>> Ver todos los acuerdos legales
Acuerdo de PayPal Direct Checkout
Última actualización: 10 de mayo de 2022
1. Introducción e información importante
2. Integración y requisitos de PayPal Direct Checkout
3. Protección, seguridad y portabilidad de los Datos
4. Protección al Vendedor de PayPal
1. Introducción e información importante
PayPal Direct Checkout es un proceso de pago optimizado para Usuarios Receptores que permite a las personas que no tengan una cuenta de PayPal procesar pagos (“PayPal Direct Checkout”).
PayPal Direct Checkout solo está disponible para los Usuarios Receptores que reúnan los requisitos y envíen una solicitud. El derecho a participar en PayPal Direct Checkout está sujeto al exclusivo criterio de PayPal, tal como se establece en la Sección 2 (“Integración y requisitos de PayPal Direct Checkout”) a continuación.
Este Acuerdo de PayPal Direct Checkout (“Acuerdo de PayPal Direct Checkout”) es un contrato celebrado entre usted, el Usuario Receptor, y Operadora PayPal de México, S. de R.L. de C.V. (“PayPal”), una empresa constituida y que opera conforme a las leyes de México, y se aplica al uso que usted haga de los servicios de PayPal para aceptar pagos en línea a través de PayPal Direct Checkout.
Todas las palabras y expresiones en mayúscula que se utilizan en el presente documento tendrán el significado que se les atribuye en este Acuerdo de PayPal Direct Checkout o en las Condiciones de Uso de PayPal. Los títulos y los subtítulos que aparecen a continuación son solo de referencia y no limitan el alcance de cada sección.
Debe leer y aceptar todos los términos y condiciones de este Acuerdo de PayPal Direct Checkout con el fin de poder utilizar PayPal Direct Checkout para aceptar pagos en línea. Al utilizar PayPal Direct Checkout, reconoce que ha aceptado este Acuerdo de PayPal Direct Checkout.
Este Acuerdo de PayPal Direct Checkout, junto con las Condiciones de Uso de PayPal y cualquier otro acuerdo que haya celebrado con PayPal (en conjunto, “Acuerdos de PayPal”), rigen el uso que usted haga de PayPal Direct Checkout. Si existe alguna contradicción entre los términos de las Condiciones de Uso de PayPal y este Acuerdo de PayPal Direct Checkout, el Acuerdo de PayPal Direct Checkout regirá el uso que haga de este servicio.
Los Acuerdos de PayPal son los acuerdos electrónicos que están disponibles en la página Acuerdos legales de PayPal, al igual que las políticas que forman parte de los Acuerdos de PayPal y que están disponibles en la misma página.
PayPal se reserva el derecho de modificar las condiciones del Acuerdo de PayPal Direct Checkout en cualquier momento y sin previa notificación, mediante la publicación de una versión actualizada en su sitio web, la cual estará disponible en el enlace del Acuerdo de PayPal Direct Checkout. Toda nueva versión modificada entrará en vigor en el momento en que se publique en el enlace mencionado. Si dicha versión incluye un Cambio Sustancial, le notificaremos con al menos 30 días de antelación sobre cualquier Cambio Sustancial por correo electrónico o mediante la publicación de una notificación en la página de actualizaciones de acuerdos de nuestro sitio web, disponible por medio del enlace Actualizaciones de las políticas.
Este Acuerdo de PayPal Direct Checkout modifica y reformula cualquier otro acuerdo relacionado con el servicio de PayPal Direct Checkout que se haya celebrado entre usted y PayPal en el pasado.
El uso continuado de PayPal Direct Checkout después de la entrada en vigor de este Acuerdo de PayPal Direct Checkout (o de una nueva versión revisada de este) implicará de forma automática el total conocimiento y aceptación por parte del Usuario Receptor de todos los términos y condiciones del presente documento.
