Manual del Programa de Certificación Privacy+

Transcripción

1 Manual del Programa de Certificación Privacy+ PRISM International 8735 W. Higgins Road, Suite 300 Chicago, IL United States (U.S. residents only),

2 Prefacio El Manual del Programa de Certificación Privacy+ fue preparado para ser usado en conexión con, y como parte de, el Programa de Certificación Privacy+ de PRISM International. PRISM International, como titular del logotipo y de las normas de Privacy+, se reserva el derecho a cuestionar en cualquier momento las reclamaciones de conformidad con el mismo, así como de revisar los procedimientos de cualquier empresa que haga dicha reclamación. También se entiende que los no participantes en el programa Privacy+ no tendrán derecho a utilizar la marca Privacy+, o cualquier facsímil o reproducción de la misma, o en relación con alguno de sus procedimientos o literatura relacionados con dichos procedimientos. Todo el contenido de PRISM International Todos los derechos reservados. El contenido de este manual no puede ser reproducido, copiado, o difundido, todo o en parte, sin el permiso expreso de PRISM International. Este manual contiene instrucciones e información para ser usadas por empresas de registro y gestión de la información que deseen obtener la certificación a través de PRISM International. 2

3 Contenido Sección I. Información Básica de Privacy+...4 Descripción y Objetivo...4 Historia...4 Disponibilidad...4 Cómo Solicitarla...4 Renovación de la Certificación...5 Política Antimonopolio...5 El Ámbito de la Auditoría...5 Normas de la Auditoría: Estados Unidos...6 Normas de la Auditoría: Internacionales...6 Marketing y Uso del Logotipo de Privacy+...6 Confidencialidad...6 Tarifas de Privacy+...7 Sección II. Objetivos de Control y Controles Internos...8 Sección III. Formularios Formulario de Aprobación y Compromiso del Auditor...11 Formulario de Solicitud Privacy Formulario A de Informe de Auditoría Privacy Formulario B de Informe de Auditoría Privacy Contrato de Licencia

4 Sección I. Información Básica de Privacy+ Descripción y Objetivo Privacy+ es un programa de certificación internacional disponible para todas las empresas que proporcionan servicios de almacenamiento externalizado, protección de registros en papel y soportes informáticos removibles fuera de línea. La participación en Privacy+ es voluntaria y permite a las empresas demostrar públicamente su compromiso de proteger la privacidad de la información que sus clientes les confían. La Certificación Privacy+ es propiedad de, y está administrada por, PRISM International (Professional Records & Information Services Managemen), también denominada aquí como Asociación comercial sin fines de lucro para la industria de la gestión de la información comercial. La Certificación Privacy+ aplica sólo al almacenamiento físico y al manejo de registros en papel y soportes informáticos removibles fuera de línea de las empresas participantes. Sin limitación alguna, Privacy+ no aplica para servicios relacionados como imágenes de documentos, servicios de trituración, o cualquier otra forma de almacenamiento en la nube. Los propósitos del programa Privacy+ son proporcionar a los participantes un medio para demostrar públicamente su compromiso de garantizar la privacidad de la información bajo su custodia compartir recursos y mejores prácticas para ayudar a los participantes a reducir los riesgos en sus negocios reducir el número de incidentes de violación de privacidad causados por miembros de nuestra industria, con lo que se preserva la reputación y la confianza de nuestra industria se reduce la probabilidad y severidad de la legislación impuesta por el gobierno a nuestra industria. Historia El programa de Certificación Privacy+ fue lanzado por PRISM International en Inicialmente, Privacy+ incluía un componente de educación obligatoria, además del requisito de que los participantes auto-certificaran su implementación en una lista específica de las mejores prácticas de la industria. En 2013, se agregaron al programa las auditorías independientes, lo cual reemplazó tanto al componente educativo obligatorio como a la lista de auto-certificación. Para completar el proceso de la auditoría independiente y obtener el estatus de Certificación Privacy+, las empresas deberán de establecer controles internos diseñados para cumplir con una serie de objetivos de control, éstos habían sido diseñados por PRISM International con el objetivo de promover la privacidad de la información. Los participantes tienen la obligación de someter sus operaciones a una auditoria, la cual debe ser llevada a cabo por un auditor independiente de acuerdo con el Statement on Standards for Attestation Engagements (SSAE) Número 16 (American Institute of Certified Public Accountants [AICPA]) en los Estados Unidos, o el International Standard on Assurance Engagements (ISAE) 3402 (International Auditing and Assurance Standards Board [IAASB]) usado internacionalmente. Las empresas que obtuvieron la Certificación Privacy+ en 2012 o principios de 2013 mediante el proceso de autocertificación, continuarán teniendo la Certificación Privacy+ hasta el 31 de diciembre de Disponibilidad PRISM International ofrece la Certificación Privacy+ que se encuentra a disposición de todas las empresas que prestan servicios de almacenamiento externalizado, de protección de registros en papel y de medios informáticos removibles fuera de línea. Los miembros de PRISM International no están obligados a participar en Privacy+, sin embargo, recibirán un descuento en los precios si lo hacen. Aprovechando el poder adquisitivo de la membresía completa de PRISM International, se han negociado tasas preferenciales con la empresa de contabilidad Kirkpatrick Price para los servicios de auditoría relacionados con Privacy+. Kirkpatrick Price tiene conocimientos especializados dentro de la industria de gestión de registros e información y también tiene acceso a la red internacional de auditores de ISACA ( y a auditores certificados CISA, lo que le permite realizar o gestionar las auditorías de Privacy+ en todo el mundo. Las auditorías de Privacy+ pueden ser llevadas a cabo por empresas que no sean Kirkpatrick Price siempre y cuando sean aprobadas previamente por PRISM International. PRISM International puede solicitar un permiso por escrito por medio del Formulario de Aprobación y compromiso del auditor de Privacy+. Antes de contratar una empresa de auditoría que no sea Kirkpatrick Price, los posibles solicitantes deberán compartir con su futuro auditor los formularios A y B de Informe de auditoría de Privacy+ para asegurar la disposición del auditor a completar y presentar los formularios. Cómo Solicitarla Los pasos para solicitar la Certificación Privacy+ son los siguientes: 1. Revisar minuciosamente este Manual de Privacy+ para asegurarse de que comprende tanto el programa como los objetivos de control de Privacy+, así como el proceso necesario para establecer y mantener la Certificación Privacy+. 2. Asegurar que su auditor complete el formulario de aprobación y compromiso. Tenga en cuenta que si va a utilizar un auditor distinto a Kirkpatrick Price, éste debe ser aprobado por PRISM International por escrito. Aunque no es necesario, le sugerimos que espere hasta que PRISM International apruebe su auditor antes de continuar con la auditoría ya que 4

