QUE, los numerales 19 y 20 del artículo 66 de la Constitución de la República del Ecuador reconocen y garantizan el Derecho a la Protección de Datos de carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección, así como, el Derecho a la Intimidad.

QUE, el artículo 52 de la Ley Orgánica de Protección de Datos Personales publicada en el Quinto Suplemento del Registro Oficial No.459, 26 de mayo 2021, establece que los responsables y encargados de tratamiento de datos personales pueden acogerse a códigos de conducta, en virtud de los Principios de Autorregulación y Responsabilidad Proactiva.

QUE, la compañía TRANSFERUNION S.A. (en adelante TRANSFERUNION), es de nacionalidad ecuatoriana domiciliada en el cantón Guayaquil, debidamente constituida mediante escritura pública de fecha 7 de junio de 1994, otorgada por el Notario Vigésimo Cuarto del cantón Guayaquil e inscrita en el Registro Mercantil de tal cantón, el 28 junio del mismo año. Mediante escritura pública otorgada por el Notario Trigésimo del cantón Guayaquil, celebrada el 16 de enero de 2001 e inscrita en el Registro Mercantil de tal cantón, el 17 de septiembre de 2001, TRANSFERUNION, reformó integralmente su Estatuto Social, de modo que, este último instrumento público es el vinculante para la antedicha persona jurídica.

QUE, en virtud de los numerales1, 12, 24 y 30 del artículo 33 del Reglamento Interno de Trabajo debidamenteaprobado por la Autoridad Nacional en materia de Laboral de TRANSFERUNION, loscolaboradores tienen la obligación de acatar y cumplir con las políticas y reglamentos de la empresa,guardar escrupulosamente los secretos comerciales de TRANSFERUNION, en estecaso los Datos Personales de sus clientes y proveedores. Este incumplimiento podría acarrear sanciones por parte del empleador al colaborador.e este modo, en función a lo que dicta la Ley Orgánica de Protección de DatosPersonales, los colaboradores fungen como Encargados de TRANSFERUNION en elTratamiento de Protección de Datos.

QUE, en virtud de los literales B, C y D del artículo 20 del Estatuto Social vigente de TRANSFERUNION, el Directorio de la antedicha sociedad mercantil, aprueba y emite el presente Código de Conducta de Políticas Generales de Privacidad, al tenor de los siguientes términos y condiciones:

El presente instrumento tendrá alcance y será de obligatorio cumplimiento para los proveedores, representantes, sub-representante, licenciatarios, franquiciados, contratistas, colaboradores, directivos, clientes y cualquier persona natural y/o jurídica que tenga una relación contractual, de cualquier naturaleza, con TRANSFERUNION. El tiempo de vigencia de este instrumento será del plazo de existencia legal que tenga TRANSFERUNION.

En virtud de los Principios de Autorregulación y Responsabilidad Proactiva, el objeto y finalidad del presente Código de Conducta es garantizar el ejercicio del derecho a la protección de datos personales, que incluye el acceso y decisión sobre información y datos de este carácter, así como su correspondiente protección. El tratamiento de los Datos que por medio de este Código de Conducta se regulan incluye el uso de documentación impresa, análoga y digital tratada a través del uso documentación física o herramientas de monitoreo de software del sitio y otros recursos tecnológicos como sistemas informáticos y operativos TRANSFERUNION.

Los Datos Personales que TRANSFERUNION almacena y procesa se implementan por medio procedimientos físicos, electrónicos y administrativos, en pleno cumplimiento de los estándares internacionales de Protección de Datos Personales, para salvaguardar y protegerla información contra pérdida, uso indebido, acceso no autorizado o divulgación, alteración o destrucción. Sin embargo, debido a la naturaleza inherente del internet como un vehículo de comunicación global abierto, no se puede garantizar que cualquier información, ya sea durante la transmisión a través de Internet o mensajes de datos, mientras esté almacenada en los archivos físicos y/o digitales de TRANSFERUNION y/o sus encargados, esté absolutamente a salvo de la intrusión de otros, incluyendo de los ataques informáticos. Sin embargo, en caso de violaciones a la seguridad notificaremos en el menor tiempo posible la existencia de un riesgo a sus derechos, en aplicación de la Ley Orgánica de Protección de Datos Personales.

La conservación y retención de los datos personales e información anónima será recopilada a través de los formularios, mensajes de datos, contratos y de las plataformas electrónicas (de ser el caso), para fines operativos, de registro, de cumplimiento del objeto social, obligaciones contractuales y legales. Se retendrán los datos personales durante el período necesario para cumplir con los fines que en acápites posteriores se describirán, a menos que una norma aplicable exija un período de retención más extenso.

En estricto cumplimiento del objeto social de TRANSFERUNION, los datos personales que esta y sus encargados recopilarán, procesarán, almacenarán y tratarán de los clientes, de manera enunciativa, mas no limitativa, serán los siguientes: Datos generales,sensibles, biométricos, crediticios, patrimoniales y de contacto, Información recibida mediante formularios, suscripción física y/o en línea, registro (nombres y apellidos, Correo electrónico, números de teléfono, documento de identidad, ciudad y país de residencia, organización a la que pertenece, cargo en la organización, entre otros); Datos anónimos relacionados con el comportamiento del usuario durante la visita a las plataformas electrónicas, sea a través de cookies, píxeles o tecnologías similares. Entre otros, se recopila el tiempo de la visita y los contenidos visitados; Datos anónimos relacionados con las herramientas de acceso y su interacción con la plataforma electrónica, tales como dirección IP, características del navegador y dispositivo, preferencias de idioma o URL de referencia y otra información técnica; y, Datos financieros o patrimoniales, cuando se requieran para el seguimiento del cumplimiento de un contrato y/o el objeto social antedicho.

Los datos personales descritos en el artículo anterior se utilizarán para las siguientes finalidades: La gestión de formularios, suscripción y/o registros físicos y/o en línea; Optimizar la pertinencia de los contenidos; Para contactar a los usuarioso titulares de datos, en respuesta a las solicitudes físicas y/o en línea que hayan realizadoa TRANSFERUNION; Para promocionar, por cualquier medio físico y/o digital, los productos, servicios y novedades de TRANSFERUNION y de sus encargados; Para identificar si los contenidos son pertinentes y relevantes de acuerdo con sus intereses, así como para identificar mejoras en los canales de comunicación en términos de experiencia del usuario y diseño de TRANSFERUNION; Los datos relacionados con las herramientas de acceso se emplean tanto para identificar mejoras en el desempeño de sus plataformas electrónicas, como para garantizar el funcionamiento del sitio, su seguridady la de su información; Presentación de propuestas de venta de productos y/o servicios a clientes; para fines estadísticos y publicitarios (por vías digitales y/o físicas); realizarla transferencia nacional o internacional de sus datos a propósito de sus obligaciones contractuales y legales, para efectos decumplir con su objeto social relacionado a la/s transacción/es que realice el cliente; anonimizarlos para efectos de seguridad; actualizar sus datos; realizar cualquier tipo de tratamiento que esté estrictamente relacionado al cumplimiento de sus obligaciones legales; para sorteos o promociones, encuestas de satisfacción o sondeo de nuevos productos u otro tipos contacto con el cliente; y, Cumplimiento de las relaciones jurídicas que se generen, así como también obligaciones contractuales con terceros.

