Política de privacidad: 

En Attrus, nos tomamos muy en serio nuestra responsabilidad de proteger la privacidad, la confidencialidad, la integridad y la disponibilidad de los datos personales. Aplicamos un marco integral de privacidad de datos y seguridad de la información basado en el riesgo, que se ajusta a la legislación vigente, a los requisitos normativos y a las mejores prácticas del sector.

1. Programa de protección de datos y seguridad de la información

Sin perjuicio de la obligación de confidencialidad de Attrus, esta establecerá y mantendrá un programa de protección de datos y seguridad de la información, que incluya medidas de seguridad físicas, técnicas, administrativas y organizativas, diseñado para:

(a) garantizar la seguridad y la confidencialidad de los datos de los usuarios;
(b) proteger contra cualquier amenaza o riesgo previsto para la seguridad o la integridad de los datos de los usuarios;
(c) proteger contra la divulgación, el acceso o el uso no autorizados de los datos de los usuarios;
(d) garantizar la eliminación adecuada de los datos de los usuarios; y
(e) garantizar que todos los empleados, agentes y subcontratistas de Attrus cumplan con todo lo anterior.

En ningún caso las medidas de seguridad del programa de protección de datos y seguridad de la información de Attrus serán menos estrictas que las normas legales, reglamentarias o del sector aplicables.

2. Gobernanza, auditorías y supervisión en materia de seguridad

Attrus cuenta con una sólida estructura de gobernanza para garantizar la supervisión continua, la rendición de cuentas y la mejora de su marco de seguridad:

• Attrus llevará a cabo, al menos una vez al año, una auditoría independiente y exhaustiva a cargo de terceros de su programa de protección de datos y seguridad de la información en relación con su plataforma y sus servicios;
• Attrus podrá facilitar los resultados de las auditorías a los clientes cuando así lo exijan las obligaciones contractuales o normativas;
• Los clientes tendrán derecho a consultar el programa de protección de datos y seguridad de la información de Attrus antes de iniciar la relación y, periódicamente, a lo largo de la misma;
• Los clientes podrán, a su cargo, realizar o solicitar auditorías in situ o, alternativamente, exigir a Attrus que complete los cuestionarios de auditoría en un plazo de cuarenta y cinco (45) días;
• Attrus aplicará las medidas de protección y corrección acordadas de mutuo acuerdo que se deriven de las auditorías o revisiones.  

3. Cumplimiento normativo en materia de delitos financieros y controles de riesgos

Attrus aplica controles basados en el riesgo para prevenir el fraude, los delitos financieros y el uso indebido de su plataforma, entre los que se incluyen:

1. Verificación de la información disponible públicamente que indique una posible actividad ilegal (incluidos, en su caso, los titulares reales);
2. Verificación cruzada con bases de datos de sanciones y de partes sujetas a restricciones (incluidas las listas de la OFAC y otras equivalentes);
3. Verificación de una posible implicación en la evasión fiscal en las jurisdicciones pertinentes;
4. Verificación de una posible implicación en actividades de blanqueo de capitales;
5. Evaluación de si la capacidad financiera de un cliente es compatible con los volúmenes de transacción;
6. Supervisión y seguimiento de las transacciones, incluido el mantenimiento de registros de los monederos y las cuentas bancarias utilizados en las transacciones relacionadas con activos digitales, cuando proceda.

Estos controles se ajustan a los requisitos normativos en materia de lucha contra el blanqueo de capitales y la financiación del terrorismo, así como a las políticas internas de cumplimiento.

4. Medidas de seguridad técnicas y organizativas

Attrus aplica medidas de seguridad técnicas estándar del sector para garantizar la integridad, la confidencialidad y la disponibilidad del sistema, entre las que se incluyen:

• Autenticación segura mediante API (por ejemplo, tokens JWT);
• Restricciones de acceso por IP;
• Solicitudes y respuestas firmadas;
• Autenticación multifactorial (2FA);
• Requisitos de contraseñas seguras que se ajustan a los estándares del sector;
• Cifrado de datos confidenciales tanto en tránsito como en reposo (incluido SSL/TLS);
• Infraestructura segura alojada en proveedores de confianza;
• Sistemas de supervisión continua, registro y detección de anomalías.

5. Recopilación, uso y tratamiento de datos con fines de seguridad

Attrus trata los datos personales con el fin de:

• Proporcionar y gestionar sus plataformas y servicios digitales;
• Verificar la identidad y autenticar a los usuarios;
• Detectar, prevenir e investigar el fraude y las actividades no autorizadas;
• Realizar análisis, supervisión y optimización del sistema;
• Mejorar los servicios, desarrollar nuevas funcionalidades y optimizar la experiencia del usuario;
• Cumplir con las obligaciones legales, reglamentarias y contractuales.