5 la aprobación de su auditor por parte de PRISM International no está garantizada. 3. Presentar los siguientes formularios a PRISM International: a. Formulario de solicitud b. Contrato de licencia c. Formulario de aprobación y compromiso del auditor. 4. Recibir una factura de PRISM International por las cuotas de la solicitud, de los derechos de licencia del primer año, y, si está utilizando los servicios de Kirkpatrick Price, por los honorarios de la auditoría. Si usted está usando los servicios de una empresa de auditoría que no sea Kirkpatrick Price, se requiere una factura de PRISM International indicando que su auditor ha sido aprobado. Si su auditor no es aprobado, el personal de PRISM International lo contactará directamente. 5. Pagar la factura de PRISM dentro de los primeros 30 días de su recepción. 6. Programar la auditoría. Preferiríamos que su auditoría de Privacy+ se realizara dentro de los 6 meses posteriores a la presentación de su solicitud a Privacy+. Si su auditoría no se ha realizado pasado un año de la presentación de su solicitud, usted tendrá que presentar una nueva solicitud y pagar la cuota correspondiente. 7. Cuando su auditoría esté completa, su auditor enviará a PRISM International el formulario B del informe de auditoría de Privacy+ y los formularios A y B del informe de auditoría de Privacy+ a usted. 8. PRISM International otorgará la Certificación Privacy+ dentro de los primeros 30 días de haber recibido el formulario B del informe de auditoría llenado de manera satisfactoria. Renovación de la Certificación 1. Para mantener la Certificación Privacy+, las empresas deben realizar una auditoría Privacy+ cada 2 años. 2. Para renovar la certificación, las empresas solicitantes deberán repetir los pasos 2-7 (enumerados en Cómo solicitarla ) antes del segundo aniversario de la certificación inicial y posteriormente cada 2 años. Teniendo en cuenta el tiempo de espera necesario para completar una auditoría, se aconseja a los participantes que comiencen el proceso de renovación al menos 6 meses antes del segundo aniversario. 3. Si PRISM International no recibe un nuevo formulario B del informe de auditoría a los 2 años de la fecha inicial de la certificación, la empresa dejará de contar con la Certificación Privacy+ y deberá dejar de utilizar el nombre y las etiquetas de Privacy+ en todos los materiales de mercadotecnia. Política Antimonopolio Todos los aspectos del programa Privacy+ deberán acatar la política antimonopolio de PRISM International. 1. PRISM International no permitirá ninguna discusión entre miembros y no miembros que intenten llegar a un acuerdo con respecto a los precios, términos o condiciones de venta, volumen, territorios o clientes. 2. PRISM International no permitirá ninguna actividad o comunicación que incluya una discusión sobre precios, métodos de fijación de precios, cuotas de venta, u otras limitaciones ya sea de tiempo, de volumen de ventas, o de asignación de territorios o clientes. 3. PRISM International no permitirá ninguna actividad de un comité de la asociación, sin consultar previamente con el asesor legal, ese implica el intercambio de información en cuanto a precios, método de fijación de precios o ventas. 4. PRISM International no participará en actividades o comunicaciones que pudieran ser interpretadas como un intento de evitar que cualquier persona o entidad tenga acceso a algún mercado o cliente de bienes o servicios, o que cualquier negocio obtenga un servicio o un suministro de bienes. 5. PRISM International no establecerá estándares para ningún producto o servicio de la industria a menos que sea voluntario y que haya llegado por consenso de la industria. 6. PRISM International no participará en ninguna actividad o comunicación que pudiera interpretarse como un acuerdo para abstenerse de comprar o usar materiales, equipos, servicios o suministros de algún proveedor. 7. PRISM International no participará en ninguna actividad que pudiera ser interpretada como una acción para impedir o limitar la investigación básica o el desarrollo de cualquier producto, proceso o servicio. El Ámbito de la Auditoría La Certificación Privacy+ se concede sobre una base de país a país; las instalaciones individuales y específicas dentro de un país no podrán ser excluidas del ámbito de la auditoría. El número y el tipo del sitio visitado dependen del auditor y de la capacidad del participante para demostrar la uniformidad del control. Durante una auditoría de Privacy+, el auditor deberá obtener suficiente evidencia mediante procedimientos de auditoría con el fin de establecer una base razonable para fundamentar una opinión sobre los controles internos que están siendo auditados. En general, los participantes con tres o menos instalaciones dentro de un país deben esperar que todas sus instalaciones sean inspeccionadas físicamente. Si el auditor determina que se puede aplicar un método de muestreo adecuado, los participantes con más de tres instalaciones dentro de un país pueden cumplir con los requisitos de la auditoría aun cuando menos del 100 % de sus instalaciones sea inspeccionado físicamente. En estos casos, el auditor debe determinar que la población de la cual se extrae la muestra es apropiada para el objetivo específico de la auditoría. Generalmente el factor determinante será la capacidad del participante para demostrar la uniformidad y la actividad de control. El tamaño necesario de la muestra para obtener evidencia suficiente dependerá tanto de los objetivos como de 5

