EXHIBIT 10.2
SERVICE AGREEMENT, DATED JANUARY 3, 2011 BETWEEN BBVAPR BANK AND APLICA TECNOLOGIA AVANZADA, SOCIEDAD ANONIMA DE CAPITAL VARIABLE
CONTRATO DE PRESTACIÓN DE SERVICIOS QUE CELEBRAN POR UNA PARTE APLICA TECNOLOGÍA AVANZADA, SOCIEDAD ANÓNIMA DE CAPITAL VARIABLE, POR CONDUCTO DE SU APODERADO EL SEÑOR RODOLFO MEDINA ROOS, AL QUE EN LO SUCESIVO SE LE DENOMINARA "ATA” Y POR LA OTRA PARTE BANCO BILBAO VIZCAYA ARGENTARIA PUERTO RICO POR CONDUCTO DE SUS REPRESENTANTES LEGALES LOS SEÑORES ALFREDO IZQUIERDO HERRERA Y BONOSIO CASELLAS BOND A LA QUE EN LO SUCESIVO SE LES DENOMINARÁ "EL BANCO" Y CONJUNTAMENTE CON " ATA " SE LES DENOMINARÁ COMO "LAS PARTES", AL TENOR DE LAS SIGUIENTES DECLARACIONES Y CLÁUSULAS:
D E C L A R A C I O N E S
I. Declara el Banco por conducto de su representante legal que su representada:
a) Es una institución bancaria, debidamente constituida y válidamente existente de acuerdo con las leyes de del Estado Libre Asociado de Puerto Rico.
b) Le ha conferido facultades suficientes y necesarias para la celebración del presente contrato (el “Contrato”), manifestando bajo protesta de decir verdad, que dichas facultades no le han sido revocadas o limitadas en forma alguna.
c) Que para la celebración de este Contrato, cuenta con las autorizaciones exigidas por la normativa legal y reglamentaria aplicable en su país.
d) Que la celebración de este Contrato y el cumplimiento de las obligaciones que de él emanan son plenamente exigibles, en virtud de que no infringe norma legal, reglamentaria o estatutaria alguna.
e) Tiene interés en contratar los Servicios (según dicho término se define más adelante) de ATA.
II. Declara ATA por conducto de su apoderado que su representada que:
a) Es una sociedad mercantil debidamente constituida de conformidad con las leyes mexicanas, según lo acredita mediante escritura pública número 75,920 de fecha 28 de abril de 2003, otorgada ante la fe del Licenciado Carlos de Pablo Serna, Notario Público No. 137 del Distrito Federal, cuyo primer testimonio quedó inscrito en el Registro Público de la Propiedad y del Comercio del Distrito Federal bajo el Folio Mercantil No. 305204.
b) Su Apoderado cuenta con plenas facultades y poderes para celebrar el presente convenio, facultades y poderes que no le han sido revocados ni limitados en forma alguna, según lo acredita mediante escritura pública número 95,498 de fecha 13 de mayo de 2009, otorgada ante la fe del licenciado Carlos de Pablo Serna, Notario Público No. 137 del Distrito Federal.
c) Tiene total autoridad legal para ofrecer y ejecutar los Servicios objeto de este Contrato, y que no
conoce de ninguna acción Civil, demanda, o procedimiento en su contra con respecto a los Servicios ofrecidos o cualquier componente, en la que se alegue incumplimiento de cualquier patente, derecho reservado, secreto de negocios, o cualquier derecho propietario de cualquier persona o entidad, y que los Servicios, mientras sean usados para el propósito y en la manera específicamente autorizada por este contrato, no infringen de ninguna manera con cualquier patente, derecho reservado, secreto de negocios, o cualquier derecho propietario de cualquier persona o entidad.
III. Declaran las Partes que a su entender no han incumplido materialmente con ninguna ley o reglamentación impuesta por agencias gubernamentales o regulatorias con injerencia en las operaciones de las mismas, que pueda afectar la ejecución, realización y cumplimiento del presente Contrato. Asimismo las Partes declararan que los términos y condiciones del presente Contrato son sustancialmente los mismos, o cuando menos tan favorables, como aquellos aplicables a transacciones comparables que conforme a la buena fe serían ofrecidos a empresas no filiales.
Expuesto lo anterior, las Partes otorgan las siguientes:
C L A U S U L A S
PRIMERA.- OBJETO. En virtud del presente Contrato y durante la vigencia establecida para la prestación de los servicios objeto de la misma, ATA se obliga a prestar al Banco los servicios relacionados con el procesamiento de datos relacionados con la plataforma tecnológica de tipo Mainframe, la administración y operación de sistemas, mediante el empleo de sistemas y equipos automatizados (los "Servicios"). Dichos Servicios tienen por objeto la instalación, el alojamiento de las aplicaciones informáticas y Contenidos del Banco en los componentes de hardware y software de ATA, su acceso, recuperación de la información almacenada, la conexión y la prestación de servicios de mantenimiento, monitorización, gestión y soporte técnico de los equipos y servidores ubicados en las instalaciones o máquinas de ATA conforme a, y según se describen en el Anexo A.
SEGUNDA.- ALCANCE DE LOS SERVICIOS. La descripción específica de los Servicios que prestará ATA, es la siguiente:
a) Gestión, monitoreo y recuperación básica de problemas de la infraestructura tecnológica y de los sistemas aplicativos, y la operación de los siguientes procesos: Soporte Técnico, Aceptación de Aplicaciones, Planeación de la Capacidad y Gestión de Entornos (Niveles de Servicio, Gestión de Cambios, Control de Problemas y Seguridad de Información); y la instalación, mantenimiento y soporte técnico necesario para:
i) toda conexión de telecomunicaciones contemplada bajo este Contrato,
ii) la implantación de manuales y desarrollos de procedimientos internos que aseguren el control interno adecuado, que sean necesarios para el manejo efectivo de los Servicios objeto de este Contrato.
b) Administración técnica e implementación de las mallas de desarrollo y del desempeño de la infraestructura de los componentes de software utilizados en las distintas etapas del Ambiente de Producción (esto es, la implementación de calendarios para mantener adecuadamente la infraestructura del Ambiente de Producción).