PayPal se reserva el derecho de suspender o limitar de forma inmediata su acceso a PayPal Direct Checkout o a los servicios de PayPal si infringe cualquier condición de este Acuerdo de PayPal Direct Checkout, de las Condiciones de Uso de PayPal y de cualquier otra política de PayPal. Tenga en cuenta los siguientes riesgos de utilizar los servicios de PayPal, según se establece en las Condiciones de Uso de PayPal:
i. Si reúne los requisitos para ser Usuario Receptor, los pagos recibidos en su Cuenta se pueden cancelar posteriormente, por ejemplo, si un pago está sujeto a un Contracargo, una Cancelación o una Reclamación, o si se invalida de cualquier otra forma. Esto significa que un pago se puede cancelar en su Cuenta después de que usted, como Usuario Receptor, haya proporcionado los productos o prestado los servicios que compró un Usuario Comprador.
ii. Los Usuarios Receptores pueden disminuir el riesgo de que un pago se cancele en su Cuenta si cumplen con los criterios establecidos en la sección 10 de las Condiciones de Uso de PayPal (Protección al Vendedor de PayPal) y con las demás pautas de seguridad establecidas en la página “Centro de seguridad” en el sitio web de PayPal.
iii. PayPal se reserva el derecho de cerrar, suspender o limitar el acceso a su Cuenta o a los servicios de PayPal, o a limitar el acceso a los fondos que mantiene en su Cuenta si usted infringe las Condiciones de Uso de PayPal, la Política de Uso Aceptable de PayPal o cualquier otro acuerdo que haya celebrado con PayPal.
2. Integración y requisitos de PayPal Direct Checkout
A exclusivo criterio de PayPal, PayPal Direct Checkout puede integrarse en su sitio web en dos formatos diferentes: i) en la pantalla en contexto o ii) en un mininavegador.
Para solicitar la integración de PayPal Direct Checkout en su sitio web, llame al 01-800-925-0304 o al gestor de la cuenta de PayPal. Si su sitio web está alojado en una plataforma que ofrece PayPal Direct Checkout como opción de pago, puede solicitar la integración de PayPal Direct Checkout por medio de la plataforma.
Para reunir los requisitos para utilizar PayPal Direct Checkout, debe tener una Cuenta de PayPal sin incidencias (sin controversias ni reclamaciones) y proporcionar determinada información comercial, de operaciones o financiera, según PayPal la solicite, a fin de que PayPal pueda realizar una revisión de su empresa y su sitio web. También debe cumplir con las Normas de Seguridad de Datos de la Industria de tarjetas de pago (PCI DSS) y las Normas de Seguridad de Datos para las Aplicaciones de Pago (PA DSS) si integra PayPal Direct Checkout en la pantalla en contexto, tal como se establece en la Sección 3 (“Protección, seguridad y portabilidad de los datos”) a continuación.
PayPal revisará la información que usted proporcione y le indicará de manera oportuna si cuenta con la aprobación para utilizar PayPal Direct Checkout o no. Debe contar con la aprobación previa de PayPal para utilizar PayPal Direct Checkout.
Una vez que se haya aprobado su solicitud de PayPal Direct Checkout, podrá integrar este servicio de acuerdo con las pautas de integración de PayPal Direct Checkout que PayPal le proporcione.
PayPal se reserva el derecho de volver a evaluar en cualquier momento si usted reúne los requisitos para utilizar PayPal Direct Checkout en el caso de que su empresa o su sitio web presenten diferencias respecto de la información proporcionada por usted en el momento de su solicitud de integración de PayPal Direct Checkout.
3. Protección, seguridad y portabilidad de los Datos
Usted acepta cumplir con todas las leyes y las normas aplicables en relación con la recopilación, la seguridad y el intercambio de información personal o de transacciones (“Datos”) en su sitio web. Usted es completamente responsable de la seguridad de todos los Datos en su sitio web o que, de cualquier otra forma, tenga en su poder o bajo su control. En cuanto a los datos personales procesados por usted o por PayPal en relación con este Acuerdo de PayPal Plus, ambos serán, cada cual por su parte, responsables del tratamiento de datos respecto de dicho procesamiento. Usted y PayPal acuerdan cumplir con los requisitos de las leyes de protección de datos aplicables a los responsables del tratamiento de datos con respecto a la prestación de servicios en virtud de este Acuerdo de PayPal Plus y de otra forma en relación con este acuerdo, incluso en lo que respecta a la información que PayPal le facilitó a usted de conformidad con el Aviso de Privacidad de PayPal. Para evitar dudas, tanto usted como PayPal tienen sus propios procedimientos, notificaciones y políticas de privacidad definidos de manera independiente para los datos personales que tengan en su poder, y cada uno es un responsable del tratamiento de datos (es decir, no son responsables conjuntos del tratamiento de datos). En cumplimiento de las leyes de protección de datos, tanto usted como PayPal deben efectuar, entre otras cosas, lo siguiente:
- implementar y mantener en todo momento todas las medidas de seguridad correspondientes para el procesamiento de datos personales;
- mantener un registro de todas las actividades de procesamiento llevadas a cabo en virtud de este acuerdo de PayPal Plus; y
- no hacer ni permitir deliberadamente que se haga algo que pueda llevar a que la otra parte incumpla las leyes de protección de datos aplicables.