6 la eficiencia de la muestra. Para un objetivo dado, la eficiencia de la muestra tendrá que ver con su diseño; una muestra será más eficiente que otra si logra los mismos objetivos con una muestra de menor tamaño. El número exacto, o el porcentaje, de instalaciones que requieren inspección física lo determinará el auditor del participante, basándose en los lineamientos del AICPA o de la International Federation of Accountants (IFAC) para el muestreo de auditoría. Los participantes con más de tres instalaciones deben consultar con su auditor antes de presentar una solicitud a PRISM International para saber cuántas instalaciones tendrán que ser auditadas para obtener la certificación Privacy+. Normas de Auditoría: Estados Unidos En los Estados Unidos, las auditorias de Privacy+ deben realizarse de acuerdo con la SSAE No. 16, (Reporting on Controls at a Service Organization). La SSAE 16 fue diseñada para reemplazar a la norma de auditoría SAS No. 70 (Statement on Auditing Standards). Utilizando varias disposiciones establecidas por la SAS 70, la auditoría SSAE 16 añade aspectos importantes para poder ser más viables en el mercado global y ampliar el uso del servicio de informes de auditoría. Estos cambios ayudan a que la SSAE 16 sea un espejo estadounidense de la internacionalmente utilizada ISAE La SSAE 16 entra en vigor el 15 de junio de El objetivo del informe del auditor del servicio SSAE 16, también conocido como SOC 1, es ofrecer la opinión de un auditor sobre la presentación que hace una empresa de sus controles actuales en cuanto a la protección de la información de sus clientes que podrían afectar la información financiera; proporcionar una evaluación de la descripción de sus controles, y establecer si están diseñados de manera adecuada para alcanzar los objetivos de control establecidos por la organización de servicios. El informe es entregado a las organizaciones de usuarios para ayudarlos en sus auditorías independientes. Los participantes de Privacy+ pueden cubrir el requisito de auditoría ya sea con una auditoría SSAE 16 Tipo 1, o con la auditoría SSAE 16 Tipo 2 que es más completa (véase Tarifas de Privacy+ para más detalles). Normas de Auditoría: Internacionales Fuera de los Estados Unidos, las auditorías de Privacy+ deben realizarse de acuerdo con la norma ISAE No. 3402, (Assurance Reports on Controls at a Service Organization). La norma ISAE 3402 se introdujo en 2009, y proporciona una norma global que le da a los contadores públicos la capacidad de emitir informes para ser usados por las organizaciones y sus auditores. La ISAE 3042 es un reflejo internacional de la norma estadounidense SSAE 16. Los participantes de Privacy+ pueden cubrir el requisito de auditoría ya sea con una auditoría ISAE 3402 Tipo 1, o con la auditoría ISAE 3402 Tipo 2 que es más completa (véase Tarifas de Privacy+ para más detalles). Marketing y Uso del Logotipo de Privacy+ El nombre Privacy+ y su logotipo son marcas comerciales de PRISM International. Las empresas con certificación Privacy+ están autorizadas a utilizar el nombre y el logotipo de Privacy+ en sus materiales de marketing, mientras que su certificación se mantenga activa. Las empresas que permitan que su certificación caduque están obligadas a retirar de inmediato el nombre y el logotipo de Privacy+ de todos sus materiales de marketing. Las empresas que operan en más de un país, pero que no tienen la certificación Privacy+ en todos los países en los que operan, no podrán usar el nombre o el logotipo de Privacy+ en ventas, marketing, u otras comunicaciones que puedan llegar a países donde no estén certificadas, a menos que las referencias a Privacy+ en esas comunicaciones atraigan específicamente la atención hacia los países en los que la empresa está operando pero que no está certificada (estas comunicaciones podrían incluir, pero no están limitados a, sitios web, correos electrónicos masivos, comunicaciones de redes sociales, etc.) Las empresas que no muestran adecuadamente el nombre o el logotipo de Privacy+ estarán obligadas a retirar de inmediato el nombre y el logotipo la Privacy+ de todos los materiales de marketing tras la resolución de PRISM International. Mientras su certificación se mantenga activa, las empresas con Certificación Privacy+ aparecerán por país en el sitio web de PRISM International. Confidencialidad En el proceso de tener sus operaciones auditadas, los participantes de Privacy+ estarán obligados a compartir información sobre sus operaciones con sus auditores. Se aconseja a los participantes pedir a sus auditores que firmen un acuerdo de confidencialidad para asegurar que la información compartida permanecerá confidencial. PRISM International no se hará responsable de ninguna violación de confidencialidad por parte un auditor del participante. PRISM International no pedirá a los auditores que compartan información detallada sobre los participantes de Privacy+. Sin embargo, para emitir un certificado de Privacy+ a un participante, PRISM International debe tener un poco de información básica sobre las operaciones de los participantes y también debe saber que todos los objetivos de control se cumplieron sin excepción. Como resultado, los participantes deben hacer que sus auditores completen el Formulario de Informe de Auditoría B de Privacy+. Los auditores son responsables de presentar el Formulario de informe de auditoría B de Privacy+ directamente a PRISM International. Además, cuando se considere necesario, PRISM International podrá solicitar que los participantes compartan cierta información con PRISM International, como el número de sus instalaciones dentro de un país. 6

