Equifax

Políticas de Seguridad

SEGURIDAD DE LA INFORMACIÓN

1. Esta Sección se aplica a cualquier medio mediante el cual el Cliente solicita o tiene acceso a los Servicios de Información, incluyendo, sin limitarse a, servicios de sistema a sistema, computadora personal o la Internet.

Para efectos de esta Sección, la expresión “Usuario Autorizado” significa el empleado de un Cliente con autorización del Cliente para solicitar o acceder a los Servicios de Información, capacitado en las obligaciones del Cliente de conformidad con este Contrato respecto de la solicitud, acceso y uso de los Servicios de Información.

2. Con respecto al manejo de datos entregados por medio de los Servicios de Información (la “Información de Equifax Veraz”), el Cliente:

(a) Se asegurará de que solo Usuarios Autorizados puedan solicitar o tener acceso a los Servicios de Información;

(b) Se asegurará de que los Usuarios Autorizados no soliciten informes de crédito por motivos personales ni los entreguen a algún tercero, sino exclusivamente según lo permitido por este Contrato;

(c) Informará a los Usuarios Autorizados que el acceso no autorizado a informes sobre consumidores podrá exponerles a responsabilidad civil y penal según la Ley de Garantía de Equidad Crediticia (FCRA), pudiendo ser condenados a multas y cárcel;

(d) Se asegurará de que todos los aparatos que utilice el Cliente para solicitar o acceder a los Servicios de Información se coloquen en un lugar seguro, accesible exclusivamente para los Usuarios Autorizados, debiendo asegurarse dichos aparatos cuando no estén en uso por medio de programas de seguridad de la computadora, el apagado de controles de potencia u otros procedimientos de seguridad comercialmente razonables.

(e) Adoptará todas las medidas que sean necesarias para impedir la solicitud o acceso no autorizado a los Servicios de Información por cualquier persona que no sea un Usuario Autorizado y para efectos permitidos, incluyendo, sin limitarse a, la difusión limitada de los códigos de seguridad, números de socio, Identificación de Usuarios y cualquier clave del Cliente que pueda estar utilizando éste, a aquellas personas que deban conocerlos, debiendo cambiarse las claves de usuario del Cliente por lo menos cada noventa (90) días o en un plazo más corto cuando un Usuario Autorizado ya no tenga obligación de acceder a los Servicios de Información o si el Cliente sospecha que una persona no autorizada hubiera tomado conocimiento de la clave, debiendo utilizar todas las características de seguridad de los programas computacionales y equipos físicos que utilice el Cliente para solicitar o acceder a los Servicios de Información;

(f) No accederá en caso alguno a los Servicios de Información mediante un aparato de comunicación portátil e inalámbrico, incluyendo, sin limitarse a, teléfonos celulares con capacidad de navegación en la Internet, buscadores inalámbricos interactivos, asistentes digitales personales (PDA), terminales de datos móviles y terminales de datos portátiles;

(g) No utilizará, para almacenar los Servicios de Información, activos que no sean de propiedad de la sociedad, tales como discos duros de computadoras personales o equipos o medios de almacenamiento de datos portátiles y/o removibles (incluyendo, sin limitarse a, los notebook, discos zip, cintas, discos, CD y DVD). Además, la información de Equifax Veraz deberá ser codificada cuando no esté siendo utilizada y toda la Información de Equifax Veraz impresa deberá guardarse en un contenedor seguro bajo llave cuando no esté en uso, debiendo destruirse por completo, una vez que ya no se necesite, por medio de máquinas trituradoras (u otro método de destrucción igualmente eficaz) de manera que los resultados no sean legibles ni utilizables para ningún objeto;

(h) Si el Cliente enviara, traspasara o mandara Información de Equifax Veraz, codificará dicha información según las siguientes normas mínimas, las que Equifax podrá modificar periódicamente: Norma de Codificación Avanzada (AES), clave mínima de 128 bitios o Norma de Codificación Triple de Datos (3DES), clave mínima de 168 bitios, algoritmos codificados;