c) Planeación tecnológica, desarrollo, mantenimiento y soporte especializado de la infraestructura.
d) Planeación, desarrollo, vigilancia y control de los aspectos relacionados con la seguridad e integridad de los datos y sistemas aplicativos.
e) Planeación, desarrollo y simulación de los procesos de recuperación de desastres o contingencia del centro de proceso de datos, tales como ejecución de respaldos para recuperación ante problemas locales o por contingencia.
f) Medición de los niveles de servicio (descritos en el Anexo A), tanto de la infraestructura tecnológica como de los sistemas aplicativos.
g) Gestión técnica de la red de telecomunicaciones, referida al monitoreo y operación de la Red de telecomunicaciones entre México y Puerto Rico, así como también la identificación, diagnóstico, tratamiento y confirmación de cierre con solución de raíz a incidencias de los componentes.
h) Acceso de forma continua e ininterrumpida, salvo los casos expresamente acordados, y los eventos de caso fortuito y fuerza mayor.
i) La gestión de los medios de almacenamiento magnéticos donde residirán los sistemas informáticos.
j) El alojamiento de las aplicaciones informáticas y de los contenidos del Banco en los dispositivos de almacenamiento magnético del ATA designados en el Anexo E de este Contrato.
k) El servicio de asistencia técnica a la infraestructura central del Banco y soporte ante problemas de dicha infraestructura.
TERCERA.- LUGAR DE PRESTACIÓN DE LOS SERVICIOS. ATA se obliga a prestar los Servicios en sus instalaciones existentes a la fecha de este Contrato en las ciudades de Monterrey, Nuevo León y México, Distrito Federal, México y no podrán ser reubicadas sin el consentimiento previo y por escrito del Banco (para el cumplimiento por parte del Banco de los requerimientos regulatorios y de política interna que le sean aplicables). ATA se obliga a notificar al Banco de la propuesta de reubicación con cuando menos 180 (ciento ochenta) días naturales de anticipación a la fecha propuesta de reubicación, en el entendido de que, tan pronto el Banco reciba la notificación de referencia, el Banco y ATA se obligan a crean un grupo de trabajo que desarrolle un plan de acción y ruta crítica con el propósito de resolver cualesquiera reservas u obstáculos que pudieran existir para la aprobación por parte del Banco de las nuevas instalaciones propuestas por ATA.
CUARTA.- CONTRAPRESTACIÓN. Como contraprestación por los Servicios descritos en el presente Contrato, el Banco está obligado a pagar semestralmente, por anticipado, la cantidad que se establece en el Anexo B, denominado “Contraprestación”, mismo que forma parte integrante del presente Contrato (el “Precio”), Dicho Precio se revisará anualmente de común acuerdo por la partes, dentro de los primeros dos meses del siguiente período anual, en el entendido de que cualesquiera cambios al Precio deberá(n) ser acordado(s) por las partes y documentado por escrito.
Cada factura identificará por separado el Precio, Reembolsos e Impuestos. ATA enviará todas las facturas al Banco a la dirección identificada en la cláusula Vigésima Quinta de este Contrato. El Banco será facturado por el Precio de los Servicios, obligándose a pagar a ATA las cantidades no disputadas de la factura dentro de los treinta (30) días naturales siguientes a la fecha de su recepción. Si el Banco controvierte el monto de alguna factura, el Banco realizará sus esfuerzos razonables para notificar dicha circunstancia a ATA por escrito antes de la fecha límite de pago de la misma, y en este caso la fecha de pago de la factura se prorrogará hasta la resolución de la controversia, cuya cantidad resultante será pagada dentro de los treinta (30) días naturales siguientes a la resolución de la controversia. El Banco sólo
podrá controvertir el pago de una factura por concepto de errores en la misma o en el caso de que reclame algún crédito que pudiera corresponderle, en su caso, en los términos de este Contrato, en la inteligencia de que en estos casos el Banco deberá pagar la totalidad de los montos no disputados oportunamente.
Las cantidades que deba pagar el Banco a ATA conforme a lo señalado en la presente cláusula serán pagadas mediante transferencia electrónica y a la cuenta bancaria que para tal efecto señale ATA.
Cada una de las Partes pagará los impuestos presentes o futuros relativos a ventas, servicios, activos, al consumo o cualesquiera otras cargas o contribuciones fiscales que les sean impuestas como negociación, por concepto de sus operaciones y/o ingresos por cualquier autoridad gubernamental.
Para efectos de lo pactado en las cláusulas Vigésima Primera, Vigésima Segunda y Vigésima Tercera, las partes convienen que en caso de que la fecha de terminación efectiva del Contrato (y de la prestación de Servicios) no coincida con la conclusión del periodo semestral de Servicios por el cuál el Banco pagó anticipadamente al ATA la Contraprestación de ese periodo, el ATA estará obligado a devolver al Banco Contraprestación no devengada que se calculará dividiendo el monto de la Contraprestación del periodo semestral de que se trate entre el número de días del semestre de que se trate, y multiplicando el resultado por el número de días durante los cuáles el ATA dejó de prestar los Servicios al Banco (el “Ajuste”). ATA entregará al Banco el monto del Ajuste dentro de los 30 (treinta) días naturales siguientes a la fecha de terminación efectiva del Contrato.
QUINTA.- NIVELES DE SERVICIO. ATA se obliga a prestar al Banco los Servicios en los términos, condiciones, alcances y límites específicos que se precisan en el Anexo A denominado “Niveles de Servicio”, que entre otras materias, detalla el proceso con el cual serán medidos y reportados los principales indicadores de servicio línea y “batch”.
Con el propósito de garantizar el logro continuo de los niveles de servicio requeridos por el Banco, ATA se obliga a un esquema de penalización por incumplimiento de los estándares de servicio acordados bajo los siguientes términos y condiciones:
· La medición de resultados se llevará a cabo bajo una base mensual.
· El nivel mínimo aceptable será el descrito en el Anexo A (Niveles de Servicio).
· Una vez identificado el primer mes de incumplimiento respecto del nivel mínimo aceptable, ATA se compromete a presentar un plan de acción para lograr la corrección de las desviaciones identificadas. Dicho plan contendrá, como mínimo, un proceso de escalación y resolución que involucre a los funcionarios del ATA y del Banco que sean adecuados para ello.