7 Cuotas pata los miembros de PRISM Solicitud y derechos de licencia durante 2 años 1ª instalación $560 cuota por licencia $100 cuota por solicitud Tarifas de Privacy+ Cuotas de auditoría (auditorías válidas por 2 años desde la fecha de emisión) $2,600** por auditorías internas $2,000 por renovación de auditorías Honorarios totales a pagar cada dos años $3,260 por auditorías iniciales $2,660 por auditorías renovadas 2 a y 3 a instalaciones $560 cuota por licencia de instalación $2,000 por instalación $2,560 por instalación 4 a 25 a instalaciones $280 cuota por licencia de instalación $2,000 por instalación auditada* $2,280 por instalación auditada* 26 a + instalaciones $140 cuota por licencia de instalación $2,000 por instalación auditada* $2,140 por instalación auditada* *Muestreo de la auditoría Las organizaciones con más de tres instalaciones, podrán auditar menos del 100% de sus instalaciones siempre y cuando se pueda establece la uniformidad de los controles en todas las instalaciones (véase la sección sobre el Ámbito de la Auditoría). Sólo se les pedirá a los solicitantes que paguen las cuotas de las auditorías de las instalaciones realmente auditadas. Sin embargo, las cuotas por derecho de licencia se aplicarán a todas las instalaciones, aun cuando no se haya auditado el 100% de las instalaciones. Si el número de instalaciones cambia en el transcurso de la auditoría, PRISM International se reserva el derecho de ajustar las tarifas relacionadas con Privacy+ para que coincidan con el número real de instalaciones. **Taller de preparación La cuota inicial de la auditoría de la primera instalación incluye $600 para cubrir la asistencia obligatoria de un participante a un taller de preparación de Kirkpatrick Price (los gastos de viaje y el alojamiento son responsabilidad del solicitante). Se ofrecerán talleres en la Web para las empresas que están fuera de los Estados Unidos o para aquellos que no desean viajar a este país (los talleres se imparten en inglés). Cada asistente adicional pagará $600. Cuotas para una nueva auditoría Kirkpatrick Price determina que se aplicará una cuota de $750 por cada instalación que requiera ser auditada nuevamente por incumplimiento. El uso de auditores que no sean Kirkpatrick Price Los aspirantes que opten por utilizar auditores que no sean Kirkpatrick Price serán responsables de negociar y pagar las cuotas de auditoría directamente a sus auditores. Sin embargo, las cuotas de la solicitud y de los derechos de licencia se deberán pagar a PRISM International antes de comenzar el trabajo de auditoría. Los auditores externos deben ser aprobados por PRISM International a través del formulario de Aprobación y Compromiso del Auditor. Auditoría Tipo 1 versus auditoría Tipo 2 Las cuotas de la auditoría mencionadas anteriormente, se basan en las auditorías Tipo 1 (véase la sección sobre Normas de la auditoría). Kirkpatrick Price puede realizar una auditoría Tipo 2 que es más amplia con un costo adicional de $1,250 por instalación, con una cuota para una nueva auditoría de $ 1,500 si fuera necesario en caso de incumplimiento. Ambos tipos de auditorías, la 1 y la 2, son válidos para Privacy+. Cuotas por servicios fuera del territorio continental de los Estados Unidos Kirkpatrick Price sólo puede llevar a cabo auditorías fuera de los Estados Unidos continentales si todo el proceso se lleva a cabo en el idioma inglés. De lo contrario, los solicitantes con instalaciones fuera del territorio continental de los Estados Unidos pueden elegir otro auditor que no sea Kirkpatrick Price. Precio para los no miembros de PRISM International Las tasas anteriores son extensivas a todas las empresas miembro de PRISM International que estén en regla. Aquellas que no socias deben pagar una cuota adicional por derechos de licencia de $ 1,000 por cada instalación. Definición de instalación Una instalación se define como un edificio en el que se almacenan los registros en papel o soportes informáticos removibles fuera de línea. Los edificios de almacenamiento múltiple dentro de la misma área general que no compartan una pared común con los edificios adyacentes se considerarán instalaciones independientes. Cuotas Las cuotas se pagarán por adelantado por 2 años de Certificación Privacy+. Una cuota de procesamiento de 3% se aplicará a todos los pagos con tarjeta de crédito mayores o iguales a $ 5,000. Ejemplo de Escenarios de Precios Escenario La empresa tiene tres locales en los Estados Unidos. La empresa quiere obtener la Certificación Privacy+ en los Estados Unidos La empresa tiene 10 instalaciones siete en los Estados Unidos y tres en Brasil. La empresa quiere obtener la Certificación Privacy+ en los Estados Unidos y en Brasil Miembros de PRISM International que usan Kirkpatrick Price El costo será de $4,190 por año para PRISM: Costos de 2 años: $100 de cuota de solicitud, $1,680 de derechos de licencia ($ 560 x 3), $6,600 cuotas de auditoría ($2, x $2,000) El costo será de $9,170 por año para PRISM: Costos de 2 años: $100 de cuota de solicitud, $3,640 de derechos de licencia ($560 x x 7), $14,600 cuotas de auditoría* ($2, x $2,000) Miembros de PRISM International que usan otro auditor El costo será de $890 por año: Cuotas de solicitud y derechos de licencia para PRISM, más el costo que haya acordado con el auditor aprobado. Costo de 2 años para PRISM: $100 cuota de solicitud, $1,680 cuota de derecho de licencia ($560 x 3) El costo será de $1,870 por año: Cuotas de solicitud y derechos de licencia para PRISM, más el costo que haya acordado con el auditor aprobado. Costo de 2 años para PRISM: $100 cuota de solicitud, $3,640 cuota de derecho de licencia ($560 x x 7) No miembros de PRISM International El costo será el mismo que el de la izquierda, más $1,500 por año. El costo será el mismo que el de la izquierda, más $5,000 por año. Enviar esta página a la oficina de PRISM International PRISM International 8735 W. Higgins Road Suite 300 Chicago, IL United States Tel: Fax: info@prismintl.org 7