Attrus garantiza que los datos personales se limiten a lo estrictamente necesario, se mantengan exactos y actualizados, y se conserven únicamente durante el tiempo que sea necesario para fines comerciales legítimos o legales.

6. Solicitudes de información y verificación del origen de los fondos

Attrus podrá, a su discreción, solicitar a los usuarios documentación personal y/o corporativa.

Los clientes autorizan expresamente a Attrus a solicitar a sus usuarios cualquier documento necesario para verificar:

• el origen de los fondos;
• si dichos fondos se refieren a liquidez, transferencias al exterior o pagos al exterior; y
• si dichos fondos se obtuvieron de forma legítima.

Esto forma parte de las obligaciones reglamentarias de Attrus y de su marco de cumplimiento en materia de delitos financieros.

7. Prácticas de seguridad de los datos y cumplimiento normativo

Attrus se compromete a cumplir todas las leyes y normativas aplicables en relación con la recogida, el almacenamiento, el uso, el tratamiento y la transferencia de los datos de los usuarios.

Attrus también cumplirá con cualquier requisito adicional en materia de privacidad o seguridad de los datos que los clientes le comuniquen formalmente, en la medida en que sea aplicable y legalmente admisible.

8. Credenciales de acceso y responsabilidades del usuario

Los usuarios son responsables de elegir, mantener y proteger sus credenciales de acceso, incluidos los nombres de usuario, las direcciones de correo electrónico y las contraseñas.

Los usuarios deben tomar todas las medidas necesarias para garantizar la seguridad de sus credenciales y evitar cualquier acceso no autorizado por parte de terceros.

Attrus no se hace responsable de los daños que se deriven de:

• la divulgación no autorizada de credenciales debido a la negligencia del usuario; o
• incumplimiento de las normas de seguridad exigidas.

9. Violaciones de datos y respuesta ante incidentes

En caso de que se produzca cualquier acto, error, omisión, negligencia, conducta indebida o incumplimiento que comprometa o se sospeche que compromete la seguridad, la confidencialidad o la integridad de los datos personales, Attrus deberá:

a) notificar a las partes afectadas sin demora injustificada y, a más tardar, 48 horas después de tener conocimiento del suceso;

b) cooperar plenamente en la investigación del incidente, lo que incluye facilitar el acceso a los registros, archivos y datos pertinentes;

(c) en el caso de la información de identificación personal (PII), a elección del cliente:
(i) notificar a las personas afectadas dentro del plazo legalmente establecido o, si no existe ninguno, en un plazo de diez (10) días hábiles; o
(ii) reembolsar al cliente los gastos asociados a dichas notificaciones;

(d) prestar servicios de supervisión crediticia y de identidad a las personas afectadas cuando así lo exija la ley, o durante un período no inferior a doce (12) meses si no existe tal obligación legal;

e) adoptar todas las medidas necesarias para cumplir con la legislación aplicable y las obligaciones reglamentarias;

(f) indemnizar, defender y eximir de responsabilidad a los clientes y a sus representantes frente a cualquier reclamación, incluidos los honorarios y gastos legales razonables; y

(g) presentar un plan detallado de corrección y prevención en un plazo de diez (10) días hábiles.

Las notificaciones deberán estar redactadas en un lenguaje claro y sencillo e incluir:

• descripción del incidente;
• tipos de datos implicados;
• fecha o fecha estimada en que ocurrió;
• posible impacto;
• medidas de mitigación adoptadas;
• medidas de protección recomendadas;
• datos de contacto;
• información sobre los servicios de supervisión prestados.

Estas obligaciones seguirán vigentes tras la finalización de la relación.

10. Intercambio de datos y transferencias internacionales

Attrus puede transferir y tratar datos personales entre distintas jurisdicciones para respaldar sus operaciones a nivel mundial.

Dichas transferencias se llevan a cabo de conformidad con la legislación aplicable en materia de protección de datos y con las garantías adecuadas, incluidos los mecanismos contractuales y reglamentarios.

11. Proveedores de servicios externos

Attrus puede recurrir a proveedores externos de confianza para respaldar sus operaciones.

Todos estos proveedores están sujetos a las medidas de seguridad contractuales, técnicas y organizativas adecuadas para garantizar la protección de los datos personales.

12. Mejora continua y actualizaciones de las políticas

Attrus revisa y mejora continuamente su marco de seguridad y privacidad de los datos para reflejar:

• los requisitos normativos en constante evolución;
• avances tecnológicos;
• riesgos emergentes;
• novedades empresariales.

Se recomienda a los usuarios que revisen esta política periódicamente.

Si tiene algún comentario, pregunta o duda sobre cualquier aspecto de la presente Política de privacidad en línea, o sobre cualquier otra cuestión relacionada con el tratamiento de sus datos personales por parte de Attrus en virtud de esta Política, póngase en contacto con su persona de contacto habitual del servicio de atención al cliente de Attrus.