ACUERDO DE TRANSMISIÓN DE DATOS
(en lo sucesivo denominado "ATD")
EL PRESENTE ACUERDO se celebra entre:
Por una Parte, PayU descrita conforme se
describe en los Términos y Condiciones
Generales de Uso para Comercios PayU (en
adelante "TCG" o "Contrato Principal"),
actuando individualmente o en nombre y
representación de cada una de los Proveedores
de Pago PayU; y por la otra Parte, el Comercio,
descrito en los TCG o Contrato Principal.
Este ATD establece los detalles del Tratamiento
de Información Personal por parte de los
Proveedores de Pago PayU cuando prestan
Servicios de pago al Comercio en las
jurisdicciones pertinentes según lo acordado
por las Partes en los TCG.
Este ATD constituye una parte integral de los
TCG. Al firmar los TCG o al utilizar los Servicios,
el Comercio acuerda lo siguiente:
Los Términos y Condiciones Generales de Uso
para Comercios PayU, en lo sucesivo también se
denominarán el Contrato Principal. Las partes
de este ATD se denominarán conjuntamente las
"Partes".
CONSIDERANDO:
a) Que las Partes han suscrito un Contrato
de Términos y Condiciones de Uso para
Comercios PayU (TCG), que implica el
Tratamiento de Datos Personales de los
Titulares en el contexto de los Servicios
prestados en dicho Contrato, bajo el
modelo de integración API, en el cual el
Comercio actúa en calidad de
Responsable de la Información
Personal y PayU actúa como Encargado
de la misma.
b) Los Afiliados de PayU prestan los
Servicios en varias jurisdicciones de
acuerdo con la Ley de Protección de
Datos Aplicable.
c) Las Partes han acordado celebrar un
Acuerdo de Transmisión de Datos que
regirá el Tratamiento de la Información
Personal de los Titulares de Datos de
acuerdo con la Ley de Protección de
Datos Aplicable en el contexto de los
Servicios prestados de conformidad
con los TCG.
d) La validez del ATD está sujeta a la
suscripción y firma de los TCG.
1. DISPOSICIONES GENERALES
1.1. Este Acuerdo de Transmisión de Datos (el
"ATD") establece las bases para el
Tratamiento de Información Personal por
parte de los Afiliados de PayU (los
"Proveedores de Pago PayU") y
constituye parte integral del Contrato
Principal.
1.2. En cada caso, a no ser que se indique
expresamente lo contrario, cada Afiliado
de PayU está obligado al cumplimiento de
este ATD. Para este efecto:
a) "PayU" significa a PayU actuando en
nombre de cada Proveedor de Pagos
 PayU relevante para el Servicio;
b) "Parte" o "Partes" se refiere al
respectivo proveedor de Pagos PayU
o al respectivo Comercio.
1.3. Este documento hace parte integral del
Contrato Principal y representa un acuerdo
separado entre cada Comercio y cada
Proveedor de Pagos PayU como si se
hubiera suscrito y firmado un ATD separado
entre el Comercio y cada Proveedor de
Pagos PayU.
1.4. Las obligaciones de cada Proveedor de
Pagos PayU en virtud de este ATD no serán
solidarias con respecto a las obligaciones
de cualquier otro Proveedor de Pagos PayU
y ningún Proveedor de Pagos PayU será
responsable ante el Comercio por las
acciones de otro Proveedor de Pagos PayU.
1.5. Cada Proveedor de Pagos PayU podrá
subcontratar o delegar el cumplimiento de
sus obligaciones en virtud de este ATD a
terceros, incluyendo a cualquiera de sus
Afiliados, sujeto a cualquier restricción
adicional señalada en el presente ATD; sin
embargo, el Proveedor de Pagos PayU que
delega seguirá siendo responsable del
cumplimiento de tales obligaciones.
1.6. En caso de conflicto entre el ATD y el
Contrato Principal, prevalecerá este ATD
con respecto al Tratamiento de Datos
Personales y para los demás asuntos
prevalecerá el Contrato Principal.
1.7. El ATD constituye el acuerdo completo
entre las Partes con respecto al
Tratamiento de la Información Personal y
sustituye cualquier acuerdo anterior, sea
expreso o implícito.
1.8. Cualquier término no definido de otra
forma en este ATD tendrá el significado que
se le da en el Contrato Principal.
1.9. Los términos utilizados en este ATD que
tienen significados asignados en las Leyes
de Protección de Datos Aplicables
incluyendo "titular de los datos",
"tratamiento", “transmisión”, "datos
personales", "responsable del tratamiento"
y "encargado del tratamiento", los cuales
tendrán los significados establecidos en
dichas leyes en la medida en que no se
encuentren definidos en este ATD.
2. TÉRMINOS DEFINIDOS
Para efecto del presente ATD:
2.1 Afiliado significa, en relación
con una Parte, cualquier entidad del
mismo grupo de dicha Parte, incluyendo,
pero sin limitarse a ello, una subsidiaria o
holding de esa Parte, así como cualquier
filial directa o indirecta de dicha holding.
También mencionados en el presente
documento como “Proveedores de Pago
PayU".
2.2 Ley de Protección de Datos
Aplicable se entenderá como:
(i) las leyes nacionales de protección de
datos y privacidad de la información
aplicables en el país de constitución de la
correspondiente entidad contratante de
PayU; (ii) en la medida en que se apliquen
a este ATD, las leyes de protección de
datos y privacidad de la información de
otras jurisdicciones que hayan sido
acordadas entre las Partes por escrito en
el Contrato Principal.
2.3 Responsable de los datos o
Responsable, se entenderá como se
refiere a la persona natural o jurídica,
autoridad, agencia u otro organismo que,
solo o conjuntamente con otros,
determina los fines ("por qué") y los
medios ("cómo") del tratamiento de la
Información Personal.
2.4 Violación de seguridad de los datos
se entiende como una violación de la
seguridad que provoque la destrucción
accidental o ilegal, pérdida, alteración,
divulgación no autorizada, o el acceso a la
información personal transmitida,
almacenada o tratada.
2.5 Titular de los datos o Titular, se
entenderá una persona física viva e
identificable, que pueda ser identificada,
directa o indirectamente, mediante un
dato identificador como un nombre, un
número de identificación, información de
localización, un identificador en línea o
uno o varios factores específicos de la
identidad física, fisiológica, genética,
psíquica, económica, cultural o social de
dicha persona natural o conforme se
indique de otro modo en virtud de la
legislación aplicable en materia de
protección de datos.
2.6 Contrato Principal se refiere a los
Términos y Condiciones Generales de Uso