8 Sección II. Objetivos de Control y Controles Internos Para la Certificación Privacy+, las empresas deberán establecer y realizar una auditoría por parte de un tercero. Esta auditoría valorará los controles internos diseñados para satisfacer un conjunto específico de objetivos de control destinados a preservar la privacidad de la información. Los objetivos de control han sido establecidos por PRISM International y todos los participantes de Privacy+ deben de cumplidos. Los objetivos de control son los siguientes: Objetivo de Control 1 Control de Organización y de Gestión Los controles proporcionan una garantía razonable de que la administración supervisa, separa las funciones, y guía el comportamiento de los empleados a través de un programa formal. Objetivo de Control 2 Política de Seguridad de la Información Los controles proporcionan una garantía razonable de que la administración ha implementado un programa de seguridad de la información que rige las prácticas de seguridad. Objetivo de Control 3 Evaluación de Riesgos Los controles proporcionan una garantía razonable de que la administración ha implementado una función de evaluación de riesgos para identificar nuevos riesgos o cambios en el entorno que requerirían modificar los controles. Objetivo de Control 4 Control de Recursos Humanos Los controles proporcionan una garantía razonable de que los empleados y los contratistas comprenden sus responsabilidades de seguridad y que son aptos para las funciones para las que han sido considerados. Objetivo de Control 5 Gestión del Vendedor Los controles proporcionan una garantía razonable de que las terceras personas comprenden sus responsabilidades de seguridad y que son capaces de cumplir con los requisitos de seguridad de la organización. Objetivo de Control 6 Control de Acceso Físico Los controles proporcionan una garantía razonable de que se impide el acceso no autorizado a las zonas seguras de los lugares de almacenamiento tanto administrativos como de información. Objetivo de Control 7 Controles Ambientales Los controles proporcionan una garantía razonable de que los efectos negativos de los factores ambientales se mitigan eficazmente. Objetivo de Control 8 Controles Lógicos de Acceso Los controles proporcionan una garantía razonable de que los mecanismos lógicos de acceso están en su lugar para restringir adecuadamente el acceso a las aplicaciones, datos, recursos de red y sistemas operativos. Objetivo de Control 9 Seguridad de la Red Los controles proporcionan una garantía razonable de que se han implementado las mejores prácticas para restringir el acceso no autorizado a los recursos de la red interna. Objetivo de Control 10 Acceso Electrónico a los Clientes Los controles de información proporcionan una seguridad razonable de que se han implementado las mejores prácticas para proteger la información del cliente que se almacena o se transmite a través de medios electrónicos. Todas las empresas participantes en Privacy+ tendrán un conjunto exclusivo de controles internos que apoyen los objetivos de control descritos anteriormente. Los controles internos deben ser, a juicio del auditor del participante, suficientes para apoyar los objetivos de control. Para ayudar a los participantes a comprender los tipos de control internos necesarios para apoyar los objetivos de control, PRISM International proporciona una muestra de controles internos para apoyar cada objetivo de control. Estos son sólo ejemplos, los participantes pueden reemplazar o agregar controles internos individuales sobre la base de su propia evaluación interna de los riesgos de operaciones específicas. Objetivo de Control 1 Control de Organización y de Gestión Los controles proporcionan una garantía razonable de que la administración supervisa, separa las funciones, y guía el comportamiento de los empleados a través de un programa formal. La organización cuenta con un organigrama actualizado. La organización cuenta con un manual formal escrito para el empleado. La organización cuenta con descripciones escritas de puestos formales. Objetivo de Control 2 Política de Seguridad de la Información Los controles proporcionan una garantía razonable de que la administración ha implementado un programa de seguridad de la información que rige las prácticas de seguridad. La organización cuenta con una política formal escrita de seguridad de la información. La organización cuenta con una declaración de política escrita formal que comunica cómo se accede y utilizan los datos del consumidor. La política de seguridad de la información nombra a un administrador o responsable para supervisar el programa. La política de seguridad de la información identifica las leyes o reglamentos que la organización debe seguir. La política de seguridad de la información específica los procedimientos operativos para el acceso físico y el manejo 8

9 de la información del cliente almacenada físicamente o electrónicamente en el sitio de la organización. La política de seguridad de la información especifica el procedimiento para respuestas ante incidentes que cumple con el Requisito de la norma Payment Card Industry Data Security Standard (PCI DSS). La política de seguridad de la información especifica los métodos para la capacitación de los empleados para ser llevada a cabo por lo menos una vez al año. La política de seguridad de la información especifica los procedimientos disciplinarios para los empleados que violen la política. Objetivo de Control 3 Evaluación de Riesgos Los controles proporcionan una garantía razonable de que la administración ha implementado una función de evaluación de riesgos para identificar nuevos riesgos o cambios en el entorno que requerirían modificar los controles. La organización cuenta con un plan formal escrito de evaluación de riesgos. La organización lleva a cabo una evaluación de riesgos, al menos anualmente, lo que da como resultado la documentación de amenazas y planes de mitigación. Objetivo de Control 4 Control de Recursos Humanos Los controles proporcionan una garantía razonable de que los empleados y los contratistas comprenden sus responsabilidades de seguridad y que son aptos para las funciones para las que han sido considerados. La organización lleva a cabo verificaciones de los antecedentes de los potenciales empleados, incluyendo antecedentes penales, de crédito, de empleos anteriores y controles de referencias. Todos los empleados y contratistas firma un acuerdo de confidencialidad. La organización ha documentado los procedimientos de contratación y terminación de contrato para proporcionar o retirar el acceso a la información de los clientes. Objetivo de Control 5 Gestión del Vendedor Los controles proporcionan una garantía razonable de que las terceras personas comprenden sus responsabilidades de seguridad y que son capaces de cumplir con los requisitos de seguridad de la organización. La organización cuenta con un proceso de selección formal para evaluar las capacidades de terceros y la prestación de servicios. Todos los vendedores firman un acuerdo de confidencialidad. La organización comunica a cada proveedor las responsabilidades contractuales de seguridad. Objetivo de Control 6 Control de Acceso Físico Los controles proporcionan una garantía razonable de que se impide el acceso no autorizado a las zonas seguras de los lugares de almacenamiento tanto administrativos como de información. Todos los puntos de acceso a la instalación están bloqueados o tienen un mecanismo electrónico de acceso. La instalación está equipada con una alarma antirrobo y vigilada las 24 horas durante los 7 días de la semana. Todos los puntos de entrada están monitoreados en todo momento. Todos los visitantes proporcionan una identificación válida y firman un registro para poder entrar. Todos los visitantes llevan un distintivo que los identifica claramente como visitantes. Todos los visitantes son acompañados en todo momento por un empleado autorizado, a no ser que estén previamente autorizados como visitantes conocidos, como vendedor habitual por ejemplo. Los vehículos desatendidos que contienen la información del cliente son cerrados con llave. Se inscriben las entradas a los sitios donde se encuentran los registros de los clientes, ya sea manual o electrónicamente. Se mantiene un estricto control de la distribución interna o externa de cualquiera de los medios, incluyendo los siguientes controles: Clasificar los materiales para que la sensibilidad de los datos pueda ser determinada. Enviar los materiales por correo seguro u otro método de entrega que se pueda controlar con precisión. Objetivo de Control 7 Controles de Ambientales Los controles proporcionan una garantía razonable de que los efectos negativos de los factores ambientales se mitigan eficazmente. La instalación está equipada con un sistema de extinción de incendios. La instalación está equipada con un sistema de detección de incendios y vigilada las 24 horas durante los 7 días de la semana. Los servidores de operación crítica, incluyendo aquellos que contienen información propiedad del cliente, están equipados con sistemas de respaldo de batería. Los servidores de operación crítica se enfrían adecuadamente dentro de una sala de de cómputo cerrada. Objetivo de Control 8 Controles Lógicos de Acceso Los controles proporcionan una garantía razonable de que los mecanismos lógicos de acceso están en su lugar para restringir adecuadamente el acceso a las aplicaciones, datos, recursos de red y sistemas operativos. Cada cuenta de usuario es autorizada de acuerdo con las necesidades del negocio. Todos los privilegios se asignan sobre la base de la clasificación del puesto y la función. Existe un procedimiento formal de registro y cancelación de registro de usuarios para otorgar y revocar el acceso a todos los sistemas de información y servicios. 9