Las comunicaciones mediante las cuales se recopilarán los datos personales son principalmente a través de correos electrónicos, mensajes de datos, mensajes de correo postal, llamadas telefónicas, formularios, contratos escritos y electrónicos y difusión de anuncios en plataformas digitales (redes sociales).

El tratamiento de los datos personales se llevará a cabo conforme a los principios de licitud, lealtad, transparencia, limitación de la finalidad, minimización de datos, exactitud, integridad, confidencialidad y responsabilidad; previstos en la Ley Orgánica de Protección de Datos Personales.

TRANSFERUNION no venderá, distribuirá ni arrendará los datos personales de sus clientes a terceros. Asimismo, no se realizarán transferencias, de datos personales, salvo aquellos casos en que sean estrictamente necesarios para la realización de las actividades y funciones de TRANSFERUNION, de acuerdo con los siguientes supuestos:

5.1. Cuando lo requieran las autoridades competentes, con la finalidad de cumplir con la normativa correspondiente. Por ejemplo, en respuesta a una orden judicial, arbitral y/ administrativa.

5.2. Cuando se requiera la transferencia a empresas o instituciones con las que se celebre un contrato.

5.3. Cuando se presente la relación con clientes, con la finalidad de prestarles servicios ofrecidos por TRANSFERUNION.

5.4. Información sobre cookies y otras tecnologías de seguimiento. Los tipos de cookies que las plataformas digitales de TRANSFERUNION recopila son los siguientes: técnicas, de personalización, de análisis, publicitarias, de publicidad comportamental, de complementos y de reproductor multimedia. El sitio web, sus sub-sitios y las plataformas digitales recopilan registros anónimos durante las visitas de los usuarios, esto se puede hacer a través de cookies o tecnologías similares para retener información sobre el cliente y su uso. Otra tecnología que se utiliza son los pixeles, que son fragmentos de código en los canales de TRANSFERUNION y permiten recopilar información anónima sobre el desempeño de anuncios en línea y del correo masivo, así como para encauzar mensajes de difusión en otras plataformas como las redes sociales o los buscadores.

5.5. Realizar consultas en las bases de datos públicas y/o privadas, para efectos del cumplimiento del contrato y su objeto social.

La Ley Orgánica de Protección de Datos Personales vigente en el Ecuador otorga ciertos derechos a los titulares. En términos generales, el cliente tiene, o puede tener, el derecho (como se establece con más detalle en las leyes de protección de datos aplicables) a:

6.1. Conocer, actualizar, rectificar y solicitar la supresión de sus datos personales entregados a TRANSFERUNION. Este derecho se podrá ejercer, entre otros, frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.

6.2. Revocar la autorización y/o solicitar la supresión del dato cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Protección de Datos Personales haya determinado que, en el tratamiento, TRANSFERUNION ha incurrido en conductas contrarias a la Ley Orgánica de Protección de Datos Personales y a la Constitución de la República del Ecuador.

6.3. Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento.

6.4. Los demás que establezca la Ley Orgánica de Protección de Datos Personales, su reglamento y directrices emitidas por la Autoridad Nacional competente en materia de Protección de Datos Personales.

Estos derechos no son absolutos. Por ejemplo, si un cliente revoca su voluntad para procesar sus datos personales, TRANSFERUNION podrá continuar procesando sus datos personales en la medida requerida o permitida por la ley, en particular en relación con el ejercicio y la defensa de los derechos u obligaciones legales y/o regulatorias.

El plazo para atender las solicitudes de ejercicio de los derechos contemplados en la Ley Orgánica de Protección de Datos Personales es de quince (15) días a partir de la recepción de la solicitud. Esta petición se procesará en los departamentos correspondientes, en función del organigrama interno de TRANSFERUNION.

TRANSFERUNION, dentro de su objeto social y servicios que ofrece a sus clientes, tanto en ventanilla como en sus plataformas digitales, tiene como actividad comercial el envío y recepción de remesas y fondos de manera internacional, de modo que, sus clientes aceptan de forma libre, específica, informada e inequívoca la transferencia internacional de sus datos personales a propósito de estos servicios. Por su parte, TRANSFERUNION, se compromete a mantener los más altos estándares en protección de datos personales a propósito de sus servicios de transferencias internacionales de fondos monetarios, que cumplen con todas las regulaciones especiales en materia bancaria y comercial.

Finalmente, TRANSFERUNION exigirá a sus corresponsales, representantes, sub- representantes, franquiciados u otras instituciones privadas y/o públicas domiciliadas fuera de la República del Ecuador, que reciban datos personales de sus clientes a propósito de las transacciones internacionales arriba señaladas, el cumplimiento de los más altos estándares de protección de datos personales.

Cuando una persona accede y acepta los términos y condiciones establecidos en el portal web y plataformas digitales de TRANSFERUNION, autoriza de forma libre, específica, informada e inequívoca a TRANSFERUNION S.A. y sus encargados a almacenar, procesar, tratar y recolectar bases de datos personales, crear perfiles, con la finalidad de perfeccionar todas las transacciones que ejecuta la plataforma digital de transferencias de fondos y pago de servicios varios. De este modo, la autorización descrita se hace extensiva para que todas las dependencias de TRANSFERUNION, inclusive sus representantes, sub- representantes y franquiciados recolecten, recauden, almacenen, usen, circulen, supriman, procesen, compilen, intercambien, traten, actualicen y dispongan de los datos personales que por los medios digitales han sido suministrados y que se han incorporado en las distintas bases o bancos de datos, o en repositorios electrónicos de todo tipo con que cuenta TRANSFERUNION, y que serán utilizados de forma directa por TRANSFERUNION en su calidad de Responsable del Tratamiento o a través de terceros como Encargados del Tratamiento según se definen a continuación:

8.1. Los Datos Personales que sean recolectados serán usados para los siguientes fines: Envío de información y documentos relacionados con los bienes y/o servicios que ofrece TRANSFERUNION y que han sido adquiridos y/o contratados por los clientes; Remisión de información acerca de las ofertas, incentivos y promociones realizados de forma periódica por TRANSFERUNION; Envío de boletines y de correos electrónicos y demás mensajes de datos, informando sobre novedades (Newsletters) y eventos o actividades que realice TRANSFERUNION; Envío de felicitaciones y congratulaciones por fechas especiales; Envío de encuestas de opinión sobre la satisfacción de clientes y/o usuarios del sitio web y/o plataformas digitales de TRANSFERUNION; y, Realización de encuestas y/o sondeos de opinión sobre productos y servicios ofrecidos por TRANSFERUNION.