En lo que respecta a las transferencias que usted realice a PayPal de los datos de sus clientes ubicados en la Unión Europea, Suiza, el Espacio Económico Europeo o sus Estados miembros, y el Reino Unido, acordamos que (i) se considerará que su firma del Acuerdo supone la firma y la aceptación de las disposiciones de las cláusulas contractuales tipo del Módulo 1 (Responsable a Responsable) para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 aprobado por la decisión de la Comisión Europea (CE) 2021/914 del 4 de junio de 2021 (“Cláusulas de Transferencia de Responsable a Responsable”) por parte del Comercio en cuanto exportador de datos, y (ii) que la firma de PayPal de este Acuerdo supone la firma y la aceptación de las Cláusulas de Transferencia de Responsable a Responsable por parte de PayPal en cuanto importador de datos. En caso de que la Comisión Europea revise y luego publique nuevas Cláusulas de Transferencia de Responsable a Responsable (o según lo exija o implemente de otro modo la Comisión Europea) o de que el Secretario de Estado del Reino Unido (u otro organismo autorizado aplicable del Reino Unido) apruebe y emita cláusulas contractuales tipo para el Reino Unido u otro mecanismo contractual similar (“Cláusulas del Reino Unido”) para que se utilicen en lugar de las Cláusulas de Transferencia de Responsable a Responsable a fin de legitimar la transferencia de datos personales fuera del Reino Unido, las partes acuerdan que, respectivamente, dichas Cláusulas de Transferencia de Responsable a Responsable o Cláusulas del Reino Unido nuevas reemplazarán a las actuales, según corresponda, y que tomarán todas las medidas necesarias para la ejecución de las cláusulas nuevas, según corresponda. Las Cláusulas de Transferencia de Responsable a Responsable (Módulo 1) se incorporarán al Acuerdo por referencia y se considerarán debidamente ejecutadas entre las partes en la fecha de entrada en vigor de este Acuerdo con sujeción a los siguientes detalles:
- En caso de transferencias de datos personales desde Suiza, sujetas exclusivamente a la ley federal suiza de protección de datos y otras leyes de protección de datos de Suiza (“Leyes Suizas de Protección de Datos”) o el Reino Unido, las referencias generales y específicas en las Cláusulas de Transferencia de Responsable a Responsable a: (a) el Reglamento (UE) 2016/679 o la legislación de la UE o del Estado miembro tendrán el mismo significado que la referencia equivalente en, respectivamente, el RGPD del Reino Unido, la Ley de Protección de Datos de 2018 y otras leyes de protección de datos del Reino Unido (“Leyes de Protección de Datos del Reino Unido”) o las Leyes Suizas de Protección de Datos; y (b) “Estado miembro” o “Estado miembro de la UE” o “UE” se interpretarán como referencias a, respectivamente, Suiza y el Reino Unido.
- De conformidad con la cláusula 13 (Supervisión) la Autoridad Supervisora competente será (i) la CNDP (Comisión Nacional de Protección de Datos) en Luxemburgo, o (ii), cuando el exportador de datos esté establecido en el Reino Unido o se encuentre dentro del ámbito de aplicación territorial de las Leyes de Protección de Datos del Reino Unido, la Oficina del Comisionado de Información, o (iii), cuando el exportador de datos esté establecido en Suiza o se encuentre dentro del ámbito de aplicación territorial de las Leyes Suizas de Protección de Datos, el Comisionado Federal de Protección de Datos e Información de Suiza en la medida en que la transferencia de datos pertinente se rija por las Leyes Suizas de Protección de Datos.
