Los presentes términos y condiciones se aplican a todos los Usuarios Vendedores que deseen acceder a las integración vía i) Safe File Transfer Protocol o ii) Frontend, para realizar el cobro de sus bienes y servicios en la Sección Cuentas y Servicios de la Aplicación Móvil y Plataforma de Mercado Pago, en función de alguna de las dos modalidades referidas.

1. TÉRMINOS Y CONDICIONES DE USO DE LA HERRAMIENTA CUENTAS Y SERVICIOS DE MERCADO PAGO PARA EL USUARIO VENDEDOR A TRAVÉS DE INTEGRACIÓN VÍA SECURE FILE TRANSFER PROTOCOL (“SFTP”)

     

PRIMERA: DISPOSICIONES GENERALES Y DEFINICIONES:

1.1. Las disposiciones previstas en estos términos y condiciones (“Los Términos y Condiciones de Integración SFTP”) resultan complementarias a los Terminos y Condiciones de uso generales de Mercado Pago, que resultan de aplicación conforme /www.mercadopago.com.ar/ayuda/terminos-y-condiciones_299.

1.2. Todas las cláusulas, términos y condiciones de los Términos y Condiciones que no hayan sido expresamente modificados, derogados o reemplazados en estos Términos y Condiciones de Integración SFTP permanecerán inalterados y plenamente vigentes y continuarán surtiendo todos los efectos legales correspondientes.

 

SEGUNDA: OBJETO. ALCANCE

2.1 Mercado Pago proveerá al Usuario Vendedor un acceso virtual restringido en su Plataforma y/o Aplicación Móvil, en la sección “Tu Negocio”, que le permite al Usuario Vendedor obtener el cobro y de los bienes y servicios por él ofrecidos a través de la carga de las facturas y datos correspondientes, los cuales podrán ser accedidos y abonados por los Usuarios Compradores en la “Sección Cuentas y Servicios” mediante: i) la búsqueda por el Usuario Vendedor y número de cuenta, número de línea, referencia de pago, o aquella información que resulte relevante o ii) el escaneo de código de barras de las facturas; o iii) cualquier modalidad de búsqueda que Mercado Pago implemente a futuro para la determinación del pago a realizarse.

2.2. La carga de facturas y datos que permitan individualizar los bienes o servicios a ser cobrados, serán implementados a través de la integración vía SFTP (la “Integración SFTP”), conforme los requisitos técnicos contenidos en la Cláusula Cuarta.

2.3. La venta de los servicios o bienes ofrecidos por el Usuario Vendedor estarán a su cargo,  sin que pueda interpretarse que Mercado Pago ofrece o vende los bienes o servicios, conforme lo descripto en las cláusulas siguientes.

                                      

TERCERA: OBLIGACIONES DEL USUARIO VENDEDOR. OBLIGACIONES DE MERCADO PAGO

3.1 Sin perjuicio de lo indicado en otros apartados de estos Términos y Condiciones de Integración SFTP, el Usuario Vendedor se compromete a lo siguiente:

1. Mantener actualizados los datos de las deudas, facturas, montos e información que resulte relevante para el pago de los bienes y/o servicios ofrecidos. Mercado Pago procesará todos los pagos que el Usuario Vendedor cargue en el marco de la Integración SFTP.

2. Una vez efectuado el pago de los bienes y/o servicios, y a través del procedimiento de conciliación establecido en el presente, proceder a la actualización del estado de deuda respecto de los Usuarios Compradores.

3. Dar cumplimiento con las obligaciones previstas en la cláusula Cuarta y los requerimientos de carga de deudas, integración, resolución de incidentes que Mercado Pago determine.

4. Responder por toda consulta, reclamo, devolución o queja efectuada por los Usuarios Compradores  en relación a los servicios prestados por el Usuario Vendedor y pagos procesados a través de la sección “Cuentas y Servicios” en  la Plataforma y/o Aplicación Móvil. En este sentido, Mercado Pago derivará al Usuario Vendedor los reclamos, quejas y consultas que efectúen los Usuarios.

5. Tener en condiciones y actualizadas las habilitaciones y permisos correspondientes para el funcionamiento de su actividad comercial, en particular dando cumplimiento a lo previsto en la cláusula “Licencias. Habilitaciones. Permisos”.

6. Garantizar indemnidad a Mercado Pago en los términos detallados en la cláusula octava.

7. Cumplir con todas las leyes, regulaciones y/o reglas aplicables a su actividad.

 

3.2 A su vez, Mercado Pago se compromete a lo siguiente:

1. Poner a disposición del Usuario Vendedor, a través de su Plataforma y/o Aplicación Móvil, en la Sección “Cuentas y Servicios” un espacio virtual que les permita a los Usuarios Compradores abonar las facturas de los bienes y/o servicios prestados u ofrecidos por el Usuario Vendedor

2. Proveer la interfaz e infraestructura de la Plataforma y/o Aplicación Móvil para que el Usuario Vendedor cumpla con las obligaciones asumidas.

3. Prestar a Usuario Vendedor los Servicios de Procesamiento de Pagos, de conformidad con lo previsto en los Términos y Condiciones.

 

CUARTA: INTEGRACIÓN. CONCILIACIÓN

4.1 A los efectos técnicos y operativos referidos a la Integración SFTP, resultará de aplicación los requerimientos de carga de deudas, integración y resolución de incidentes que Mercado Pago determine.  

4.2 En lo concerniente a la conciliación, el Usuario Vendedor deberá acceder a la sección de “Reportes” de Mercado Pago en www.mercadopago.com.ar/balance/reports y las especificaciones vertidas en https://www.mercadopago.com.ar/developers/es/docs/subscriptions/additional-content/reports/introduction

 

QUINTA: TARIFAS

5.1 Tarifas. Por la utilización de los servicios mencionados en la cláusula 3.2, Mercado Pago informará a la dirección de correo electrónico principal registrada por el Usuario Vendedor, las tarifas correspondientes, las cuales podrán ser modificadas por la misma vía con la antelación prevista en la cláusula 16.

5.2 Forma de pago. Mercado Pago acreditará en la Cuenta Mercado Pago del Usuario Vendedor el monto de los pagos procesados, descontando las tarifas correspondientes. El Usuario Vendedor autoriza a Mercado Pago a retener las Tarifas o cualquier otro importe debido de los fondos disponibles en su Cuenta Mercado Pago. 

5.3 Cobertura de contracargos. Mercado Pago en ningún caso le ofrecerá al Usuario Vendedor cobertura de anulaciones, contracargos o desconocimientos ni procesará reversiones de transacciones en los pagos realizados por los Usuarios con dinero en cuenta, tarjeta de crédito y/o débito. El Usuario Vendedor acepta que no será beneficiario del Programa de Protección al Vendedor, según se establece en los Términos y Condiciones, ni de cualquier otro programa similar que sea implementado por Mercado Pago, o por alguna sociedad vinculada, en un futuro.

  

SEXTA: SEGURIDAD INFORMÁTICA.     

El Usuario Vendedor se compromete  a adoptar y cumplir en todo momento con los estándares de seguridad informática requeridos por Mercado Pago, de acuerdo con el Anexo I

 

SÉPTIMA: CONFIDENCIALIDAD. PROTECCIÓN DE SISTEMAS Y DERECHOS DE PROPIEDAD SOBRE SOFTWARE.

7.1 a) La información que las Partes intercambien con motivo de la prestación del Servicio reviste el carácter de secreto confidencial (“Información Confidencial”) y no podrá ser revelada a terceros. El compromiso de confidencialidad que precede subsistirá aún después de haber finalizado la prestación de los Servicios por el plazo de 5 años. b) Las obligaciones de la parte receptora aplicarán en la medida en que la Información Confidencial: (a) haya sido marcada como tal o con una denominación similar; (b) haya sido identificada por la parte reveladora como tal, antes, durante o luego de su revelación; o (c) haya sido revelada de una forma en la cual la parte receptora debió razonablemente entender (ej. información enumerada en el párrafo anterior) que se trataba de Información Confidencial. c) La parte receptora estará autorizada a revelar la Información Confidencial únicamente a sus empleados, agentes y contratistas que requieran conocer la Información Confidencial en el marco de la Solicitud, siempre que éstos queden obligados a utilizar y a no divulgar la información que les sea revelada, en los mismos términos y con los alcances establecidos en la Solicitud. La parte receptora será responsable por cualquier incumplimiento de su personal, agentes y/o contratistas a la obligación de confidencialidad asumida. d) Para los fines de la Solicitud, la obligación de confidencialidad no se aplicará: (i) a Información Confidencial que hubiera sido conocida por el público en general, sin que ello se deba al accionar indebido de la parte receptora; (ii) a Información Confidencial que hubiera sido independientemente generada por la parte receptora sin la utilización directa o indirecta de la Información Confidencial y sin mediar un accionar indebido la parte receptora; (iii) en caso de que una autoridad administrativa o judicial competente requiera a la parte receptora la divulgación de toda o parte de la Información Confidencial, la parte receptora deberá notificar dicho requerimiento a la parte reveladora dentro de los 5 días corridos de tomar conocimiento de tal requerimiento, excepto que los plazos administrativos o judiciales fuesen menores, de manera tal que la parte reveladora pueda adoptar las medidas que considere necesarias y/o convenientes. e) La parte receptora deberá mantener confidencial la Información Confidencial de la parte reveladora y será responsable de cualquier pérdida, robo, hurto u otra circunstancia en la que se vea involucrada la Información Confidencial brindada por la parte reveladora, como así también de cualquier revelación no autorizada expresamente, realizada por cualquier persona bajo vigilancia, contratación, dirección o subordinación de la parte receptora, incluyendo, pero sin que pueda interpretarse como limitación, a empleados de la parte receptora. La Información Confidencial será en todo momento propiedad de la parte reveladora. La parte receptora únicamente usará la Información Confidencial a los fines para los que fue revelada. f) La parte receptora acuerda realizar sus mejores esfuerzos y poner el máximo cuidado y previsión a los efectos de proteger la Información Confidencial revelada bajo la Solicitud, debiendo como mínimo poner idénticos resguardos que los que pone para proteger su propia Información Confidencial, lo que no podrá ser inferior a lo establecido en la normativa aplicable. Estos resguardos y protecciones incluyen, sin que pueda esto interpretarse restrictivamente, al aseguramiento de que sus funcionarios y empleados usarán la información revelada por la parte reveladora única y exclusivamente a los efectos de dar cumplimiento a lo establecido en la presente Solicitud a partir de la fecha. La parte receptora deberá adoptar las medidas de seguridad de la información, tanto físicas como informáticas, que sean, como mínimo, acordes con los parámetros generales de la industria en que opera, que resulten suficientes para garantizar la seguridad y confidencialidad de la Información Confidencial, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de la Información Confidencial, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.     

7.2. En forma adicional a lo dispuesto en los Términos y Condiciones relativo a derechos de propiedad intelectual, cada una de las Partes acepta y reconoce que los sistemas de cada una de ellas como asimismo la totalidad de los procedimientos y técnicas necesarios para acceder a, o distribuir la información almacenada en dichos sistemas son de exclusiva propiedad de cada una de las Partes y, que se encuentran plenamente legitimadas a su uso y explotación conforme lo autoriza la Ley de Propiedad Intelectual 11.723 y demás normas concordantes que regulan la protección de datos y los derechos de los autores.

7.3 Cada una de las Partes se compromete a no realizar ingeniería inversa alguna, descompilación, desensamblado o recopilación de información y/o Base de Dato alguna existente o a través del Sistema de la otra, impidiendo asimismo el acceso con ese objeto a terceras partes, ajenos a los términos y condiciones aquí detallados.

 

OCTAVA: INDEMNIDAD 

El Usuario Vendedor deberá indemnizar plenamente y mantener indemne a Mercado Pago, sus sociedades relacionadas y sus respectivos directores, gerentes, funcionarios, representantes, agentes y empleados respecto de cualquier daño, costo, pérdida, pasivo, gasto (incluyendo sin limitación, honorarios de abogados, peritos y gastos de justicia) provenientes de reclamos judiciales, administrativos y/o extrajudiciales originados en y/o vinculados con cualquier: (i) incumplimiento del Usuario Vendedor su personal y/o contratistas a las obligaciones asumidas en el marco de estos Términos y Condiciones, y/o (ii) falsedad o inexactitud de las declaraciones formuladas y/o (iii) cualquier reclamo de los Usuarios Compradores y/o terceros, incluyendo aquellos vinculados en materia de Defensa del Consumidor.

 

NOVENA: DISPONIBILIDAD DE LOS SISTEMAS DE LAS PARTES

9.1 Todas las transacciones se cursarán a través de Internet. Es de absoluta responsabilidad de cada una de las Partes proveer el correcto y normal funcionamiento de las comunicaciones bajo su control que permitirán generar la Integración SFTP para el funcionamiento del servicio y el cumplimiento de las obligaciones asumidas. 

9.2 Cada una de las Partes tendrá a su cargo las tareas de mantenimiento de sus propios sistemas. No será responsable de las contrataciones que realice la otra parte con otros proveedores de software, soluciones de pago, y/o productos ajenos a dicha propuesta, ni asume responsabilidad alguna sobre las ventas que se efectúen, sus pagos, créditos, débitos, etc.

9.3 En tanto cada una de las Partes se integraría vía SFTP a través de desarrollos y softwares propios, no hará responsable a la contraria por eventuales errores que pudieran obstaculizar el normal acceso a la información alojada en los sistemas de las Partes. En el mismo sentido, ninguna de las Partes será responsable por cualquier tipo de incompatibilidad, errores, interrupciones en el funcionamiento –siendo tal mención al solo efecto enunciativa y no taxativa- que pudiera presentarse entre un software desarrollado por terceros mediante los cuales se pretenda acceder a las bases de datos por ella administradas.

9.4 Cada una de las Partes declara expresamente que es de su exclusivo cargo y responsabilidad mantener el correcto funcionamiento de los sistemas de su propiedad con el que operará, por lo cual la otra Parte ninguna responsabilidad mantiene a su respecto.

 

DÉCIMO: LICENCIAS, HABILITACIONES Y PERMISOS 

El Usuario Vendedor declara y garantiza a Mercado Pago que cuenta con todas las licencias, habilitaciones y permisos requeridos por Ley para ofrecer los servicios y bienes ofrecidos. En tal sentido, El Usuario Vendedor se compromete a dar cumplimiento con todas las obligaciones, cargas y deberes impuestos por la ley y a mantener vigentes las licencias, habilitaciones y permisos que regulan su actividad.

 

DÉCIMO PRIMERA: CAUSAS Y OBLIGACIONES DE LAS SOLICITUDES DE PROCESAMIENTO

En tanto Mercado Pago es ajeno a la obligación que da origen a la Solicitud de Procesamiento de Pago, no verificará las causas, importe o cualquier otra circunstancia relativa a dicha Solicitud de Procesamiento de Pago, así como respecto de la existencia, calidad, cantidad, funcionamiento, estado, integridad o legitimidad de los bienes o servicios ofrecidos, adquiridos o enajenados por el Usuario Vendedor y pagados utilizando Mercado Pago, así como de la capacidad para contratar de los Usuarios.

 Mercado Pago no verificará la causa u obligación que originó la instrucción de pago, ni las demás circunstancias relativas a la instrucción de pago, sin perjuicio de aquellos controles y procedimiento que resulten aplicables a cada caso. 

 

DÉCIMO SEGUNDA: JURISDICCIÓN.

Estos Términos y Condiciones serán regidos e interpretados de acuerdo con las leyes de la República Argentina, sin consideración de aquellas normas sobre conflictos de leyes que determinan la aplicación de leyes de otra jurisdicción y serán competentes los Tribunales Ordinarios en lo Comercial con asiento en la Ciudad Autónoma de Buenos Aires con renuncia a todo otro fuero o jurisdicción que pudiera corresponder.     

DÉCIMO TERCERA: DATOS PERSONALES

El Usuario Vendedor acuerda cumplir con lo dispuesto en el ANEXO II de Procesamiento de Datos Personales.

DÉCIMO CUARTA: ANTICORRUPCIÓN -FOREIGN CORRUPT PRACTICES ACT ("FCPA”)

Las Partes se obligan cumplir con las Leyes Anticorrupción, incluyendo pero sin limitarse a, la Ley de Prácticas de Corrupción en el Extranjero (FCPA) de los Estados Unidos, la Ley de Responsabilidad Penal Empresaria N° 27.401 de Argentina, así como también cualquier otra regulación en materia de ética, antisoborno y anticorrupción, en la jurisdicciones en las que se llevan a cabo los negocios. 