· Los resultados de los planes correctivos serán evaluados en los dos siguientes meses y, en caso de no lograr alcanzar el nivel mínimo aceptable de cumplimiento de los Niveles de Servicio en este período de tiempo, ATA emitirá una nota de crédito contra el Precio al Banco del 10% (DIEZ POR CIENTO) de la facturación mensual retroactivamente y hacia adelante por cada mes en que el indicador mínimo aceptable no se cumpla. Adicionalmente, el Banco podrá dar por terminado el presente Contrato sin penalización mediante notificación con una anticipación no menor de treinta ni mayor de doscientos setenta (270) días.
SEXTA.- SUB-OUTSOURCING DE LOS SERVICIOS. ATA podrá contratar el sub-outsourcing de servicios esenciales del sistema de procesamiento de los Servicios, sujeto a la obtención del consentimiento previo y por escrito del Banco así como de cualquier aprobación regulatoria aplicable, en el entendido de que el ATA seguirá siendo responsable frente al Banco en los términos, condiciones, alcances y límites específicos
que se precisan en el presente Contrato independientemente de la persona que realice la prestación efectiva de los Servicios.
Será responsabilidad y obligación de ATA que los terceros subcontratistas autorizados a que se refiere el párrafo precedente que trabajen en Servicios Esenciales asuman, antes de iniciar trabajos, obligaciones de confidencialidad cuando menos tan restrictivas como las previstas entre el ATA y el Banco, así como que se obliguen a cumplir con las políticas de seguridad de información del Banco, considerando que el cumplimiento de las mismas es un motivo determinante de este Contrato. Para efectos de este Contrato, los subcontratistas a que se refiere esta Cláusula serán considerados agentes de ATA.
SÉPTIMA.- PROPIEDAD DE SISTEMAS E INFORMACIÓN.
ATA está de acuerdo y conviene que, entre ATA y el Banco, el Banco es titular de todos los derechos en y relacionados con el Contenido. ATA en este acto cede irrevocablemente, y se obliga a que sus agentes cedan al Banco, sin necesidad de contraprestación todos y cualesquiera derechos, títulos e intereses en y relacionados con el Contenido que obtenga ATA y sus agentes. “Contenido” significa información, incluyendo Información Personal No Pública e Información Confidencial acerca de los clientes del Banco e información materia de protección como propiedad intelectual, programas, así como datos que sean archivados en o procesados, transmitidos o recibidos con Equipo del Banco, incluyendo archivos de datos, bases de datos, sistemas operativos, aplicaciones, applets, utilidades, herramientas, páginas web, scripts, audio, video, gráficas, imágenes, y cualquier otro software o firmware, independientemente de cómo se identifiquen.
El Banco no adquirirá derecho alguno respecto de los nuevos programas de cómputo, que sean utilizados por ATA para la prestación de los Servicios al Banco durante la vigencia del presente Contrato, salvo que se trate de programas que se basen en o deriven de programas de cómputo del Banco, por lo que aquellos programas quedan excluidos del traslado de los Servicios a que se refieren las cláusulas vigésima primera, vigésima segunda y vigésima tercera siguientes.
En razón de lo anterior, a la terminación de la vigencia establecida para la prestación de los Servicios objeto del presente Contrato, ATA se obliga y acepta que no podrá usar, transferir, gestionar o comerciar de ninguna manera el Contenido, los programas de cómputo, sistemas o material de cualquier índole que sean propiedad del, o usados por, el Banco de conformidad con los términos de este Contrato, a menos que el Banco autorice a ATA por escrito.
OCTAVA.- SEGURIDAD DE LA INFORMACIÓN. Las comunicaciones y la guarda de información deberá cumplir con los requisitos previstos en el Anexo D (cuyo contenido se incorpora en su totalidad como si a la letra se insertare al presente) incluyendo, pero sin limitarse a: (1) comunicaciones entre las Partes deberán estar cifradas y encriptadas, para asegurar la prestación de los Servicios, y (2) el Contenido guardado en la red de ATA o en su sistema, debe permanecer encriptado. El Banco mantendrá claves complementarias para la decodificación en el sistema de ATA.
NOVENA.- OBLIGACIONES DE ATA. En la prestación de los Servicios y en adición a las obligaciones a cargo de ATA establecidas en este Contrato, ATA se obliga a:
a) Cumplir con el Plan de Contingencia, contenido en el Anexo C de este Contrato, sin perjuicio de adoptar las demás medidas que resultaren procedentes para asegurar la prestación de los Servicios. ATA se obliga a probar el Plan y a entregar los resultados al Banco. El Plan deberá incluir, pero no se limitará, a la adopción de medidas para asegurar el acceso oportuno a información crítica y la reanudación de servicio en el caso de restricciones o afectaciones nacionales o geográficas no previstas que afecten la capacidad de ATA de proveer servicios.
b) Mantener la continuidad operacional del Banco en caso que se produzcan fallas, pérdidas o interrupciones en la prestación de los Servicios, en la comunicación, almacenamiento o procesamiento de los datos objeto del presente Contrato, cualquiera que fuere su causa. ATA se obliga a probar la continuidad operacional de Servicios al Banco cuando menos anualmente, y a solicitud del Banco semestralmente, así como a entregar al Banco los reportes dentro de los diez (10) días naturales a su conclusión. ATA notificará con la suficiente anticipación al Banco las fechas programadas para las pruebas, a efecto de que el Banco pueda participar en su desarrollo.
c) Proveer y mantener durante la vigencia establecida para la prestación de los Servicios, los equipos informáticos, licencias de software y personal calificado necesarios para la debida prestación de los mencionados servicios.
d) Disponer y mantener el personal suficiente y con la necesaria calificación técnica para prestar adecuadamente los Servicios; obligándose también a elaborar e implantar un programa de formación periódica de su personal para asegurar que el mismo esté en continuo desarrollo y capacitación en el área de apoyo y desarrollo de informática, sistemas y controles.