- La opción 1 de la cláusula 17 (Derecho aplicable) y las leyes de Luxemburgo (o del Reino Unido cuando el exportador de datos esté establecido en el Reino Unido) regirá las Cláusulas de Transferencia de Responsable a Responsable.
- De conformidad con la cláusula 18 (Elección del foro y jurisdicción), los tribunales de Luxemburgo (o del Reino Unido cuando el exportador de datos esté establecido en el Reino Unido) resolverán cualquier controversia que surja de las Cláusulas de Transferencia de Responsable a Responsable. Sin perjuicio de los demás derechos del interesado en virtud de las Cláusulas de Transferencia de Responsable a Responsable, se le concederá al interesado el derecho de remitir las controversias en virtud de dichas cláusulas a los tribunales del Estado miembro en el que resida dicho interesado (incluido el Reino Unido o Suiza, donde corresponda al país de residencia habitual del interesado).
- Las partes acuerdan que los detalles requeridos en el Apéndice de Cláusulas de Transferencia de Responsable a Responsable serán los establecidos en el Anexo 1.
Usted acepta que deberá cumplir con las PCI DSS y las PA DSS en todo momento mientras utiliza PayPal Plus en una pantalla en contexto en la medida en que sea necesario para integrar y mantener PayPal Plus en su sitio web.
Con el fin de integrar y mantener PayPal Plus en una pantalla en contexto, debe completar o proporcionar toda la documentación requerida para cumplir con las PCI DSS y las PA DSS. Usted acepta proporcionar de inmediato a PayPal toda documentación que acredite el cumplimiento de las PCI DSS o las PA DSS si PayPal lo solicita. El incumplimiento de dicho requisito se considerará una Actividad Restringida, de conformidad con las Condiciones de Uso de PayPal y podría dar lugar a la adopción de las medidas descritas en las Condiciones de Uso de PayPal, incluidas, entre otras, la aplicación de Reservas sobre fondos retenidos en su cuenta de PayPal y la suspensión inmediata de las capacidades de procesamiento de PayPal Plus, sin que esto acaree ninguna sanción para PayPal.
Si PayPal considera que se ha producido una infracción de seguridad, que los Datos en su sitio web se han visto vulnerados o que usted no cumple con las PCI DSS o las PA DSS al utilizar PayPal Plus en una pantalla en contexto, es posible que se le solicite que contrate a un especialista o perito forense, a su propio costo, para certificar que puede seguir utilizando PayPal Plus, sin que esto limite la capacidad de PayPal de tomar las medidas descritas en las Condiciones de Uso de PayPal. Usted acepta exonerar a PayPal de todos los daños y perjuicios y pérdidas, incluidos, entre otros, multas o sanciones en relación con una posible infracción de seguridad o vulneración de los Datos en su sitio web.
Usted acepta que PayPal puede contratar servicios de terceros para revisar periódicamente la seguridad de su sitio web (“Inspectores”) con el propósito de verificar posibles vulnerabilidades que puedan poner en riesgo los Datos o la información de PayPal o de los clientes de PayPal. Usted acepta cooperar con los Inspectores para que puedan realizar las verificaciones en su sitio web y otorgar a estos o a PayPal acceso a sus sistemas y a toda la documentación relacionada con la seguridad de los Datos.
Usted renuncia de forma expresa a actuar de cualquier manera en contra de PayPal o de los Afiliados de PayPal a raíz de las verificaciones mencionadas anteriormente o los daños causados por los Inspectores. Usted acepta que los Inspectores son los únicos responsables de las verificaciones realizadas.