El Usuario Vendedor no realizará pago alguno ni llevará a cabo algún acto en virtud del presente, si considera de buena fe que dicho pago o acto pudiera ser violatorio de Leyes Anticorrupción. El Usuario Vendedor no deberá, de manera directa ni indirecta, pagar, dar, ofrecer, prometer, o autorizar un pago de dinero, o de cualquier cosa de valor, o para el beneficio de cualquier persona, incluyendo pero no limitando a un Funcionario Público, con la intención de influenciar un acto o decisión de dicha persona, o causar que dicha persona realice u omita un acto en infracción de su deber bajo la ley, o causar que dicha persona influya un acto o decisión de otra persona o entidad con el fin de obtener o retener un negocio o de obtener una ventaja indebida en relación al presente Acuerdo. 

A los fines de este instrumento, se entenderá como “Funcionario Público” a: (i) cualquier persona nombrada funcionario o empleado de un gobierno, departamento o dependencia federal, estatal, local, o municipal; (ii) a cualquier funcionario o empleado, de cualquier rango o nivel, de una institución, agencia o departamento gubernamental o empresa pública o controlada por el gobierno; (iii) cualquier funcionario o empleado de una organización pública internacional; (iv) cualquier persona actuando en su carácter de funcionario por o en representación de cualquier gobierno, departamento, agencia o dependencia o cualquier organización pública internacional o persona empleada por una de estas instituciones; y/o (v) cualquier partido político y sus funcionarios, así como cualquier candidato a la función pública. 

El incumplimiento de esta cláusula por parte del Usuario Vendedor en cualquiera de sus aspectos, podrá dar lugar a la extinción inmediata del vínculo con la sola notificación a la otra Parte y Mercado Libre no estará obligada a realizar ningún pago al Usuario Vendedor como resultado.

 

DÉCIMO QUINTA: LAVADO DE ACTIVOS Y FINANCIAMIENTO TERRORISMO

El Usuario Vendedor reconoce que Mercado Pago, MercadoLibre, Inc. y todas las subsidiarias y filiales de MercadoLibre (en adelante, “MELI”) está firmemente comprometido con el cumplimiento de todas las leyes y regulaciones aplicables destinadas a la prevención de las actividades ilícitas, el lavado de activos, el financiamiento del terrorismo y sanciones (“PLA/FT”). 

Esto incluye, sin limitaciones:

1. el cumplimiento con los regímenes de sanciones (las “Sanciones”) aplicables en los países en que MELI lleva a cabo sus actividades, incluidas las Sanciones administradas y/o aplicadas por el Consejo de Seguridad de las Naciones Unidas y la Oficina de Control de Activos en el Extranjero del Departamento del Tesoro de los Estados Unidos (“OFAC”), y otras Sanciones aplicables de otras autoridades. 

2. el cumplimiento de las normas locales e internacionales aplicables en materia de Prevención del Lavado de activos. En especial, en lo que se refiere a la identificación y conocimiento de los clientes, el mantenimiento de un Programa adecuado de PLA/FT, el análisis de operaciones inusuales y reporte de operaciones sospechosas, la debida guarda y conservación de la información y documentación y la confidencialidad de la información relacionada con dicho Programa.

Por lo tanto, el Usuario Vendedor declara que:

1. ni él, ni sus subsidiarias, afiliadas, directores, funcionarios, empleados o agentes es una persona humana o jurídica (“Persona”) propiedad de, o controlada por, Personas que se encuentren (i) Sujetas a Sanciones o (ii) Situadas en, constituidas en, o residentes de un país o territorio que esté sujeto a Sanciones, o cuyo Gobierno esté sujeto a Sanciones, incluyendo sin limitaciones: la Región de Crimea, Cuba, Irán, Siria y Corea del Norte,

2. ha implementado todos los controles necesarios para garantizar que no se procese ninguna transacción, ni se conduzca ninguna actividad que contravenga lo establecido anteriormente.

3. reconoce que debe colaborar con MELI en la Prevención del Lavado de Activos y Financiamiento del Terrorismo, a cuyo fin mantendrá controles adecuados e implementará un eficaz Programa de PLA/FT en caso de que las normas vigentes así lo exigieren, y

4. pondrá a disposición de MELI la información o documentación necesaria que sea requerida en el marco del Programa de PLA/FT, e incluso autorizará la realización de auditorías anuales con el objeto de que Mercado Libre pueda constatar el grado de cumplimiento de las obligaciones asumidas.

El Usuario Vendedor garantiza, a su vez, que ni él ni sus subsidiarias y/o afiliadas realizará transacciones involucrando a “MELI”, que directa o indirectamente (i) se relacione con una actividad o negocio prohibido, según lo definido por las Sanciones, por la normativa vigente o por las políticas internas de MercadoLibre, (ii) sea realizado en nombre de, con, o involucrando a cualquier persona, país o territorio que sea objeto de Sanciones, (iii) que resulte en una violación de Sanciones y/o (iv) que implique una violación a las normas vigentes en materia de PLA/FT o que se trate de una operación inusual o sospechosa.

El Usuario Vendedor reconoce que MELI está sujeto al cumplimiento de normativa local e internacional y que podría recibir requerimientos de autoridades de control o implementar medidas razonables para evitar incumplimientos regulatorios y garantizar una adecuada prevención del Lavado de Activos, Financiamiento del Terrorismo y sanciones y de cualquier otra actividad fraudulenta o delictiva. En tal sentido, declara que no impedirá, frustrará, entorpecerá o de cualquier otra forma atentará contra el cumplimiento por parte de MELI de las normas exigibles y medidas razonables implementadas o a implementar. Asimismo, El Usuario Vendedor declara que exime de responsabilidad a MELI por cualquier acción o medida adoptada en el marco del párrafo anterior.

DÉCIMO SEXTA: PROPIEDAD INTELECTUAL

16.1 Mercado Pago y sus sociedades relacionadas son titulares y/o licenciatarios de todos los derechos de propiedad intelectual relacionados con sus productos y servicios (incluyendo Mercado Pago), tales como sitios web, aplicaciones, todo su contenido, marcas, nombres comerciales, logos, diseños, imágenes, frases publicitarias, derechos de autor, nombres de dominio, programas de computación, códigos, desarrollos, software, bases de datos, información, tecnología, patentes, modelos de utilidad, diseños y modelos industriales, secretos comerciales, entre otros (“Propiedad Intelectual”) y se encuentran protegidos por leyes nacionales e internacionales.. En ningún caso, se entenderá la cesión de la Propiedad Intelectual en favor del Usuario Vendedor.

16.2. Por su parte, el Usuario Vendedor autoriza a Mercado Pago para que utilice  sus marcas, nombres comerciales, y logos (en adelante las “Marcas del Usuario Vendedor”) a efectos de la prestación de los servicios detallados en estos Términos y Condiciones de Integración SFTP, exhibición en la Aplicación Móvil y Plataforma, así como para su inclusión en piezas publicitarias y/o anuncios relacionados con promociones, ya sea en publicidad gráfica (incluyendo vía pública), en su sitio web, aplicación o en sitios web de terceros, y a través del envío de correo electrónicos o mensajes a su base de usuarios.

DÉCIMO SÉPTIMA: MODIFICACIONES A LOS TÉRMINOS Y CONDICIONES DE INTEGRACIÓN SFTP

Mercado Pago podrá modificar en cualquier momento estos Términos y Condiciones de Integración SFTP. Mercado Pago notificará los cambios al Usuario Vendedor publicando una versión actualizada de dichos términos y condiciones en el Sitio. Todos los términos modificados entrarán en vigor a los 10 (diez) días de su publicación. Dentro de los 10 (diez) días siguientes a la publicación de las modificaciones introducidas, el Usuario Vendedor deberá comunicar por e-mail si no acepta las mismas; en ese caso quedará disuelto el vínculo contractual. Vencido este plazo, se considerará que el Usuario Vendedor acepta los nuevos términos.

ANEXO I      

SEGURIDAD DE LA INFORMACIÓN

 Este Anexo aplica a los terceros que prestan servicios, socios comerciales e integradores que accedan, consuman o procesen datos y/o tengan acceso e interacción con sistemas e infraestructura tecnológica de Mercado Libre y/o sus Sociedades relacionadas (en adelante “MERCADO LIBRE”).

1. Definiciones

Los términos que sean utilizados en este Anexo en mayúscula tendrán el significado que se les otorgue en el Contrato o en el presente Anexo según el siguiente detalle.

“Datos": se refiere a toda Información incluyendo la Confidencial de MERCADO LIBRE, en posesión o tenencia (por cualquier título) de MERCADO LIBRE, sus Afiliadas y/ o terceros, almacenada,  o procesada por el Usuario Vendedor, o que llegue a estar a disposición de éste en el marco del Servicio, tanto en su formato original como en todo otro formato en el que se halle dicha información revisada, rediseñada, manipulada, transformada, compilada o en el modo en que se hubiere generado mediante el Uso Autorizado de la misma.

“Incidente de Seguridad”: se refiere a: (i) todo incumplimiento (incluyendo, sin carácter taxativo, incumplimiento del Servicio) detectado en las instalaciones, equipo, sistemas o personas contratadas o empleadas por el Usuario Vendedor (en adelante un “Incumplimiento”), que en términos razonables pueda esperarse tenga un efecto adverso sobre la seguridad, confidencialidad o integridad de los Datos y de los sistemas involucrados; (ii)  toda apropiación de Datos, y/o situación que implique o constituya un Uso o alteración no autorizado de los Datos y de los sistemas y/o servidores involucrados; como así también toda situación que implique una afectación a su seguridad o constituya un Uso no autorizado de los Datos y (iii) toda falta de cumplimiento a la Política de Seguridad Informática y/o a las Normas relativas a la Protección de Datos.

"Uso": se refiere al procesamiento, almacenamiento, mantenimiento, acceso, recuperación, manipuleo, inspección, examen, observación, revisión, revisación, modificación, traducción, extracción, redacción, compendio, resumen, ampliación, descripción, comentario, enumeración, compilado, recopilación, incorporación, agrupamiento, adaptación, rediseño, gestión, transformación, comunicación, transmisión, distribución, publicación, transferencia, divulgación, entrega, envío, disociación, asociación, clasificación, presentación, ofrecimiento, exhibición, difusión, presentación, eliminación supresión, destrucción, descarte, tratamiento u otra acción respecto a los Datos.

"Uso Autorizado": se refiere al uso de los servidores y/o sistemas de MERCADO LIBRE por parte del Usuario Vendedor exclusivamente en relación con la operatoria normal necesaria para que el Usuario Vendedor preste el Servicio y a sus efectos pertinentes, según lo definido en el Contrato, excluyéndose cualquier otro uso.  

“Usuarios”: individuos que utilizan los productos y/o servicios de MERCADO LIBRE.

"Usuario Autorizado": este término se refiere a todo individuo expresamente autorizado por MERCADO LIBRE a utilizar el Servicio.

"Usuarios del Usuario Vendedor": se refiere a todo empleado efectivo en relación de dependencia del Usuario Vendedor o personal contratado o autorizado por éste para brindar el Servicio en virtud del Uso Autorizado, en base a las credenciales de uso y acceso otorgadas por el Usuario Vendedor

“PCI Standard Council”: PCI SSC (Payment Card Industry Security Standards Council) es un foro compuesto por cinco de las más importantes marcas de pago: Visa Inc., MasterCard, American Express, Discover Financial Services y JCB International. Fue fundado el 7 de septiembre de 2006 con el objetivo de definir los controles de seguridad orientados hacia la protección de los Datos de las tarjetas de pago durante todo el flujo transaccional. Los estándares de seguridad de PCI proporcionan orientación para mantener la seguridad de los pagos. Estos establecen los requisitos técnicos y operativos para las organizaciones que aceptan o procesan transacciones de pago, y para los desarrolladores de software y los fabricantes de aplicaciones y dispositivos utilizados en esas transacciones.

“Entorno de Seguridad Informática”: ambiente de la organización que comprende el conjunto de recursos informáticos correspondientes a cualquier componente físico o virtual utilizado para entrada, procesamiento, producción, comunicación y almacenamiento de datos.

“Tarjetahabiente”: usuario de una tarjeta de crédito y débito.

“Producto Pos”: dispositivo de cobro mediante el cual se leen datos de tarjeta de crédito y/o débito.

“Sociedades Relacionadas”: significa, con relación a MERCADO LIBRE, cualquier otra persona jurídica que la controle o sea controlada por aquélla en forma directa o indirecta, o que junto con esa otra persona estuvieran directa o indirectamente bajo el control común de una tercera persona. A los efectos de esta definición, la palabra “Control” cuando se utilice respecto de una persona determinada significa el poder de dirigir directa o indirectamente la administración y las políticas de dicha persona mediante la titularidad de acciones con derecho a voto o mediante el derecho a elegir la mayoría de los miembros del directorio de dicha persona, y el significado de las palabras “Controle” y “Controlada” será consistente con dicho significado.

“Seguridad Informática”: comprende la protección de los recursos informáticos, conforme los pilares de confidencialidad, integridad, disponibilidad y trazabilidad. Entre los dominios relevantes a la Seguridad Informática, se encuentran:

• Gobierno y cumplimiento de seguridad.

• Seguridad y privacidad de los Datos.

• Seguridad física y ambiental.

• Autenticación y autorización.

• Operaciones de seguridad.

• Seguridad en las comunicaciones.

• Ciclo de vida de desarrollo seguro.

• Seguridad de la nube.

• Prevención y respuesta de Incidentes de seguridad.

• Gestión de activos.

• Gestión de riesgos de seguridad.

• Gestión de riesgos de seguridad de terceros.

• Monitoreo de eventos y anomalías.

Equipamiento(s): significa cualquier bien material e instalaciones asociado al sistema de automatización, mecanización y/o almacenamiento, incluyendo sin limitación a equipos y/o dispositivos tales como sorter, conveyors, elevadores, y/o mezanines, racks a ser provisto y/o instalado por terceros  a MERCADO LIBRE y/o sus Sociedades Relacionadas.

 

2. Objeto

El presente Anexo tiene como objetivo comunicar los lineamientos de seguridad de la información establecidas por  MERCADO LIBRE a los terceros alcanzados por la misma.

En este sentido, MERCADO LIBRE tiene los siguientes pilares de seguridad de la información:

• Confidencialidad

• Integridad

• Disponibilidad

• Trazabilidad

3. Obligaciones del Usuario Vendedor

Si el Usuario Vendedor y/o sus sistemas interactúan, procesan y/o acceden a los sistemas y/o Datos de MERCADO LIBRE, y/o si MERCADO LIBRE accede y/o utiliza, sistemas del Usuario Vendedor a donde se procese, incluya y/o de acceso a Datos de MERCADO LIBRE, el Usuario Vendedor, sin carácter taxativo, deberá: 

1. Mantener un programa de seguridad informática adecuado a las complejidades de la naturaleza y el alcance de sus actividades y a la sensibilidad de la información que acceda, procese, transaccione y/o almacene. 

2. Cumplir con la política de seguridad de MERCADO LIBRE que se encuentra en el presente Anexo como apéndice A (“Política de Seguridad de Mercado Libre”).

3. Garantizar los siguientes requerimientos:

1. 1. 1. Implementar una Política de contraseñas y auditorías internas.

      2. Contar con procedimientos periódicos de revisión de logs.

      3. Implementar mecanismos que permitan restringir el acceso a la información a todos los Usuarios del Usuario Vendedor  que no estén expresamente autorizados por MERCADO LIBRE.

      4. Usar las últimas versiones disponibles del sistema operativo, antivirus y aplicaciones.

      5. Contar con una política de seguridad informática aplicable a sus empleados, contratistas y proveedores que permita resguardar y garantizar la seguridad de la información confidencial a la que se accede.

      6. Mantener un programa anual de concientización de buenas prácticas de seguridad.

      7. Implementar buenas prácticas para proteger la seguridad, confidencialidad e integridad de los Datos que resulten razonablemente aplicables al servicio o a determinados tipos de Datos de acuerdo a la evolución de las buenas prácticas de la industria (tales como normas para la seguridad de la información publicadas con posterioridad a la fecha del presente documento por la Organización Internacional para la Estandarización y la Comisión Electrotécnica Internacional - IEC por sus siglas en inglés o en caso de aplicar el Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago, elaborado por el PCI Security Standards Council).