e) Que las instalaciones físicas donde se prestarán los Servicios, reunirán todas las características de seguridad, controles de acceso, sistemas y otras detalladas en el Anexo D denominado "Políticas, Detalle de Responsabilidades y Requerimientos de Seguridad", que corresponden a las necesarias para dar cumplimiento a la reglamentación bancaria de Puerto Rico aplicables a la prestación de los Servicios objeto de este Contrato. Asimismo, que el espacio físico en el que se encuentren ubicadas las instalaciones se considerarán estaciones de trabajo para el personal que el Banco le indique.
f) Conservar la información y datos procesados requeridos por el Banco, así como cumplir con los Manuales de Políticas y Procedimientos aplicables, junto con todas las versiones de los programas que permitan su reproducción, durante un plazo mínimo de siete (7) años, u otro periodo más corto que le sea aplicable al Banco, contado desde la fecha del último asiento operado en ellos o desde la fecha en que hayan sido extendidos, salvo que el Banco notifique a ATA por escrito la procedencia de conservar determinada documentación e información en forma indefinida o, que debido a cambios en la legislación o reglamentación, los registros de la información procesada deban ser conservados por los plazos superiores que el Banco le indique.
g) Proveer al Banco: (1) los reportes especificados o descritos en el Anexo A, a efecto de que el Banco verifique que el cumplimiento de las obligaciones de ATA conforme al presente Contrato se apegue a los estándares de los Servicios requeridos por los controles internos del Banco y proteja la seguridad de la información confidencial del Banco, y (2) cualquier otro reporte que por escrito sea solicitado por el Banco relativo a los Servicios o a cualquier otra disposición pactada en el presente Contrato. Las Partes acordarán en cada caso el plazo dentro del cual ATA deberá proporcionar la información requerida por el Banco, salvo en el caso que el Banco deba solicitar la información a requerimiento del Consejo de la Reserva Federal (Federal Reserve Board, “FRB”), el Departamento Bancario del Estado de Alabama (“ABD”), La Corporación Federal de Seguro de Depósito (“FDIC”) y/o cualquier otra autoridad de Puerto Rico (conjuntamente los “Reguladores” o individualmente el “Regulador”), caso en el cual deberá estarse al plazo fijado por dicha autoridad supervisora sin costo, y por su parte el Banco se compromete a remitir al ATA la citada solicitud de la autoridad de inmediato tan pronto la reciba, con objeto de tener oportunidad de dar la información en el plazo fijado.
h) Previa notificación del Banco a ATA con 10 (diez) días hábiles de anticipación, el Banco podrá practicar evaluaciones periódicas en las instalaciones de ATA, acerca del cumplimiento de los términos del presente Contrato, con el fin de permitirle una adecuada administración de sus riesgos financieros, operativos, de seguridad y tecnológicos. Quedará a juicio del Banco periodicidad con que realizará dichas evaluaciones, así como el hecho de realizarlas directamente o por medio de auditores independientes elegidos por el Banco.
i) Previa notificación por escrito del Banco a ATA con al menos 15 (quince) días hábiles de anticipación, los Reguladores podrán examinar en las oficinas de ATA todos los aspectos relacionados con los Servicios, en el entendido que ATA dará aviso a la Comisión Nacional Bancaria y de Valores de México respecto a la visita de la que será objeto por parte de Reguladores, para los fines legales conducentes. Si la solicitud de algún Regulador no permite expresamente al Banco cumplir con la anticipación prevista para los avisos en esta cláusula, el Banco notificará al ATA a más tardar al día hábil siguiente a que reciba la solicitud respectiva. No se podrá negar el acceso si no se puede cumplir con los plazos de aviso por causa de los requerimientos de un Regulador.
j) En el evento que proceda, cualquier cambio o modificación a las interfases de teleprocesamiento de datos electrónicos o de los servicios de plataforma y desarrollo a ser implantados de conformidad con los términos del presente Contrato, ATA se compromete a realizar dichos cambios de conformidad con los términos del Anexo E, denominado "Gestión de Cambios", sobre lo cual deberá informarse previamente y por escrito al Banco, de acuerdo al proceso descrito en el Anexo E del presente Contrato.
k) En el evento que proceda, actualizar (hacer un "up-grade") de las licencias de software y equipos asociados, relativas a los procesos para la prestación de los Servicios. En la eventualidad de que el Banco notifique a ATA la necesidad de actualizar sistemas, basado en requisitos regulatorios o de mercado que hagan necesaria o conveniente dicha actualización, ATA se compromete a evaluar los requerimientos y las implicaciones de riesgo y costo asociados de manera agil en forma tal que pueda dar respuesta al Regulador y/o al Banco con la oportunidad requerida. Si ATA considera necesario un "up-grade" por volumen de transacciones del Banco o para garantizar un buen funcionamiento, ATA lo notificará previamente al Banco y obtendrá su consentimiento por escrito antes de tomar alguna acción para implementarlo.
l) Cumplir con las instrucciones que le dé el Banco para que éste pueda subsanar o realizar todos los cambios y atender las observaciones de carácter regulatorio presentes o futuras efectuadas por las entidades públicas autorizadas para ello, especialmente por parte de los Reguladores y/o órgano de control interno, bajo las mismas condiciones indicadas en el presente Contrato, en los plazos establecidos por dichas autoridades o acordados por las Partes, para que el Banco pueda cumplir con las normas legales emitidas por dicha autoridad, o las autoridades que hagan cualquier requerimiento relativo al uso de terceros para la prestación de los Servicios.
m) Con la finalidad de garantizar la seguridad de la información y protegerla de cualquier incidencia técnica que pudiera surgir durante la vigencia establecida para la prestación de los Servicios, el Banco autoriza a ATA para realizar copias de seguridad de la información que se genere en los servidores del ATA en relación con los Contenidos del Banco.
Adicionalmente, ATA conservará copias de seguridad de acuerdo con los requerimientos y periodos previstos en el Anexo E.
n) A la finalización de la vigencia establecida para la prestación de los Servicios o de sus prórrogas o a la terminación anticipada de los mismos, ATA hará entrega al Banco de la información generada a lo largo del período de vigencia, en la fecha determinada para dicha terminación, quedando ATA a partir de la misma exento de la responsabilidad de su custodia siempre que la información sea utilizable y completa.