Tras la rescisión o el vencimiento de este Acuerdo y previa solicitud por escrito de su parte, PayPal acepta proporcionar a su nuevo banco adquirente o proveedor de servicios de pago (“Destinatario de los Datos”) toda la información disponible sobre tarjetas de crédito, incluidos los datos personales relacionados con sus clientes (“Información de la Tarjeta”). Para poder hacerlo, debe proporcionar a PayPal toda la información solicitada, incluido un comprobante de que el Destinatario de los Datos cumple con los requisitos de las PCI DSS para asociaciones y los del nivel 1 de la PCI. PayPal acepta transferir la Información de la Tarjeta al Destinatario de los Datos siempre que se cumpla lo siguiente: (a) usted proporciona a PayPal un comprobante de que el Destinatario de los Datos cumple con los requisitos de las PCI DSS para asociaciones (y con el nivel 1 de la PCI) en la forma de un certificado o un reporte de cumplimiento de los requisitos de las PCI DSS para asociaciones otorgado por un proveedor calificado, así como cualquier otra información razonable que PayPal solicite; (b) la transferencia de dicha Información de la Tarjeta cumple con la última versión de los requisitos de las PCI DSS para asociaciones, y (c) la transferencia de dicha Información de la Tarjeta está permitida en virtud de las Reglas de las asociaciones aplicables y cualquier ley, norma o reglamento aplicable (incluidas las leyes de protección de datos).
4. Protección al Vendedor de PayPal
Es posible que usted, Usuario Receptor aprobado para utilizar PayPal Direct Checkout, reúna los requisitos de la Protección al Vendedor de PayPal para realizar transacciones con PayPal Direct Checkout si, además de cumplir con todos los requisitos establecidos en la sección 10 (“Programa de Protección al Vendedor de PayPal”) de las Condiciones de Uso de PayPal, también comparte con PayPal la dirección de envío, el correo electrónico y el número de teléfono de los clientes que realizaron el pago de sus compras por medio de PayPal Direct Checkout. Este intercambio de datos es necesario para verificar el cumplimiento de los requisitos de la Protección al Vendedor de PayPal de conformidad con la sección 10 de las Condiciones de Uso de PayPal.
Anexo 1
Apéndice de Cláusulas de Transferencia de Responsable a Responsable
A. Lo siguiente se aplica, en la medida en que sea necesario, en virtud de las Cláusulas de Transferencia de Responsable a Responsable.
Exportador de datos
- Nombre y dirección: el exportador de datos es el Comercio, y la dirección es la estipulada en el Acuerdo.
- Nombre, cargo y detalles de contacto de la persona de contacto: según se estipula en el Acuerdo.
- Actividades pertinentes a los datos transferidos en virtud de la Cláusula Contractual Estándar: tal como se estipula en el Acuerdo.
- Firma y fecha: consulte lo establecido en la sección 3 (“Protección, seguridad y portabilidad de los Datos”).
- Función (responsable del tratamiento/procesador): responsable del tratamiento.
Importador de datos
- Nombre y dirección: el importador de datos es miembro del Grupo PayPal que presta los servicios de conformidad con el Acuerdo, y la dirección es la estipulada en el Acuerdo.
- Nombre, cargo y detalles de contacto de la persona de contacto: según se estipula en el Acuerdo.
- Actividades pertinentes a los datos transferidos en virtud de la Cláusula Contractual Estándar: tal como se estipula en el Acuerdo.
- Firma y fecha: consulte lo establecido en la sección 3 (“Protección, seguridad y portabilidad de los Datos”).
- Función (responsable del tratamiento/procesador): responsable del tratamiento.
Anexo 1.B. Descripción de la transferencia
Interesados cuyos datos personales se transfieren
Los datos personales transferidos conciernen a las siguientes categorías de interesados:
- Los clientes, empleados y otros contactos de la empresa del exportador de datos.
Categorías de datos personales transferidos
- nombre, importe por cobrar, fecha y hora, detalles de la cuenta bancaria, información de la tarjeta de pago, código CVC, código postal, código de país, dirección, dirección de correo electrónico, fax, teléfono, sitio web, datos de fecha de vencimiento, detalles de envío, situación fiscal, identificador único del cliente, dirección IP, ubicación y cualquier otro dato que PayPal haya recibido en virtud de este Acuerdo.
Datos confidenciales (si corresponde) y medidas de seguridad o restricciones aplicadas
Los datos personales transferidos conciernen a las siguientes categorías de datos confidenciales:
- No aplicable, a menos que el Comercio configure el servicio para capturar dichos datos.