      8. Implementar una adecuada gestión de activos de información basada en las mejores prácticas del mercado tales como sin limitarse a ISO, NIST, PCI, etc.

      9. Utilizar mecanismos de encriptación y hashings actualizados y seguros en todo momento al transmitir (incluso a través de la interfaz web), procesar y almacenar Datos.
         
         

4. Si el Usuario Vendedor tiene a su cargo el tratamiento de los Datos, deberá implementar los mecanismos necesarios y razonables para garantizar su seguridad. Dichos Datos serán utilizados por el Usuario Vendedor por cuenta y orden de MERCADO LIBRE, siendo este último el responsable del tratamiento de la información y el Usuario Vendedor el encargado del tratamiento. En este sentido, se obliga, pero no limita a:

 

1. 1. 1. tratar los Datos exclusivamente para la realización del objeto del presente Contrato, de acuerdo con las indicaciones que le proporcione MERCADO LIBRE.

      2. implementar las medidas de seguridad físicas, técnicas y organizativas necesarias, previo al procesamiento de los Datos, para evitar la adulteración, pérdida, consulta o tratamiento no autorizado de los Datos, y que permitan detectar desviaciones, intencionales o no, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado, verificando que no sean inferiores a las dispuestas por la normativa vigente, de manera tal que garanticen el nivel de seguridad apropiado a los riesgos que entraña el tratamiento y a la naturaleza de los Datos que deben protegerse.

      3. Guardar el más estricto deber de confidencialidad con relación a los Datos, objeto del tratamiento, la cual subsistirá incluso después de la terminación del presente Contrato. Abstenerse de comunicar, divulgar, transferir o ceder los Datos a terceros, salvo que cuente con la autorización previa, expresa y por escrito de MERCADO LIBRE.

      4. Llevar un registro del tratamiento de los Datos que realice por cuenta y orden de MERCADO LIBRE y se comprometa a guardar el más estricto deber de confidencialidad con relación a los Datos, el cual subsistirá incluso después de la terminación del Contrato.

      5. Llevar a cabo el tratamiento de Datos con personal calificado, autorizado y capacitado para ello, estableciendo niveles de acceso mínimos e indispensables y en función de la necesidad de saber, quienes cumplirán con el deber de confidencialidad y seguridad. Estos Usuarios deberán recibir adecuado entrenamiento en la materia de protección de Datos y privacidad. A su vez, deberá notificar a MERCADO LIBRE de cualquier cambio en el estado de los Usuarios del Usuario Vendedor que tengan acceso a los sistemas de MERCADO LIBRE (por ejemplo, jubilación, renuncia, despido) a los fines de eliminar dicho acceso. Sólo se notificará el cambio de estado, sin identificar las razones de este. Resolver con prontitud y correctamente todas las solicitudes de MERCADO LIBRE relacionadas con el tratamiento de Datos, incluyendo solicitudes de rectificación o actualización de la información que le realice MERCADO LIBRE. 

      6. Informar a MERCADO LIBRE y obtener su autorización previa, expresa y por escrito, en caso de subcontratación del tratamiento de los Datos. En ese caso deberá asegurarse que los subcontratistas limiten el uso que hacen de los Datos a las finalidades previstas en la subcontratación, que tengan la capacidad de mantener segura y confidencial la información y de cumplir los requisitos de tratamiento de Datos de MERCADO LIBRE. Asimismo, en el caso que los servicios sean de procesamiento y/o almacenamiento de datos en la nube, se deberá especificar en qué países o regiones son prestados éstos, de acuerdo al marco regulatorio competente.

      7. Informar a MERCADO LIBRE sobre la región y los países donde se puedan prestar los servicios y almacenar, tratar y gestionar los Datos. A efectos de la formalización del presente Contrato, El Usuario Vendedor  informará el país o países donde los Datos serán tratados, y la región. En caso de cambio de país y región previamente informados, El Usuario Vendedor deberá notificar a MERCADOLIBRE en un plazo de 60 días hábiles antes de la migración de ubicación, debiendo proporcionar los detalles de las nuevas instalaciones (almacenamiento en la nube en el extranjero) y adoptando un plan de transición segura y de contingencia para la transmisión de datos sin impactar en la ejecución de este Contrato.

      8. Suprimir inmediatamente los Datos de propiedad de MERCADO LIBRE en cualquiera de los siguientes casos, salvo que exista algún impedimento legal para ello: (i) Cuando haya terminado la relación jurídica con MERCADO LIBRE; (ii) por instrucciones expresas y por escrito de este último. En cualquier caso, previamente a la eliminación de los Datos, el Usuario Vendedor deberá haber hecho entrega de la misma a MERCADO LIBRE. Asimismo, el Usuario Vendedor utilizará un borrado seguro y permanente, y le proporcionará a MERCADO LIBRE una certificación por escrito de que ha cumplido con el presente párrafo; dicha certificación estará firmada por un representante autorizado del Usuario Vendedor

 

5. Utilizar los servidores y/o sistemas y/o Datos de MERCADO LIBRE solo a los efectos del cumplimiento del objeto del presente Contrato y en la medida estrictamente necesaria para el Uso Autorizado. El Usuario Vendedor no podrá, salvo autorización expresa y por escrito en contrario de MERCADO LIBRE:

1. 1. 1. Permitir el uso de, o la conexión a, los servidores y/o sistemas y/o Datos de MERCADO LIBRE a terceros y a Usuarios  del Usuario Vendedor, con excepción de los Usuarios Autorizados.

      2. Modificar en modo alguno los servidores y/o sistemas y/o Datos de MERCADO LIBRE o comprometer de otro modo su integridad y disponibilidad.

      3. Copiar, duplicar o reproducir de modo alguno, en todo o en parte, los Datos en el formato y por el medio que fuere (excepto por las copias electrónicas temporales y efímeras que resultan fortuita y necesariamente del Uso Autorizado y de las operaciones de realización de copias de seguridad relacionadas con el Uso Autorizado).

 

6. Las credenciales de acceso que sean otorgadas por MERCADO LIBRE a los Usuarios del Usuario Vendedor para cumplir con el objeto de este Contrato deberán ser resguardadas en pos de asegurar su correcta utilización. Para esto, el Usuario Vendedor deberá: 

1. 1. 1. Usar una credencial de acceso para poder identificar y autenticar la identidad del Usuario Autorizado al acceder a los sistemas de información de MERCADO LIBRE.

      2. Establecer que los Usuarios del Usuario Vendedor utilicen su propia credencial de acceso, no se deberán compartir las credenciales. No se les permitirá compartir o usar usuarios genéricos. Del mismo modo, cada credencial de acceso tendrá un propietario que será responsable de las acciones tomadas. Las contraseñas deben ser personales e intransferibles.

      3. Comunicar a MERCADO LIBRE el cambio o terminación de un Usuario Autorizado para que MERCADO LIBRE proceda a cancelar los permisos de acceso.

 

7. En la medida en que el Usuario Vendedor proporcione, utilice o desarrolle software o librerías de código para MERCADO LIBRE o utilice dicho software para acceder a información o Sistemas de MERCADO LIBRE,el Usuario Vendedor:

1. 1. 1. Elaborará un informe de los resultados obtenidos de la revisión del código de seguridad de la aplicación.

      2. Solucionará los problemas de seguridad identificados como resultado de la revisión del código de seguridad de la aplicación.

      3. Continuará actualizando y mejorando cualquier aplicación y sistema codificado cuando se identifiquen vulnerabilidades de seguridad. 

      4. Garantizará que cualquier mantenimiento que se le haya proporcionado a dichas aplicaciones o sistemas, también cumpla con los requisitos de parcheo.

 

8. El Usuario Vendedor deberá implementar políticas y procedimientos para inventariar, documentar y mantener los flujos de Datos de MERCADO LIBRE distribuidos dentro de las aplicaciones (físicas y virtuales) del servicio y los componentes de la red y los sistemas de infraestructura, o compartidos con terceros para determinar cualquier efecto en el cumplimiento del presente Contrato, ya sea regulatorio, legal o de cadena de suministro y hacer frente a cualquier otro riesgo empresarial relacionado con los Datos. 

9. El Usuario Vendedor deberá implementar un entorno físico seguro y controlado, con controles ambientales y de acceso. Para ésto, el Usuario Vendedor deberá proteger las ubicaciones físicas donde los Datos de MERCADO LIBRE o el equipo tecnológico de propiedad de MERCADO LIBRE se encuentran alojados tendiendo en consideración los siguientes puntos:

a. Intrusión física, acceso físico no autorizado e ilegal 

b. Problemas de calefacción, ventilación o aire acondicionado 

c. Fallas o interrupciones de energía (es decir, servicio de energía ininterrumpida) 

d. Incendio

e. Robo  

f. Desastres naturales (asociado a un procedimiento de Continuidad de Negocio)

4. Incidentes de Seguridad Informática

4.1. Comunicación de Incidentes de Seguridad. Al momento de tomar conocimiento de un Incidente de Seguridad, las Partes se notificarán por escrito y de manera expeditiva, dentro de un plazo que en ningún caso podrá exceder el término de veinticuatro (24) horas naturales, a las casillas de mail irsec@mercadolibre.com y thirdparty.seginf@mercadolibre.co y las que el Usuario Vendedor informe, detallando las circunstancias y particularidades del caso; incluyendo las medidas necesarias para la detección, análisis y mitigación, erradicación y recuperación del incidente. 

4.2. Soporte de atención ante Incidentes de Seguridad.  En el caso de producirse un Incidente de Seguridad, la Parte afectada tomará las medidas de contención y respuesta al Incidente, las cuales serán realizadas de forma coordinada, participando de las acciones de remediación y crisis en conjunto con la otra Parte, y en ese sentido, pondrá a disposición manera prioritaria un recurso de seguridad informática, en conocimiento del Incidente, con disponibilidad las 24 (veinticuatro) horas (tanto telefónicamente como por correo electrónico), quien deberá: 

(i) tener dedicación exclusiva para responder consultas, 

(ii) estar calificado para subsanar dicho incidente y actuar en nombre del Usuario Vendedor en la coordinación de la respuesta e iniciativas de corrección; y 

(iii) brindar las actualizaciones periódicas que puedan corresponder según las circunstancias del Incidente. De igual modo,el Usuario Vendedor deberá facilitar a MERCADO LIBRE toda la documentación soporte asociada a las fases de seguimiento del incidente (detección, análisis y mitigación, erradicación y recuperación del Incidente) que incluya sin limitarse, la documentación de la solución y el informe forense. 

4.3. Medidas correctivas. En el caso de ocurrencia de un Incidente de Seguridad, la Parte afectada deberá tomar aquellas acciones correctivas y resarcitorias que la otra Parte pudiera razonablemente solicitar y que resulten habituales para las circunstancias del caso (como por ejemplo: cursar notificaciones de incumplimiento a los individuos afectados). En el caso de producirse un Incidente de Seguridad, las Partes se obligan a indemnizar plenamente y a mantenerse indemnes y/o a sus Sociedades Relacionadas  de cualquier daño, costo, pérdida, pasivo, multas y gastos asociado a dicho Incidente.

La Parte afectada deberá proceder a reembolsar a la otra de manera expeditiva y a pedido escrito de ésta (acompañado del correspondiente detalle) los costos y gastos incurridos a los efectos de la implementación de medidas correctivas y resarcitorias adicionales, adoptadas a raíz de un Incidente de Seguridad.

4.4. Declaraciones Públicas. El Usuario Vendedor no podrá emitir comunicados de prensa, cursar notificaciones por escrito a individuos que resultaron afectados o realizar declaraciones públicas respecto a un Incidente de Seguridad sin haber obtenido previamente el consentimiento escrito por parte de MERCADO LIBRE respecto al formato, contenido y momento de dicho anuncio.El Usuario Vendedor deberá prestar su cooperación de buena fe a MERCADO LIBRE respondiendo de forma expeditiva a todas las consultas inherentes a Incidentes de Seguridad.

 

5. Evaluación de riesgos y documentación de seguridad

MERCADO LIBRE podrá  realizar  de forma anual un relevamiento del Entorno de Seguridad Informática del Usuario Vendedor con el fin de hacer una evaluación de riesgos a través de un cuestionario de seguridad relacionado con los servicios y elaborado por el área de Seguridad Informática de MERCADO LIBRE, considerando frameworks y mejores prácticas de la industria resguardando la confidencialidad de la información. Esto deberá ser completado por el Usuario Vendedor, y en caso de que considere necesario, el área de Seguridad Informática podrá solicitar una reunión con el Usuario Vendedor para indagar sobre el programa de Seguridad Informática del mismo. 

De igual modo, en el marco del proceso de relevamiento del Entorno de Seguridad Informática del Usuario Vendedor, MERCADO LIBRE solicitará al Usuario Vendedor, documentación soporte sobre sus procesos y controles relevantes a la Seguridad Informática; sin que ello afecte a la confidencialidad de la información. En el caso de que el Usuario Vendedor cuente con un reporte de auditoría con alcance en Seguridad Informática, ante la solicitud de MERCADO LIBRE, el Usuario Vendedor deberá  facilitar las conclusiones del mismo a MERCADO LIBRE cuidando la confidencialidad de la información. El Usuario Vendedor acepta tratar razonablemente cualquier deficiencia observada en la evaluación en función de la gravedad del riesgo.

Adicionalmente, el Usuario Vendedor acepta y garantiza a MERCADO LIBRE el derecho a realizar revisiones de seguridad tales como, pero sin limitar, modelo de amenazas, análisis de vulnerabilidades y/o pentest, en los términos, condiciones y alcance que serán específicamente acordados y formalizados al momento de realizar la revisión.

 

6. Requisitos PCI 

En el caso que el Usuario Vendedor procese, transmita y/o almacene Datos de tarjetas de crédito y/o débito o trate información de los Tarjetahabientes y/o de transacciones de tarjeta de crédito y/o débito de los Usuarios de MERCADO LIBRE, sin carácter taxativo, el Usuario Vendedor deberá garantizar: 

1. Cumplir con todos los estándares PCI DSS y permanecer en cumplimiento de dichos estándares mientras permanezca vigente el Contrato. A solicitud de MERCADO LIBRE, el Usuario Vendedor deberá presentar el certificado de compliance correspondiente emitido por la autoridad de control (“AOC”) como prueba de haber validado sus procesos y estar en cumplimiento de los estándares PCI DSS.

2. Asegurar la implementación de las medidas de seguridad necesarias para prevenir la divulgación y/o el uso no autorizado de la información del Tarjetahabiente y de la Transacción, de acuerdo con los requerimientos de la normativa aplicable, los estándares de la industria, y sus políticas de privacidad. 

3. Velar porque todos y cada uno de sus empleados, agentes, representantes, prestadores de servicios, proveedores de sus dispositivos, sistemas o procesadores y cualquier otra parte a quien le deba proporcionar acceso a la información de los Tarjetahabientes y/o de la Transacción recolecten y almacenen información en cumplimiento de la normativa aplicable relacionada con la protección y seguridad de los Datos personales y únicamente con el fin de cumplir sus deberes en relación a la realización de sus tareas o servicios.

8. Incumplimientos de Seguridad Informática

En caso de incumplimiento de cualquiera de las obligaciones del Usuario Vendedor establecidas en este anexo, MERCADO LIBRE tendrá derecho a suspender y/o rescindir el Contrato hasta que no se acredite el cumplimiento efectivo. En caso de corresponder la disposición PCI, MERCADO LIBRE podrá dar por terminado el Contrato, salvo que el Usuario Vendedor ofrezca y acredite tener medidas de seguridad equivalentes o similares a los estándares PCI DSS. De igual modo, en el caso que sea exigible que el Usuario Vendedor cuente con la certificación PCI PIN y el mismo no posea dicha certificación, MERCADO LIBRE podrá dar por terminado el Contrato.  

En el caso de producirse un Incidente de Seguridad o en el supuesto que MERCADO LIBRE se vea afectada por publicidad de carácter negativo a raíz de un Incidente de Seguridad, MERCADO LIBRE podrá a su criterio suspender o terminar el Contrato, sin responsabilidad alguna, con carácter inmediato, mediante notificación escrita al Usuario Vendedor y reclamar daños y perjuicios en su caso.