DÉCIMA.- OBLIGACIONES DEL BANCO. Con el objeto de permitir a ATA una adecuada prestación de los Servicios y, en adición a las obligaciones a cargo del Banco establecidas en este Contrato, éste último se obliga a:
a) Notificar de manera inmediata a ATA y adoptar las medidas que resulten procedentes, en la eventualidad de pérdidas o interrupciones en los Servicios causadas por errores o interrupciones en la plataforma o sistema del Banco.
b) Asumir todos los costos que se generen al Banco en la atención a las autoridades de Puerto Rico con motivo de la supervisión de la provisión de los Servicios fuera de dicho país.
c) Proveer a ATA y a cualquier persona subcontratada por éste, toda la información razonable solicitada por cualquiera de éstos, para propósitos de aclarar e investigar errores durante el procesamiento de cualquier transacción o actividad relacionada con este Contrato de servicios dentro de los (7) siete días hábiles siguientes a la presentación de la solicitud, siempre que ATA acredite que el subcontratista está sujeto a las obligaciones de confidencial requeridas conforme al presente Contrato.
d) Mantener un plan de contingencia notificado a ATA.
e) Instruir de manera precisa a ATA a fin de que el Banco pueda subsanar observaciones de carácter regulatorio emitidas por los Entes Públicos autorizados, especialmente por los Reguladores, así como las observaciones presentadas por cualquier otra autoridad de Puerto Rico o los organismos de control interno del Banco, así como cumplir con las normas legales emitidas por las autoridades vinculadas con la provisión de los Servicios por un tercero.
DÉCIMA PRIMERA.- COOPERACIÓN RECÍPROCA ENTRE LAS PARTES. ATA y el Banco se comprometen a cooperar entre sí para: (a) maximizar la eficiente operación de los sistemas de los Servicios, y de apoyo de estructuras de programación y, (b) establecer un nivel mutuamente aceptable de intercambio de servicios y apoyo tecnológico entre ATA y el Banco.
DÉCIMA SEGUNDA.- RESPONSABILIDAD. ATA garantiza al Banco lo siguiente:
a) La integridad de los datos y, en consecuencia, la ausencia de retrasos o errores en la prestación de los Servicios objeto del presente Contrato; poniendo el cuidado razonable y diligente en la prestación de todos los Servicios, sea que los preste directamente o a través de subcontratación.
b) A responder al Banco por cualquier daño, retraso, pérdida o perjuicio que éste sufra por algún hecho o actuación negligente, culposa o dolosa, de parte de cualquiera de las personas que se encuentren asignadas a la prestación de los Servicios que se establecen en el presente Contrato. ATA se obliga a supervisar la conducta de sus dependientes y subcontratados en la prestación de los Servicios, siendo su obligación implementar e imponer todas las medidas necesarias y haciéndose plenamente responsable de su conducta, obligándose por medio de este Contrato a indemnizar al Banco por los daños y perjuicios que le pudieren causar, sin perjuicio de las acciones legales que al Banco le pudieren corresponder.
c) Cada Parte (la “Parte Defensora”) defenderá o transigirá, a su costa, las siguientes reclamaciones de terceros presentadas en contra de la otra parte y/o sus filiales (el “Beneficiario”):
ATA como Parte Defensora: reclamaciones contra el Banco o sus Filiales (a) derivadas de los siguientes conceptos directa o indirectamente relacionados con propiedad intelectual: (i) argumentando que un Servicio infringe cualquier patente, derecho de propiedad intelectual, marca, derecho de autor, o secreto, salvo cuando la reclamación surja o resulte de: (1) el procesamiento, transmisión o guarda de Contenido en relación con el Servicio; (2) modificaciones al Servicio realizada por, o combinaciones del Servicio con servicios, productos o Contenido provisto por el Banco, una Filial u otros; (3) el cumplimiento de ATA a las instrucciones por escrito del Banco, una Filial, o un representante del Banco, o (4) uso del Servicio en forma distinta a las instrucciones por escrito de ATA o en violación al Contrato, (ii) que surjan de o estén
relacionadas con la falta de cumplimiento por parte de ATA de la Seguridad de la Información según lo previsto en la Cláusula Octava u otras obligaciones de seguridad de información previstas en este Contrato; y (iii) que surjan del incumplimiento de ATA a sus obligaciones de confidencialidad conforme el presente Contrato, o (b) por daños a equipo de terceros, que ocurra en las instalaciones del Banco y sea causado por actos u omisiones de ATA o que surjan o estén relacionados a su uso en las instalaciones del Banco.
El Banco como Parte Defensora: reclamaciones en contra de ATA o sus Filiales (a) relacionadas con (i) o que surjan de o se refieran a Contenido; (ii) que surjan con motivo del incumplimiento por parte del Banco de las Leyes Aplicables; y (iii) que surjan con motivo del incumplimiento por parte del Banco de sus obligaciones de confidencialidad conforme al presente Contrato; o (b) por lesiones o muerte, o daños a equipo de terceros, que ocurra en las instalaciones de ATA y sea causado por actos u omisiones del Banco o sus Representantes o que surja o esté relacionado a su uso por parte del Banco en las instalaciones de ATA
En cada caso en que el Beneficiario busque la defensa a que se refiere esta Cláusula de responsabilidad, el Beneficiario estará obligado a (a) notificar prontamente a la Parte Defensora de la reclamación, en el entendido de que la falta de notificación no afectará las obligaciones de la Parte Defensora salvo y hasta el grado en que los derechos de la Parte Defensora se vean afectados por la falta de notificación; (b) proveer a la Parte Defensora toda la información requerida que el Beneficiario tenga relativa a la reclamación; (c) cooperar razonablemente con y asistir a la Parte Defensora en la defensa de la reclamación, a costa de la Parte Defensora; (d) abstenerse de admitir responsabilidad respecto de la reclamación; y (e) otorgar a la Parte Defensora facultades únicas para defender o transigir la reclamación (sin que la Parte Defensora tenga facultades para obligar al Beneficiario en forma alguna o a transigir los derechos del Beneficiario en relación con la defensa o transacción). El Beneficiario podrá participar en la defensa de la reclamación a través del asesor que escoja, a su costa, independientemente de que lo haga antes o después del encargo de la reclamación a la Parte Defensora. La Parte Defensora, en todo caso, a solicitud del Beneficiario consultará con el Beneficiario acerca de la defensa de la reclamación y cualesquiera propuestas de transacción. A falta de transacción, la Parte Defensora pagará todos los Daños, Perjuicios, gastos y costas (incluyendo honorarios razonables de abogados) a los que la sentencia definitiva condene al Beneficiario.