para Comercios PayU (en adelante, "TCG")
a los que se anexa este ATD.
2.7 Información Personal se entiende
como cualquier información que
identifique a una persona natural o que se
refiera a una persona natural identificable
o que se encuentre definida de otro modo
en virtud de la Ley de Protección de Datos
Aplicable. Dependiendo de la jurisdicción,
la información personal podrá incluir
también información que identifique a
una persona jurídica, todo lo cual se podrá
igualmente definir como los ‘Datos’ y/o
‘Datos Personales’.
2.8 Tratamiento significa la
recopilación, registro, organización,
alteración, uso, acceso, divulgación, copia,
transmisión, transferencia, supresión,
almacenamiento, combinación, destrucción,
eliminación u otro uso de la Información
Personal conforme a las Leyes Aplicables.
2.9 Transmisión significa Tratamiento de
datos personales que implica la
comunicación de los mismos dentro o fuera
del territorio, cuando tenga por objeto la
realización de un Tratamiento por el
Encargado por cuenta del Responsable.
2.9 Encargado se refiere a una persona
natural o jurídica, autoridad, agencia u
otro organismo que procesa la
Información Personal en nombre del
Responsable sin estar bajo la autoridad
directa de este último.
2.10 Servicios significa la oferta específica
prestada por los Proveedores de Pago
PayU en el ámbito del Contrato Principal
correspondiente.
3. OBLIGACIONES DE LAS PARTES EN EL
TRATAMIENTO DE LA INFORMACIÓN
PERSONAL:
3.1. Cada una de las Partes se compromete a
cumplir con las obligaciones que le
correspondan en virtud de la Ley de
Protección de Datos Aplicable.
3.2. El Comercio deberá cumplir la Ley de
Protección de Datos Aplicable, así como
sus obligaciones contractuales para con
los Titulares, para el suministro de
Información Personal a los Proveedores de
Pago PayU y para el Tratamiento de
Información Personal en el uso de los
Servicios. Dependiendo de los Servicios
ofrecidos por el Proveedor de Pagos PayU
en la jurisdicción correspondiente,
podrían ser aplicables requisitos
adicionales de protección de datos y
privacidad de acuerdo con las Leyes
Aplicables.
3.3. Las Partes cumplirán las normas de
seguridad de datos vigentes y aplicables
en la industria de tarjetas de crédito de los
respectivos sistemas de pago.
3.4. PayU es una compañía con una huella
global. La información personal puede ser
procesada por el respectivo Proveedor de
Pagos PayU, ya sea localmente en el país
donde el Comercio presta sus Servicios y/o
 en otro país donde opera el Proveedor de
Pagos PayU o los terceros proveedores de
servicios aprobados por el Proveedor de
Pagos PayU, en la medida en que se
considere necesario y según lo permitido
de conformidad con la Ley Aplicable. A tal
efecto, PayU y sus Afiliados han suscrito un
acuerdo de transferencia intraempresarial
que garantiza la aplicación del mismo nivel
de protección de datos que en el país
donde se procesa inicialmente la
Información Personal.
3.5. El Comercio reconoce que, en algunos
casos, dependiendo de los Servicios
específicos, los Proveedores de Pago PayU
se verán en la necesidad de contactar a los
Titulares de los Datos para proporcionar
información y buscar consentimientos
según sea necesario para permitir a los
Proveedores de Pago PayU usar y revelar
Información Personal de acuerdo con la Ley
de Protección de Datos Aplicable. En
consonancia con dicha Ley, el Comercio
tomará las medidas que los Proveedores de
Pago PayU soliciten razonablemente para
facilitar tales comunicaciones, incluyendo
la disponibilidad de espacio en sus
interfaces web o móviles y/o el suministro
de los datos de contacto del Titular.
3.6. El Comercio proporcionará dicha
información, ofrecerá las opciones a los
Titulares de los Datos, y obtendrá de ellos
los consentimientos que se requieran para
permitir a los Proveedores de Pago PayU
utilizar y revelar la Información Personal
de la forma en que se establece en este
ATD, de conformidad con la Ley de
Protección de Datos Aplicable. El
Comercio deberá (i) hacer esfuerzos
razonables para facilitar las opciones de
los Titulares de Datos para que permitan
dicho uso y divulgación; y (ii) notificar a la
mayor brevedad al respectivo Proveedor
de Pagos PayU sobre cualquier
consentimiento requerido que haya sido
negado o se niegue posteriormente y el
ejercicio de cualquier opción de retiro del
consentimiento por parte de los Titulares
de los Datos.
3.7 Las Partes cumplirán en todo momento
con la Ley de Protección de Datos
Aplicable y, en la medida de lo razonable,
no tomarán, ni permitirán que se tome,
ninguna acción que pueda llevar a un
incumplimiento de la Ley de Protección de
Datos Aplicable por la otra Parte. Además,
a petición de una de las Partes, la Parte
correspondiente proporcionará a la Parte
solicitante, tan pronto como sea posible y
en la forma y el formato que ésta solicite,
toda la información necesaria para que la
Parte solicitante cumpla con la Ley de
Protección de Datos Aplicable;
3.8 Las Partes dispondrán en todo momento
de las medidas de seguridad técnicas y
organizacionales adecuadas para que los
Datos Personales estén protegidos contra
el tratamiento no autorizado o ilícito y
contra su pérdida, destrucción o daño
accidental.
4. PAYU COMO ENCARGADO
4.1 En la medida en que PayU actúe como
Encargado, se compromete a tratar la
Información Personal conforme a las
siguientes instrucciones proporcionadas
por el Comercio en virtud de este ATD:
a. El Comercio confía a PayU el
Tratamiento de la Información
Personal que ha sido puesta a
disposición de PayU con el fin de
cumplir con sus obligaciones respecto
de la Ley de Protección de Datos
Aplicable y para efectos de la correcta
implementación y prestación de los
Servicios conforme a lo establecido en
 el Contrato Principal y la Política de
Privacidad de PayU.
4.2 A continuación se detallan las
principales categorías de titulares de
datos y los tipos de Información
Personal que podrían encontrarse
en el alcance de aplicación en
función del Servicio específico y el
país donde se presta, dentro de los
Categorías de titulares:
Alcance de la Información Personal:
cuales se encuentran los siguientes,
además de aquellos que se
especifiquen en la Política de