 

APÉNDICE A

POLÍTICA DE SEGURIDAD INFORMÁTICA - TERCEROS

1. APLICACIÓN

Para el fin de esta política, son aplicables los terceros que prestan servicios, socios comerciales e integradores que accedan, consuman o procesen datos y/o tengan acceso e interacción con sistemas e infraestructura tecnológica de Mercado Libre y/o sus sociedades relacionadas (en adelante “MERCADO LIBRE”).

En este sentido, son alcanzados los terceros de acuerdo con su nivel de criticidad, encuadre regulatorio y su potencial impacto sobre la confidencialidad, disponibilidad o integridad de la información e infraestructura tecnológica en el marco del objeto del contrato preestablecido y firmado entre las partes.

2. OBJETIVO

La presente política tiene como objetivo comunicar las consideraciones generales de seguridad de la información establecidas por  MERCADO LIBRE a los terceros alcanzados por la misma. Los terceros implicados tomarán conocimiento de dichos lineamientos de seguridad y asumirán el compromiso de realizar todos los esfuerzos razonables para el cumplimiento de esta política.

3. PRINCIPIOS CORPORATIVOS

MERCADO LIBRE busca democratizar el comercio electrónico y desarrollar productos de forma segura, siempre con el objetivo de proteger la información y los datos confidenciales de los usuarios y/o colaboradores.

Los elementos de Seguridad Informática son considerados factores claves para mitigar los riesgos y promover el cumplimiento de las leyes de privacidad y protección financiera  de los Usuarios. En esa misma línea, buscamos proteger los datos e información que posean o procesen los terceros; basándonos en mejores prácticas tales como ISO, NIST, PCI, etc.  

4. DEFINICIONES

A fines de esta política, son aplicables las siguientes definiciones:

• Assessment de seguridad: Cuestionario elaborado por el Área de Seguridad de la Información, basado en marcos y mejores prácticas de mercado sobre Seguridad Informática.

• Colaboradores: empleados efectivos y/o tercerizados de MERCADO LIBRE.

• Incidente de Seguridad: se refiere a: (i) todo incumplimiento (incluyendo, sin carácter taxativo, incumplimiento del Servicio) detectado en las instalaciones, equipo, sistemas o personas contratadas o empleadas por el Usuario Vendedor (en adelante un “Incumplimiento”), que en términos razonables pueda esperarse tenga un efecto adverso sobre la seguridad, confidencialidad o integridad de los Datos y de los sistemas involucrados; (ii)  toda apropiación de Datos, y/o situación que implique o constituya un Uso o alteración no autorizado de los Datos y de los sistemas y/o servidores involucrados; como así también toda situación que implique una afectación a su seguridad o constituya un Uso no autorizado de los Datos y (iii) toda falta de cumplimiento a la Política de Seguridad Informática y/o a las Normas relativas a la Protección de Datos.

• Seguridad Informática: proceso para proteger los recursos informáticos de la organización en sus pilares de confidencialidad, integridad, disponibilidad y trazabilidad.

• Terceros: Empresas con las cuales MERCADO LIBRE tiene una relación comercial, a través de la cual se brindan o reciben productos y/o servicios.

• Usuarios: individuos que utilizan los productos y/o servicios de MERCADO LIBRE.

 5. GESTIÓN DE TERCEROS

Para garantizar la debida gestión de los terceros, MERCADO LIBRE establece controles, tanto técnicos como legales, para minimizar el impacto de un incidente generado por un tercero relacionado. De esta forma, adoptamos cláusulas legales que exigen controles mínimos razonables que garantizan la protección de datos y de los activos a los que se accede. En este sentido, el tercero  toma conocimiento, entiende y se compromete a realizar todos los esfuerzos razonables para el cumplimiento de la presente política.

5.1 EVALUCIACIÓN DE SEGURIDAD DE TERCEROS

MERCADO LIBRE cuenta con un proceso de evaluación de riesgos de Seguridad Informática que aplica para todos los terceros aplicables. El tercero podrá ser evaluado por MERCADO LIBRE a través de un Assessment de seguridad de  tipo cuestionario elaborado por el Área de Seguridad Informática, que contempla frameworks y mejores prácticas de la industria sobre seguridad de la información. 

6. GESTIÓN DE INCIDENTES DE SEGURIDAD

El tercero debe tener un proceso definido y formalizado de respuesta a incidentes de seguridad. Los incidentes deben estar identificados, clasificados, monitoreados, comunicados y debidamente tratados a efectos de reducir los riesgos en el ambiente de seguridad, evitando la interrupción de las actividades o desperfectos en su operación o la afectación de la confidencialidad, integridad y disponibilidad de los activos de información de MERCADO LIBRE. 

7. RECOMENDACIONES DE SEGURIDAD PARA EL TERCERO

El tercero deberá mantener un programa de Seguridad Informática que contenga información administrativa y técnica para salvaguardar los datos y/o sistemas e infraestructura y procesos de MERCADO LIBRE a los que el tercero tuviera acceso y/o interacción. Este programa debe estar adecuado a las complejidades de la naturaleza y el alcance de sus actividades y a la sensibilidad de sus activos de información.

Tales resguardos incluirán como mínimo y sin limitarse a los siguientes:

(1) Contar con un área de gobierno y seguridad de la información que establezcan las directrices generales de seguridad de la información en pos de asegurar un entorno adecuado de seguridad.

(2) Proteger contra amenazas o peligros previstos a la seguridad o integridad, la información, sistemas, infraestructura y procesos de MERCADO LIBRE.

(3) Proteger contra el acceso no autorizado o uso de información de MERCADO LIBRE en el que pueda resultar en daños sustanciales o inconvenientes para nuestros usuarios y/o colaboradores así como  otras entidades.

(4) Asegurar la existencia de un programa anual de entrenamiento y concientización en Seguridad Informática para todos los empleados, así como a sus terceros con acceso a su ambiente.

(5) Tener formalmente definidos procesos y controles con el objetivo de prevenir, detectar y reducir vulnerabilidades relacionadas con el ambiente cibernético que abarquen, como mínimo, la autenticación, la criptografía, la prevención y la dirección de intrusiones no deseadas, la protección de la información, la realización periódica de tests y escaneos para la detección de vulnerabilidades, la protección contra malware, el establecimiento de logs, los controles de acceso y de segmentación de la red de computadoras y el mantenimiento de copias de seguridad de los datos.

(6) Definir y mantener un programa de continuidad de negocios y gestión y respuesta a incidentes  para minimizar el impacto en la prestación de servicios y/o relaciones comerciales estratégicas a MERCADO LIBRE en caso de posibles incidentes que puedan afectar la continuidad de las operaciones.

(7) Definir y mantener un proceso de gestión de datos y  de back ups, a fin de evitar o mitigar la pérdida de datos ante incidentes.

(8) Tener mecanismos para el monitoreo de los servicios prestados y/o procesos clave en la relación con MERCADO LIBRE.

(9) Contar con un procedimiento de  identificación y segregación de datos almacenados y/o procesados de MERCADO LIBRE por medio de controles físicos y lógicos.

(10) Tener un proceso de desarrollo seguro en caso corresponda, alineado a las mejores prácticas tales como OWASP Top 10

(11) En caso corresponda, contar con procedimientos de transmisión de la información acerca de las operaciones realizadas, desde el terminal hasta la plataforma tecnológica de Mercado Pago utilizando mecanismos de cifrado fuerte.

(12) En caso corresponda, velar porque la información enviada a los clientes esté libre de software malicioso.

(13) En caso corresponda,  definir y mantener campañas informativas sobre las medidas de seguridad que deben adoptar los clientes para la realización de operaciones de comercio electrónico. Aplica para establecimientos de comercio o entidades administradoras de pasarelas de pago.

(14) Utilizar las credenciales de acceso proporcionadas por Mercado Libre únicamente para acceder a las plataformas y/o sistemas de Mercado Libre.

(15) En caso corresponda, para la relación con terceros corresponsales de MERCADO LIBRE, se debe además:

• Disponer de mecanismos y/o procedimientos que impidan la captura, almacenamiento, procesamiento, visualización o transmisión de la información de las operaciones realizadas, para fines diferentes a los autorizados por MERCADO LIBRE.

• Asimismo, operar con sistemas de información que permitan realizar las operaciones bajo condiciones de seguridad, calidad y no repudio por parte del corresponsal.
  
  
  
  

ANEXO II DATOS PERSONALES

Procesamiento de Datos Personales   

1. Definiciones: A los efectos de estos Términos y Condiciones los términos que siguen tendrán el significado que les dé la legislación aplicable o, en su defecto, el que aquí se les asigna:

(i) “Autoridad Competente”: se refiere a una autoridad gubernamental o supragubernamental, judicial o administrativa, que tenga facultades de supervisión y control sobre las Partes.

(ii) “Datos Personales”: se refiere a cualquier información sobre una persona identificada o identificable. Se considerará persona identificable a toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

(iii) "Incidente de seguridad": se refiere a cualquier destrucción, pérdida, divulgación, acceso, uso o alteración de Datos Personales y/o de los sistemas y/o servidores donde se procesan dichos Datos Personales, ya sea real o razonablemente sospechado, accidental, no autorizado o ilegal, o cualquier evento similar descrito en las Leyes de Protección de Datos Personales.

(iv) “Leyes de Protección de Datos Personales”: Se refiere a todas las leyes, normas, reglamentos y órdenes que guarden relación con la privacidad, seguridad, confidencialidad y/o integridad de la Datos Personales que sean de aplicación a las actividades de tratamiento implicadas en estos Acuerdo, incluyendo la Ley N° 25.326 de Argentina,

(v) “Mercado Libre”: se refiere a MERCADO PAGO.

(vi) “Responsable de Tratamiento”: la persona que, sola o conjuntamente con otros, determina los fines y los medios del tratamiento de los Datos Personales.

(vii) “Titular de Datos”: una persona identificada o identificable cuyos Datos Personales sean tratados por las Partes y que tenga derechos sobre ellos, de acuerdo a lo establecido en las Leyes de Protección de Datos Personales.

(viii) “Tratar”, “Tratamiento” o “Procesamiento”: se refiere a cualquier operación realizada sobre los Datos Personales, incluyendo, pero  no limitándose a la recopilación, consulta, recepción, uso, transferencia, recuperación, manipulación, grabación, organización, almacenamiento, mantenimiento, hospedaje, adaptación, alteración, posesión, revelación, divulgación, bloqueo, supresión, destrucción, venta o concesión bajo licencia.

2. Obligación general de cumplimiento. Cuando se traten Datos Personales en el marco de estos Términos y Condiciones , ambas Partes actuarán como Responsables de Tratamiento y cumplirán con las Leyes de Protección de Datos Personales. 

3. Avisos de privacidad. Cada una de las Partes declara tener una política, declaración o aviso de privacidad que describe adecuadamente sus operaciones de tratamiento de Datos Personales. Cada una de las Partes tratará los Datos Personales de acuerdo con dichas políticas, declaraciones o avisos y las Leyes de Protección de Datos Personales. Cuando lo exijan las Leyes de Protección de Datos Personales, las Partes compartirán entre sí sus avisos, políticas o declaraciones de privacidad.

4. Finalidad y proporcionalidad del tratamiento. Cada Parte que reciba Datos Personales de la otra Parte los tratará únicamente para los fines establecidos en estos Términos y Condiciones.

Si alguna Parte realizara alguna actividad de tratamiento de los Datos Personales que no esté relacionada con la ejecución de  estos Términos y Condiciones de Integración SFTP, esa Parte será la única responsable de dicho tratamiento, quedando la otra Parte exenta de cualquier obligación o responsabilidad que de ella se derive.

5. Seguridad y confidencialidad de los Datos Personales: Cada una de las Partes se compromete a aplicar y mantener las medidas que resulten adecuadas para la seguridad, integridad y confidencialidad de los Datos Personales que estén en su poder o bajo su control.

Esta cláusula es complementaria a lo establecido en el Anexo Seguridad de la Información y sólo sustituirá cualquiera de los derechos y obligaciones allí establecidos en la medida en que dichos derechos y obligaciones sean menos protectores de los Datos Personales.

6. Incidentes de Seguridad: Cada Parte notificará a la otra, en un plazo que no será mayor a 72 horas, cuando tome conocimiento de un Incidente de Seguridad. Cada una de las Partes proporcionará a la otra la asistencia que sea razonablemente necesaria para que cumpla con sus obligaciones en virtud de las Leyes de Protección de Datos Personales.

Esta cláusula es complementaria a lo establecido en el Anexo - Seguridad de la Información y sólo sustituirá cualquiera de los derechos y obligaciones allí establecidos en la medida en que dichos derechos y obligaciones sean menos protectores de los Datos Personales.

7. Ejercicio de derechos de los Titulares de Datos. Las Partes serán responsables por separado de responder las solicitudes de los Titulares de Datos en relación con sus derechos emanados de las Leyes de Protección de Datos Personales. 

Las Partes cooperarán razonablemente, en la medida en que lo permitan o exijan las Leyes de Protección de Datos Personales y otras normas aplicables, para responder adecuadamente a las solicitudes de los Titulares de Datos.

8. Requerimientos de Autoridades Competentes. Las Partes acuerdan notificarse, en el plazo que establezca la Ley de Protección de Datos Personales y sin demora injustificada, cualquier requerimiento que provenga de una Autoridad Competente y que se relacione con los Datos Personales que sean tratados por las Partes en el marco de estos Términos y Condiciones de Integración SFTP.

Las Partes deberán colaborar tanto como lo permitan o lo exijan las Leyes de Protección de Datos Personales y otras regulaciones aplicables para contestar adecuadamente los requerimientos de las Autoridades Competentes.

9. Deber general de notificación. Cada una de las Partes notificará a la otra cualquier circunstancia de la que tenga conocimiento que pueda impedir a cualquiera de las Partes el cumplimiento de las Leyes de Protección de Datos Personales o sus obligaciones en virtud de los presentes, o que de algún otro modo pueda impactar negativamente en el tratamiento de los Datos Personales.

10. Derecho a indemnización. Cada Parte deberá indemnizar a la otra Parte por cualquier daño o costo, sea éste directo o indirecto, que resulte de un incumplimiento de las obligaciones establecidas en la presente cláusula y/o de las Leyes de Protección de Datos Personales. 

11. Calidad de los Datos Personales. Las Partes harán sus mejores esfuerzos para que los Datos Personales que se traten durante la ejecución de estos Términos y Condiciones de Integración SFTP sean ciertos y actualizados. Las Partes se notificarán si toman conocimiento de inexactitudes en los Datos Personales. 

12. Plazo de conservación de los Datos Personales. Las Partes no conservarán los Datos Personales por más tiempo del necesario para cumplir con las finalidades y obligaciones establecidas en estos Términos y Condiciones de Integración SFTP.

Sin embargo, las Partes podrán conservar los Datos Personales por un plazo adicional cuando: (i) así lo permitan o lo impongan las leyes aplicables; o (ii) así lo hayan autorizado los Titulares de Datos. 

13. Disposiciones Responsable-Responsable. Las Partes harán sus mejores esfuerzos para que los Datos Personales que se traten durante la ejecución de este Acuerdo sean ciertos y actualizados. Las Partes se notificarán si toman conocimiento de inexactitudes en los Datos Personales.

 

II. TÉRMINOS Y CONDICIONES DE USO DE LA HERRAMIENTA CUENTAS Y SERVICIOS DE MERCADO PAGO PARA EL USUARIO VENDEDOR A TRAVÉS DE INTEGRACIÓN VÍA FRONTEND (“FRONTEND”)

PRIMERA: DISPOSICIONES GENERALES Y DEFINICIONES:

1.1. Las disposiciones previstas en estos términos y condiciones (“Los Términos y Condiciones de Integración Frontend”) resultan complementarias a los Terminos y Condiciones de uso generales de Mercado Pago, que resultan de aplicación conforme /www.mercadopago.com.ar/ayuda/terminos-y-condiciones_299.

1.2. Todas las cláusulas, términos y condiciones de los Términos y Condiciones que no hayan sido expresamente modificados, derogados o reemplazados en estos Términos y Condiciones de Integración Frontend permanecerán inalterados y plenamente vigentes y continuarán surtiendo todos los efectos legales correspondientes. 