Para el caso de una reclamación de invasión que involucre un componente de un Servicio, salvo que se trate de un programa provisto por el Banco, ATA podrá optar por obtener el derecho a continuar su uso, o a reemplazar o modificar el componente materia de la pretendida invasión, a efecto de que el Servicio no invada y cumpla sustancialmente con los requerimientos aplicables. Si las opciones anteriores no son comercialmente viables, ATA podrá dejar de prestar el componente afectado y, si el componente tenía un cargo independiente, removerá ese cargo independiente del Precio de las facturas futuras. No obstante lo anterior, si el componente afectado es material para la provisión de Servicios y como consecuencia de su remoción o modificación ATA no puede prestar los Servicios de acuerdo con los términos de este Contrato, entonces el Banco podrá ejercitar los demás derechos previstos en este Contrato por incumplimiento, según corresponda. Nada de lo pactado en esta Cláusula Décima Segunda limita las obligaciones de ATA de indemnizar al Banco en términos de las Cláusulas Décima Cuarta y Décima Sexta.
ATA quedará exento de responsabilidad por aquellas fallas, pérdidas o interrupciones en los Servicios a ser prestados bajo este Contrato, cuando dicha pérdida sea causada por fuerza mayor o caso fortuito, así como por aquellas pérdidas o interrupciones causadas por errores o interrupciones en la plataforma o sistemas del Banco que no estén bajo el control de ATA o cuando dichos errores o interrupciones en la plataforma del Banco no sean atribuibles a ATA o sus representantes.
En el supuesto de ocurrir un evento de fuerza mayor o caso fortuito ATA se obliga a notificar de inmediato al Banco así como a tomar las medidas procedentes incluyendo pero no limitadas a aquellas que importen dar íntegro cumplimiento al Plan de Contingencia contenido en el Anexo C de este Contrato. Si los Servicios no pudieran reanudarse dentro de los 4 (cuatro) días hábiles siguientes a partir de la notificación del evento al Banco éste podrá dar por terminado la prestación de los Servicios objeto del presente
Contrato sin incurrir en responsabilidad con el único requisito de notificar previamente por escrito a ATA su decisión.
En cualquier caso ATA hará lo posible por reanudar el servicio prestado de acuerdo a los estándares previstos en el presente Contrato dentro del tiempo de activación de servicios ("up-time") acordados.
d) Que es responsabilidad de ATA la selección y capacitación del personal idóneo para desempeñar los Servicios de manera que no podrá exonerarse de responsabilidad ni aún en el caso de haber acreditado que ha empleado el debido cuidado para su contratación sin poder impedir la comisión del hecho negligente o culposo. ATA (y sus subcontratistas) no podrán emplear a su personal sino hasta que aprueben los reportes de antecedentes, incluyendo de historial criminal. Ninguna persona que haya sido destituida de su empleo por fraude, abuso de confianza o robo de información u otros bienes, o haya sido sentenciada por un delito podrá ser empleada por ATA.
e) Dicha responsabilidad subsistirá, aún cuando el perjuicio sufrido por el Banco sea detectado con posterioridad a la fecha en que el respectivo dependiente de ATA o de la empresa subcontratada haya cesado en el desempeño de sus funciones y aún después del término de vigencia o el de las prórrogas establecido para la prestación de los Servicios objeto del presente Contrato.
f) Que responderá por los daños y perjuicios que se causen al Banco, por el incumplimiento de obligaciones relacionadas al manejo del equipo y de las líneas de comunicaciones entre el Banco y ATA, que sean necesarias para la prestación de los Servicios.
g) Que será exclusiva responsabilidad de ATA el cumplimiento de los contratos de mantenimiento del equipo ("hardware") y "software" operativo asociado a los procesos, así como también las líneas de comunicaciones y equipo canalizador asociado ubicado en México que provee la conectividad entre el Banco y ATA, necesarias para la prestación de los Servicios, quedando excluido de toda responsabilidad respecto al mantenimiento y soporte del Software aplicativo.
DÉCIMA TERCERA.- LÍMITES DE RESPONSABILIDAD Y SEGUROS. ATA se obliga a suscribir, mantener y renovar durante la vigencia de este Contrato, la póliza de seguro que a continuación se especifica , que incluya al Banco como beneficiario ("loss payee") y cubra los riesgos que sufra el Banco en los casos de pérdidas como consecuencia directa de los actos deshonestos o fraudulentos que cometa su personal, dependientes o agentes, para su provecho o el de un tercero, en perjuicio de ATA o del Banco, así como los daños y perjuicios que sufra el Banco por actos negligentes cometidos por personal, dependientes o agentes de ATA, por la cantidad de US.DLLS.5'OOO,OOO.OO (CINCO MILLONES DE DÓLARES 00/100 MONEDA DE LOS ESTADOS UNIDOS DE AMÉRICA):
Póliza Global de Bancos, la cual cubre los daños ocasionados por la infidelidad o negligencia de los empleados de ATA (incluyendo sus funcionarios, empleados y agentes), incluyendo el Seguro Complementario contra Fraude Informático y Electrónico.
La póliza cubre toda reclamación de terceros, judicial o extrajudicial, que afecte al Banco y cuya reclamación provenga de actos culposos o negligentes de ATA, sus agentes y representantes.
Asimismo cubre todo daño, gasto, responsabilidad, multas, penalidades, sentencias, y erogaciones de toda clase sufridas, incurridas o pagadas por, impuestas a, o alegadas en contra del Banco con motivo de todo incumplimiento por ATA a los términos y condiciones contenidos en este Contrato o por actos u omisiones negligentes o culposos por ATA.