Privacidad de PayU o en el Contrato
Principal:
Empleados
Comercios
Clientes
Compradores
pagadores
Distribuidores
Usuarios finales / Consumidores
Nombres y apellidos
Información de contacto de negocios
Número de identificación personal
Número de registro
Correo electrónico
Dirección IP
Números telefónicos
Serie y número del documento de identificación
Dirección incluyendo nombre y número de la
calle, ciudad, código postal
Fecha de nacimiento
Número de identificación tributaria
Número de cuenta bancaria
Número de tarjeta de crédito
 4.3. PayU y cualquier persona que actúe bajo
la autoridad del Encargado tratará la
Información Personal únicamente de acuerdo
con las instrucciones documentadas del
Comercio en la medida en que la prestación
de los Servicios relacionados con las
actividades de tratamiento lo requiera, a
menos que la Ley de Protección de Datos
Aplicable expresamente disponga algo
distinto.
5. OBLIGACIONES DEL COMERCIO
5.1 El Comercio confirma que las actividades
de tratamiento relacionadas con
Información Personal, tal y como se
especifican en el Contrato Principal y en este
ATD, son lícitas, equitativas y transparentes
en relación con el Titular de los Datos. En
particular, el Comercio se compromete a:
a) Cumplir con sus obligaciones
como Responsable de la
Información Personal de
conformidad con la Ley de
Protección de Datos Aplicable
6. TRANSMISION INTERNACIONAL DE DATOS
b) Cumplir con sus obligaciones
para con el Titular de los Datos,
incluyendo, pero sin limitarse a
la obtención del
consentimiento del Titular de
los Datos para los usos
establecidos en el Contrato
Principal y el presente ATD;
c) Implementar oportunamente
las medidas para proporcionar
a los Titulares de los Datos la
información necesaria para
facilitar el ejercicio de sus
derechos y responder sus
solicitudes conforme a lo
dispuesto en la Ley de
Protección de Datos Aplicable;
d) Implementar las medidas de
seguridad y organizacionales
necesarias para proteger la
Información Personal frente a
pérdidas, abusos y accesos,
usos, consultas o
modificaciones ilícitas,
fraudulentas o no autorizadas
de cualquier tercero, conforme
a la Ley de Protección de Datos
Aplicable.
e) Cumplir las obligaciones
derivadas del Tratamiento de los
Datos Personales de acuerdo
con su rol de Responsable y las
obligaciones derivadas del
Contrato Principal;
5.2 Por el presente, el Comercio confirma que
las instrucciones para el Tratamiento de Datos
Personales cumplen con la Ley de Protección
de Datos Aplicable y que las medidas técnicas
y organizacionales del Encargado son
adecuadas y suficientes para proteger los
derechos del Titular.
6.1 El Comercio autoriza a PayU a transmitir
Datos Personales a un país que de
acuerdo con la Ley Aplicable al momento
de la firma, y durante la vigencia, de los
TCG se encuentra en la lista de países que
ofrecen nivel adecuado de protección. En
cualquier otro escenario, si la Ley
Aplicable considera que el país
destinatario no ofrece un nivel de
protección adecuado, PayU garantizará:
a) Que dichas transmisiones se
ejecutarán de acuerdo con un
mecanismo de transmisión de datos
personales reconocido por la Ley
Aplicable
b) Que PayU será responsable de las
actividades de tratamiento de
Información Personal realizadas por los
 terceros que actúen por cuenta de PayU
y garantizará que éstos proporcionen un
nivel adecuado de protección según la
Ley de Protección de Datos Aplicable, o
c) PayU cumplirá cualquier otra
disposición válida en virtud de la Ley de
Protección de Datos Aplicable.
6.2 Para las transferencias de información
personal a otros países, se aplicarán las
normas pertinentes de la Ley de
Protección de Datos Aplicable y, cuando
sea necesario, las partes convienen en
celebrar acuerdos por separado para
estos efectos.
7. CONFIDENCIALIDAD
7.1 PayU garantiza que las personas
autorizadas por PayU para procesar la
Información Personal están adecuadamente
informadas, entrenadas e instruidas y se han
comprometido por escrito a la
confidencialidad o se encuentran sujetos a
una obligación legal apropiada de
confidencialidad.
8. SEGURIDAD
8.1 PayU se compromete, con anterioridad al
tratamiento de los Datos Personales, a
implementar las medidas técnicas y
organizacionales adecuadas, de forma que el
Tratamiento cumpla con los requisitos de la
Ley de Protección de Datos Aplicable y
garantice la protección de los derechos del
Titular. En particular y además del Anexo B
(Seguridad de los Datos):
a) PayU implementa las medidas de
precaución necesarias para
proteger la información personal
contra la pérdida, el abuso y el
acceso, uso, consulta o tratamiento,
modificación ilegal, fraudulenta o
no autorizada de cualquier tercero,
de acuerdo con la Ley de
Protección de Datos Aplicable;
b) PayU tomará todas las medidas que
garanticen la seguridad de la
Información Personal, tal como se
describe en la presente cláusula;
c) PayU implementará las medidas
técnicas y organizacionales
apropiadas para garantizar un nivel
de seguridad adecuado al riesgo,
teniendo en cuenta los últimos
desarrollos, los costos de aplicación y
la naturaleza, el alcance, el contexto
y los fines del tratamiento, así como
diversos niveles de riesgo,
probabilidad y gravedad que afecten
los derechos y libertades de las
personas físicas, incluyendo entre
otros y según proceda:
i). la seudonimización y el cifrado
de los datos personales;
ii). la capacidad de garantizar la
confidencialidad, integridad,
disponibilidad y resiliencia
permanentes de los sistemas y
servicios de tratamiento;
iii). la capacidad de restablecer la
disponibilidad y el acceso a la
Información Personal de
manera oportuna en caso de
un incidente físico o técnico;
iv). un proceso para probar,
valorar y evaluar
periódicamente la eficacia de
las medidas técnicas y
organizacionales para
garantizar la seguridad del
tratamiento; y/o
v). al evaluar el nivel adecuado de
seguridad, se tendrán en
cuenta, en particular, los
riesgos que representa el
e.g., la
destrucción accidental o ilícita,
la pérdida, alteración,
divulgación no autorizada o el
acceso a la Información
 Personal transmitida,
almacenada o tratada de otro
modo.
9. DERECHOS DE LOS TITULARES
9.1 PayU responderá a las solicitudes de los
Titulares de los Datos en caso de que así esté