 

SEGUNDA: OBJETO. ALCANCE

2.1 Mercado Pago proveerá al Usuario Vendedor un acceso virtual restringido en su Plataforma y/o Aplicación Móvil, en la sección “Tu Negocio”, que le permite al Usuario Vendedor obtener el cobro y de los bienes y servicios por él ofrecidos a través de la carga de las facturas y datos correspondientes, los cuales podrán ser accedidos y abonados por los Usuarios Compradores en la “Sección Cuentas y Servicios” mediante: i) la búsqueda por el Usuario Vendedor y número de cuenta, número de línea, referencia de pago, o aquella información que resulte relevante o ii) el escaneo de código de barras de las facturas; o iii) cualquier modalidad de búsqueda que Mercado Pago implemente a futuro para la determinación del pago a realizarse.

2.2. La carga de facturas y datos que permitan individualizar los bienes o servicios a ser cobrados, serán implementados a través de la integración vía Frontend (la “Integración Frontend”), conforme los requisitos técnicos contenidos en la Cláusula Cuarta. 

2.3. La venta de los servicios o bienes ofrecidos por el Usuario Vendedor estarán a su cargo,  sin que pueda interpretarse que Mercado Pago ofrece o vende los bienes o servicios, conforme lo descripto en las cláusulas siguientes.

 

TERCERA: OBLIGACIONES DEL USUARIO VENDEDOR. OBLIGACIONES DE MERCADO PAGO 

3.1 Sin perjuicio de lo indicado en otros apartados de estos Términos y Condiciones de Integración Frontend, el Usuario Vendedor se compromete a lo siguiente:

a)    Mantener actualizados los datos de las deudas, facturas, montos e información que resulte relevante para el pago de los bienes y/o servicios ofrecidos. Mercado Pago procesará todos los pagos que el Usuario Vendedor cargue mediante https://www.mercadopago.com.ar/single-player/self-service/load-debts  o el link que Mercado Pago informe

b)    Una vez efectuado el pago de los bienes y/o servicios, y a través del procedimiento de conciliación establecido en el presente, proceder a la actualización del estado de deuda respecto de los Usuarios Compradores.

c)     Dar cumplimiento con las obligaciones previstas en la cláusula Cuarta y los requerimientos de carga de deudas, integración, resolución de incidentes que Mercado Pago determine.

d)    Responder por toda consulta, reclamo, devolución o queja efectuada por los Usuarios Compradores  en relación a los servicios prestados por el Usuario Vendedor y pagos procesados a través de la sección “Cuentas y Servicios” en  la Plataforma y/o Aplicación Móvil. En este sentido, Mercado Pago derivará al Usuario Vendedor los reclamos, quejas y consultas que efectúen los Usuarios.

e) Tener en condiciones y actualizadas las habilitaciones y permisos correspondientes para el funcionamiento de su actividad comercial, en particular dando cumplimiento a lo previsto en la cláusula “Licencias. Habilitaciones. Permisos”.

f)      Garantizar indemnidad a Mercado Pago en los términos detallados en la cláusula octava.

g)    Cumplir con todas las leyes, regulaciones y/o reglas aplicables a su actividad.

3.2 A su vez, Mercado Pago se compromete a lo siguiente:

a)  Poner a disposición del Usuario Vendedor, a través de su Plataforma y/o Aplicación Móvil, en la sección “Tu Negocio” de Mercado Pago, un espacio virtual que les permita a los Usuarios Compradores abonar las facturas de los bienes y/o servicios prestados u ofrecidos por el Usuario Vendedor en la Sección “Cuentas y Servicios”.

b)    Proveer la interfaz e infraestructura de la Plataforma y/o Aplicación Móvil para que el Usuario Vendedor cumpla con las obligaciones asumidas.

c)   Prestar a Usuario Vendedor los Servicios de Procesamiento de Pagos, de conformidad con lo previsto en los Términos y Condiciones.

CUARTA: INTEGRACIÓN. CONCILIACIÓN 

4.1 A los efectos técnicos y operativos referidos a la Integración Frontend, resultará de aplicación los requerimientos de carga de deudas, integración y resolución de incidentes que Mercado Pago determine.

4.2. Mercado Pago habilitará la sección de carga de deudas y facturas en la Sección “Tu Negocio” de la Plataforma y/o Aplicación Móvil, donde el Usuario Vendedor cargará las deudas y facturas a través del siguiente enlace: www.mercadopago.com.ar/single-player/self-service/load-debts, desde donde el Usuario Vendedor deberá : i) descargar la plantilla allí localizada, ii)completar los datos pertinentes de manera íntegra, correcta y actualizada y iii) subir la plantilla al Front End de Mercado Pago. El Usuario se compromete a realizar este procedimiento con la frecuencia necesaria para contar en todo momento con información actualizada.

4.3 En lo concerniente a la conciliación, el Usuario Vendedor deberá acceder a la sección de “Reportes” de Mercado Pago en www.mercadopago.com.ar/balance/reports y las especificaciones vertidas en https://www.mercadopago.com.ar/developers/es/docs/subscriptions/additional-content/reports/introduction 

 

QUINTA: TARIFAS

5.1 Tarifas. Por la utilización de los servicios mencionados en la cláusula 3.2, Mercado Pago informará a la dirección de correo electrónico principal registrada por el Usuario Vendedor, las tarifas correspondientes, las cuales podrán ser modificadas por la misma vía con la antelación prevista en la cláusula 16.

5.2 Forma de pago. Mercado Pago acreditará en la Cuenta Mercado Pago del Usuario Vendedor el monto de los pagos procesados, descontando las tarifas correspondientes. El Usuario Vendedor autoriza a Mercado Pago a retener las Tarifas o cualquier otro importe debido de los fondos disponibles en su Cuenta Mercado Pago.

5.3 Cobertura de contracargos. Mercado Pago en ningún caso le ofrecerá al Usuario Vendedor cobertura de anulaciones, contracargos o desconocimientos ni procesará reversiones de transacciones en los pagos realizados por los Usuarios con dinero en cuenta, tarjeta de crédito y/o débito. El Usuario Vendedor acepta que no será beneficiario del Programa de Protección al Vendedor, según se establece en los Términos y Condiciones, ni de cualquier otro programa similar que sea implementado por Mercado Pago, o por alguna sociedad vinculada, en un futuro.  

 

SEXTA: SEGURIDAD INFORMÁTICA.

El Usuario Vendedor se compromete  a adoptar y cumplir en todo momento con los estándares de seguridad informática requeridos por Mercado Pago, de acuerdo con el Anexo I.

 

SÉPTIMA: CONFIDENCIALIDAD. PROTECCIÓN DE SISTEMAS Y DERECHOS DE PROPIEDAD SOBRE SOFTWARE. 

7.1 La información que las Partes intercambien con motivo de la prestación del Servicio reviste el carácter de secreto confidencial (“Información Confidencial”) y no podrá ser revelada a terceros. El compromiso de confidencialidad que precede subsistirá aún después de haber finalizado la prestación de los Servicios por el plazo de 5 años. b) Las obligaciones de la parte receptora aplicarán en la medida en que la Información Confidencial: (a) haya sido marcada como tal o con una denominación similar; (b) haya sido identificada por la parte reveladora como tal, antes, durante o luego de su revelación; o (c) haya sido revelada de una forma en la cual la parte receptora debió razonablemente entender (ej. información enumerada en el párrafo anterior) que se trataba de Información Confidencial. c) La parte receptora estará autorizada a revelar la Información Confidencial únicamente a sus empleados, agentes y contratistas que requieran conocer la Información Confidencial en el marco de la Solicitud, siempre que éstos queden obligados a utilizar y a no divulgar la información que les sea revelada, en los mismos términos y con los alcances establecidos en la Solicitud. La parte receptora será responsable por cualquier incumplimiento de su personal, agentes y/o contratistas a la obligación de confidencialidad asumida. d) Para los fines de la Solicitud, la obligación de confidencialidad no se aplicará: (i) a Información Confidencial que hubiera sido conocida por el público en general, sin que ello se deba al accionar indebido de la parte receptora; (ii) a Información Confidencial que hubiera sido independientemente generada por la parte receptora sin la utilización directa o indirecta de la Información Confidencial y sin mediar un accionar indebido la parte receptora; (iii) en caso de que una autoridad administrativa o judicial competente requiera a la parte receptora la divulgación de toda o parte de la Información Confidencial, la parte receptora deberá notificar dicho requerimiento a la parte reveladora dentro de los 5 días corridos de tomar conocimiento de tal requerimiento, excepto que los plazos administrativos o judiciales fuesen menores, de manera tal que la parte reveladora pueda adoptar las medidas que considere necesarias y/o convenientes. e) La parte receptora deberá mantener confidencial la Información Confidencial de la parte reveladora y será responsable de cualquier pérdida, robo, hurto u otra circunstancia en la que se vea involucrada la Información Confidencial brindada por la parte reveladora, como así también de cualquier revelación no autorizada expresamente, realizada por cualquier persona bajo vigilancia, contratación, dirección o subordinación de la parte receptora, incluyendo, pero sin que pueda interpretarse como limitación, a empleados de la parte receptora. La Información Confidencial será en todo momento propiedad de la parte reveladora. La parte receptora únicamente usará la Información Confidencial a los fines para los que fue revelada. f) La parte receptora acuerda realizar sus mejores esfuerzos y poner el máximo cuidado y previsión a los efectos de proteger la Información Confidencial revelada bajo la Solicitud, debiendo como mínimo poner idénticos resguardos que los que pone para proteger su propia Información Confidencial, lo que no podrá ser inferior a lo establecido en la normativa aplicable. Estos resguardos y protecciones incluyen, sin que pueda esto interpretarse restrictivamente, al aseguramiento de que sus funcionarios y empleados usarán la información revelada por la parte reveladora única y exclusivamente a los efectos de dar cumplimiento a lo establecido en la presente Solicitud a partir de la fecha. La parte receptora deberá adoptar las medidas de seguridad de la información, tanto físicas como informáticas, que sean, como mínimo, acordes con los parámetros generales de la industria en que opera, que resulten suficientes para garantizar la seguridad y confidencialidad de la Información Confidencial, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de la Información Confidencial, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.  

7.2. En forma adicional a lo dispuesto en los Términos y Condiciones relativo a derechos de propiedad intelectual, cada una de las Partes acepta y reconoce que los sistemas de cada una de ellas como asimismo la totalidad de los procedimientos y técnicas necesarios para acceder a, o distribuir la información almacenada en dichos sistemas son de exclusiva propiedad de cada una de las Partes y, que se encuentran plenamente legitimadas a su uso y explotación conforme lo autoriza la Ley de Propiedad Intelectual 11.723 y demás normas concordantes que regulan la protección de datos y los derechos de los autores. 

7.3 Cada una de las Partes se compromete a no realizar ingeniería inversa alguna, descompilación, desensamblado o recopilación de información y/o Base de Dato alguna existente o a través del Sistema de la otra, impidiendo asimismo el acceso con ese objeto a terceras partes, ajenos a los términos y condiciones aquí detallados. 

 

OCTAVA: INDEMNIDAD 

El Usuario Vendedor deberá indemnizar plenamente y mantener indemne a Mercado Pago, sus sociedades relacionadas y sus respectivos directores, gerentes, funcionarios, representantes, agentes y empleados respecto de cualquier daño, costo, pérdida, pasivo, gasto (incluyendo sin limitación, honorarios de abogados, peritos y gastos de justicia) provenientes de reclamos judiciales, administrativos y/o extrajudiciales originados en y/o vinculados con cualquier: (i) incumplimiento del Usuario Vendedor su personal y/o contratistas a las obligaciones asumidas en el marco de este Acuerdo, y/o (ii) falsedad o inexactitud de las declaraciones formuladas y/o (iii) cualquier reclamo de los Usuarios Compradores y/o terceros, incluyendo aquellos vinculados en materia de Defensa del Consumidor. 

NOVENA: DISPONIBILIDAD DE LOS SISTEMAS DE LAS PARTES 

9.1 Todas las transacciones se cursarán a través de Internet. Es de absoluta responsabilidad de cada una de las Partes proveer el correcto y normal funcionamiento de las comunicaciones bajo su control que permitirán generar la Integración Frontend para el funcionamiento del servicio y el cumplimiento de las obligaciones asumidas. 

9.2 Cada una de las Partes tendrá a su cargo las tareas de mantenimiento de sus propios sistemas. No será responsable de las contrataciones que realice la otra parte con otros proveedores de software, soluciones de pago, y/o productos ajenos a dicha propuesta, ni asume responsabilidad alguna sobre las ventas que se efectúen, sus pagos, créditos, débitos, etc.

9.3 En tanto cada una de las Partes se integraría vía Frontend a través de desarrollos y softwares propios, no hará responsable a la contraria por eventuales errores que pudieran obstaculizar el normal acceso a la información alojada en los sistemas de las Partes. En el mismo sentido, ninguna de las Partes será responsable por cualquier tipo de incompatibilidad, errores, interrupciones en el funcionamiento –siendo tal mención al solo efecto enunciativa y no taxativa- que pudiera presentarse entre un software desarrollado por terceros mediante los cuales se pretenda acceder a las bases de datos por ella administradas. 

9.4 Cada una de las Partes declara expresamente que es de su exclusivo cargo y responsabilidad mantener el correcto funcionamiento de los sistemas de su propiedad con el que operará, por lo cual la otra Parte ninguna responsabilidad mantiene a su respecto.

                           

DÉCIMO: LICENCIAS, HABILITACIONES Y PERMISOS

El Usuario Vendedor declara y garantiza a Mercado Pago que cuenta con todas las licencias, habilitaciones y permisos requeridos por Ley para ofrecer los servicios y bienes ofrecidos. En tal sentido, El Usuario Vendedor se compromete a dar cumplimiento con todas las obligaciones, cargas y deberes impuestos por la ley y a mantener vigentes las licencias, habilitaciones y permisos que regulan su actividad.

DÉCIMO PRIMERA: CAUSAS Y OBLIGACIONES DE LAS SOLICITUDES DE PROCESAMIENTO 

En tanto Mercado Pago es ajeno a la obligación que da origen a la Solicitud de Procesamiento de Pago, no verificará las causas, importe o cualquier otra circunstancia relativa a dicha Solicitud de Procesamiento de Pago, así como respecto de la existencia, calidad, cantidad, funcionamiento, estado, integridad o legitimidad de los bienes o servicios ofrecidos, adquiridos o enajenados por el Usuario Vendedor y pagados utilizando Mercado Pago, así como de la capacidad para contratar de los Usuarios. 

Mercado Pago no verificará la causa u obligación que originó la instrucción de pago, ni las demás circunstancias relativas a la instrucción de pago, sin perjuicio de aquellos controles y procedimiento que resulten aplicables a cada caso.

DÉCIMO SEGUNDA: JURISDICCIÓN. 

Este Acuerdo será regido e interpretado de acuerdo con las leyes de la República Argentina, sin consideración de aquellas normas sobre conflictos de leyes que determinan la aplicación de leyes de otra jurisdicción y serán competentes los Tribunales Ordinarios en lo Comercial con asiento en la Ciudad Autónoma de Buenos Aires con renuncia a todo otro fuero o jurisdicción que pudiera corresponder.  

DÉCIMO TERCERA: DATOS PERSONALES

El Usuario Vendedor acuerda cumplir con lo dispuesto en el ANEXO II de Procesamiento de Datos Personales. 

DÉCIMO CUARTA: ANTICORRUPCIÓN -FOREIGN CORRUPT PRACTICES ACT ("FCPA”)

Las Partes se obligan cumplir con las Leyes Anticorrupción, incluyendo pero sin limitarse a, la Ley de Prácticas de Corrupción en el Extranjero (FCPA) de los Estados Unidos, la Ley de Responsabilidad Penal Empresaria N° 27.401 de Argentina, así como también cualquier otra regulación en materia de ética, antisoborno y anticorrupción, en la jurisdicciones en las que se llevan a cabo los negocios. 

