y el Emisor.

El Administrador de la Red prestará al Emisor los siguientes servicios en las distintas terminales de los establecimientos que operan o puedan operar en su red:

a) Habilitar las terminales a solicitar autorizaciones de compra al Emisor ya sea con tarjetas de crédito, débito o billetera electrónica.

b) Cumplir con la mensajería acordada entre ambas partes.

c) Xxxxxxxx y enviar las respuestas a dichas autorizaciones, ya sean autorizando o negando las transacciones.

d) Xxxxxxxx y enviar al Emisor los cierres de caja y la presentación electrónica de las transacciones para su liquidación y pago al establecimiento que el comercio ordene de acuerdo a los procedimientos establecidos para su correcto envío a través de la red. El Administrador de la Red no será responsable de la calidad o exactitud de la información enviada por el comerciante al Emisor.

TERCERO: REQUERIMIENTOS TÉCNICOS Y PROCEDIMIENTO OPERATIVO

Los requerimientos técnicos, procedimiento operativo, parámetros de calidad y confiabilidad de la interconexión y condiciones de instrumentación y desarrollo de la interconexión se regirán por lo establecido en el Anexo 1 del presente contrato que firmado por las partes forma parte integral del mismo.

Las modificaciones o actualización de requerimientos técnicos y/o procedimientos operativos posteriores a la firma del presente convenio deberán realizarse por acuerdo escrito entre ambas partes con las mismas formalidades del presente. La implementación de dichos cambios podrá tener costo dependiendo de la complejidad y los tiempos requeridos para su implementación en la red.

Los estándares técnicos establecidos en la red así como sus procedimientos operativos y desarrollos serán propiedad intelectual del Administrador de la Red sin importar que hayan sido con costo o no para el Emisor.

CUARTO: PLAZO

El presente Acuerdo tendrá un plazo de 3 años renovable automáticamente por igual período, salvo que las partes notificaran su voluntad de no renovar con una antelación de 60 días al vencimiento o renovación respectiva, mediante telegrama colacionado.

Sin perjuicio de lo expresado más arriba, las partes podrán rescindir en cualquier momento, sin expresión de causa y sin responsabilidad el presente Acuerdo, mediando un aviso previo de 120 días en la forma establecida más arriba.

Cualquiera de las partes podrá rescindir este contrato en caso de producirse un incumplimiento de la otra, de cualquiera de las obligaciones emergentes del mismo, siempre que Ja parte que invoca la rescisión, se encuentre plenamente al día en el cumplimiento de sus recíprocas obligaciones.

QUINTO: PRECIO Y FORMA DE PAGO

Las partes acuerdan que» el Emisor abonará al Administrador de la Red la cantidad de 1,26 pesos (posos uruguayos uno con veintiséis centésimos) más el Impuesto al Valor Agregado, porcada transacción realizada mediante la red del Administrador de la Red.

Además el emisor abonara todos los gastos de desarrollo, adecuación, testeo, capacitación e implementación del sistema del Administrador de Red que sean requeridos para adaptar los sistemas del Administrador de Red a los sistemas del emisor

El precio será acreditado al Administrador de la Red en la Sucursal N° 190 del Banco de la República O. del Uruguay Cuenta Corriente en Pesos Uruguayos N° 0015909, dentro de los primeros diez días hábiles de cada mes siguiente al correspondiente de la liquidación, y el Administrador de la Red extenderá al Emisor la factura correspondiente.

SEXTO: AJUSTES DE PRECIOS

Se realizará un ajuste trimestral en los meses de enero, xxxxx, xxxxx y octubre de cada año equivalente al 100% del índice de Precios al Consumidor (IPC).

SÉPTIMO: XXXX

Las partes caerán en xxxx de pleno derecho sin necesidad de gestión o interpelación judicial o extrajudicial de especie alguna por el solo vencimiento de los plazos y términos establecidos o por la realización de cualquier acto o hecho que se traduzca en hacer o no hacer algo contrario a lo establecido en el presente contrato.

OCTAVO: NO EXCLUSIVIDAD

La presente contratación no implica exclusividad para ninguna de las partes, por lo que cualquiera de ellas podrá requerir o prestar a terceros -según el caso-, de los servicios detallados en el presente contrato.

NOVENO: CONFIDENCIALIDAD

Toda documentación o información que cada una de las partes reciba de la otra parte o a la que puedan acceder éstas o los establecimientos en el ejercicio de los servicios dispuestos mediante el presente Acuerdo, es de carácter secreto y está amparada por Las normas xxx xxxxxxx profesional establecido por el artículo 25 del Decreto - Ley 15.322 y sus decretos reglamentarios y deber de confidencialidad consagrado en el artículo 302 del Código Penal.