previsto en la Ley de Protección de Datos
Aplicable; en caso contrario PayU se
compromete a adoptar las medidas
razonables para ayudar al Comercio a
cumplir con su obligación de responder a las
solicitudes de los Titulares de los Datos en
relación con el ejercicio de sus derechos en
virtud de la correspondiente Ley de
Protección de Datos Aplicable, en la medida
en que ello sea posible, teniendo en cuenta
la naturaleza del tratamiento y la
información de que dispone PayU. En
cualquier caso, el Comercio tratará primero
de obtener la información necesaria para
responder a la solicitud del Titular de los
Datos y contactará a PayU en caso de no
poder obtener razonablemente dicha
información por sí mismo.
9.2 En caso de que el Comercio tenga una
relación directa con el Titular de los datos,
PayU no responderá a ninguna solicitud que
provenga directamente de dicho Titular
salvo que tenga el deber legal de hacerlo
conforme a las Leyes de Protección de Datos
aplicables. En caso de que el Titular de los
datos realice una solicitud a PayU sobre
datos personales procesados por el
Comercio, PayU remitirá al Comercio dicha
solicitud, oportunamente y por escrito, con
los detalles de la consulta y el Comercio
tendrá la responsabilidad de definir en
conjunto con PayU la respuesta que se dará
al Titular o darle directamente una
respuesta según sea requerido por la Ley de
Protección de Datos Aplicable.
10. VIOLACIÓN DE SEGURIDAD DE LOS DATOS
10.1 PayU deberá notificar al Comercio sin
demora indebida y al menos dentro de las 72
horas siguientes a que PayU tenga
conocimiento de una Violación de Seguridad de
los Datos en PayU o en las instalaciones de sus
subencargados, que resulte en un riesgo para
los derechos y libertades de los Titulares. En
caso de una Violación de Seguridad de los
Datos, PayU hará esfuerzos razonables para
cooperar y asistir al Comercio en la
investigación y mitigación, cuando sea posible,
de los efectos adversos de dicha Violación de
Seguridad.
10.2 PayU se compromete a proporcionar al
Comercio la información suficiente para
permitirle cumplir con cualquier obligación de
informar a los Titulares de Datos de la Violación
de la Seguridad de Datos bajo la Ley de
Protección de Datos Aplicable.
10.3 En el caso de una violación de seguridad de
los datos, PayU adoptará sin demora las
medidas correctivas adecuadas. PayU
colaborará plenamente con el Comercio en el
desarrollo y ejecución de un plan de respuesta
para hacer frente a la violación de seguridad de
los datos. PayU informará sobre la violación en
la seguridad de los datos a los
correspondientes Titulares de Datos
involucrados en caso de ser necesario
conforme a las Leyes de Protección de Datos
aplicables.
10.4 PayU reportará a la autoridad competente
para asuntos de privacidad de datos, cualquier
Violación de Seguridad de Datos en caso de que
sea necesario de conformidad con la Ley de
Protección de Datos Aplicable.
10.5 PayU se reserva el derecho de realizar
evaluaciones de riesgo para asegurar el
cumplimiento normativo e identificar los
controles adecuados para mitigar los riesgos de
seguridad u otros incidentes y sus efectos.
 11. ASISTENCIA AL RESPONSABLE
11.1 PayU prestará una asistencia razonable
al Comercio en las evaluaciones de impacto
sobre la protección de datos, así como en las
consultas previas a las autoridades de
supervisión u otras autoridades competentes
en materia de privacidad de datos, que el
Comercio considere razonablemente
necesarias en virtud de la Ley de Protección de
Datos Aplicable, en cada caso esta asistencia se
prestará únicamente en relación con el
Tratamiento de la Información Personal y
teniendo en cuenta la naturaleza del
tratamiento y la información de que dispone
PayU
11.2 Además, PayU tomará las medidas
razonables para poner a disposición del
Comercio toda la información razonablemente
necesaria para demostrar el cumplimiento de
las obligaciones establecidas en este ATD.
12. AUDITORÍAS
12.1 PayU notificará al Comercio a la mayor
brevedad respecto de cualquier solicitud
legalmente vinculante de divulgación de
Información Personal por parte de una
13 SUPRESIÓN O DEVOLUCIÓN
autoridad competente, a menos que
exista alguna restricción en este sentido,
tal como una prohibición bajo la ley penal
o cualquier otra, para preservar la
confidencialidad de una investigación;
12.2 Previa solicitud por escrito del Comercio,
PayU pondrá a disposición del Comercio
toda la información razonablemente
necesaria para demostrar el
cumplimiento de las obligaciones
establecidas en este ATD y permitirá y
colaborará con las auditorías, incluyendo
las inspecciones en las instalaciones de
PayU como Encargado, realizadas por el
Comercio o por otro auditor designado
por el Comercio. PayU deberá ser
notificado al menos 30 días antes de
cualquier inspección o auditoría prevista.
Dichas auditorías se llevarán a cabo
durante el horario normal de trabajo y de
una manera que no interfiera con las
actividades comerciales normales de
PayU, que incluye el tratamiento de
información personal por PayU para sí
mismo o en nombre de cualquier otro
cliente de PayU.
12.3 Cualquier auditoría o inspección
descrita anteriormente podrá referirse al
Tratamiento de la Información Personal
proporcionada bajo este ATD. PayU podrá
negarse a revelar la información
confidencial cuando deba ser protegida
por PayU de acuerdo con las obligaciones
legales aplicables
12.4 PayU podrá solicitar al Comercio
el reembolso de los gastos razonables y
documentados incurridos en relación con
auditorías y/o inspecciones realizadas más
de una vez al año, a no ser que la auditoría
haya sido iniciada por una autoridad de
supervisión pertinente o si está
relacionada con una Violación de
Seguridad de los Datos.
13.1 A la terminación de este ATD o del
Contrato Principal, PayU eliminará o
devolverá, a elección del Comercio,
toda la Información Personal al
Comercio y eliminará o devolverá
todas las copias existentes en un
plazo de 30 días, a menos que la Ley
de Protección de Datos Aplicable
requiera la retención de la
Información Personal por parte de
PayU, en cuyo caso, PayU o el
Proveedor de PayU aplicable (según
sea el caso) la preservará por el
tiempo requerido bajo la Ley
Aplicable.