En los casos que TRANSFERUNION lo considere necesario y especialmente en los casos de transacciones y transferencias de fondos, TRANSFERUNION realizará las consultas y/o solicitará la información en cualquier otra Entidad que maneje banco de datos, con el fin de validar la veracidad de la transacción y la titularidad del emisario y beneficiario de la transacción, consultar información de contenido comercial, crediticio, financiero, de servicios y la proveniente de terceros países y en general para consultar acerca del cumplimiento de las relaciones y obligaciones que ha tenido el Titular (cliente) de la información con el sector financiero y sobre las relaciones y obligaciones que a futuro adquiera con dicho sector. La presente autorización a TRANSFERUNION, que, dicho sea de paso, es libre, específica, informada e inequívoca, estará vigente por el tiempo que subsista la relación comercial entre el Titular de la Información (cliente) y TRANSFERUNION y sus encargados, y/o exista obligación insoluta a cargo del Titular de la Información (cliente). TRANSFERUNION se compromete a no tener manejos adicionales a los condicionales antes expuestos de la información proporcionada, y dicha información solo se empleará para las estrategias comerciales y de comunicación propias de TRANSFERUNION y no será bajo ningún motivo compartida o comercializada para ninguna estrategia externa.

Los datos recaudados y las autorizaciones serán almacenados en las Bases de datos de TRANSFERUNION y de sus encargados, y permanecerán bajo su custodia en condiciones de idoneidad, confidencialidad y seguridad generalmente admitidas. Sólo el personal autorizado podrá acceder a estas Bases de datos. Se observarán los protocolos de acceso y seguridad que se consideran estándar en estas actividades para evitar la vulneración o manipulación de la información recopilada. No obstante, lo anterior, TRANSFERUNION podrá operar las bases de datos mediante un Encargado del Tratamiento de datos.

En estricto cumplimiento al objeto social de TRANSFERUNION, los datos personales que se recopilarán, procesarán, almacenarán y tratarán de los colaboradores de TRANSFERUNION (bajo relación de dependencia), de manera enunciativa, mas no limitativa, serán los siguientes: Datos Biométricos, Datos académicos y profesionales, tales como currículum y título profesional; Familiares y personas de referencia en caso de cualquier acontecimiento que amerite su contacto, a criterio de la máxima autoridad del departamento de Recursos Humanos (En tales casos, de acuerdo con los formularios correspondientes, el colaborador declarará que cuenta con el consentimiento de sus familiares y personas de referencia, para compartir sus datos personales); Datos de salud, considerados como datos personales sensibles, cuando se requiera dicha información para el cumplimiento de las obligaciones de TRANSFERUNION respecto a sus colaboradores y, de ser requerido, a los candidatos a empleo; Financieros o patrimoniales, cuando se requieran para el seguimiento de una prestación laboral o el cumplimiento de un contrato; Datos de los colaboradores almacenados en los directorios activos y plataformas de TRANSFERUNION; Datos Personales de toda índole de sus hijos bajo relación de dependencia para efectos de cumplimiento de la Código Orgánico de la Niñez y Adolescencia, obligaciones patronales y laborales; Datos anónimos relacionados con las herramientas de acceso y su interacción con las plataformas digitales, tales como dirección IP, características del navegador y dispositivo, preferencias de idioma o URL de referencia y otra información técnica; y, Datos financieros o patrimoniales, cuando se requieran para el seguimiento de la relación laboral.

Los datos personales descritos en el artículo anterior se utilizarán para las siguientes finalidades: Gestionar el proceso de contratación y en su caso, integrar el expediente laboral correspondiente (Durante el proceso de entrevistas se podrán filmar y/o grabar las mismas), esto implica que se considera como tratamiento legitimo todo dato personal obtenido durante el proceso de contratación; Elevar y/o alimentar al sistema de nómina el Dato Biométrico del colaborador para efectos de monitorear las horas de llegada y salida; Realizar las gestiones de Recursos Humanos y actividades relacionadas con las actividades a desempeñar; Efectuar los pagos de las contraprestaciones correspondientes y administrar la nómina; Otorgar prestaciones o beneficios adicionales a los contemplados en el contrato de trabajo; Ofrecer cursos, beneficios de descuento y bonos de cumpleaños a los colaboradores; Cumplir con las obligaciones derivadas de la relación laboral; Los datos relacionados con las herramientas de acceso se emplean tanto para identificar mejoras en el desempeño de la infraestructura tecnológica, como para garantizar el funcionamiento de los sistemas informáticos, sitios, sus seguridades y la de su información; y, al Cumplimiento de todas las obligaciones generadas por la relación laboral y patronal.

Las comunicaciones mediante las cuales se recopilarán los datos personales son principalmente a través de correos electrónicos, mensajes de datos, mensajes de correo postal, llamadas telefónicas, formularios, contratos escritos y difusión de anuncios en plataformas digitales.

El tratamiento de los datos personales se llevará a cabo conforme a los principios de licitud, lealtad, transparencia, limitación de la finalidad, minimización de datos, exactitud, integridad, confidencialidad y responsabilidad; previstos en la Ley Orgánica de Protección de Datos Personales.

TRANSFERUNION no venderá, distribuirá ni arrendará los datos personales de sus colaboradores a terceros. Asimismo, no se realizarán transferencias, de datos personales, salvo aquellos casos en que sean estrictamente necesarios para la realización de las actividades y funciones de TRANSFERUNION, de acuerdo con los siguientes supuestos:

11.1. Cuando lo requieran las autoridades competentes, con la finalidad de cumplir con la normativa correspondiente. Por ejemplo, en respuesta a una orden judicial, arbitral y/ administrativa.

11.2. Cuando se requiera la transferencia a empresas o instituciones con las que se celebre un contrato, a propósito del cumplimiento de su giro ordinario.

11.3. Cuando se presente la relación con clientes, con la finalidad de prestarles servicios y productos ofrecidos por TRANSFERUNION.

11.4. Entrega de datos personales de los colaboradores a propósito de un contrato de beneficios para el personal bajo relación de dependencia: por ejemplo, de forma enunciativa mas no limitativa, gimnasios, spa, pólizas de seguro de salud, etc.

En estricto cumplimiento al objeto social de TRANSFERUNION, los datos personales que se recopilarán, procesarán, almacenarán y tratarán de los proveedores, representantes, sub-representantes y franquiciados de TRANSFERUNION (cualquier tipo de relación contractual civil, mercantil y/o comercial), de manera enunciativa, mas no limitativa, serán los siguientes: Datos Biométricos (en caso de que los proveedores, representantes, sub- representantes y/o franquiciados sean personas naturales) y Datos Biométricos de los colaboradores y/o subcontratistas de los suscritos; En general cualquier dato personal del proveedor, sus colaboradores y/o subcontratistas para efectos del proceso de selección y/o contratación de las personas enunciadas en el presente artículo; Información recibida mediante formularios, mensajes de datos, suscripción, registro (Razón Social, Registro Único de Contribuyentes o Documento de Identidad, Nombres y apellidos del Representante Legal, Correo electrónico de correspondencia legal y tributaria, Nombres y apellidos del responsable comercial o de soporte, Correo electrónico del responsable comercial o soporte, Números de teléfono, Ciudad y país de residencia, Cargo en la organización); y, Datos financieros o patrimoniales, cuando se requieran para el seguimiento del cumplimiento de un contrato.