Aplicación de restricciones y medidas de seguridad:
- No aplicable, a menos que el Comercio configure el servicio para capturar dichos datos.
Naturaleza del procesamiento
Tal como se establece en el Acuerdo.
Propósitos de las transferencias
La transferencia se realiza con los siguientes fines:
- Prestación de los servicios provistos por el importador de datos al exportador de datos de conformidad con el Acuerdo.
- Identificación de actividades fraudulentas y de los riesgos que afectan o pueden afectar al importador de datos, al exportador de datos o a otros clientes del importador de datos.
- Para cumplir con las leyes y las solicitudes de cumplimiento de la ley aplicables al importador de datos.
- Con los fines establecidos en el Aviso de privacidad del importador de datos.
Período durante el cual se retendrán los datos personales o, si no es posible, criterios utilizados para determinar ese período
El importador de datos solo retiene los datos personales durante el tiempo que sea necesario en relación con los fines pertinentes para los que se recopilaron (consulte los fines antes mencionados). Con el fin de determinar el período de retención adecuado para los datos personales, el importador de datos analiza el importe, la naturaleza y confidencialidad de los datos personales, el riesgo potencial de daño por uso o divulgación no autorizados de dichos datos, los fines para los que estos se procesan y si se pueden lograr dichos fines por otros medios, y los requisitos legales normativos, tributarios, contables o de otro tipo aplicables.
Para transferencias a (sub)procesadores, también especifique el asunto, la naturaleza y la duración del procesamiento
El importador de datos puede compartir datos personales con proveedores de servicios externos que prestan servicios y desempeñan funciones en la dirección del importador de datos y en nombre de este. Estos proveedores de servicios externos pueden, por ejemplo, proporcionar un elemento de los servicios prestados en virtud del Acuerdo, como la verificación de clientes, el procesamiento de transacciones o el servicio de atención al cliente; o prestar al importador de datos un servicio que respalda los servicios prestados en virtud del Acuerdo, como el almacenamiento. Al determinar la duración del procesamiento llevado a cabo por los proveedores de servicios externos, el importador de datos aplica los criterios proporcionados anteriormente en este Anexo 1.B.
Anexo 1.C. Autoridad supervisora
De conformidad con la cláusula 13(a) de las Cláusulas de Transferencia de la UE, la autoridad supervisora que tiene la responsabilidad de garantizar el cumplimiento del Reglamento (UE) 2016/679 por parte del exportador de datos en relación con la transferencia de datos, como se indicó, deberá actuar como autoridad supervisora competente.
B. Medidas técnicas y organizacionales, incluidas aquellas medidas técnicas y organizacionales destinadas a garantizar la seguridad de los datos
- Seudonimización, cifrado y protección de los datos durante la transmisión
Las políticas de PayPal aseguran el cumplimiento de este principio y requieren el uso de controles técnicos para evitar el riesgo de divulgación de datos personales. PayPal utiliza cifrado en tránsito y en reposo para todos los datos personales. También utilizamos técnicas de seudonimización estándar del sector, como la tokenización para proteger los datos personales si corresponde. PayPal tiene políticas exhaustivas que proporcionan obligaciones y procesos clave para proteger los datos cuando se transfieren dentro de la empresa y externamente a terceros.
- Administración de cambios y continuidad del negocio
El sólido proceso de administración de cambios de PayPal protege la disponibilidad continua y la resiliencia de los datos y sistemas a lo largo de su ciclo de vida para asegurar que los cambios se planeen, aprueben, ejecuten y revisen de forma adecuada. El proceso de administración de la continuidad del negocio de la Empresa proporciona un marco para establecer una resiliencia organizacional con capacidad de respuesta efectiva que proteja los intereses de las partes claves interesadas.
- Recuperación ante desastres
El sólido programa de recuperación ante desastres de PayPal tiene procesos para recuperar la información o los sistemas tecnológicos en caso de cualquier interrupción significativa, con foco en los sistemas de TI que respaldan las actividades de los clientes y los procesos comerciales de importancia crítica. La infraestructura tecnológica de PayPal se encuentra alojada en varios centros de datos seguros, con capacidad principal y secundaria, cada uno de ellos con infraestructura de red y seguridad, servidores dedicados de aplicaciones y bases de datos, y almacenamiento.