14 SUBTRATAMIENTO
14.1 PayU garantiza que ha
contratado subencargados conforme a la
Ley Aplicable que al momento de la firma
de los TCG se encuentran en la lista de
países que ofrecen nivel adecuado de
protección.
14.2 En cualquier otro
escenario, PayU se asegurará de que:
a. Cada subencargado esté
contractualmente obligado a cumplir
sustancialmente las mismas disposiciones
con respecto al Tratamiento al que PayU
está obligado en virtud de este ATD;
b. PayU seguirá siendo plenamente
responsable de todas las obligaciones
subcontratadas y de todos los actos y
omisiones del subencargado.
14.3 PayU notificará al Comercio por
correo electrónico respecto de la
contratación de cualquier nuevo
subencargado, en caso de que dicha
notificación sea requerida por la Ley
Aplicable. Si el Comercio tiene una
objeción razonable a cualquier nuevo
subencargado, deberá notificar a PayU de
dicha objeción por escrito. Dentro de los
treinta (30) días siguientes a la recepción
de dicha notificación por PayU, las Partes
tratarán de resolver el asunto de buena fe.
Si PayU efectivamente requiere el uso del
subencargado y no puede satisfacer al
Comercio en cuanto a: (i) la idoneidad del
subencargado de acuerdo con los
requisitos establecidos por la autoridad
competente en materia de privacidad de
datos con relación a los servicios o la
ubicación del subencargado, o (ii) la
documentación y las protecciones
existentes entre PayU y el subencargado
dentro del término de sesenta (60) días a
partir de la fecha de la objeción por escrito
del Comercio, las Partes podrán dar por
terminados los Servicios del Contrato
Principal que requieren el uso del
subencargado relevante.
14.4 No obstante lo anterior, el Comercio
autoriza a PayU a utilizar los
subencargados señalados en el Anexo A de
este ATD, los cuales pueden ser
modificados de tiempo en tiempo de
acuerdo con los requerimientos del
Servicio.
15 RESPONSABILIDAD
15.1 La responsabilidad de PayU por
cualquier incumplimiento de este ATD
estará sujeta a las disposiciones de
limitación de responsabilidad incluidas en el
Contrato Principal.
16 LEY APLICABLE
16.1 Este ATD y cualquier obligación no
contractual que surja en conexión con el
mismo, se rige por la Ley aplicable
establecida en el Contrato Principal.
16.2 Los tribunales establecidos en el
Contrato Principal tendrán jurisdicción
exclusiva para resolver cualquier disputa que
surja de o en conexión con este Acuerdo
incluyendo una disputa relacionada con la
existencia, validez o terminación de este
Acuerdo o las consecuencias de su nulidad, o
cualquier obligación no contractual que surja
de o en conexión con este Acuerdo.
 17 MODIFICACIÓN DE ESTE ACUERDO