Los datos personales descritos en el artículo anterior se utilizarán para las siguientes finalidades: Los datos obtenidos por TRANSFERUNION, que se deriven del cumplimiento de las relaciones jurídicas que se generen con los proveedores, representantes, sub- representantes y/o franquiciados, serán utilizados únicamente para la finalidad expresada en el objeto del contrato; Para la gestión de formularios, suscripción y/o registros; Revisión y análisis de la información para el periodo de selección de los suscritos; Para contactar a los usuarios o titulares de datos que almacenan los proveedores, representantes, sub- representantes y/o franquiciados, en respuesta a las solicitudes que hayan realizado directamente a TRANSFERUNION, a propósito del cumplimiento del contrato respectivo con los suscritos; Para promocionar los productos, servicios y novedades de TRANSFERUNION; Compartir Datos personales de los colaboradores y/o subcontratistas de los proveedores, representantes, sub-representantes y/o franquiciados para efectos del cumplimiento del contrato respectivo, en el sentido de que, TRANSFERUNION, pueda transmitirle tales datos a sus clientes para el cumplimiento de su giro ordinario; y, Realizar consultas en las bases de datos públicas y/o privadas, para efectos del cumplimiento del contrato y su objeto social.

Las comunicaciones mediante las cuales se recopilarán los datos personales son principalmente a través de correos electrónicos, mensajes de datos, mensajes de correo postal, llamadas telefónicas, formularios, contratos escritos y difusión de anuncios en plataformas digitales.

El tratamiento de los datos personales se llevará a cabo conforme a los principios de licitud, lealtad, transparencia, limitación de la finalidad, minimización de datos, exactitud, integridad, confidencialidad y responsabilidad; previstos en la Ley Orgánica de Protección de Datos Personales.

TRANSFERUNION no venderá, distribuirá ni arrendará los datos personales de sus proveedores, representantes, sub-representantes y/o franquiciados a terceros. Asimismo, no se realizarán transferencias, de datos personales, salvo aquellos casos en que sean estrictamente necesarios para la realización de las actividades y funciones de TRANSFERUNION, de acuerdo con los siguientes supuestos:

14.1. Cuando lo requieran las autoridades competentes, con la finalidad de cumplir con la normativa correspondiente. Por ejemplo, en respuesta a una orden judicial, arbitral y/ administrativa.

14.2. Cuando se requiera la transferencia a empresas o instituciones con las que se celebre un contrato, a propósito del cumplimiento de su giro ordinario.

14.3. Cuando se presente la relación con clientes, con la finalidad de prestarles servicios y productos ofrecidos por TRANSFERUNION.

La Política de Seguridad de la Información persigue la adopción de un conjunto de medidas destinadas a preservar la calidad, confidencialidad, integridad y disponibilidad de la información, que constituyen los cuatro componentes básicos de la seguridad de la información, y tiene como objetivo establecer los requisitos para proteger la información, los equipos y servicios tecnológicos que sirven de soporte para los procesos de TRANSFERUNION.

Esta política incorpora medidas de seguridad la información adecuada de acuerdo a los principios de legalidad, corrección y transparencia requeridos para la prevención de pérdida de los datos personales bajo el cuidado de TRANSFERUNION ya sea por eventos accidentales, accesos no autorizados, alteración o divulgación sin el consentimiento de los titulares.

Además, se limita el acceso a los datos personales a aquellas personas ya sean colaboradores, proveedores, contratistas, representantes, sub-representantes y/o franquiciados y terceros que requieran acceder a ellos para los propósitos legítimos del tratamiento aquí descrito. Solo las personas autorizadas por TRANSFERUNION podrán acceder y consultar información personal bajo su autorización e instrucciones las cuales serán realizadas en estricta confidencialidad y en total respeto a la privacidad de los datos personales de los titulares.

Se han definido procesos para la identificación preventiva de riesgos potenciales en pérdida, robo, extravío y divulgación no autorizada de datos personales y en el escenario eventual de algún incidente de seguridad de la información se procederá a notificar a los titulares de los datos personales y a la autoridad de control pertinente del suceso y las medidas correctivas a implementar en caso de ser aplicables.

En cumplimiento de la Ley Orgánica de Protección de Datos Personales y se establecen los siguientes principios básicos como directrices fundamentales de seguridad de la información que han de tenerse presentes en cualquier actividad relacionada con el tratamiento de información:

16.1. Alcance estratégico: La seguridad de la información deberá contar con el compromiso y apoyo de todos los niveles directivos de TRANSFERUNION, de forma que pueda estar coordinada e integrada con el resto de las iniciativas estratégicas para conformar un marco de trabajo completamente coherente y eficaz.

16.2. Seguridad integral: La seguridad de la información se entenderá como un proceso integral constituido por elementos técnicos, humanos, materiales y organizativos, evitando, salvo casos de urgencia o necesidad, cualquier actuación puntual o tratamiento coyuntural. La seguridad de la información deberá considerarse como parte de la operativa habitual, estando presente y aplicándose durante todo el proceso de diseño, desarrollo y mantenimiento de los sistemas de información.

16.3. Gestión de riesgos: El análisis y gestión de riesgos será parte esencial del proceso de seguridad de la información. La gestión de riesgos permitirá el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables. La reducción de estos niveles se realizará mediante el despliegue de medidas de seguridad, que establecerá un equilibrio entre la naturaleza de los datos y los tratamientos, el impacto y la probabilidad de los riesgos a los que están expuestos, la eficacia y el coste de las medidas de seguridad.

16.4. Proporcionalidad: El establecimiento de medidas de protección, detección y recuperación deberá ser proporcional a los potenciales riesgos, a la criticidad y valor de la información y de los servicios afectados.

16.5. Mejora continua: Las medidas de seguridad se reevaluarán y actualizarán periódicamente para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección. La seguridad de la información será atendida, revisada y auditada por personal calificado.

16.6. Seguridad por defecto: Los sistemas deberán diseñarse y configurarse de forma que garanticen un grado suficiente de seguridad por defecto.

Puesto que la seguridad de la información incumbe a todo el personal de TRANSFERUNION, esta Política deberá ser conocida, comprendida y asumida por todos sus colaboradores, representantes, sub-representantes y/o franquiciados y directivos.

Para la consecución de los objetivos de estos principios y políticas, TRANSFERUNION deberá establecer una estrategia preventiva de análisis sobre los riesgos que pudieran afectarle, identificándolos, implantando controles para su mitigación y estableciendo procedimientos regulares para su reevaluación.

Se establecen los siguientes requisitos con el objetivo de mantener la seguridad en los puestos de trabajo:

17.1. Se deberá bloquear la sesión de los equipos cuando el colaborador deje el puesto, tanto por medios manuales (bloqueo por parte del usuario), como de forma automatizada mediante la configuración del bloqueo de pantalla.

17.2. Se deberá dejar recogido el entorno de trabajo al finalizar la jornada. Esto incluye la necesidad de que todo documento o soporte de información quede fuera de la vista, guardando bajo llave los que por su clasificación sean confidenciales o secretos.

17.3. Se deberá mantener ordenado el puesto de trabajo y despejado de documentos o soportes de información que puedan ser vistos o accesibles por otras personas.

Se deberá tener identificados e inventariados los activos de información necesarios para la prestación de los procesos de negocio de TRANSFERUNION. Adicionalmente, se deberá mantener actualizado el inventario de activos. Se deberá realizar la clasificación de los activos en función del tipo de información que se vaya a tratar de acuerdo con lo dispuesto en el presente acápite.