En ese carácter deberá ser tratada por las partes, los establecimientos y por los empleados o dependientes a cualquier título de las partes y/o de los locales comerciales que se utilicen para el cumplimiento de los servicios contratados, la cual se extiende a perpetuidad, independientemente de la vigencia o no del presente Acuerdo.

Las partes declaran y reconocen que toda la información reservada que reciban u obtengan de la otra parte en el ejercicio de su cometido, quedará alcanzada por el deber xx xxxxxxx profesional señalado anteriormente, y se comprometen a tomar todos los recaudos necesarios para que su personal y los empleados de los establecimientos adheridos conozcan el alcance de dicha obligación y la acepten expresamente.

   DÉCIMO:       DERECHOS       Y       ACCIONES                      

Ningún acto, omisión, retardo o simple transcurso del tiempo habrá de interpretarse -o valdrá- como renuncia o desistimiento de los derechos que por la ley y que por este instrumento se confieren.

Los derechos y acciones se reputan acumulativos y podrán ejercerse -a su sola elección de cada parte- separada o conjuntamente, sin que por ello pueda dar a lugar a ser interpretados como abdicación de los mismos.

DÉCIMO PRIMERO: INDEPENDENCIA DE LAS PARTES

El presente Contrato regula la totalidad de los derechos y obligaciones de las partes y no implica asociación, sociedad, joint ventare, ni relación de subordinación n¡ dependencia alguna entre las partes, desde que ambos contratantes son personas independientes, solo vinculadas por el presente relacionamiento profesional.

DÉCIMO SEGUNDO: CESIÓN DEL CONTRATO

Las partes podrán únicamente ceder o transferir sus derechos emergentes del presente Contrato previo consentimiento por escrito otorgado por la otra Parte.

DÉCIMO TERCERO: CLÁUSULAS FINALES

13.1. Domicilios: Se pacta la constitución de domicilios especiales a todos los efectos judiciales o extrajudiciales derivados de este contrato, en los indicados como respectivamente suyos por cada parte en la comparecencia.

13.2. Notificaciones: Se pacta el telegrama colacionado, carta con acuse de recibo, fax u otro medio escrito fehaciente, como formas hábiles de notificación.

13.3. Jurisdicción: Cualquier controversia que no pueda ser resuelta entre las partes será sometida a los Xxxxxxxxxx xx xx Xxxxxxxxx Xxxxxxxx xxx Xxxxxxx, xx xx xxxxxx xx Xxxxxxxxxx.

13.4. Modificaciones al contrato: Toda modificación de este Contrato deberá ser acordada por escrito.

En señal de conformidad y para constancia se firman dos ejemplares del mismo tenor, en lugar y fecha arriba indicados.

ANEXO I - CARACTERÍSTICAS TÉCNICAS Y OPERATIVAS DE LA INTERCONEXIÓN Y PARÁMETROS DE CALIDAD Y CONFIABILIDAD DE LA MISMA

1. Mensajería y funcionalidades de punto de venta

• La mensajería a utilizar para el intercambio de información estará basada en el estándar ISO 8583.

• Las funcionalidades de punto de venta contempladas para la integración serán implementadas en base a un acuerdo entre ambas partes. Para tal fin se deberá cumplir con la entrega de toda la documentación técnica relevante.

• Cualquier cambio en sistemas del Emisor que puedan afectar la operativa en el punto de venta deberán ser oportunamente comunicados con suficiente antelación a fin de tomar las acciones orientadas a asegurar la continuidad operativa y no arriesgar la operabilidad de la Red. Estos cambios podrán conllevar costos de desarrollo» implementación, capacitación, soporte e instalación para el Emisor.

2, Consideraciones de seguridad

• El Administrador de la Red declara contar con certificación PC1-DSS vigente para la infraestructura de TI relevante para la integración y con la certificación PCI - PA - DSS del api ¡cativo que realice el manejo de datos del medio de pago emitido por el Emisor.

A continuación se detallan algunos de los servicios y estándares de seguridad que el Administrador de la Red debe cumplir para estar certificado PCI-DSS:

a) Red Segura

i. Segmentación de la Red: Deberá Instalar y mantener una configuración de firewalls para proteger los datos de los propietarios de tarjetas. Los datos deben ser procesados en subredes protegidas de otras más inseguras (ej. Internet), por medio de la instalación de firewalls.

ii. Cifrado en Internet: Por internet los datos sensibles de la transacción en cualquiera de sus tramos no deben viajar sin cifrar (se debe usar VPN o similar).

iii. Contraseñas por Defecto: No usará contraseñas del sistema, ni otros parámetros de seguridad, predeterminados provistos por los proveedores.

b) Protección de Datos

i. Almacenamiento: La Información de las transacciones no deberá ser almacenada en ningún medio propio del Administrador de la Red, salvo para procesos de contingencia o por que la naturaleza del servicio así lo requiera.