El Usuario Vendedor no realizará pago alguno ni llevará a cabo algún acto en virtud del presente Acuerdo si considera de buena fe que dicho pago o acto pudiera ser violatorio de Leyes Anticorrupción. El Usuario Vendedor no deberá, de manera directa ni indirecta, pagar, dar, ofrecer, prometer, o autorizar un pago de dinero, o de cualquier cosa de valor, o para el beneficio de cualquier persona, incluyendo pero no limitando a un Funcionario Público, con la intención de influenciar un acto o decisión de dicha persona, o causar que dicha persona realice u omita un acto en infracción de su deber bajo la ley, o causar que dicha persona influya un acto o decisión de otra persona o entidad con el fin de obtener o retener un negocio o de obtener una ventaja indebida en relación al presente Acuerdo. 

A los fines de este Acuerdo, se entenderá como “Funcionario Público” a: (i) cualquier persona nombrada funcionario o empleado de un gobierno, departamento o dependencia federal, estatal, local, o municipal; (ii) a cualquier funcionario o empleado, de cualquier rango o nivel, de una institución, agencia o departamento gubernamental o empresa pública o controlada por el gobierno; (iii) cualquier funcionario o empleado de una organización pública internacional; (iv) cualquier persona actuando en su carácter de funcionario por o en representación de cualquier gobierno, departamento, agencia o dependencia o cualquier organización pública internacional o persona empleada por una de estas instituciones; y/o (v) cualquier partido político y sus funcionarios, así como cualquier candidato a la función pública. 

El incumplimiento de esta cláusula por parte del Usuario Vendedor en cualquiera de sus aspectos, podrá dar lugar a la extinción inmediata del Acuerdo con la sola notificación a la otra Parte y Mercado Libre no estará obligada a realizar ningún pago al Usuario Vendedor como resultado de este Acuerdo.

DÉCIMO QUINTA: LAVADO DE ACTIVOS Y FINANCIAMIENTO TERRORISMO 

El Usuario Vendedor reconoce que Mercado Pago, MercadoLibre, Inc. y todas las subsidiarias y filiales de MercadoLibre (en adelante, “MELI”) está firmemente comprometido con el cumplimiento de todas las leyes y regulaciones aplicables destinadas a la prevención de las actividades ilícitas, el lavado de activos, el financiamiento del terrorismo y sanciones (“PLA/FT”).  

Esto incluye, sin limitaciones:

1. el cumplimiento con los regímenes de sanciones (las “Sanciones”) aplicables en los países en que MELI lleva a cabo sus actividades, incluidas las Sanciones administradas y/o aplicadas por el Consejo de Seguridad de las Naciones Unidas y la Oficina de Control de Activos en el Extranjero del Departamento del Tesoro de los Estados Unidos (“OFAC”), y otras Sanciones aplicables de otras autoridades. 

2. el cumplimiento de las normas locales e internacionales aplicables en materia de Prevención del Lavado de activos. En especial, en lo que se refiere a la identificación y conocimiento de los clientes, el mantenimiento de un Programa adecuado de PLA/FT, el análisis de operaciones inusuales y reporte de operaciones sospechosas, la debida guarda y conservación de la información y documentación y la confidencialidad de la información relacionada con dicho Programa.

Por lo tanto, el Usuario Vendedor declara que:

1. ni él, ni sus subsidiarias, afiliadas, directores, funcionarios, empleados o agentes es una persona humana o jurídica (“Persona”) propiedad de, o controlada por, Personas que se encuentren (i) Sujetas a Sanciones o (ii) Situadas en, constituidas en, o residentes de un país o territorio que esté sujeto a Sanciones, o cuyo Gobierno esté sujeto a Sanciones, incluyendo sin limitaciones: la Región de Crimea, Cuba, Irán, Siria y Corea del Norte,

2. ha implementado todos los controles necesarios para garantizar que no se procese ninguna transacción, ni se conduzca ninguna actividad que contravenga lo establecido anteriormente.

3. reconoce que debe colaborar con MELI en la Prevención del Lavado de Activos y Financiamiento del Terrorismo, a cuyo fin mantendrá controles adecuados e implementará un eficaz Programa de PLA/FT en caso de que las normas vigentes así lo exigieren, y

4. pondrá a disposición de MELI la información o documentación necesaria que sea requerida en el marco del Programa de PLA/FT, e incluso autorizará la realización de auditorías anuales con el objeto de que Mercado Libre pueda constatar el grado de cumplimiento de las obligaciones asumidas.

El Usuario Vendedor garantiza, a su vez, que ni él ni sus subsidiarias y/o afiliadas realizará transacciones involucrando a “MELI”, que directa o indirectamente (i) se relacione con una actividad o negocio prohibido, según lo definido por las Sanciones, por la normativa vigente o por las políticas internas de MercadoLibre, (ii) sea realizado en nombre de, con, o involucrando a cualquier persona, país o territorio que sea objeto de Sanciones, (iii) que resulte en una violación de Sanciones y/o (iv) que implique una violación a las normas vigentes en materia de PLA/FT o que se trate de una operación inusual o sospechosa.

El Usuario Vendedor reconoce que MELI está sujeto al cumplimiento de normativa local e internacional y que podría recibir requerimientos de autoridades de control o implementar medidas razonables para evitar incumplimientos regulatorios y garantizar una adecuada prevención del Lavado de Activos, Financiamiento del Terrorismo y sanciones y de cualquier otra actividad fraudulenta o delictiva. En tal sentido, declara que no impedirá, frustrará, entorpecerá o de cualquier otra forma atentará contra el cumplimiento por parte de MELI de las normas exigibles y medidas razonables implementadas o a implementar. Asimismo, El Usuario Vendedor declara que exime de responsabilidad a MELI por cualquier acción o medida adoptada en el marco del párrafo anterior.

DÉCIMO SEXTA: PROPIEDAD INTELECTUAL

16.1 Mercado Pago y sus sociedades relacionadas son titulares y/o licenciatarios de todos los derechos de propiedad intelectual relacionados con sus productos y servicios (incluyendo Mercado Pago), tales como sitios web, aplicaciones, todo su contenido, marcas, nombres comerciales, logos, diseños, imágenes, frases publicitarias, derechos de autor, nombres de dominio, programas de computación, códigos, desarrollos, software, bases de datos, información, tecnología, patentes, modelos de utilidad, diseños y modelos industriales, secretos comerciales, entre otros (“Propiedad Intelectual”) y se encuentran protegidos por leyes nacionales e internacionales.. En ningún caso, se entenderá la cesión de la Propiedad Intelectual en favor del Usuario Vendedor.

16.2. Por su parte, el Usuario Vendedor autoriza a Mercado Pago para que utilice  sus marcas, nombres comerciales, y logos (en adelante las “Marcas del Usuario Vendedor”) a efectos de la prestación de los servicios detallados en estos Términos y Condiciones, exhibición en la Aplicación Móvil y Plataforma, así como para su inclusión en piezas publicitarias y/o anuncios relacionados con promociones, ya sea en publicidad gráfica (incluyendo vía pública), en su sitio web, aplicación o en sitios web de terceros, y a través del envío de correo electrónicos o mensajes a su base de usuarios.

DÉCIMO SÉPTIMA: MODIFICACIONES A LOS TÉRMINOS Y CONDICIONES DE INTEGRACIÓN Frontend

Mercado Pago podrá modificar en cualquier momento estos Términos y Condiciones de Integración Frontend. Mercado Pago notificará los cambios al Usuario Vendedor publicando una versión actualizada de dichos términos y condiciones en el Sitio. Todos los términos modificados entrarán en vigor a los 10 (diez) días de su publicación. Dentro de los 10 (diez) días siguientes a la publicación de las modificaciones introducidas, el Usuario Vendedor deberá comunicar por e-mail si no acepta las mismas; en ese caso quedará disuelto el vínculo contractual. Vencido este plazo, se considerará que el Usuario Vendedor acepta los nuevos términos.

 

 

ANEXO I  

 SEGURIDAD DE LA INFORMACIÓN

Este Anexo aplica a los terceros que prestan servicios, socios comerciales e integradores que accedan, consuman o procesen datos y/o tengan acceso e interacción con sistemas e infraestructura tecnológica de Mercado Libre y/o sus Sociedades relacionadas (en adelante “MERCADO LIBRE”).

 

1. Definiciones

Los términos que sean utilizados en este Anexo en mayúscula tendrán el significado que se les otorgue en el Contrato o en el presente Anexo según el siguiente detalle.

“Datos": se refiere a toda Información incluyendo la Confidencial de MERCADO LIBRE, en posesión o tenencia (por cualquier título) de MERCADO LIBRE, sus Afiliadas y/ o terceros, almacenada,  o procesada por el Usuario Vendedor, o que llegue a estar a disposición de éste en el marco del Servicio, tanto en su formato original como en todo otro formato en el que se halle dicha información revisada, rediseñada, manipulada, transformada, compilada o en el modo en que se hubiere generado mediante el Uso Autorizado de la misma.

“Incidente de Seguridad”: se refiere a: (i) todo incumplimiento (incluyendo, sin carácter taxativo, incumplimiento del Servicio) detectado en las instalaciones, equipo, sistemas o personas contratadas o empleadas por el Usuario Vendedor (en adelante un “Incumplimiento”), que en términos razonables pueda esperarse tenga un efecto adverso sobre la seguridad, confidencialidad o integridad de los Datos y de los sistemas involucrados; (ii)  toda apropiación de Datos, y/o situación que implique o constituya un Uso o alteración no autorizado de los Datos y de los sistemas y/o servidores involucrados; como así también toda situación que implique una afectación a su seguridad o constituya un Uso no autorizado de los Datos y (iii) toda falta de cumplimiento a la Política de Seguridad Informática y/o a las Normas relativas a la Protección de Datos.

"Uso": se refiere al procesamiento, almacenamiento, mantenimiento, acceso, recuperación, manipuleo, inspección, examen, observación, revisión, revisación, modificación, traducción, extracción, redacción, compendio, resumen, ampliación, descripción, comentario, enumeración, compilado, recopilación, incorporación, agrupamiento, adaptación, rediseño, gestión, transformación, comunicación, transmisión, distribución, publicación, transferencia, divulgación, entrega, envío, disociación, asociación, clasificación, presentación, ofrecimiento, exhibición, difusión, presentación, eliminación supresión, destrucción, descarte, tratamiento u otra acción respecto a los Datos.

"Uso Autorizado": se refiere al uso de los servidores y/o sistemas de MERCADO LIBRE por parte del Usuario Vendedor exclusivamente en relación con la operatoria normal necesaria para que el Usuario Vendedor preste el Servicio y a sus efectos pertinentes, según lo definido en el Contrato, excluyéndose cualquier otro uso. 

“Usuarios”: individuos que utilizan los productos y/o servicios de MERCADO LIBRE.

"Usuario Autorizado": este término se refiere a todo individuo expresamente autorizado por MERCADO LIBRE a utilizar el Servicio.

"Usuarios del Usuario Vendedor": se refiere a todo empleado efectivo en relación de dependencia del Usuario Vendedor o personal contratado o autorizado por éste para brindar el Servicio en virtud del Uso Autorizado, en base a las credenciales de uso y acceso otorgadas por el Usuario Vendedor

“PCI Standard Council”: PCI SSC (Payment Card Industry Security Standards Council) es un foro compuesto por cinco de las más importantes marcas de pago: Visa Inc., MasterCard, American Express, Discover Financial Services y JCB International. Fue fundado el 7 de septiembre de 2006 con el objetivo de definir los controles de seguridad orientados hacia la protección de los Datos de las tarjetas de pago durante todo el flujo transaccional. Los estándares de seguridad de PCI proporcionan orientación para mantener la seguridad de los pagos. Estos establecen los requisitos técnicos y operativos para las organizaciones que aceptan o procesan transacciones de pago, y para los desarrolladores de software y los fabricantes de aplicaciones y dispositivos utilizados en esas transacciones.

“Entorno de Seguridad Informática”: ambiente de la organización que comprende el conjunto de recursos informáticos correspondientes a cualquier componente físico o virtual utilizado para entrada, procesamiento, producción, comunicación y almacenamiento de datos.

“Tarjetahabiente”: usuario de una tarjeta de crédito y débito.

“Producto Pos”: dispositivo de cobro mediante el cual se leen datos de tarjeta de crédito y/o débito.

“Sociedades Relacionadas”: significa, con relación a MERCADO LIBRE, cualquier otra persona jurídica que la controle o sea controlada por aquélla en forma directa o indirecta, o que junto con esa otra persona estuvieran directa o indirectamente bajo el control común de una tercera persona. A los efectos de esta definición, la palabra “Control” cuando se utilice respecto de una persona determinada significa el poder de dirigir directa o indirectamente la administración y las políticas de dicha persona mediante la titularidad de acciones con derecho a voto o mediante el derecho a elegir la mayoría de los miembros del directorio de dicha persona, y el significado de las palabras “Controle” y “Controlada” será consistente con dicho significado.

“Seguridad Informática”: comprende la protección de los recursos informáticos, conforme los pilares de confidencialidad, integridad, disponibilidad y trazabilidad. Entre los dominios relevantes a la Seguridad Informática, se encuentran:

• Gobierno y cumplimiento de seguridad.
• Seguridad y privacidad de los Datos.
• Seguridad física y ambiental.
• Autenticación y autorización.
• Operaciones de seguridad.
• Seguridad en las comunicaciones.
• Ciclo de vida de desarrollo seguro.
• Seguridad de la nube.
• Prevención y respuesta de Incidentes de seguridad.
• Gestión de activos.
• Gestión de riesgos de seguridad.
• Gestión de riesgos de seguridad de terceros.
• Monitoreo de eventos y anomalías.

Equipamiento(s): significa cualquier bien material e instalaciones asociado al sistema de automatización, mecanización y/o almacenamiento, incluyendo sin limitación a equipos y/o dispositivos tales como sorter, conveyors, elevadores, y/o mezanines, racks a ser provisto y/o instalado por terceros  a MERCADO LIBRE y/o sus Sociedades Relacionadas.

 

2. Objeto

El presente Anexo tiene como objetivo comunicar los lineamientos de seguridad de la información establecidas por  MERCADO LIBRE a los terceros alcanzados por la misma.

En este sentido, MERCADO LIBRE tiene los siguientes pilares de seguridad de la información:

• Confidencialidad
• Integridad
• Disponibilidad
• Trazabilidad
  
  

3. Obligaciones del Usuario Vendedor

Si el Usuario Vendedor y/o sus sistemas interactúan, procesan y/o acceden a los sistemas y/o Datos de MERCADO LIBRE, y/o si MERCADO LIBRE accede y/o utiliza, sistemas del Usuario Vendedor a donde se procese, incluya y/o de acceso a Datos de MERCADO LIBRE, el Usuario Vendedor, sin carácter taxativo, deberá:

(i) Mantener un programa de seguridad informática adecuado a las complejidades de la naturaleza y el alcance de sus actividades y a la sensibilidad de la información que acceda, procese, transaccione y/o almacene.

(ii) Cumplir con la política de seguridad de MERCADO LIBRE que se encuentra en el presente Anexo como apéndice A (“Política de Seguridad de Mercado Libre”).

(iii) Garantizar los siguientes requerimientos:

a. Implementar una Política de contraseñas y auditorías internas.

b. Contar con procedimientos periódicos de revisión de logs.

c. Implementar mecanismos que permitan restringir el acceso a la información a todos los Usuarios del Usuario Vendedor  que no estén expresamente autorizados por MERCADO LIBRE.

d. Usar las últimas versiones disponibles del sistema operativo, antivirus y aplicaciones.

e. Contar con una política de seguridad informática aplicable a sus empleados, contratistas y proveedores que permita resguardar y garantizar la seguridad de la información confidencial a la que se accede.

f.   Mantener un programa anual de concientización de buenas prácticas de seguridad.

g. Implementar buenas prácticas para proteger la seguridad, confidencialidad e integridad de los Datos que resulten razonablemente aplicables al servicio o a determinados tipos de Datos de acuerdo a la evolución de las buenas prácticas de la industria (tales como normas para la seguridad de la información publicadas con posterioridad a la fecha del presente documento por la Organización Internacional para la Estandarización y la Comisión Electrotécnica Internacional - IEC por sus siglas en inglés o en caso de aplicar el Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago, elaborado por el PCI Security Standards Council).

h. Implementar una adecuada gestión de activos de información basada en las mejores prácticas del mercado tales como sin limitarse a ISO, NIST, PCI, etc.

i.   Utilizar mecanismos de encriptación y hashings actualizados y seguros en todo momento al transmitir (incluso a través de la interfaz web), procesar y almacenar Datos.