El presente ATD sólo podrá ser modificado

mediante una enmienda escrita firmada por
cada una de las Partes.

18 PLAZO Y TERMINACIÓN

18.1 Las Partes acuerdan que el presente

ATD se extingue con la terminación del
Contrato Principal. Este ATD entrará en vigor
a partir de la fecha de la firma de ambas Partes
(Fecha de Entrada en vigencia), seguirá vigente
durante la vigencia del Contrato Principal, y
podrá ser terminado por cualquiera de las
Partes mediante aviso a la otra, de
conformidad con lo dispuesto en el Contrato
Principal.

19 INVALIDEZ Y DIVISIBILIDAD

19.1 Si un tribunal u organismo administrativo

de una jurisdicción competente considera
que alguna disposición de este ATD es
inválida o inaplicable, la invalidez o
inaplicabilidad de dicha disposición no
afectará a ninguna otra disposición de este
ATD y todas las disposiciones no afectadas
por dicha invalidez o inaplicabilidad
permanecerán en pleno vigor y efecto.
ANEXO A
SUBENCARGADOS - TERCEROS AUTORIZADOS

Ubicación del
tratamiento de
Nombre del Dirección del información
subencargado subencargado Actividades de tratamiento personal

Operador de
PayU Latam utiliza a Rackspace infraestructura para
como proveedor de centro de el tratamiento de
Rackspace Technology.
Rackspace datos. bases de datos de
1 Fanatical Pl, Windcrest
International Aloja todos los dispositivos de pagos en servidores
San Antonio, TX 78218
GmbH infraestructura, redes y físicos. Sistema
almacenamiento. operativo y datos
gestionados por
PayU

Operador de
AWS es un proveedor de infraestructura para
computación en la nube. el tratamiento de
PayU Latam tiene cuentas de bases de datos de
Amazon 400 9th Ave N, Seattle, Amazon Web Services (AWS) para pagos en servidores
WA 98109 actividades transaccionales y no físicos. Sistema
transaccionales. operativo y datos
gestionados por
PayU
Plataforma en la nube de gestión
Domicilio registrado en de riesgos. Monitorea todas las
1875 S. Grant St. #950, solicitudes de pago en tiempo Ubicación del
Feedzai, Inc.,
San Mateo, CA 94402, real. Previene situaciones de tratamiento en la
USA. fraude complejas con precisión y UE (uso de centros
adaptabilidad. de datos en Irlanda)
Herramienta de Gestión de
Village 9, Floor 26 Relacionamiento con Clientes
Salesforce Tower, 110 (C.R.M.) en la nube, utilizada por Tratamiento en el
Salesforce
Bishopsgate, London, PayU Latam para procesar Reino Unido
UK, EC2N 4AY. solicitudes del Comercio y
requisitos de los pagadores.
Herramienta principal de
notificación a comercios o
entidades pagadoras. Fortalece las
Aldeamo - EE.UU.
soluciones de notificación y
comunicación con usuarios de
PayU Latam.
 Herramienta de respaldo de PayU
Latam para notificaciones a
comercios o entidades pagadoras.
Sistema de entrega de correo
Mandrill Atlanta, Georgia, Estados electrónico con integración de
EE.UU.
Mailchimp Unidos reposo de HTTP para
notificaciones en tiempo real.
Proveedor de email transaccional
que utiliza PayU Latam como
respaldo de Sparkpost.
450 Concar Drive Servicio de almacenamiento de
San Mateo, CA 94402, PayU Global. Snowflake es un El tratamiento
USA, utilizando sistema de almacenamiento de se realiza en
Snowflake, Inc
servidores de AWS datos basado en la computación servidores AWS
ubicados en Alemania en nube. ubicados en la U.E