Se deberá asignar un responsable encargado de realizar la gestión propia de los activos de información durante todo el ciclo de vida. El responsable deberá mantener un registro formal de los usuarios con acceso autorizado a dicho activo.

Además, para cada activo o elemento de información deberá existir un responsable o propietario, el cual tendrá la responsabilidad de asegurar que el activo esté inventariado, correctamente clasificado y adecuadamente protegido.

Se deberá actualizar de manera periódica las configuraciones de los activos para permitir el seguimiento de estos y facilitar una correcta actualización de la información. Esta medida es aplicable a los proveedores, colaboradores, representantes, sub-representantes y/o franquiciados de TRANSFERUNION.

TRANSFERUNION permitirá la política conocida como BYOD (Bring Your Own Device), que permite a los colaboradores utilizar sus recursos o dispositivos móviles personales para acceder a recursos o información de TRANSFERUNION. Adicionalmente, los colaboradores deberán tener en cuenta una serie de requisitos establecidos en esta Política:

19.1. Se deberán aplicar las mismas medidas y configuraciones de seguridad a los dispositivos personales que tratan información igual que al resto de dispositivos de TRANSFERUNION. Esto significa que el órgano de gobernanza y/o administrativo de TRANSFERUNION puede ordenar que se inspeccione el contenido de tal dispositivo, para efectos de confidencialidad patronales y laborales.

19.2. El colaborador será responsable de los equipos BYOD. En el caso exclusivo de los colaboradores de TRANSFERUNION, para efectos de cumplimiento de sus obligaciones laborales, solo tendrán acceso y tratamiento a los siguientes Datos de los Clientes de TRANSFERUNION si sus funciones lo ameritan: nombres y apellidos, dirección de domicilio u oficina, teléfono de domicilio, oficina y/o celular y su correo electrónico.

19.3. Los colaboradores deberán mantener actualizado el dispositivo BYOD personal donde traten información de cualquier tipo de TRANSFERUNION y tener instaladas medidas de seguridad aprobadas por el departamento pertinente.

19.4. Los colaboradores deberán recibir autorización de su responsable de área para utilizar dispositivos BYOD. Estos dispositivos estarán registrados en un inventario que estará a cargo del área administrativa de la empresa.

19.5. Cualquier incidencia que pueda afectar a la confidencialidad, integridad o disponibilidad de estos dispositivos debe ser reportada por el colaborador dentro del tiempo máximo de 12 horas a la ocurrencia del incidente, a su jefe inmediato superior, Gerencia, el departamento de tecnología y de Recursos Humanos. Esta notificación obligatoria coadyuvará a que las autoridades tomen las medidas preventivas y correctivas inmediatas, en base a su infraestructura tecnológica ante ciberataques o fuga de datos personales. La incidencia y notificación obligatoria se hace extensiva a robo o hurto del dispositivo.

En caso de desvinculación del colaborador, por cualquier causal establecida en el Código del Trabajo, el jefe de área le solicitará la inactivación de su usuario y contraseña de acceso a cualquier plataforma de TRANSFERUNION. Igual aplicación tendrá esta disposición para los proveedores, representantes, sub-representantes y/o franquiciados de TRANSFERUNION, en caso de cualquier tipo de terminación contractual, y estará a cargo la inactivación de quien designe TRANSFERUNION, en función de su organigrama administrativo.

TRANSFERUNION deberá gestionar adecuadamente el ciclo de vida de la información, de manera que se puedan evitar usos incorrectos durante cualquiera de las fases. El ciclo de vida de un activo de información consta de las siguientes fases:

20.1 Creación o recolección: esta fase se ocupa de los registros en su punto de origen. Esto podría incluir su creación por un miembro de TRANSFERUNION, sus proveedores, representantes, sub-representantes y/o franquiciados o la recepción de información desde una fuente externa. Incluye correspondencia, mensajes de datos, formularios, informes, entrada/salida del ordenador u otras fuentes.

20.2. Distribución: es el proceso de gestión de la información una vez que se ha creado o recibido. Esto incluye tanto la distribución interna como externa, ya que la información que sale de TRANSFERUNION, representantes, sub-representantes y/o franquiciados se convierte en un registro de una transacción con terceros.

20.3 Uso o acceso: se lleva a cabo después de que la información se distribuya internamente, y puede generar decisiones de negocio, generar nueva información, o servir para otros fines. Detalla el conjunto de usuarios autorizados por TRANSFERUNION a acceder a la información.

20.4. Almacenamiento: es el proceso de organizar la información en una secuencia predeterminada y la creación de un sistema de gestión para garantizar su utilidad dentro de TRANSFERUNION y sus relaciones contractuales con proveedores, representantes, sub- representantes y/o franquiciados.

20.5. Destrucción: establece las prácticas para la eliminación de la información que ha cumplido los períodos de retención definidos y la información que ha dejado de ser útil para TRANSFERUNION. Los períodos de conservación de la información deberán estar basados en los requisitos normativos, legales y jurídicos que afectan a TRANSFERUNION. También deberán tenerse en cuenta las necesidades de negocio. Si ninguno de estos requisitos exige que la información sea conservada, deberá ser desechada mediante medios que garanticen su confidencialidad durante el proceso de destrucción.

Se deberán realizar copias de seguridad de la información, de la Base de Datos y se deberán verificar periódicamente. Para ello, se deberán realizar copias de seguridad de aplicaciones, ficheros y bases de datos con la periodicidad que establezcan las directrices emitidas por la Autoridad Nacional de Protección de Datos Personales.

Las copias de seguridad deberán recibir las mismas protecciones de seguridad que los datos originales, asegurándose su correcta conservación, así como los controles de acceso adecuados.

Como norma general y siempre que sea posible, se deberá requerir que la información en las copias de seguridad esté cifrada. Este requerimiento será obligatorio para determinados tipos de información confidencial.

Se deberá realizar pruebas de restauración de copias de seguridad disponibles y de los procesos de restauración definidos, a fin de garantizar el funcionamiento correcto de los procesos. Estas se realizarán de forma periódica y quedarán documentadas.

Se deberá establecer un período de retención de las copias de seguridad hasta su destrucción una vez terminado el período de existencia. Esta periodicidad de retención y destrucción periodos se ceñirá a lo que establezcan las directrices de la Autoridad Nacional de Protección de Datos Personales.

Las copias de seguridad, tanto de archivos maestros como de aplicaciones y archivos de información se deberán ubicar en lugares seguros con acceso restringido. Asimismo, las copias de respaldo se ubicarán preferentemente en un centro distinto al que las generó.

Se deberá definir un modelo de clasificación de la información que permita conocer e implantar las medidas técnicas y organizativas necesarias para mantener su disponibilidad, confidencialidad e integridad. El modelo de clasificación deberá integrar los requisitos y condiciones establecidos en el presente acápite.

El modelo de clasificación deberá tener un responsable encargado de su actualización cuando se crea conveniente, así como de dar a conocer el modelo de clasificación a todos los colaboradores de TRANSFERUNION.