(iv) Si el Usuario Vendedor tiene a su cargo el tratamiento de los Datos, deberá implementar los mecanismos necesarios y razonables para garantizar su seguridad. Dichos Datos serán utilizados por el Usuario Vendedor por cuenta y orden de MERCADO LIBRE, siendo este último el responsable del tratamiento de la información y el Usuario Vendedor el encargado del tratamiento. En este sentido, se obliga, pero no limita a:

a. Tratar los Datos exclusivamente para la realización del objeto del presente Contrato, de acuerdo con las indicaciones que le proporcione MERCADO LIBRE.

b. Implementar las medidas de seguridad físicas, técnicas y organizativas necesarias, previo al procesamiento de los Datos, para evitar la adulteración, pérdida, consulta o tratamiento no autorizado de los Datos, y que permitan detectar desviaciones, intencionales o no, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado, verificando que no sean inferiores a las dispuestas por la normativa vigente, de manera tal que garanticen el nivel de seguridad apropiado a los riesgos que entraña el tratamiento y a la naturaleza de los Datos que deben protegerse.

c. Guardar el más estricto deber de confidencialidad con relación a los Datos, objeto del tratamiento, la cual subsistirá incluso después de la terminación del presente Contrato. Abstenerse de comunicar, divulgar, transferir o ceder los Datos a terceros, salvo que cuente con la autorización previa, expresa y por escrito de MERCADO LIBRE.

d. Llevar un registro del tratamiento de los Datos que realice por cuenta y orden de MERCADO LIBRE y se comprometa a guardar el más estricto deber de confidencialidad con relación a los Datos, el cual subsistirá incluso después de la terminación del Contrato.

e. Llevar a cabo el tratamiento de Datos con personal calificado, autorizado y capacitado para ello, estableciendo niveles de acceso mínimos e indispensables y en función de la necesidad de saber, quienes cumplirán con el deber de confidencialidad y seguridad. Estos Usuarios deberán recibir adecuado entrenamiento en la materia de protección de Datos y privacidad. A su vez, deberá notificar a MERCADO LIBRE de cualquier cambio en el estado de los Usuarios del Usuario Vendedor que tengan acceso a los sistemas de MERCADO LIBRE (por ejemplo, jubilación, renuncia, despido) a los fines de eliminar dicho acceso. Sólo se notificará el cambio de estado, sin identificar las razones de este. Resolver con prontitud y correctamente todas las solicitudes de MERCADO LIBRE relacionadas con el tratamiento de Datos, incluyendo solicitudes de rectificación o actualización de la información que le realice MERCADO LIBRE.

f. Informar a MERCADO LIBRE y obtener su autorización previa, expresa y por escrito, en caso de subcontratación del tratamiento de los Datos. En ese caso deberá asegurarse que los subcontratistas limiten el uso que hacen de los Datos a las finalidades previstas en la subcontratación, que tengan la capacidad de mantener segura y confidencial la información y de cumplir los requisitos de tratamiento de Datos de MERCADO LIBRE. Asimismo, en el caso que los servicios sean de procesamiento y/o almacenamiento de datos en la nube, se deberá especificar en qué países o regiones son prestados éstos, de acuerdo al marco regulatorio competente.

g. Informar a MERCADO LIBRE sobre la región y los países donde se puedan prestar los servicios y almacenar, tratar y gestionar los Datos. A efectos de la formalización del presente Contrato, El Usuario Vendedor  informará el país o países donde los Datos serán tratados, y la región. En caso de cambio de país y región previamente informados, El Usuario Vendedor deberá notificar a MERCADOLIBRE en un plazo de 60 días hábiles antes de la migración de ubicación, debiendo proporcionar los detalles de las nuevas instalaciones (almacenamiento en la nube en el extranjero) y adoptando un plan de transición segura y de contingencia para la transmisión de datos sin impactar en la ejecución de este Contrato.

h. Suprimir inmediatamente los Datos de propiedad de MERCADO LIBRE en cualquiera de los siguientes casos, salvo que exista algún impedimento legal para ello: (i) Cuando haya terminado la relación jurídica con MERCADO LIBRE; (ii) por instrucciones expresas y por escrito de este último. En cualquier caso, previamente a la eliminación de los Datos, el Usuario Vendedor deberá haber hecho entrega de la misma a MERCADO LIBRE. Asimismo, el Usuario Vendedor utilizará un borrado seguro y permanente, y le proporcionará a MERCADO LIBRE una certificación por escrito de que ha cumplido con el presente párrafo; dicha certificación estará firmada por un representante autorizado del Usuario Vendedor

(v) Utilizar los servidores y/o sistemas y/o Datos de MERCADO LIBRE solo a los efectos del cumplimiento del objeto del presente Contrato y en la medida estrictamente necesaria para el Uso Autorizado. El Usuario Vendedor no podrá, salvo autorización expresa y por escrito en contrario de MERCADO LIBRE:

a. Permitir el uso de, o la conexión a, los servidores y/o sistemas y/o Datos de MERCADO LIBRE a terceros y a Usuarios  del Usuario Vendedor, con excepción de los Usuarios Autorizados.

b. Modificar en modo alguno los servidores y/o sistemas y/o Datos de MERCADO LIBRE o comprometer de otro modo su integridad y disponibilidad.

c. Copiar, duplicar o reproducir de modo alguno, en todo o en parte, los Datos en el formato y por el medio que fuere (excepto por las copias electrónicas temporales y efímeras que resultan fortuita y necesariamente del Uso Autorizado y de las operaciones de realización de copias de seguridad relacionadas con el Uso Autorizado).

(vi) Las credenciales de acceso que sean otorgadas por MERCADO LIBRE a los Usuarios del Usuario Vendedor para cumplir con el objeto de este Contrato deberán ser resguardadas en pos de asegurar su correcta utilización. Para esto, el Usuario Vendedor deberá:

a. Usar una credencial de acceso para poder identificar y autenticar la identidad del Usuario Autorizado al acceder a los sistemas de información de MERCADO LIBRE.

b. Establecer que los Usuarios del Usuario Vendedor utilicen su propia credencial de acceso, no se deberán compartir las credenciales. No se les permitirá compartir o usar usuarios genéricos. Del mismo modo, cada credencial de acceso tendrá un propietario que será responsable de las acciones tomadas. Las contraseñas deben ser personales e intransferibles.

c.     Comunicar a MERCADO LIBRE el cambio o terminación de un Usuario Autorizado para que MERCADO LIBRE proceda a cancelar los permisos de acceso.

(vii) En la medida en que el Usuario Vendedor proporcione, utilice o desarrolle software o librerías de código para MERCADO LIBRE o utilice dicho software para acceder a información o Sistemas de MERCADO LIBRE,el Usuario Vendedor:

a. Elaborará un informe de los resultados obtenidos de la revisión del código de seguridad de la aplicación.

b. Solucionará los problemas de seguridad identificados como resultado de la revisión del código de seguridad de la aplicación.

c. Continuará actualizando y mejorando cualquier aplicación y sistema codificado cuando se identifiquen vulnerabilidades de seguridad.

d.     Garantizará que cualquier mantenimiento que se le haya proporcionado a dichas aplicaciones o sistemas, también cumpla con los requisitos de parcheo.

(viii) El Usuario Vendedor deberá implementar políticas y procedimientos para inventariar, documentar y mantener los flujos de Datos de MERCADO LIBRE distribuidos dentro de las aplicaciones (físicas y virtuales) del servicio y los componentes de la red y los sistemas de infraestructura, o compartidos con terceros para determinar cualquier efecto en el cumplimiento del presente Contrato, ya sea regulatorio, legal o de cadena de suministro y hacer frente a cualquier otro riesgo empresarial relacionado con los Datos.

(ix) El Usuario Vendedor deberá implementar un entorno físico seguro y controlado, con controles ambientales y de acceso. Para ésto, el Usuario Vendedor deberá proteger las ubicaciones físicas donde los Datos de MERCADO LIBRE o el equipo tecnológico de propiedad de MERCADO LIBRE se encuentran alojados tendiendo en consideración los siguientes puntos:

a. Intrusión física, acceso físico no autorizado e ilegal

b. Problemas de calefacción, ventilación o aire acondicionado

c. Fallas o interrupciones de energía (es decir, servicio de energía ininterrumpida)

d. Incendio

e. Robo 

f. Desastres naturales (asociado a un procedimiento de Continuidad de Negocio)

 

4. Incidentes de Seguridad Informática

4.1. Comunicación de Incidentes de Seguridad. Al momento de tomar conocimiento de un Incidente de Seguridad, las Partes se notificarán por escrito y de manera expeditiva, dentro de un plazo que en ningún caso podrá exceder el término de veinticuatro (24) horas naturales, a las casillas de mail irsec@mercadolibre.com y thirdparty.seginf@mercadolibre.co y las que el Usuario Vendedor informe, detallando las circunstancias y particularidades del caso; incluyendo las medidas necesarias para la detección, análisis y mitigación, erradicación y recuperación del incidente.

 

4.2. Soporte de atención ante Incidentes de Seguridad.  En el caso de producirse un Incidente de Seguridad, la Parte afectada tomará las medidas de contención y respuesta al Incidente, las cuales serán realizadas de forma coordinada, participando de las acciones de remediación y crisis en conjunto con la otra Parte, y en ese sentido, pondrá a disposición manera prioritaria un recurso de seguridad informática, en conocimiento del Incidente, con disponibilidad las 24 (veinticuatro) horas (tanto telefónicamente como por correo electrónico), quien deberá:

(i) tener dedicación exclusiva para responder consultas,

(ii) estar calificado para subsanar dicho incidente y actuar en nombre del Usuario Vendedor en la coordinación de la respuesta e iniciativas de corrección; y

(iii) brindar las actualizaciones periódicas que puedan corresponder según las circunstancias del Incidente. De igual modo,el Usuario Vendedor deberá facilitar a MERCADO LIBRE toda la documentación soporte asociada a las fases de seguimiento del incidente (detección, análisis y mitigación, erradicación y recuperación del Incidente) que incluya sin limitarse, la documentación de la solución y el informe forense.

 

4.3. Medidas correctivas. En el caso de ocurrencia de un Incidente de Seguridad, la Parte afectada deberá tomar aquellas acciones correctivas y resarcitorias que la otra Parte pudiera razonablemente solicitar y que resulten habituales para las circunstancias del caso (como por ejemplo: cursar notificaciones de incumplimiento a los individuos afectados). En el caso de producirse un Incidente de Seguridad, las Partes se obligan a indemnizar plenamente y a mantenerse indemnes y/o a sus Sociedades Relacionadas  de cualquier daño, costo, pérdida, pasivo, multas y gastos asociado a dicho Incidente.

La Parte afectada deberá proceder a reembolsar a la otra de manera expeditiva y a pedido escrito de ésta (acompañado del correspondiente detalle) los costos y gastos incurridos a los efectos de la implementación de medidas correctivas y resarcitorias adicionales, adoptadas a raíz de un Incidente de Seguridad.

 

4.4. Declaraciones Públicas. El Usuario Vendedor no podrá emitir comunicados de prensa, cursar notificaciones por escrito a individuos que resultaron afectados o realizar declaraciones públicas respecto a un Incidente de Seguridad sin haber obtenido previamente el consentimiento escrito por parte de MERCADO LIBRE respecto al formato, contenido y momento de dicho anuncio.El Usuario Vendedor deberá prestar su cooperación de buena fe a MERCADO LIBRE respondiendo de forma expeditiva a todas las consultas inherentes a Incidentes de Seguridad.

 

5. Evaluación de riesgos y documentación de seguridad

MERCADO LIBRE podrá  realizar  de forma anual un relevamiento del Entorno de Seguridad Informática del Usuario Vendedor con el fin de hacer una evaluación de riesgos a través de un cuestionario de seguridad relacionado con los servicios y elaborado por el área de Seguridad Informática de MERCADO LIBRE, considerando frameworks y mejores prácticas de la industria resguardando la confidencialidad de la información. Esto deberá ser completado por el Usuario Vendedor, y en caso de que considere necesario, el área de Seguridad Informática podrá solicitar una reunión con el Usuario Vendedor para indagar sobre el programa de Seguridad Informática del mismo.

De igual modo, en el marco del proceso de relevamiento del Entorno de Seguridad Informática del Usuario Vendedor, MERCADO LIBRE solicitará al Usuario Vendedor, documentación soporte sobre sus procesos y controles relevantes a la Seguridad Informática; sin que ello afecte a la confidencialidad de la información. En el caso de que el Usuario Vendedor cuente con un reporte de auditoría con alcance en Seguridad Informática, ante la solicitud de MERCADO LIBRE, el Usuario Vendedor deberá  facilitar las conclusiones del mismo a MERCADO LIBRE cuidando la confidencialidad de la información. El Usuario Vendedor acepta tratar razonablemente cualquier deficiencia observada en la evaluación en función de la gravedad del riesgo.

Adicionalmente, el Usuario Vendedor acepta y garantiza a MERCADO LIBRE el derecho a realizar revisiones de seguridad tales como, pero sin limitar, modelo de amenazas, análisis de vulnerabilidades y/o pentest, en los términos, condiciones y alcance que serán específicamente acordados y formalizados al momento de realizar la revisión.

 

6. Requisitos PCI

En el caso que el Usuario Vendedor procese, transmita y/o almacene Datos de tarjetas de crédito y/o débito o trate información de los Tarjetahabientes y/o de transacciones de tarjeta de crédito y/o débito de los Usuarios de MERCADO LIBRE, sin carácter taxativo, el Usuario Vendedor deberá garantizar:

a. Cumplir con todos los estándares PCI DSS y permanecer en cumplimiento de dichos estándares mientras permanezca vigente el Contrato. A solicitud de MERCADO LIBRE, el Usuario Vendedor deberá presentar el certificado de compliance correspondiente emitido por la autoridad de control (“AOC”) como prueba de haber validado sus procesos y estar en cumplimiento de los estándares PCI DSS.

b. Asegurar la implementación de las medidas de seguridad necesarias para prevenir la divulgación y/o el uso no autorizado de la información del Tarjetahabiente y de la Transacción, de acuerdo con los requerimientos de la normativa aplicable, los estándares de la industria, y sus políticas de privacidad.

c.     Velar porque todos y cada uno de sus empleados, agentes, representantes, prestadores de servicios, proveedores de sus dispositivos, sistemas o procesadores y cualquier otra parte a quien le deba proporcionar acceso a la información de los Tarjetahabientes y/o de la Transacción recolecten y almacenen información en cumplimiento de la normativa aplicable relacionada con la protección y seguridad de los Datos personales y únicamente con el fin de cumplir sus deberes en relación a la realización de sus tareas o servicios.

 

8. Incumplimientos de Seguridad Informática

En caso de incumplimiento de cualquiera de las obligaciones del Usuario Vendedor establecidas en este anexo, MERCADO LIBRE tendrá derecho a suspender y/o rescindir el Contrato hasta que no se acredite el cumplimiento efectivo. En caso de corresponder la disposición PCI, MERCADO LIBRE podrá dar por terminado el Contrato, salvo que el Usuario Vendedor ofrezca y acredite tener medidas de seguridad equivalentes o similares a los estándares PCI DSS. De igual modo, en el caso que sea exigible que el Usuario Vendedor cuente con la certificación PCI PIN y el mismo no posea dicha certificación, MERCADO LIBRE podrá dar por terminado el Contrato. 

En el caso de producirse un Incidente de Seguridad o en el supuesto que MERCADO LIBRE se vea afectada por publicidad de carácter negativo a raíz de un Incidente de Seguridad, MERCADO LIBRE podrá a su criterio suspender o terminar el Contrato, sin responsabilidad alguna, con carácter inmediato, mediante notificación escrita al Usuario Vendedor y reclamar daños y perjuicios en su caso.

 

APÉNDICE A

POLÍTICA DE SEGURIDAD INFORMÁTICA - TERCEROS

1. APLICACIÓN

Para el fin de esta política, son aplicables los terceros que prestan servicios, socios comerciales e integradores que accedan, consuman o procesen datos y/o tengan acceso e interacción con sistemas e infraestructura tecnológica de Mercado Libre y/o sus sociedades relacionadas (en adelante “MERCADO LIBRE”).