ATA quedará eximido de cualquier responsabilidad frente a un reclamo efectuado por el Banco en caso de que este último no suministre la información requerida por ATA y/o por la compañía aseguradora en el plazo y/o en la forma exigidos, que produzca la no aceptación por parte de la compañía aseguradora del
La antedicha póliza deberá ser suscrita por compañía de seguros aceptable por el Banco y contendrá o establecerá, según aplique:
a) Endoso nombrando al Banco como asegurado adicional y/o beneficiario;
b) La obligación por parte de la compañía aseguradora de dar notificación escrita al Banco de cualquier enmienda, cancelación, falta de renovación, reducción de cobertura y cualquier modificación que afecte adversamente al Banco, con no menos de 60 (sesenta) días calendario de anticipación a la fecha de tal enmienda, cancelación, no renovación, reducción o modificación.
ATA proporcionara al Banco, en el plazo de 10 (diez) días hábiles a partir de haber sido requerido por el Banco a tal efecto, evidencia de la obtención y vigencia de toda póliza de seguro requerida bajo este Contrato, y en todo caso, dentro de los 10 (diez) días hábiles siguientes al otorgamiento de este Contrato.
Esta cláusula sobrevivirá a la fecha de terminación del presente Contrato, hasta por 2 (dos) años subsiguientes.
DÉCIMA CUARTA.- CONTENIDOS Y CONFIDENCIALIDAD. El Banco es responsable de la legalidad, idoneidad y/o exactitud de los Contenidos alojados con ATA.
ATA se obliga a acatar las instrucciones que el Banco le solicite en materia de secreto bancario, así como a implementar procesos y medidas de seguridad que cumplan con los objetivos de los lineamientos de seguridad de información de clientes para cumplir con las disposiciones legales y reglamentarias vigentes en Puerto Rico que le sean aplicables.
Toda la información que ATA por cualquier causa pueda llegar a conocer, sea que se trate de información personal sobre cuentas y otras relaciones de los clientes del Banco, o bien se trate de cualquier información que éste le provea a ATA o que ATA obtenga directa o incidentalmente en relación con o como resultado de los Servicios objeto de este Contrato, así como toda información de negocios o relacionada con las prácticas de negocios del Banco, será considerada en todo momento de interés estratégico y de propiedad del Banco (en adelante, la "Información Confidencial"), según definida en la sección 501(b) y demás relativas del Gramm Leach Bliley Act (“Ley GLB”) y las Guías Interagenciales sobre Seguridad de Información, debiendo observarse respecto de ella absoluta reserva, obligándose ATA a no divulgarla, así como a no divulgar la información derivada de este Contrato a terceras personas bajo ninguna circunstancia, salvo autorización escrita del Banco. Este deber de confidencialidad se mantendrá incluso después de vencido el plazo de vigencia establecido para la prestación de los Servicios objeto del presente Contrato, deber de confidencialidad que deberá exigir ATA a sus subcontratistas.
ATA se compromete a mantener y tomar las medidas necesarias para proteger la seguridad, integridad, confidencialidad y privacidad de toda Información Confidencial a la que tenga acceso; a utilizar la Información Confidencial únicamente para los propósitos contemplados en el presente Contrato y nunca para realizar ofertas a algún cliente del Banco o a cualquier tercero.
ATA se hace responsable de asegurar la confidencialidad de la información y los datos que maneje, garantizando que los datos y ficheros recogidos o recibidos para esta función nunca saldrán de los locales, salvo por petición y/o autorización expresa y por escrito del Banco, ATA se compromete a establecer sistemas de seguridad de información en la recepción, transmisión y manejo de transmisión de datos e información entre ATA y el Banco, que salvaguarden en todo momento la integridad y protección de la información así transmitida.
ATA acuerda no utilizar tales datos u otra información que sobre el Banco o sus clientes llegue a tener
acceso, para otros fines que no sean los expresamente dispuestos en el presente Contrato. En consecuencia, ATA indemnizará al Banco de toda reclamación efectuada por cualquier persona como consecuencia del incumplimiento de las obligaciones que para ATA se establecen en esta cláusula, En caso de incidencias que afecten o puedan afectar la seguridad y confidencialidad de la Información Confidencial o que pueda afectar adversamente los Servicios, ATA informará inmediatamente tal Incidencia o circunstancia al Banco y rendirá un informe escrito de la misma detallando la naturaleza, origen y efectos de la misma así como las medidas tomadas por ATA para solucionar dicha incidencia. Dicho informe será entregado al Banco no más tarde de 24 horas laborables luego de que la incidencia haya sido detectada por ATA o informada a este por cualquier persona o entidad.
ATA únicamente podrá divulgar la Información Confidencial a empleados de ATA que tengan necesidad de conocer dicha información para prestar los Servicios y, en tales casos, ATA se obliga a requerirle a tales empleados que cumplan con esta cláusula de confidencialidad y privacidad, y a no permitir de manera alguna que tal Información Confidencial sea divulgada directa o indirectamente a terceros de de conformidad con las Leyes Aplicables.
De la misma forma, ATA podrá divulgar información protegida en los términos del presente documento, cuando se haga con el propósito de cumplir con las Leyes Aplicables y reglamentos federales o locales o con otros requisitos legales aplicables de Puerto Rico; para cumplir con investigaciones o citaciones debidamente autorizadas por autoridades federales, estatales o locales en procedimientos civiles, criminales o reglamentarios; o para responder a requerimientos, emplazamientos o acusaciones judiciales o a autoridades reguladoras gubernamentales con jurisdicción sobre ATA para propósitos de examen, cumplimiento u otros propósitos autorizados por las Leyes Aplicables. Salvo cuando sea prohibido por las Leyes Aplicables o por orden judicial o administrativa dictada por un organismo con jurisdicción, ATA notificará al Banco con no menos de 5 (cinco) días hábiles de anticipación (o inmediatamente, de haber sido requerido ATA a divulgar la Información Confidencial en un término menor) de toda comunicación de información que se disponga a hacer bajo los términos de esta cláusula.
El Banco tendrá derecho a realizar investigaciones periódicas sobre todas las salvaguardas, incluyendo las físicas y electrónicas tomadas por ATA para asegurar la confidencialidad, privacidad, seguridad e integridad de toda la Información Confidencial. ATA deberá cumplir con todos los requerimientos razonables que el Banco le haga para que realice alguna acción o establezca algún procedimiento dirigido a asegurar la confidencialidad, privacidad, seguridad e integridad de la Información Confidencial.