22.1. Tipos de información: TRANSFERUNION y sus representantes, sub-representantes y/o franquiciados deberán clasificar la información en función del soporte en el que está siendo utilizado: (i)Soportes lógicos: información que esté siendo utilizada mediante medios ofimáticos, correo electrónico o sistemas de información desarrollados a medida o adquiridos a un tercero; (ii) Soportes físicos: información que esté en papel, soportes magnéticos como USB, DVD, discos duros externos, etcétera.

22.2. Niveles de clasificación: En función de la sensibilidad de la información, TRANSFERUNION deberá catalogar la información en tres niveles: Uso público, Difusión limitada e Información confidencial.

22.3. Gestión de información privilegiada: La información que se considere reservada, confidencial o secreta se deberá tratar con especial cuidado. Se deberá definir medidas de seguridad extraordinarias o adicionales para el adecuado tratado de la información privilegiada. Ese tipo de información se deberá enviar cifrada y mediante protocolos seguros, cuando TRANSFERUNION lo considere necesario.

22.4. Etiquetado de la información: TRANSFERUNION deberá etiquetar mediante métodos manuales o, en la medida de lo posible, automatizados para facilitar el procesamiento adecuado de las medidas de seguridad que apliquen en cada caso. Se deberán etiquetar los documentos o materiales, así como los anexos, copias, traducciones o extractos de estos, según los niveles de clasificación de la información.

Se deberá definir un proceso o procedimiento para el etiquetado de la información de acuerdo con los siguientes requisitos: Asegurar que el etiquetado de la información refleja el esquema de clasificación de la información adoptado; Asegurar que las etiquetas sean fácilmente reconocibles entre todos los colaboradores; Orientar a los colaboradores sobre dónde y cómo se colocarán o utilizarán las etiquetas, en función del proceso de acceso a la información o a los activos que la soportan; Indicar las excepciones en los que se permite omitir el etiquetado, sin que ello suponga una omisión del deber de clasificar la información.

Se deberá prestar especial atención y tratar con cuidado máximo el etiquetado de activos físicos que contengan información reservada o secreta, para evitar su sustracción por ser fácilmente identificable. Asimismo, se deberá establecer las medidas técnicas, si fueran necesarias, y viables de etiquetado automático de la información soportada en medios digitales.

22.5. Manipulación de la información: TRANSFERUNION se encargará de desarrollar e implementar un conjunto adecuado de procedimientos para la correcta manipulación de la información. Se deberán adoptar las medidas necesarias para proteger la información de acuerdo a su clasificación. La información privilegiada estará en todo momento custodiada durante todo el ciclo de vida de la misma.

22.6. Privacidad de la información: TRANSFERUNION, sus representantes, sub- representantes y/o franquiciados deberán asegurar la privacidad de los datos de carácter personal con el objetivo de proteger los derechos fundamentales de las personas físicas, especialmente su derecho al honor, intimidad personal y familiar y a la propia imagen (dato biométrico), mediante el establecimiento de medidas para regular el tratamiento de los datos.

La fuga de información es una salida no controlada de información (intencionada o no intencionada) que provoca que la misma llegue a personas no autorizadas o que su propietario pierda el control sobre el acceso a la misma por parte de terceros.

Se deberá analizar los vectores de fuga de información, en función de las condiciones y operativa de trabajo de TRANSFERUNION, de sus representantes, sub-representantes y/o franquiciados. Para ello, se deberá identificar los activos cuya fuga supone mayor riesgo para cada sociedad, basándose en la criticidad del activo y el nivel de clasificación que la información tenga. Además, se deberán identificar las posibles vías de robo, pérdida o fuga de cada uno de los activos en sus diferentes estados del ciclo de vida.

TRANSFERUNION deberá definir procedimientos para evitar la ocurrencia de las situaciones que puedan provocar la pérdida de información, así como procedimientos de actuación en caso de que se notifique una fuga de información. Los procedimientos en los casos que ameriten se los hará extensivos a sus proveedores, representantes, sub- representantes y/o franquiciados.

Se deberá asegurar la formación y capacitación de todos los colaboradores en torno a buenas prácticas para la prevención de fugas de información. Especialmente se deberán tener en cuenta, al menos, los siguientes aspectos: Proceso para el manejo de dispositivos de alta criticidad; Uso adecuado de dispositivos extraíbles como USB, CD/DVD o similares; Uso del correo electrónico personal en los equipos de TRANSFERUNION; Transmisión de información de forma oral; Impresión de documentación; Salida de documentación; Uso de dispositivos móviles; Uso de internet; Escritorios limpios y ordenados; y Equipos desatendidos.

Todos los sistemas de información de TRANSFERUNION deberán contar con un sistema de control de acceso a los mismos. Asimismo, el control de acceso se enfoca en asegurar el acceso de los usuarios y prevenir el acceso no autorizado a los sistemas de información, incluyendo medidas como la protección mediante contraseñas.

24.1. Requisitos de negocio para el control de acceso: TRANSFERUNION deberá asumir una serie de requisitos de negocio para el control de acceso, que serán, al menos, los siguientes: Los usuarios (colaboradores, representantes, sub-representantes y/o franquiciados y directivos) deberán ser únicos y no podrán ser compartidos. Asimismo, los roles serán inicialmente asignados mediante el principio de mínimo privilegio; Se prohibirá el uso de usuarios genéricos (en su defecto, se utilizarán cuentas de usuario asociadas a la identidad nominal de la persona asociada); Siempre que sea posible, se deberá de disponer de un doble factor de autenticación para el acceso a los sistemas de información, siendo obligatorio para aquellos que puedan ser accesibles desde redes públicas.

24.2. Derechos de acceso: TRANSFERUNION deberá implementar controles de acceso que garanticen que a los usuarios (colaboradores, representantes, sub-representantes y/o franquiciados y/o directivos) sólo se les otorguen privilegios y derechos necesarios para desempeñar su función. Los derechos de acceso deberán ser establecidos en función de:

24.2.1. Control de acceso basado en roles: deberán establecerse perfiles o roles de acceso por aplicación y/o sistemas para poder asignar los mismos a los diferentes usuarios.

24.2.2. Necesidad de saber: Sólo se permitirá el acceso a un recurso cuando exista una necesidad legítima para el desarrollo de la actividad.

24.2.4. Segregación de funciones: deberá asegurarse una correcta segregación de funciones para desarrollar y asignar derechos de acceso.

24.3. Control de acceso lógico: TRANSFERUNION deberá establecer una Política de contraseñas adecuada y alineada con las buenas prácticas en seguridad. La política de contraseñas definirá los requisitos de las contraseñas y los plazos de mantenimiento de una misma contraseña.

24.4. Teletrabajo: Se deberá controlar el acceso remoto a la red de TRANSFERUNION, de sus colaboradores, representantes, sub-representantes y/o franquiciados en la modalidad de trabajo a distancia, esto es, fuera de las instalaciones propias. Los servicios de conexión al trabajo en remoto estarán destinados exclusivamente al personal de TRANSFERUNION y a los colaboradores de sus representantes, sub-representantes y/o franquiciados (de ser el caso). Su uso por parte de cualquier otro tipo de colaborador requerirá autorización del responsable de seguridad. El equipo utilizado para la conexión en la modalidad de trabajo en remoto podrá ser propiedad del colaborador o proporcionado por TRANSFERUNION, sus representantes, sub-representantes y/o franquiciados. En cualquier caso, es obligatorio que el equipo cumpla con los siguientes requerimientos de seguridad: Capacidad de realizar una conexión a través de una VPN; Disponer de un sistema operativo actualizado con los últimos parches y actualizaciones de seguridad; Software antivirus instalado; y, Software de firewall/cortafuego personal instalado.