- Prueba regular y evaluación de la efectividad de las medidas técnicas y organizacionales
PayPal planea, ejecuta e informa regularmente los resultados del programa de pruebas de la Empresa para evaluar la efectividad de sus medidas tecnológicas y organizacionales. La administración de este programa está a cargo de nuestro equipo de riesgo y cumplimiento empresarial, el cual trabaja con las partes interesadas pertinentes para obtener y evaluar la información necesaria con fines de pruebas, informes y correcciones según sea necesario.
- Identificación y autorización de usuarios
Los procesos de administración de acceso de PayPal requieren que los usuarios inicien sesión en la red corporativa utilizando una identificación y contraseña de cuenta únicas en esta red para identificar y autenticar al usuario antes de que pueda acceder a cualquier otra aplicación disponible. Se aplican políticas automatizadas en relación con la composición, longitud, cambio, reutilización y bloqueo de la contraseña. El acceso y las aprobaciones basadas en funciones, que se certifican trimestralmente, se implementan en todos los sistemas disponibles para hacer cumplir el principio del mínimo privilegio.
- Seguridad física de las ubicaciones donde se procesan los datos personales
Las políticas y procesos de seguridad y protección globales de PayPal establecen los requisitos necesarios para facilitar procesos sólidos de seguridad y protección, incluida la seguridad física, de acuerdo con las leyes, reglamentos y requisitos aplicables de los socios. Se hace especial hincapié en los sistemas y medidas de seguridad al construir áreas especiales o críticas, como oficinas de correo, almacenamiento de equipos, áreas de envío y recepción, salas de computación o de servidores, almacenes de comunicaciones o áreas de almacenamiento de documentos e información clasificados en cumplimiento del estándar de manejo de seguridad de la información de la Empresa.
- Registro y configuración de eventos
PayPal ha detallado y definido los tipos y atributos del registro y monitoreo de eventos. La Empresa recopila y agrega varios tipos de registros al sistema de monitoreo de seguridad centralizado. Existe un control de administración de configuración estándar para garantizar que los registros se recopilen de los sistemas y luego se reenvíen a nuestro sistema de monitoreo de seguridad central. Las políticas y los procesos de soporte de PayPal establecen que debe implementarse una línea base de configuración y protección del sistema en todos los sistemas.
- Gobernanza y administración de TI, certificación y aseguramiento de procesos y productos
PayPal promueve una fuerte filosofía de seguridad en toda la Empresa. Nuestro director de seguridad de la información supervisa la seguridad de la información en toda nuestra empresa global. Como parte de nuestro Programa de Administración de Riesgos y Cumplimiento Empresarial, nuestro Programa de Supervisión Tecnológica y Seguridad de la Información está diseñado para respaldar a la Empresa en la administración de riesgos de seguridad de la información y la tecnología, así como en cuestiones de identificación, protección detección, respuesta y recuperación en relación con las amenazas a la seguridad de la información. PayPal certifica y asegura sus procesos y productos mediante una variedad de programas empresariales, que incluyen (i) auditorías y evaluaciones de las obligaciones técnicas estándar del sector que PayPal debe cumplir, incluidas, entre otras: ISO 27001, los estándares aplicables de la industria de las tarjetas de pago (PCI) (como DSS, NIP, P2PE, etc.) y SOC-1 y SOC-2 del Instituto Estadounidense de Contadores Públicos Certificados (AICPA); (ii) un proceso de identificación del control de riesgos (RCIP) que garantiza acciones tempranas y un enfoque estándar respecto de la medición, la administración y el monitoreo del riesgo asociado con el desarrollo y el lanzamiento de soluciones de productos; (iii) evaluaciones de impacto en la privacidad que se integran en las primeras etapas de los procesos de desarrollo de productos y software; y (iv) un programa integral de administración de terceros, que proporciona garantías mediante la administración continua de riesgos a lo largo del ciclo de vida de interacción con un tercero.