Herramienta principal de
visualización de datos de PayU
Global. Tableau Software es una
1621 N 34th St. Seattle,
Tableau empresa de software de
WA EE.UU
visualización de datos interactivos
centrada en la inteligencia de
negocios
Herramienta de PayU Global para
Akamai cuenta con
servicios de protección y
múltiples
145 Broadway almacenamiento en la nube.
ubicaciones, tiene
Akamai Cambridge, Akamai es una empresa que
presencia en todos
Technologics, inc. Massachusetts (MA) proporciona una plataforma
los países donde
02142 informática distribuida para la
opera PayU; es una
entrega global de contenidos y
de sus ventajas
aplicaciones en Internet.
Proveedor de email transaccional
que utiliza PayU Latam. SparkPost
Utilizan la nube de
9160 Guilford Road en es un servicio de envío de correo
Sparkpost, Inc Amazon en los
Columbia, Md electrónico. Herramienta principal
EE.UU.
de notificación a comercios o
entidades pagadoras.
 ANEXO B - SEGURIDAD DE LOS DATOS
1. Medidas de seguridad de la
organización.
1.1 Punto de contacto. PayU cuenta con un
representante para actuar como punto de
contacto para el Comercio con respecto a la
Seguridad de los Datos Personales. El
representante será responsable de
garantizar el cumplimiento de PayU con
este anexo de Seguridad de Datos.
1.2 Programa de seguridad. PayU ha
desarrollado e implementado, y actualizará
y mantendrá consistentemente según se
requiera, un programa escrito y detallado
de seguridad de la información de
conformidad con las leyes, reglas, normas y
estándares aplicables de la industria, así
como políticas y procedimientos razonables
diseñados para detectar, prevenir y mitigar
el riesgo de violaciones de seguridad de
datos o robo de identidad (el "Programa de
Seguridad"). Específicamente, dicho
Programa de Seguridad incluirá, como
mínimo los elementos que se indican a
continuación:
(a) un programa de prevención de
pérdida de datos, con políticas y/o
controles tecnológicos apropiados
diseñados para prevenir la pérdida
de Información Personal;
(b) un plan de recuperación de
desastres / continuidad del negocio
que incluya el acceso,
mantenimiento y almacenamiento
continuo de la Información
Personal, así como las necesidades
de seguridad de los sitios de
respaldo y las redes de
comunicación alternativas;
(c) la transmisión y almacenamiento
seguro de la Información Personal;
(d) la seguridad e integridad del
personal, incluyendo la
comprobación de antecedentes
cuando sea compatible con las Leyes
de Protección de Datos y otras Leyes
Aplicables;
(e) capacitación anual a los empleados
involucrados en el tratamiento de
Información Personal sobre la forma
de cumplir con las salvaguardias de
seguridad de la información física,
técnica y administrativa de PayU y las
obligaciones de confidencialidad en
virtud de las leyes, normas,
reglamentos y directrices aplicables;
(f) mecanismos de autenticación y
control de acceso a la Información
Personal, medios, aplicaciones,
sistemas operativos y equipos; y
(g) procedimientos de retención y
destrucción de datos de acuerdo con
la legislación aplicable.
1.3 Capacitación PayU proporcionará la
capacitación adecuada a su personal
para asegurar que su tratamiento de la
Información Personal sea conforme con
los TCG, incluyendo este ATD. Dicha
formación deberá ser coherente con las
mejores prácticas de la industria.
1.4 Acceso. PayU limitará la divulgación y el
acceso a la información personal
únicamente a aquellas personas que
requieran acceder a dicha información
personal para brindar los servicios al
Comercio y/o para cumplir con el objeto
del Contrato. PayU establecerá,
mantendrá y hará cumplir los principios
 de seguridad de "segregación de
funciones" y "acceso bajo el principio de
mínimo privilegio" con respecto a toda
la Información Personal. PayU
actualizará razonablemente todos los
derechos de acceso con base en
cambios de personal o del sistema
informático, y revisará periódicamente
todos los derechos de acceso con una
frecuencia adecuada para garantizar
que los derechos de acceso actuales a la
información personal sean apropiados y
no mayores de lo que se requiere para
que un individuo lleve a cabo las
funciones necesarias para prestar los
servicios al Comercio y/o para cumplir
con el objeto del Contrato. PayU
verificará todos los derechos de acceso
mediante métodos eficaces de
autenticación.
2. Medidas de seguridad física y
técnica.
2.1 Segregación de datos. PayU no
fusionará o combinará la Información
Personal con ningún otro conjunto de
datos. PayU mantendrá la
Información Personal en carpetas o
sistemas de acceso lógico segregado
por Comercio durante todo el tiempo
de tratamiento de dichos datos.
2.2 Configuración de la red, control de
acceso y limitación de acceso
remoto. PayU asegurará sus redes
de equipos informáticos usando y
manteniendo la tecnología apropiada
de cortafuegos y de detección de
seguridad que está diseñada para
prevenir el acceso no autorizado.
PayU garantiza que se encuentran
debidamente instalados los
siguientes controles de seguridad de
la red:
(a) las plataformas de cortafuegos
están reforzadas y cuentan con
capacidades de registro y alerta en
tiempo real, (b) los sistemas de
detección y prevención de intrusos
están en su lugar y se mantienen en
el perímetro y en los sistemas de
servidores críticos, (c) las listas de
acceso se implementan en los routers
de la red para restringir el acceso a las
redes o servidores internos sensibles,
(d) el acceso remoto requiere
autenticación de dos factores y se
produce a través de un túnel cifrado,
como IPSec, SSL-VPN, y (e) los
sistemas que dan servicio al
Comercio están lógica y físicamente
segregados de otras zonas de la red,
incluyendo DMZ, bases de datos de
producción, back office, y áreas de
desarrollo de software. PayU
asegurará el acceso desde y hacia sus
sistemas mediante la desactivación
de comunicaciones remotas a nivel
de sistema operativo si no existe una
necesidad de negocio y / o mediante
el control estricto de acceso
mediante aprobaciones de gestión,
controles estrictos y robustos, el
registro y el seguimiento de los
eventos de acceso y las auditorías
posteriores. PayU identificará los
sistemas informáticos y las
aplicaciones que justifiquen la
supervisión y el registro de eventos
de seguridad, y mantendrá y
analizará razonablemente los
archivos de registro. PayU garantiza
que las cuentas privilegiadas
(administrador, súper usuario, etc.)
serán controladas y revisadas al
menos anualmente. PayU aplica un
proceso para controlar y administrar
las cuentas de los usuarios a la
terminación de empleo o cambio de
 rol en el término de 24 horas o tan
pronto como sea posible a partir de
dicha terminación o cambio.
2.3 Etiquetado. PayU limitará, en la
medida de lo posible, la aparición de