10 Las contraseñas de los empleados deben ser cambiadas en intervalos designados que no excedan los 90 días. Los sistemas están configurados para reforzar una construcción sólida de contraseñas (al menos 7 caracteres, caracteres alfa-numéricos con al menos un carácter especial), siempre y cuando el software actual sea compatible con esta función. Los clientes pasan por un proceso de autorización predeterminado antes de tener acceso a las herramientas de gestión de registros. Objetivo de Control 9 Seguridad de Red Los controles proporcionan una garantía razonable de que se han implementado las mejores prácticas para restringir el acceso no autorizado a los recursos de la red interna. Existe un servidor de seguridad en cada conexión a internet y entre todas las redes inalámbricas. Se llevan a cabo escaneos externos de vulnerabilidades al menos cada tres meses o después de cualquier cambio significativo en la red para validar e identificar cualquier vulnerabilidad en la configuración. Existen aplicaciones antivirus y antimalware instaladas en todos los sistemas comúnmente afectados por códigos maliciosos, configuradas con actualizaciones automáticas. La gestión de parches se realiza al menos cada tres meses, en el caso de las emisiones críticas, se realiza cada 30 días. Objetivo de Control 10 Acceso Electrónico a los Clientes Los controles de información proporcionan una seguridad razonable de que se han implementado las mejores prácticas para proteger la información del cliente que se almacena o se transmite a través de medios electrónicos. Los sitios Web o los servicios públicos basados en el navegador usan el protocolo de seguridad SSL (Secure Sockets Layer) al acceder a la información del cliente. 10

11 Formulario de Aprobación y Compromiso del Auditor Nombre de la empresa Sitio Web de la empresa Nombre de la persona que realiza la auditoría Nombre de la empresa Privacy+ solicitante que será auditada Si la auditoría va a ser realizada por un tercero, se debe de tratar de una empresa CPA calificada. La empresa CPA debe contar con experiencia previa en la realización de evaluaciones de acuerdo con la Statement on Standards for Attestation Engagements No. 16, debe estar registrada en PCAOB, con licencia obtenida directamente o a través de la equivalencia NASBA del estado en el que opere el miembro, y contar con la certificación CISA o CISSP. La empresa que va a realizar la auditoría cumple con las normas antes mencionadas? o Sí o No Si no es así, describa por favor cómo es exactamente que la empresa no cumple con los estas normas. Esta empresa de contabilidad o empresa CPA independiente está siendo contratada por la empresa que será auditada? o Sí o No En qué país(es) va a realizar la auditoría de las instalaciones del solicitante? Cuántas instalaciones* del solicitante en total operan en este país? Cuántas del total de instalaciones planea inspeccionar físicamente para la auditoría? Mi empresa y yo hemos revisado los materiales del Manual de Privacy+ y estamos de acuerdo con los procedimientos y requisitos establecidos para la realización de una Auditoría Privacy+. Afirmamos además que la información presentada en este Formulario de aprobación y compromiso del auditor es correcta y exacta. Firma de la persona que realiza la revisión Firma de la empresa CPA que supervisará la auditoría si es diferente *Una instalación se define como un edificio en el que se almacenan los registros en papel o medios informáticos removibles fuera de línea. Los edificios de almacenamiento múltiple dentro de la misma área general que no compartan una pared común con los edificios adyacentes se considerarán instalaciones independientes. Para uso exclusivo de la oficina de PRISM: El auditor es aceptado? de procesamiento Enviar esta página a la oficina de PRISM International PRISM International 8735 W. Higgins Road Suite 300 Chicago, IL United States Tel: Fax: info@prismintl.org 11

12 Formulario de Solicitud Privacy+ Nombre de la empresa Persona de contacto para Privacy+ Dirección Ciudad Código Postal/ZIP Teléfono Correo electrónico Provincia/Estado País Fax Sitio web Es usted actualmente miembro de PRISM International? o Sí o No Va a utilizar los servicios de Kirkpatrick Price para la auditoría Privacy+? o Sí o No En qué país(es) desea tener la certificación Privacy+? Cuántos instalaciones* en total opera su empresa en estos países? Si ha optado por excluir las instalaciones, por favor, explique por qué. Nuestra empresa ha revisado el Manual de Certificación Privacy+ y tiene la intención de solicitar la Certificación Privacy+. Adjunto encontrará nuestro o Contrato de licencia firmado o Formulario de aprobación y compromiso del auditor o Entiendo que PRISM International me facturará por adelantado las cuotas de solicitud, de auditoría (si uso el servicio Kirkpatrick Price), y de derechos de licencia por 2 años. Después de que mi empresa haya pagado las cuotas por adelantado, se podrá proceder con la Auditoría Privacy+. o Entiendo que si el número o el ámbito de la auditoría cambia en el transcurso de la misma, PRISM International se reserva el derecho de ajustar las tarifas asociadas a Privacy+ para que coincidan con el número de instalaciones revisadas o con el ámbito de la auditoría. * Una instalación se define como un edificio en el que se almacenan los registros en papel o medios informáticos removibles fuera de línea. Los edificios de almacenamiento múltiple dentro de la misma área general que no compartan una pared común con los edificios adyacentes se considerarán instalaciones independientes. La instalación debe excluirse si la ubicación no incluye el almacenamiento de registros físicos y/o medios informáticos fuera de línea. Pago (debe acompañar la inscripción) o o o o o Cheque (anexar) Se cobrarán $25 por refacturar un cargo de tarjeta de crédito. Una cuota de procesamiento de 3% se aplicará a todos los pagos con tarjeta de crédito mayores o iguales a $ 5,000. En caso de un error de cálculo, autorizo a PRISM a cargar a mi tarjeta de crédito la cantidad que PRISM estime pertinente. Haga el cheque a nombre de PRISM International. Los cheques que no sean en dólares estadounidenses serán devueltos. Cheque número Se hará un cargo de $25 por cheque devuelto por falta de fondos. Número de cuenta de caducidad Firma Nombre del titular (en letra de imprenta) Enviar esta página a la oficina de PRISM International PRISM International 8735 W. Higgins Road Suite 300 Chicago, IL United States Tel: Fax: info@prismintl.org 12