- Minimización de datos
Nuestras políticas requieren (mediante controles técnicos) que los elementos de datos recopilados y generados sean aquellos que son adecuados, pertinentes y limitados a lo que es necesario en relación con los fines para los que se procesan. Los procesos de evaluación de impacto en la privacidad de PayPal aseguran el cumplimiento de estas políticas.
- Calidad y retención de datos
La política de acceso y calidad de PayPal garantiza que todos los datos personales sean correctos y estén completos y actualizados, lo que permite a los usuarios individuales acceder al sistema para corregir y modificar sus datos particulares (p. ej.: dirección, datos de contacto, etc.), y, cuando se recibe una solicitud de corrección de un interesado, garantiza la prestación de un servicio que permita ejercer su derecho a la corrección. Nuestro programa de gobernanza de datos monitorea la calidad, los problemas y las medidas correctivas en relación con los datos según sea necesario. Necesitamos que todos los datos se clasifiquen, de acuerdo con su valor para el negocio, con los períodos de retención asignados, lo cual se basa en los requisitos legales, normativos y de conservación de registros empresariales de PayPal. Tras el vencimiento del período de retención, los datos y la información se desecharán, borrarán o destruirán.
- Responsabilidad
PayPal ha desarrollado un conjunto de políticas y principios de seguridad informática, tecnología, administración de datos, administración de terceros y privacidad que cumplen con los estándares de la industria y se diseñaron con el fin de asegurar la colaboración y asociación de las partes interesadas de una manera que tenga en cuenta dichos controles y políticas, y cumpla con ellos, en toda la organización para garantizar la participación y responsabilidad desde el nivel jerárquico hasta todos los niveles de la organización. Cada programa define responsabilidades para las decisiones, procesos y controles relacionados con datos interfuncionales. Como responsable del tratamiento de datos, PayPal es responsable de los artículos pertinentes que suponen una obligación de responsabilidad en el RGPD y otras leyes de protección de datos aplicables, y demuestra el cumplimiento de ellos, mediante la implementación de una política de programa de privacidad y una estructura de control técnico y organizacional subyacente por niveles para garantizar el cumplimiento de las leyes, reglamentos, políticas y procedimientos de privacidad en toda la empresa. Esto incluye poder demostrar el cumplimiento de las leyes de protección de datos mediante: 1) una fuerte cultura de cumplimiento; 2) una estructura de gestión de riesgo y cumplimiento empresarial que incluya comités de administración, cargos de supervisión y reportes de privacidad; 3) responsabilidad de la función de la empresa para el cumplimiento del programa de privacidad, que incluye establecimiento, documentación y mantenimiento de procesos y controles de la empresa; 4) un departamento de privacidad global dentro de la organización de cumplimiento empresarial, con el fin de supervisar el cumplimiento de la empresa con el programa de privacidad y definir políticas, estándares, procedimientos y herramientas puestos en marcha por las funciones de la empresa; 5) comunicaciones para la empresa (por la función de privacidad global) a fin de promover la comprensión y comprensión de la privacidad; 6) Marco de administración de riesgos y cumplimiento empresarial para garantizar el uso de procesos coherentes, incluidas evaluaciones de impacto, monitoreo, pruebas, administración de problemas y capacitación en privacidad, plan de privacidad anual y 7) reportes y análisis a los comités de administración que supervisan el Programa de privacidad.
- Derechos del interesado
PayPal tiene un programa implementado para garantizar que se cumplan los derechos de los interesados, incluidos los relacionados con el acceso a los datos y su corrección y borrado. Se cumplirán las solicitudes de borrado de datos, a menos que PayPal tenga una obligación legal o reglamentaria, u otra razón empresarial legítima para retenerlos. Las políticas de PayPal garantizan que el borrado se produzca a lo largo del ciclo de vida del cliente.
- Procesadores
PayPal tiene un programa de administración externo exhaustivo que proporciona garantías por medio de la administración continua de riesgos a lo largo del ciclo de vida de una interacción con un tercero. Contamos con controles contractuales para requerir que nuestros procesadores y los subprocesadores de estos implementen estándares exhaustivos de seguridad y privacidad de datos en toda la cadena de procesamiento. Todos los subprocesadores deben solicitar nuestra aprobación antes de su incorporación.