El teletrabajo desde un equipo propio del trabajador requerirá de todas las medidas de seguridad oportunas, con el objetivo de que el trabajo en remoto no suponga una amenaza para la seguridad de la información de TRANSFERUNION, de sus representantes, sub- representantes y/o franquiciados. Además, se podrán establecer medidas de seguridad adicionales a las existentes para asegurar de una manera más fiable la conexión segura en remoto. El servicio de teletrabajo se controlará, registrándose tanto la conexión como la actividad de acuerdo con los protocolos de seguridad. En ese sentido, el colaborador que utilice sus dispositivos propios para realizar teletrabajo deberá notificar a su jefe inmediato tal hecho, para que registre el equipo en la bitácora de dispositivos privados de los colaboradores descrita en el artículo 19 del presente Código de Conducta. En caso de fuga de datos, ciberataque, hurto, robo, perdida o desvinculación laboral de TRANSFERUNION, sus representantes, sub-representantes y/o franquiciados, se seguirán las mismas disposiciones de notificación a las autoridades y/o eliminación de los datos personales de los clientes de TRANSFERUNION (de ser el caso).

TRANSFERUNION deberá definir e implementar un adecuado sistema de gestión del ciclo de vida de la identidad. La identidad es el conjunto de características que identifican de forma unívoca a toda persona con acceso físico a lógica a los sistemas de información de TRANSFERUNION. El ciclo de vida de la identidad es el proceso que sigue la identidad de un usuario desde su creación hasta su eliminación.

El ciclo de vida de la identidad se compone de las siguientes actividades: Creación y asignación de la identidad; Revisión periódica; y, Modificación o eliminación. La gestión de este ciclo requiere definir los requisitos de seguridad y responsabilidades de cada una de las etapas, con el objetivo de centralizar y facilitar los procesos de gestión asociados a las mismas.

La gestión del ciclo de vida de la identidad deberá estar alineada con el área de Recursos Humanos con el objetivo de verificar las identidades en función de las altas y bajas de colaboradores y su correspondencia en los sistemas de información.

La asignación y uso de derechos de acceso privilegiado deberá estar restringida y controlada. El acceso privilegiado es el acceso a sistemas como administrador o con un rol que ofrezca la posibilidad de modificar la configuración del sistema.

La asignación de derechos de acceso privilegiado deberá ser controlada a través de un proceso formal de autorización de acuerdo con las políticas de control de acceso. Deberán considerarse, al menos, los siguientes requisitos: Deberán identificarse los derechos de acceso privilegiados asociados a cada sistema o proceso (por ejemplo, sistema operativo, sistema de gestión de base de datos o aplicación), así como los usuarios a los que estos les deberán ser asignados; La asignación de derechos de acceso privilegiados deberá realizarse en base a las necesidades de uso, basándose en el mínimo privilegio y necesidad de saber; Deberá definirse un proceso de autorización que incluya un registro de los privilegios asignados; Deberán definirse los requisitos para la caducidad de los derechos de acceso privilegiado; Las competencias de los usuarios con derechos de acceso privilegiado deberán revisarse regularmente con el objeto de verificar que se encuentran alineadas con sus obligaciones; Deberán establecerse y mantenerse procedimientos y mecanismos específicos para evitar el uso no autorizado de cuentas de usuario genéricas para la administración, conformes con las capacidades de configuración de los sistemas; y, Se deberán establecer procedimientos y mecanismos que aseguren la confidencialidad de la información secreta de autenticación para los usuarios genéricos de administración.

Los espacios físicos donde se ubiquen los sistemas de información de TRANSFERUNION, sus representantes, sub-representantes y/o franquiciados, deberán estar protegidos adecuadamente mediante controles de acceso perimetrales, sistemas de vigilancia y medidas preventivas de manera que puedan evitarse o mitigar el impacto de incidentes de seguridad y accidentes ambientales. Además, deberá haber un control de acceso físico a la información que se encuentre en formato físico mediante un registro en papel sobre quién accede a la información, en formato de bitácora de ingreso, salida, fecha, hora e identidad.

TRANSFERUNION, sus proveedores, representantes, sub-representantes y/o franquiciados, en el evento de funcionar con los servicios de almacenamiento de en Nube, deberá mantener una política de trabajo en la nube o cloud computing que establezca las medidas de seguridad adecuadas para la confidencialidad, integridad y disponibilidad de la información. Dependiendo del tipo de modelo de servicio en la nube, se deberán aplicar diferentes medidas de seguridad:

27.1. Infraestructura: en primer lugar, se deberá asegurar que el proveedor monitoriza el entorno para detectar cambios no autorizados. Además, se deberá establecer fuertes niveles de autenticación y control de acceso para los administradores y las operaciones que estos realicen. Por último, las instalaciones y/o configuraciones del servicio los deberán estar registrados y conectados con el objetivo de obtener la trazabilidad adecuada.

27.2. Plataforma: de forma adicional a las medidas indicadas en el modelo de servicio de infraestructura, el proveedor de servicio deberá proporcionar mecanismos de seguridad correspondiente al ciclo de vida del software seguro.

27.3. Software: de forma adicional a las medidas indicadas en el modelo de servicio de plataforma, TRANSFERUNION, sus representantes, sub-representantes y/o franquiciados y el proveedor deberán seguir OWASP (Open Web Application Security) como guía para la seguridad de las aplicaciones.

Todos los sistemas de información de TRANSFERUNION, de sus representantes, sub- representantes y/o franquiciados que procesan o almacenan información de su propiedad deberán contar con las medidas de seguridad oportunas que optimicen su nivel de madurez adecuado. Asimismo, se deberán gestionar, controlar y monitorizar las redes de manera adecuada, a fin de protegerse de las amenazas y mantener la seguridad de los sistemas y aplicaciones que utilizan la red, incluidos los controles de acceso a la red, protegiendo así toda la información que se transfiera a través de estos elementos y/o entornos.

La arquitectura de red de TRANSFERUNION, sus representantes, sub-representantes y/o franquiciados, deberán contar con medidas de prevención, detección y respuesta para evitar brechas en los dominios internos y externos. Se entiende por “dominio interno” la red local compuesta por los elementos tecnológicos de TRANSFERUNION accesibles exclusivamente desde la red interna. Por otra parte, se entiende por “dominio externo” la red accesible desde el exterior de la red de TRANSFERUNION.

Es de suma importancia la administración de seguridad de las redes que atraviesan el perímetro de TRANSFERUNION, implantando controles adicionales para los datos sensibles que circulen por las redes de comunicación públicas.

Por ello, TRANSFERUNION definirá las pautas de seguridad a seguir con relación a la transferencia de información, así como las medidas de seguridad en la utilización de equipos portátiles, servicios de internet y correo electrónico, y de controles específicos que permitan una conexión segura a los sistemas de información de TRANSFERUNION, sus representantes, sub-representantes y/o franquiciados desde fuera de sus instalaciones.