13 Formulario A de Informe de Auditoría El auditor lo entregará únicamente a la empresa que será auditada (NO ENTREGAR A PRISM INTERNATIONAL) Nombre de la empresa a ser auditada Dirección Nombre del contacto País(es) para el (los) cual (es) se está buscando la Certificación Privacy+ Teléfono Nombre del auditor (en letra de imprenta) Correo electrónico Firma del auditor Nombre de la empresa Indique si la empresa cumple con cada uno de los objetivos de control de Privacy+ que se enumeran a continuación. Áreas Cumple (X) No cumple (X) Comentarios Objetivo de Control 1 Control de Organización y de Gestión Los controles proporcionan una garantía razonable de que la administración supervisa, separa las funciones, y guía el comportamiento de los empleados a través de un programa formal. Objetivo de Control 2 Política de Seguridad de la Información Los controles proporcionan una garantía razonable de que la administración ha implementado un programa de seguridad de la información que rige las prácticas de seguridad Objetivo de Control 3 Evaluación de Riesgos Los controles proporcionan una garantía razonable de que la administración ha implementado una función de evaluación de riesgos para identificar nuevos riesgos o cambios en el entorno que requerirían modificar los controles Objetivo de Control 4 Control de Recursos Humanos Los controles proporcionan una garantía razonable de que los empleados y los contratistas comprenden sus responsabilidades de seguridad y que son aptos para las funciones para las que han sido considerados Objetivo de Control 5 Gestión del Vendedor Los controles proporcionan una garantía razonable de que las terceras personas comprenden sus responsabilidades de seguridad y que son capaces de cumplir con los requisitos de seguridad de la organización. Objetivo de Control 6 Control de Acceso Físico Los controles proporcionan una garantía razonable de que se impide el acceso no autorizado a las zonas seguras de los lugares de almacenamiento tanto administrativos como de información. Objetivo de Control 7 Controles de Ambientales Los controles proporcionan una garantía razonable de que los efectos negativos de los factores ambientales se mitigan eficazmente. Objetivo de Control 8 Controles Lógicos de Acceso Los controles proporcionan una garantía razonable de que los mecanismos lógicos de acceso están en su lugar para restringir adecuadamente el acceso a las aplicaciones, datos, recursos de red y sistemas operativos. Objetivo de Control 9 Seguridad de Red Los controles proporcionan una garantía razonable de que se han implementado las mejores prácticas para restringir el acceso no autorizado a los recursos de la red interna. Objetivo de control 10 Acceso Electrónico a los Clientes Los controles de información proporcionan una seguridad razonable de que se han implementado las mejores prácticas para proteger la información del cliente que se almacena o se transmite a través de medios electrónicos. Enviar esta página a la oficina de PRISM International PRISM International 8735 W. Higgins Road Suite 300 Chicago, IL United States Tel: Fax: info@prismintl.org 13

14 Formulario B de Informe de Auditoria El auditor* lo entrega a la empresa que será auditada y a PRISM International Nombre de la empresa a ser auditada Nombre de la empresa auditora Auditor/Nombre del contacto Dirección Ciudad Provincia/Estado Código Postal/ZIP País Teléfono Correo electrónico Fax Sitio web País(es) para el (los) cual (es) se está buscando la Certificación Privacy+ Núm. total de instalaciones** en el (los) país(es) donde se busca la certificación Núm. real de instalaciones inspeccionadas físicamente por el auditor de acuerdo con la auditoría de Privacy+ Dirección(es) de la(s) instalaciones donde se busca obtener la certificación (adjuntar lista por separado si es necesario). Estado de la Auditoría: : La Empresa cumple, en todas sus instalaciones en el (los) país(es) antes mencionado(s), en todos sus aspectos significativos y sin restricción, todos los objetivos de control efectivos a la fecha de hoy, que se enumeran en el Manual de Certificación Privacy+. : La Empresa no cumple con los objetivos de control efectivos a la fecha de hoy. Certificamos que la empresa arriba mencionada, a partir de las fechas indicadas en el campo, ha sido auditada de acuerdo a las normas SSAE 16 o ISAE Certificamos que la fecha más reciente que aparece más arriba indica los resultados o la situación de nuestra auditoría. Nombre del titular (en letra de imprenta) Firma del auditor Para uso exclusivo de la oficina de PRISM de recepción: de procesamiento: *Los auditores deben cumplir con ciertos requisitos para llevar a cabo auditorías de conformidad con Privacy+. Por favor consulte el Formulario de aprobación y compromiso del auditor de Privacy+. **Una instalación se define como un edificio en el que se almacenan los registros en papel o medios informáticos removibles fuera de línea. Los edificios de almacenamiento múltiple dentro de la misma área general que no compartan una pared común con los edificios adyacentes se considerarán instalaciones independientes. Enviar esta página a la oficina de PRISM International PRISM International 8735 W. Higgins Road Suite 300 Chicago, IL United States Tel: Fax: info@prismintl.org 14