ii. Duplicación de Datos: La información de las transacciones no podrá ser reproducida, a menos que el proceso mismo lo requiera, lo cual deberá ser previamente informado y estipulado en el contrato entre las partes. De existir la necesidad de reproducción, deberá garantizarse mecanismos de destrucción inmediatos.

iii. Cifrado de Información: Toda información almacenada en medios ajenos al Emisor, deberá encontrarse cifrada (no almacenada en texto claro), impidiendo su accesibilidad por terceras personas.

e) Gestión de Vulnerabilidades

i. Sistema de Gestión de Seguridad: Deberá poseer un programa de control y monitoreo continuo de vulnerabilidades sobre aquellos equipos y/o procesos involucrados en el tratamiento de la información del Emisor o Adquirente.

ii. Desarrollar aplicaciones seguras: Deberá Desarrollar siguiendo estándares y prácticas de desarrollo seguro (ej OWASP).

d) Control de acceso

i. Restringir el acceso a los datos: En los equipos pertenecientes al Administrador de la Red, que participen de alguna manera en el tratamiento de la transacción, los privilegios de accesos a los usuarios deben ser otorgados bajo el principio del mínimo necesario.

ii. Control de Acceso Lógico: En estos equipos debe asignarse una identificación única a cada persona que tenga acceso al equipamiento donde se procese información. Se utilizarán políticas de rotación de contraseñas y se obligará a utilizar contraseñas con nivel de complejidad medio-alto que serán almacenadas de forma protegida en las bases de datos.

iii. Control de Acceso Físico: Los equipos deben ubicarse en locales con acceso restringido y controlado.

e) Monitoreo y Respuesta ante Incidentes

i. Control de Actividad: Todos los recursos del Administrador de la Red, involucrados en tratamiento de la transacción, deberán ser monitoreados en tiempo real o el Administrador de la Red hará los máximos esfuerzos para detectar en forma proactiva las fallas.

ii. Respuesta ante Incidentes: El Administrador de la Red deberá contar con un equipo técnico especializado, con capacidad de respuesta y solución ante incidentes que pudiesen afectar la continuidad de los procesos.

Política de Información

i. Políticas: El Administrador de la Red deberá mantener un set de Políticas Informáticas actualizadas, que contemplen todas las medidas formuladas en el presente documento, y los procedimientos necesarios para implementarlas.

g) Nivel de Servicio

i. Disponibilidad: Se requiere que el Administrador de la Red garantice que el servicio estará disponible en modalidad 24x7x365 con un porcentaje de disponibilidad mayor al 99.5% del tiempo.

ii. Auditorías: Se establece que cualquiera de las partes podrá solicitar auditoría de seguridad con un aviso previo de por lo menos una semana y pagando por la misma

h) Tiempos de Respuesta

í. Autorizador — Concentrador: Se requiere que los tiempos de comunicación entre el concentrador y el autorizador deben ser de máximo 5 segundos los cuales permitirán la correcta operación del servicio.

ii. Concentrador - Comercio: Se requiere que los tiempos de comunicación entre el concentrador y el comercio deben ser de máximo 5 segundos los cuales permitirán la correcta operación del servicio.

i) Traslado de niveles de servicio

En caso que las fallas o inconvenientes sean provocadas por el proveedor del servicio de conexión o collocation, el Administrador de Red deberá realizar los mayores esfuerzos por coordinar y facilitar el pronto restablecimiento de las comunicaciones.

j) Respuesta a Incidentes y/o Consultas de Servicio

i. Incidentes: El Administrador de la Red deberá contar con un equipo técnico especializado, con capacidad de respuesta y solución ante incidentes que pudiesen afectar la continuidad del servicio

ii. Consultas de Servido: El Administrador de la Red deberá contar con un equipo técnico especializado, con capacidad de respuesta y solución ante consultas sobre el servicio que esté disponible de lunes a viernes, de 9 a 18 hrs.

k) Responsabilidades

El Administrador de la Red tiene la responsabilidad de utilizar los canales de comunicación para el objeto del presente contrato solamente.

l) Intercambio de Información

El intercambio de información se deberá realizar por medio del protocolo ISO 8583, standard de la International Organization for Standardization para sistemas que intercambian transacciones electrónicas realizadas por poseedores de tarjetas.

ISO 8583 define un formato de mensaje y un flujo de comunicación para que diferentes sistemas puedan intercambiar estas transacciones.

Si bien ISO 8583 define un standard común, cada red adapta eJ standard para su propio uso con campos adaptados a sus necesidades particulares. Las cuales deberán, ser debidamente acordadas e informadas.

3, Otras consideraciones

• El Administrador de la Red se compromete a cumplir, dentro del alcance de sus soluciones, con la normativa vigente en lo que respecta a aspectos fiscales/ impositivos. La contraparte será responsable del cumplimiento de estos aspectos de su plataforma tecnológica.