Toda la adquisición, desarrollo y mantenimiento de los sistemas deberá contar con unos requisitos mínimos de seguridad necesarios para el desarrollo de software, los sistemas y los datos acorde con las buenas prácticas del sector. Además, deberá realizarse una gestión de las pruebas, el seguimiento de los cambios y el inventario del software.

Cada departamento de TRANSFERUNION, sus representantes, sub-representantes y/o franquiciados, deberán tener en cuenta la seguridad de la información en sus procesos de sistemas y datos, procedimiento de selección, desarrollo e implementación de aplicaciones, productos y servicios.

Se deberá poner especial atención en evaluar la criticidad de todos los servicios susceptibles de ser subcontratados de manera que puedan identificarse aquellos que sean relevantes desde el punto de vista de la seguridad de la información, ya sea por su naturaleza, la sensibilidad de los datos que deban tratarse o la dependencia sobre la continuidad de negocio.

Sobre los proveedores de estos servicios se deberán cuidar los procesos de selección, requerimientos contractuales como la terminación contractual, la monitorización de los niveles de servicio, la devolución de datos y las medidas de seguridad implantadas por dicho proveedor, que deberán ser, al menos, equivalentes a las que se establecen en el presente acápite.

Todos los colaboradores de TRANSFERUNION, sus proveedores, representantes, sub- representantes y/o franquiciados tienen la obligación y responsabilidad de la identificación y notificación al responsable de seguridad de TRANSFERUNION de cualquier incidente, fuga de datos, ciberataque, perdida, robo, hurto de equipos propios o de TRANSFERUNION, representantes, sub-representantes y/o franquiciados o delito que pudiera comprometer la seguridad de sus activos de información. Asimismo, TRANSFERUNION, sus representantes, sub-representantes y/o franquiciados deberá implementar procedimientos para la correcta gestión de los incidentes detectados.

Se deberá definir un procedimiento de gestión de respuesta ante incidentes, en el que se defina un proceso de categorización de incidentes, análisis de impactos de negocio y escalado por parte de la función de seguridad de la información y ciberseguridad ante cualquier incidente relacionado con la seguridad de la información.

En este sentido, si existe un incidente de fuga de datos, ciberataque, perdida, robo, hurto de equipos propios o de TRANSFERUNION, sus proveedores, representantes, sub- representantes y/o franquiciados el colaborador que tenga conocimiento y/o responsabilidad de aquello deberá notificar inmediatamente a la Gerencia, Departamento Informático y Recursos Humanos de TRANSFERUNION, sus representantes, sub- representantes y/o franquiciados, respectivamente, con el fin de tomar las medidas correctivas inmediatas e idóneas para subsanar tal hecho. Esta obligación es indispensable para cumplir con la notificación que debe realizar TRANSFERUNION, sus representantes, sub-representantes y/o franquiciados (que fungen como encargados) a las Autoridades y Titulares de Datos Personales en caso de emergencias e incidentes informáticos, tal como lo establecen los artículos 44, 45 y 46 de la Ley Orgánica de Protección de Datos Personales.

Respondiendo a requerimientos de calidad y buenas prácticas, TRANSFERUNION deberá disponer de un Plan de Continuidad de Negocio como parte de su estrategia para garantizar la continuidad en la prestación de sus servicios esenciales o críticos y el adecuado manejo de los impactos sobre el negocio ante posibles escenarios de crisis, proporcionando un marco de referencia para que la sociedad actúe en caso de ser necesario. Este Plan de Continuidad deberá ser actualizado y probado periódicamente.

TRANSFERUNION deberá encargarse de la formación y capacitación para todos sus colaboradores en materia de Continuidad del Negocio. La formación en materia de Continuidad del Negocio deberá ser revisada periódicamente con el objetivo de estar totalmente alineada con el Plan existente.

TRANSFERUNION deberá comprometerse a dotar los recursos necesarios para dar cumplimiento a toda la legislación y regulación aplicable a su actividad en materia de seguridad de la información y establecer la responsabilidad de dicho cumplimiento sobre todos sus miembros. En este sentido, se velará por el cumplimiento de toda legislación, normativa o regulación aplicable.

PRIMERA: Cuando la Autoridad Nacional de Protección de Datos Personales emita su reglamento y directrices para la designación del Delegado de Protección de Datos, en el evento de que, TRANSFERUNION, configure o califique, de acuerdo a su giro ordinario y a los Datos Personales que trata, como una entidad obligada a contratar al antedicho delegado, TRANSFERUNION aplicará y ejecutará las medidas pertinentes para el cumplimiento de la precitada obligación.

SEGUNDA: Por medio del presente Código de Conducta, TRANSFERUNION podrá emitir las cláusulas tipo y/o declaraciones referentes al Tratamiento de Datos Personales para cualquier tercero, colaboradores, persona natural y/o jurídica, que tenga relaciones jurídicas de cualquier naturaleza con TRANSFERUNION. Esto incluye, la suscripción y celebración de adendas de Tratamiento de Datos Personales con sus representantes, sub- representantes y/o franquiciados. Los proveedores, representantes, sub-representantes y/o franquiciados de TRANSFERUNION quedan obligados al cumplimiento del presente Código de Conducta.

TERCERA: TRANSFERUNION podrá emitir directrices, protocolos e instructivos internos que deriven del presente Código de Conducta de Políticas Generales de Privacidad tendientes al estricto cumplimiento del mismo.

CUARTA: En caso de recopilación, procesamiento y tratamiento de Datos Personales provenientes de fases pre-contractuales, de cualquier naturaleza, TRANSFERUNION, se reserva el derecho de almacenarla, eliminarla y/o anonimizarla por el tiempo que esta considere pertinente, salvo que exista disposición legal que exija un tratamiento distinto.

QUINTA: En lo no previsto en el presente Código de Conducta se estará a lo que dispone la Ley Orgánica de Protección de Datos Personales, su Reglamento, directrices emitidas por la Autoridad Nacional de Protección de Datos Personales, y las demás normas de protección de datos personales crediticios que emitan las autoridades competentes, de acuerdo al artículo 18 del Reglamento de la Ley Orgánica de Protección de Datos Personales

SEXTA: En los procesos de TRANSFERUNION de recolección del consentimiento por parte del titular para el tratamiento sus datos personales, que no conste en soporte digital y/o físico, producto de la misma naturaleza de la transacción, en función del artículo 5 del Reglamento de la Ley Orgánica de Protección de Datos Personales, se entenderá como acción afirmativa y por tanto aceptación de tratamiento, el mero hecho de realizar la transacción, con lo cual, en base al principio de transparencia TRANSFERUNION, en todas sus dependencias y las de sus representantes, sub-representantes y franquiciados, se hará constar un letrero que indique el tipo de tratamiento, sus finalidades y tiempo de conservación.

SÉPTIMA: De acuerdo al artículo 38 del Reglamento de la Ley Orgánica de Protección de Datos Personales, en vista de que TRANSFERUNION tiene más de 100 colaboradores bajo relación de dependencia, deberá de llevar un registro electrónico de actividades de tratamiento de datos, en base a las disposiciones y prerrogativas de aquel articulado.