En este sentido, son alcanzados los terceros de acuerdo con su nivel de criticidad, encuadre regulatorio y su potencial impacto sobre la confidencialidad, disponibilidad o integridad de la información e infraestructura tecnológica en el marco del objeto del contrato preestablecido y firmado entre las partes.


2. OBJETIVO

La presente política tiene como objetivo comunicar las consideraciones generales de seguridad de la información establecidas por  MERCADO LIBRE a los terceros alcanzados por la misma. Los terceros implicados tomarán conocimiento de dichos lineamientos de seguridad y asumirán el compromiso de realizar todos los esfuerzos razonables para el cumplimiento de esta política.


3. PRINCIPIOS CORPORATIVOS

MERCADO LIBRE busca democratizar el comercio electrónico y desarrollar productos de forma segura, siempre con el objetivo de proteger la información y los datos confidenciales de los usuarios y/o colaboradores.

Los elementos de Seguridad Informática son considerados factores claves para mitigar los riesgos y promover el cumplimiento de las leyes de privacidad y protección financiera  de los Usuarios. En esa misma línea, buscamos proteger los datos e información que posean o procesen los terceros; basándonos en mejores prácticas tales como ISO, NIST, PCI, etc.


4. DEFINICIONES 

A fines de esta política, son aplicables las siguientes definiciones:

• Assessment de seguridad: Cuestionario elaborado por el Área de Seguridad de la Información, basado en marcos y mejores prácticas de mercado sobre Seguridad Informática.
• Colaboradores: empleados efectivos y/o tercerizados de MERCADO LIBRE.
• Incidente de Seguridad: se refiere a: (i) todo incumplimiento (incluyendo, sin carácter taxativo, incumplimiento del Servicio) detectado en las instalaciones, equipo, sistemas o personas contratadas o empleadas por el Usuario Vendedor (en adelante un “Incumplimiento”), que en términos razonables pueda esperarse tenga un efecto adverso sobre la seguridad, confidencialidad o integridad de los Datos y de los sistemas involucrados; (ii)  toda apropiación de Datos, y/o situación que implique o constituya un Uso o alteración no autorizado de los Datos y de los sistemas y/o servidores involucrados; como así también toda situación que implique una afectación a su seguridad o constituya un Uso no autorizado de los Datos y (iii) toda falta de cumplimiento a la Política de Seguridad Informática y/o a las Normas relativas a la Protección de Datos.
• Seguridad Informática: proceso para proteger los recursos informáticos de la organización en sus pilares de confidencialidad, integridad, disponibilidad y trazabilidad.
• Terceros: Empresas con las cuales MERCADO LIBRE tiene una relación comercial, a través de la cual se brindan o reciben productos y/o servicios.
• Usuarios: individuos que utilizan los productos y/o servicios de MERCADO LIBRE.
  
  

5. GESTIÓN DE TERCEROS

Para garantizar la debida gestión de los terceros, MERCADO LIBRE establece controles, tanto técnicos como legales, para minimizar el impacto de un incidente generado por un tercero relacionado. De esta forma, adoptamos cláusulas legales que exigen controles mínimos razonables que garantizan la protección de datos y de los activos a los que se accede. En este sentido, el tercero  toma conocimiento, entiende y se compromete a realizar todos los esfuerzos razonables para el cumplimiento de la presente política.

5.1 EVALUCIACIÓN DE SEGURIDAD DE TERCEROS

MERCADO LIBRE cuenta con un proceso de evaluación de riesgos de Seguridad Informática que aplica para todos los terceros aplicables. El tercero podrá ser evaluado por MERCADO LIBRE a través de un Assessment de seguridad de  tipo cuestionario elaborado por el Área de Seguridad Informática, que contempla frameworks y mejores prácticas de la industria sobre seguridad de la información.


6. GESTIÓN DE INCIDENTES DE SEGURIDAD

El tercero debe tener un proceso definido y formalizado de respuesta a incidentes de seguridad. Los incidentes deben estar identificados, clasificados, monitoreados, comunicados y debidamente tratados a efectos de reducir los riesgos en el ambiente de seguridad, evitando la interrupción de las actividades o desperfectos en su operación o la afectación de la confidencialidad, integridad y disponibilidad de los activos de información de MERCADO LIBRE.


7. RECOMENDACIONES DE SEGURIDAD PARA EL TERCERO

El tercero deberá mantener un programa de Seguridad Informática que contenga información administrativa y técnica para salvaguardar los datos y/o sistemas e infraestructura y procesos de MERCADO LIBRE a los que el tercero tuviera acceso y/o interacción. Este programa debe estar adecuado a las complejidades de la naturaleza y el alcance de sus actividades y a la sensibilidad de sus activos de información.

Tales resguardos incluirán como mínimo y sin limitarse a los siguientes:

(1) Contar con un área de gobierno y seguridad de la información que establezcan las directrices generales de seguridad de la información en pos de asegurar un entorno adecuado de seguridad.

(2) Proteger contra amenazas o peligros previstos a la seguridad o integridad, la información, sistemas, infraestructura y procesos de MERCADO LIBRE.

(3) Proteger contra el acceso no autorizado o uso de información de MERCADO LIBRE en el que pueda resultar en daños sustanciales o inconvenientes para nuestros usuarios y/o colaboradores así como  otras entidades.

(4) Asegurar la existencia de un programa anual de entrenamiento y concientización en Seguridad Informática para todos los empleados, así como a sus terceros con acceso a su ambiente.

(5) Tener formalmente definidos procesos y controles con el objetivo de prevenir, detectar y reducir vulnerabilidades relacionadas con el ambiente cibernético que abarquen, como mínimo, la autenticación, la criptografía, la prevención y la dirección de intrusiones no deseadas, la protección de la información, la realización periódica de tests y escaneos para la detección de vulnerabilidades, la protección contra malware, el establecimiento de logs, los controles de acceso y de segmentación de la red de computadoras y el mantenimiento de copias de seguridad de los datos.

(6) Definir y mantener un programa de continuidad de negocios y gestión y respuesta a incidentes  para minimizar el impacto en la prestación de servicios y/o relaciones comerciales estratégicas a MERCADO LIBRE en caso de posibles incidentes que puedan afectar la continuidad de las operaciones.

(7) Definir y mantener un proceso de gestión de datos y  de back ups, a fin de evitar o mitigar la pérdida de datos ante incidentes.

(8) Tener mecanismos para el monitoreo de los servicios prestados y/o procesos clave en la relación con MERCADO LIBRE.

(9) Contar con un procedimiento de  identificación y segregación de datos almacenados y/o procesados de MERCADO LIBRE por medio de controles físicos y lógicos.

(10) Tener un proceso de desarrollo seguro en caso corresponda, alineado a las mejores prácticas tales como OWASP Top 10

(11) En caso corresponda, contar con procedimientos de transmisión de la información acerca de las operaciones realizadas, desde el terminal hasta la plataforma tecnológica de Mercado Pago utilizando mecanismos de cifrado fuerte.

(12) En caso corresponda, velar porque la información enviada a los clientes esté libre de software malicioso.

(13) En caso corresponda,  definir y mantener campañas informativas sobre las medidas de seguridad que deben adoptar los clientes para la realización de operaciones de comercio electrónico. Aplica para establecimientos de comercio o entidades administradoras de pasarelas de pago.

(14) Utilizar las credenciales de acceso proporcionadas por Mercado Libre únicamente para acceder a las plataformas y/o sistemas de Mercado Libre.

(15) En caso corresponda, para la relación con terceros corresponsales de MERCADO LIBRE, se debe además:

-        Disponer de mecanismos y/o procedimientos que impidan la captura, almacenamiento, procesamiento, visualización o transmisión de la información de las operaciones realizadas, para fines diferentes a los autorizados por MERCADO LIBRE.

-        Asimismo, operar con sistemas de información que permitan realizar las operaciones bajo condiciones de seguridad, calidad y no repudio por parte del corresponsal.

 

 

ANEXO II DATOS PERSONALES

Procesamiento de Datos Personales

1. Definiciones: A los efectos de este Acuerdo, los términos que siguen tendrán el significado que les dé la legislación aplicable o, en su defecto, el que aquí se les asigna:

(i) “Autoridad Competente”: se refiere a una autoridad gubernamental o supragubernamental, judicial o administrativa, que tenga facultades de supervisión y control sobre las Partes.

(ii) “Datos Personales”: se refiere a cualquier información sobre una persona identificada o identificable. Se considerará persona identificable a toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

(iii) "Incidente de seguridad": se refiere a cualquier destrucción, pérdida, divulgación, acceso, uso o alteración de Datos Personales y/o de los sistemas y/o servidores donde se procesan dichos Datos Personales, ya sea real o razonablemente sospechado, accidental, no autorizado o ilegal, o cualquier evento similar descrito en las Leyes de Protección de Datos Personales.

(iv) “Leyes de Protección de Datos Personales”: Se refiere a todas las leyes, normas, reglamentos y órdenes que guarden relación con la privacidad, seguridad, confidencialidad y/o integridad de la Datos Personales que sean de aplicación a las actividades de tratamiento implicadas en este Acuerdo, incluyendo la Ley N° 25.326 de Argentina,

(v) “Mercado Libre”: se refiere a MERCADO PAGO.

(vi) “Responsable de Tratamiento”: la persona que, sola o conjuntamente con otros, determina los fines y los medios del tratamiento de los Datos Personales.

(vii) “Titular de Datos”: una persona identificada o identificable cuyos Datos Personales sean tratados por las Partes y que tenga derechos sobre ellos, de acuerdo a lo establecido en las Leyes de Protección de Datos Personales.

(viii) “Tratar”, “Tratamiento” o “Procesamiento”: se refiere a cualquier operación realizada sobre los Datos Personales, incluyendo, pero  no limitándose a la recopilación, consulta, recepción, uso, transferencia, recuperación, manipulación, grabación, organización, almacenamiento, mantenimiento, hospedaje, adaptación, alteración, posesión, revelación, divulgación, bloqueo, supresión, destrucción, venta o concesión bajo licencia.

 

2. Obligación general de cumplimiento. Cuando se traten Datos Personales en el marco de este Acuerdo, ambas Partes actuarán como Responsables de Tratamiento y cumplirán con las Leyes de Protección de Datos Personales. 

 

3. Avisos de privacidad. Cada una de las Partes declara tener una política, declaración o aviso de privacidad que describe adecuadamente sus operaciones de tratamiento de Datos Personales. Cada una de las Partes tratará los Datos Personales de acuerdo con dichas políticas, declaraciones o avisos y las Leyes de Protección de Datos Personales. Cuando lo exijan las Leyes de Protección de Datos Personales, las Partes compartirán entre sí sus avisos, políticas o declaraciones de privacidad.

 

4. Finalidad y proporcionalidad del tratamiento. Cada Parte que reciba Datos Personales de la otra Parte los tratará únicamente para los fines establecidos en este Acuerdo.  

Si alguna Parte realizara alguna actividad de tratamiento de los Datos Personales que no esté relacionada con la ejecución de  este Acuerdo, esa Parte será la única responsable de dicho tratamiento, quedando la otra Parte exenta de cualquier obligación o responsabilidad que de ella se derive.

 

5. Seguridad y confidencialidad de los Datos Personales: Cada una de las Partes se compromete a aplicar y mantener las medidas que resulten adecuadas para la seguridad, integridad y confidencialidad de los Datos Personales que estén en su poder o bajo su control.

Esta cláusula es complementaria a lo establecido en el Anexo Seguridad de la Información y sólo sustituirá cualquiera de los derechos y obligaciones allí establecidos en la medida en que dichos derechos y obligaciones sean menos protectores de los Datos Personales.

 

6. Incidentes de Seguridad: Cada Parte notificará a la otra, en un plazo que no será mayor a 72 horas, cuando tome conocimiento de un Incidente de Seguridad. Cada una de las Partes proporcionará a la otra la asistencia que sea razonablemente necesaria para que cumpla con sus obligaciones en virtud de las Leyes de Protección de Datos Personales.

Esta cláusula es complementaria a lo establecido en el Anexo - Seguridad de la Información y sólo sustituirá cualquiera de los derechos y obligaciones allí establecidos en la medida en que dichos derechos y obligaciones sean menos protectores de los Datos Personales.

 

7. Ejercicio de derechos de los Titulares de Datos. Las Partes serán responsables por separado de responder las solicitudes de los Titulares de Datos en relación con sus derechos emanados de las Leyes de Protección de Datos Personales. 

Las Partes cooperarán razonablemente, en la medida en que lo permitan o exijan las Leyes de Protección de Datos Personales y otras normas aplicables, para responder adecuadamente a las solicitudes de los Titulares de Datos.

 

8. Requerimientos de Autoridades Competentes. Las Partes acuerdan notificarse, en el plazo que establezca la Ley de Protección de Datos Personales y sin demora injustificada, cualquier requerimiento que provenga de una Autoridad Competente y que se relacione con los Datos Personales que sean tratados por las Partes en el marco de este Acuerdo.

Las Partes deberán colaborar tanto como lo permitan o lo exijan las Leyes de Protección de Datos Personales y otras regulaciones aplicables para contestar adecuadamente los requerimientos de las Autoridades Competentes.

 

9. Deber general de notificación. Cada una de las Partes notificará a la otra cualquier circunstancia de la que tenga conocimiento que pueda impedir a cualquiera de las Partes el cumplimiento de las Leyes de Protección de Datos Personales o sus obligaciones en virtud del presente Acuerdo, o que de algún otro modo pueda impactar negativamente en el tratamiento de los Datos Personales.

 

10. Limitación de Responsabilidad. Si alguna Parte realizase alguna actividad de tratamiento de los Datos Personales que no esté relacionada con la ejecución de esta Oferta, esa Parte será la única responsable de dicho tratamiento, quedando la otra Parte exenta de cualquier obligación o responsabilidad que de ella se derive.

 

11. Calidad de los Datos Personales. Las Partes harán sus mejores esfuerzos para que los Datos Personales que se traten durante la ejecución de este Acuerdo sean ciertos y actualizados. Las Partes se notificarán si toman conocimiento de inexactitudes en los Datos Personales. 

 

12. Plazo de conservación de los Datos Personales. Las Partes no conservarán los Datos Personales por más tiempo del necesario para cumplir con las finalidades y obligaciones establecidas en este Acuerdo. 

Sin embargo, las Partes podrán conservar los Datos Personales por un plazo adicional cuando: (i) así lo permitan o lo impongan las leyes aplicables; o (ii) así lo hayan autorizado los Titulares de Datos.

 

13. Transferencia internacional. Si en el marco de este Acuerdo se enviaran Datos Personales hacia un país que no garantice un nivel adecuado de protección según las Leyes de Protección de Datos Personales, las Partes cumplirán con las siguientes disposiciones:

 

13.1. Legislación aplicable y jurisdicción. Las Partes acuerdan que las Leyes de Protección de Datos Personales aplicables a este Acuerdo serán las del país en donde se encuentre Mercado Libre.

Las Partes aceptan la jurisdicción de las Autoridades Competentes del país cuyas Leyes de Protección de Datos Personales se apliquen a este Acuerdo.

13.2. Transferencias ulteriores. En el caso de que la Parte importadora de los Datos Personales tenga que realizar una transferencia internacional ulterior en el marco de la ejecución de este Acuerdo o del cumplimiento de sus obligaciones legales, tomará los recaudos que sean necesarios para garantizar que los Datos Personales tengan un adecuado nivel de protección en el nuevo país receptor y que el importador cumpla con obligaciones equivalentes a las previstas en este Acuerdo.

 13.3. Responsabilidad de las Partes. Las Partes acuerdan que en caso de que a un Titular de Datos le resulte imposible o excesivamente costoso hacer llegar un reclamo o petición a alguna de las Partes, también podrá reclamar a la otra Parte con el fin de que ésta -en la medida de sus propias responsabilidades y obligaciones bajo este Acuerdo- le dé la respuesta que corresponda de acuerdo con las Leyes de Protección de Datos Personales. La Parte que reciba el reclamo o petición deberá notificar a la otra Parte en el plazo que establezcan las Leyes de Protección de Datos Personales y sin demora injustificada.

 

14. Disposiciones Responsable-Responsable. Las Partes harán sus mejores esfuerzos para que los Datos Personales que se traten durante la ejecución de este Acuerdo sean ciertos y actualizados. Las Partes se notificarán si toman conocimiento de inexactitudes en los Datos Personales.