Información Personal en los medios
físicos, incluyendo documentos en
papel. PayU controlará y protegerá el
acceso a dichos medios para evitar
pérdidas o daños. PayU garantizará el
almacenamiento seguro,
transferencia, intercambio y la
eliminación de dichos medios. Si la
Información Personal es almacenada
en medios fuera de las instalaciones
con propósitos de respaldo, dichos
medios no deberán incluir ninguna
etiqueta visible que identifique o
muestre el nombre del Comercio (o el
nombre de cualquier afiliado del
Comercio).
2.4 Cifrado. PayU encriptará toda la
Información Personal en su posesión,
custodia o control ya sea que esté en
tránsito o en reposo. Para evitar dudas,
la "encriptación" se realizará usando
PGP u otra mejor práctica de la industria
para el protocolo de encriptación
basado en claves. PayU contará con la
tecnología adecuada para recibir,
almacenar y transmitir la Información
Personal sensible en un formato
encriptado para prestar los Servicios.
2.5 Centros de datos de terceros Cuando se
aplique, PayU, como usuario de un
centro de datos de terceros para
hospedar los Servicios, se deberá
asegurar de que (a) todos los servidores
de aplicaciones y bases de datos estén
físicamente aislados dentro del centro
de datos y asegurados contra el acceso
físico no autorizado; (b) el acceso físico
y de red esté limitado al personal de
PayU o al subcontratista autorizado; (c)
la Información Personal permanezca
lógicamente separada en todo momento
de otros datos almacenados en
cualquier ambiente compartido y que el
uso de cualquier ambiente compartido
no compromete la seguridad, integridad
o confidencialidad de la Información
Personal.
2.6 Parches de seguridad. PayU aplicará
todos los parches de seguridad del
sistema aplicables y necesarios para el
software y los sistemas que procesan,
almacenan, o de otra manera apoyan los
Servicios, incluyendo el sistema
operativo, el software de la aplicación, el
software de la base de datos, el software
del servidor web de conformidad con las
mejores prácticas de la industria y de
acuerdo con sus políticas de seguridad
de la información.
2.7 Escaneo de Virus/Malware. PayU
utilizará software comercial de escaneo
de virus/malware en los sistemas
utilizados por PayU para recolectar,
usar, revelar, almacenar, retener o de
otra manera procesar Información
Personal. Para propósitos de este
acuerdo, "virus/malware" se refiere a
cualquier rutina de programación
destinada a dañar, interceptar
subrepticiamente o expropiar cualquier
dato del sistema o información
personal. PayU ejecutará versiones
actualizadas de software antivirus
estándar de la industria y software que
identifique código malicioso en todos
los sistemas de PayU que contengan
Información Personal, incluyendo el
escaneo de todos los archivos adjuntos
de correos electrónicos, en busca de
código malicioso. PayU utilizará
esfuerzos comercialmente razonables
 para proteger su propia tecnología
informática contra el código malicioso
y garantizar que su conexión a Internet
y a cualquier otra plataforma o red que
ejecute los Servicios sea segura; de
conformidad con estándares de la
industria y sus propias prácticas de
seguridad de la información, adquirirá
e implementará nueva tecnología,
incluyendo hardware y software de
monitoreo, a medida que dicha
tecnología esté disponible y se haya
comprobado su estabilidad, a
discreción razonable de PayU, para
asegurar un ambiente seguro y
estable.
2.8 Pruebas de vulnerabilidad. Antes de
proporcionar al Comercio cualquier
código, servicio de hosting, o
conectividad de red, PayU deberá
realizar y estar en capacidad de
comprobar la realización de pruebas de
penetración externa y la corrección de
cualquier vulnerabilidad reportada.
Para el software, esto incluye pruebas
de las vulnerabilidades de seguridad
que forman parte de la OWASP Top 10
o SANs Top 25. PayU abordará con
prontitud y corregirá todas las
vulnerabilidades de seguridad
identificadas en una prueba de
vulnerabilidad o informe.
2.10
2.9 Desarrollo de ciclo de vida PayU
implementará y mantendrá un ciclo de
vida de desarrollo seguro de software
para todas las aplicaciones que se
integren con el entorno del Comercio o
se desarrollen en nombre del
Comercio. PayU observará todas las
directrices de seguridad de
aplicaciones estándar de la industria,
tales como el Open Web Application
Security Project (OWASP).
PayU se asegurará de que:
(a) se realicen revisiones periódicas
del código fuente de las
aplicaciones;
(b) los desarrolladores reciban una
capacitación detallada de
codificación y diseño en materia de
seguridad de las aplicaciones;
(c) las instalaciones de desarrollo,
pruebas, producción y operación
estén separadas para reducir el
riesgo de acceso o cambios no
autorizados a los sistemas de
producción y operación y a la
Información Personal;
(d) los desarrolladores de software
tengan restringido el acceso al
entorno de producción; y
(e) se implemente la funcionalidad de
enmascaramiento de datos en
relación con el software que
procesa cualquier Información
Personal relacionada con aspectos
financieros (incluyendo
información bancaria y de tarjetas
de pago).
Control de cambios de sistema- PayU
garantiza que los procedimientos de
control de cambios se documentarán y
mantendrán debidamente, detallando la
razón por la cual se hizo necesario el
cambio, cómo y por qué se ejecutaron
los cambios e incluyendo un proceso de
cambio de emergencia.
El proceso de control de cambios
incluye la consideración de los
requerimientos de control de
seguridad, su implementación cuando
 sea necesario y la realización de
pruebas a los mismos antes de su
implementación. PayU notificará al
Comercio de cualquier actualización o
cambio de configuración que pueda
impactar la seguridad de la
Información Personal.

2.11 Cumplimiento de PCI DSS. Cuando

PayU proporciona la funcionalidad de
las transacciones financieras como
parte de los Servicios al Comercio,
PayU confirma que PayU, o cualquier
tercero que realice dichas funciones en
su nombre, cumple con la más reciente
versión de los requisitos de PCI DSS, y
proporcionará las pruebas de
cumplimiento que solicite el Comercio,
y acuerda que mantendrá vigente
dicha certificación hasta la terminación
de este acuerdo.

2.12 Incumplimiento PayU no disminuirá

materialmente la seguridad de ningún
sistema utilizado para recopilar, usar,
revelar, almacenar, retener o procesar
de otra manera la Información
Personal durante la vigencia del
Contrato. En caso de que PayU
determine que no está en capacidad
de cumplir con las obligaciones
establecidas en el Contrato o en este
anexo de seguridad de datos, deberá
notificar de inmediato al Comercio, y el
Comercio tendrá derecho a tomar las
medidas que se indican en el ATD.