15 Contrato de Licencia Favor de completar la información solicitada en el presente Contrato de licencia. Haga una copia y firme ambas copias. Devuelva ambas copias firmadas a PRISM International. PRISM International formalizará una copia y la otra le será devuelta para que usted la tenga en sus archivos. Empresa Dirección Ciudad Código Postal/ZIP Provincia/Estado País Persona de contacto Teléfono Fax Lista de los sitios de otras instalaciones (Adjuntar otra hoja si es necesario) La empresa anteriormente mencionada solicita a PRISM International (Asociación) una licencia para exhibir el logotipo de Privacy* en conformidad con los términos de este Contrato de licencia. Las obligaciones y acuerdos de PRISM International, según lo establecido en este documento, están condicionados expresamente al cumplimiento continuo de la empresa de conformidad con los términos y condiciones establecidos en el presente Contrato y en el Manual de Certificación de Privacy+. 1. General 1.1 Definiciones: Cuando se utilicen en el presente Contrato, los siguientes términos tendrán el siguiente significado: A. Marca Privacy+: La marca y el logotipo propiedad de PRISM International cuya licencia de uso la tendrán las empresas que hayan finalizado el proceso de certificación y protección de datos. B. Empresa: Empresas de gestión externalizada de registros e información con fines de lucro que soliciten la Certificación de Privacy+. Como ejemplo están los centros de registros comerciales y operaciones de bóveda de resguardo de medios. C. Auditor: Empresa auditora aprobada por PRISM International para que evalúe si la empresa ha cumplido con los requisitos de Privacy+. D. Certificación / Certificado: Certificación por parte de PRISM International, con base en un informe de auditoría, de que la empresa cumple con los requisitos de las normas Privacy+ establecidos en el Manual de Certificación de Privacy+. E. Auditoría: Informe emitido a la empresa por la empresa auditora. F. Comité: El grupo de trabajo de PRISM Privacy+ o su sucesor. G. de vigencia: La fecha a partir de la cual una empresa certificada, o un nuevo solicitante de la Certificación Privacy+, debe cumplir con los requisitos de Privacy+, como fue reconocido por escrito por PRISM International. 1.2 El presente Contrato se regirá por las leyes del Estado de Illinois. 1.3 Cualquier notificación requerida en virtud del presente se considerará entregada si es enviada correctamente por correo electrónico, el servicio de correos de los Estados Unidos y con porte prepagado de primera clase o, en el caso de una empresa extranjera, por el servicio de correos de su país Las facturas emitidas por PRISM International se pagarán dentro de los primeros 30 días. Las facturas que no se resuelvan dentro de los 60 días siguientes a la fecha de facturación, deberán ser revocadas de este Contrato de licencia. El restablecimiento de este Contrato se obtendrá mediante el pago de todos los cargos pendientes, más una cuota de $100 por reincorporación. Si no se obtiene la reincorporación, PRISM International podrá, después de 90 días, informar a la empresa sobre la revocación. 1.5 La Certificación Privacy+ será llevada a cabo conforme a los requisitos establecidos en el Manual de Certificación vigentes en el momento de la auditoría inicial o de cualquiera auditoría posterior. 1.6 Se anima a la empresa certificada a usar la Marca Privacy Las empresas y sus auditores son instruidos expresamente a no presentar resultados detallados de sus auditorías. Ninguna información relacionada con una auditoría o certificación podrá ser divulgada a persona o personas, salvo (a) por la empresa o (b) por PRISM International en respuesta a una citación u otro proceso legal. PRISM International no tiene el deber ni la obligación a resistirse a una citación válida u otro requisito legal. PRISM International, sin embargo, deberá notificar de inmediato a cualquier empresa de cualquier citación judicial dirigida a la empresa. Si la empresa opta por divulgar un informe de auditoría, deberá ser el informe completo, junto con cualquier limitación de responsabilidad del auditor que se incluya. PRISM International deberá acordar por escrito mantener en estricta confidencialidad toda la información confidencial proporcionada por la empresa o en relación con los procedimientos de la misma. No será una violación de la confidencialidad de PRISM International divulgar las auditorías o sus resultados si lo hace en respuesta a una citación u otro proceso legal, o requerido por ley. 1.8 Si la empresa certificada altera o modifica los procedimientos de una empresa certificada en la medida en que es razonable suponer que su certificación se ve afectada, dichas alteraciones o procedimientos modificados deberán ser aprobados por el auditor ya sea por análisis o por auditoría a fin de conservar la certificación. 1.9 La empresa certificada podrá ser cualquier empresa sin importar que sea o no miembro de PRISM International. 2. Privacy+ Licencia de Marca 2.1 Sólo con el propósito de identificar los procedimientos certificados por Privacy+, de acuerdo con los términos de esta Solicitud y Contrato, se le concede a la empresa certificada una licencia no exclusiva, intransferible y revocable ( Licencia ) para exhibir la Marca Privacy+ de PRISM International. 2.2 Sin embargo, la licencia concedida en 2.1 está expresamente condicionada al completo y continuo cumplimiento de todos los términos y condiciones establecidos en este Contrato de licencia, incluyendo los siguientes: A. La empresa certificada sigue cumpliendo con el Manual de Certificación y con los procedimientos establecidos en esta Solicitud y Contrato, y se limita a usar la Marca Privacy+ durante el período de certificación. B. La empresa certificada siempre deberá acompañar la Marca Privacy+ de PRISM International con el símbolo. 2.3 Al aceptar esta licencia, la empresa certificada reconoce por medio del presente que PRISM International posee de manera exclusiva y válida la Marca Privacy+, en todo su derecho, título e interés. La empresa certificada renuncia expresamente a cualquier derecho que pudiera tener o haya tenido a disputar dicha propiedad y se compromete a no impugnar o perjudicar de manera alguna los derechos, títulos e intereses de PRISM International. La empresa certificada reconoce y acepta que: (i) no utilizará la Marca Privacy+ de manera que pudiera disminuir el valor comercial de la Marca Privacy+, (ii) no utilizará, a sabiendas, Enviar esta página a la oficina de PRISM International PRISM International 8735 W. Higgins Road Suite 300 Chicago, IL United States Tel: Fax: info@prismintl.org 15