(i) No enviará equipos físicos o programas computacionales entre las sedes del Cliente ni a terceros sin borrar todos los números de Cliente de Equifax Veraz, códigos de seguridad, Identificación de Usuarios, claves, claves de usuarios del Cliente y cualquier información sobre consumidores;

(j) Monitoreará el cumplimiento con las obligaciones de esta Sección y dará aviso inmediato a Equifax Veraz cuando el Cliente sospeche o tome conocimiento de algún acceso no autorizado o intento de acceder a los Servicios de Información, incluyendo, sin limitarse a, una revisión de la facturas de Equifax Veraz para el efecto de detectar alguna actividad no autorizada;

(k) Si el Cliente utilizara un Proveedor de Servicios para establecer el acceso a los Servicios de Información sujeto a los términos de este Contrato, será responsable del uso por el Proveedor de Servicios de los números de socios, códigos de acceso de seguridad o claves del Cliente, debiendo asegurar el Cliente que el Proveedor de Servicios proteja los códigos de acceso de seguridad, identificación de usuarios y claves del Cliente mediante exigencias de seguridad que no sean menos estrictas que aquellas aplicables al Cliente según esta Sección;

(l) Desplegará esfuerzos comercialmente razonables para asegurar la seguridad de la información cuando disponga de cualquier información o registro de informe sobre consumidores obtenido de Equifax Veraz. Dichos esfuerzos deberán incluir el uso de procedimientos emitidos por el organismo normativo federal a cargo de la fiscalización de las actividades del Cliente (es decir, el organismo correspondiente que regula cooperativas de crédito o bancos), aplicables a la disposición de información o registros de informes sobre consumidores;

(m) Desplegará esfuerzos comercialmente razonables para asegurar la Información de Equifax cuando se almacene en servidores, sujeto a las siguientes exigencias:(i) los servidores que almacenen Información de Equifax Veraz deberán estar protegidos de la Internet u otras redes públicas mediante muros de fuego que se administren y configuren para cumplir con las mejores prácticas aceptables de la industria; (ii) la Información de Equifax deberá estar protegida mediante múltiples capas de seguridad de red, incluyendo, sin limitarse a, los muros de fuego, ruteadores y aparatos de detección/prevención de intrusos (IDS/IPS) reconocidos por la industria; (iii) acceso seguro (tanto físico como de red) a los sistemas que almacenan Información de Equifax Veraz, el que deberá incluir comprobación y claves que se cambian por lo menos cada 90 días; y (iv) todos los servidores deberán mantenerse actualizados y modificados en forma oportuna con parches de seguridad adecuados de sistemas, en la medida que estén disponibles;

(n) No permitirá que se exhiba la Información de Equifax Veraz en Internet a menos que se utilice por lo menos una arquitectura de tres niveles configurada de conformidad con las mejores prácticas de la industria; y

(o) Desplegará esfuerzos comercialmente razonables para establecer procedimientos y mecanismos de registro para los sistemas y redes que permitirá el seguimiento y análisis en el evento que exista una intrusión, y mantendrá, para revisión, una historia rastreable auditable que cubra un período mínimo de tres (3) meses.

3. Si Equifax Veraz creyera en forma razonable que el Cliente hubiese infringido esta Sección, podrá, además de cualquier otro recurso que permita este Contrato, dando aviso escrito con razonable anticipación al Cliente, al costo exclusivo de Equifax Veraz, realizar o contratar la realización por un tercero, en su representación, de una auditoría de los sistemas de seguridad de red, instalaciones, prácticas y procedimientos del Cliente en la medida en que Equifax Veraz estime razonablemente necesario, incluyendo una inspección en terreno para evaluar el cumplimiento del Cliente con las exigencias de seguridad de la información de esta Sección.