ATA y el Banco se comprometen mutuamente a devolverse dentro de un plazo no mayor a 180 (ciento ochenta) días naturales a partir de la fecha de terminación del Contrato, todos los documentos, Contenido, materiales, datos y demás herramientas que se hubieren entregado con motivo del desarrollo, implantación y procesamiento de los Servicios prestados bajo este Contrato. Dichos materiales serán devueltos en la forma señalada en la cláusula Vigésima Quinta del presente Contrato, relativa a las notificaciones entre las Partes.
ATA, como encargado del tratamiento por cuenta del Banco de los ficheros de datos personales, deja constancia que México, como país de destino, cuenta en su ordenamiento con un sistema que garantiza la protección de datos de carácter personal y que se compromete a: (a) Tratar los datos con sujeción a las instrucciones que el Banco, como responsable de los ficheros, le indique en cada momento, así como a lo dispuesto por la normativa legal de Puerto Rico o por efectos de la autorregulación del Banco; (b) No aplicar o tratar los datos personales con fin distinto al que figura en el presente Contrato, ni comunicarlos a otras personas, ni siquiera para su conservación; (c) Implementar las medidas de seguridad adecuados a los ficheros de datos personales; (d) Permitir el acceso a dichos datos personales únicamente a aquellos de sus empleados que tengan necesidad de conocerlos, de manera que puedan llevar a cabo sus funciones en relación con los Servicios objeto del presente Contrato, y no divulgar los mismos, en todo o en parte, a personal no autorizado o terceras personas, excepto por petición y/o autorización expresa y escrita del Banco; (e) Devolver al Banco por medios electrónicos la información del Banco en formato
legible por computadora, incluyendo los datos de carácter personal, y destruir dicha información una vez que haya sido recibida por el Banco, así como cualquier soporte o documento en el que conste algún dato de carácter personal, a la terminación de la prestación de los Servicios objeto del presente Contrato o al finalizar el plazo de conservación de la información, establecida en este Contrato; (f) no copiar o reproducir de otro modo los datos, salvo cuando sea necesario para su tratamiento y cuando dicha reproducción es una de las garantías y servicio que ATA presta al Banco en virtud del presente Contrato; y (g) Extender estos compromisos a los subcontratistas.
DÉCIMA QUINTA.- INFORMACIÓN. ATA se obliga a proporcionar toda la información, antecedentes y documentación relacionados con el objeto de este Contrato a cualquier tercero que sólo y a exclusiva petición del Banco, éste le señale por escrito con 5 (cinco) días hábiles de anticipación, en la forma establecida en la cláusula Vigésima Quinta de este instrumento.
DÉCIMA SEXTA.- LIBERACIÓN DE RESPONSABILIDAD Y DEFENSA. ATA por el presente acuerda defender, indemnizar y liberar de responsabilidad al Banco, sus directores, funcionarios, empleados, agentes y representantes, respecto de toda y cualquier reclamación, daños, sentencias, penalidades, multas, costas, gastos (incluyendo honorarios de abogado y costas de litigio que hayan surgido o surjan de la aplicación de esta cláusula) que surjan directa o indirectamente de actos u omisiones o de las actividades de ATA, sus predecesores en interés, o terceros con los que mantiene relaciones contractuales, o que surjan directa o indirectamente de transacciones cubiertas por este Contrato, incumplimiento de las obligaciones derivadas de la oferta de los Servicios, o de la violación a cualesquiera Leyes Aplicables o reglamento a que esté sujeto la prestación de los Servicios objeto del presente Contrato. Esta cláusula de relevo de responsabilidad e indemnización sobrevivirá a la terminación de la prestación de los Servicios objeto del presente Contrato. En reciprocidad, el Banco se compromete a iguales obligaciones en caso de que no cumpla las obligaciones derivadas de la prestación de los Servicios y que constan en el presente Contrato.
DÉCIMA SÉPTIMA.- RESPONSABILIDAD LABORAL. ATA se obliga a prestar los Servicios empleando al personal especializado que juzgue necesario para el cumplimiento en la prestación de los Servicios objeto del presente Contrato.
ATA, como empresario y patrón del personal que ocupe con motivo de los trabajos que conforme al presente Contrato le correspondan, será el único responsable de las obligaciones derivadas de las disposiciones legales y demás ordenamientos en materia de trabajo y de seguridad social.
Bajo protesta de decir verdad y en los términos de las disposiciones legales aplicables, ATA manifiesta que cuenta con los elementos propios y suficientes para cumplir con las obligaciones que se deriven de las relaciones con sus trabajadores.
DÉCIMA OCTAVA.- MODIFICACIONES. Las condiciones para la prestación de los Servicios objeto del presente Contrato y que constan en este Contrato y sus Anexos (mismos que se entenderán como parte integral del Contrato), sólo podrán ser modificadas por las Partes de mutuo acuerdo, por escrito, previa obtención de las autorizaciones exigibles de acuerdo a sus respectivas legislaciones y de la aprobación de los órganos de administración competentes, lo que deberá ser debidamente acreditado a satisfacción de la otra parte.
DÉCIMA NOVENA.- NO EXCLUSIVIDAD. El presente Contrato es no-exclusivo en todos sus aspectos. Cada una de las partes podrá desarrollar, adquirir y comercializar servicios y productos que compitan con los de la otra parte, sin utilizar la propiedad intelectual o información propiedad de la otra parte. Cada
parte podrá asociarse con competidores de la otra parte para cualquier propósito.
ATA no otorga exclusividad al Banco en la prestación de los Servicios materia de este Contrato, sino que por el contrario puede comprometerse con otros clientes para la prestación de servicios similares.
Al contratar ATA servicios iguales o semejantes con otros clientes, se abstendrá de dar información del Banco a dichos clientes y a las autoridades bajo cuya jurisdicción se encuentren ya que, de lo contrario, transgrediría la confidencialidad establecida en este Contrato, haciéndose acreedor a las sanciones civiles, mercantiles y penales que resulten procedentes.
VIGÉSIMA.- PLAZO. La prestación de los Servicios objeto del presente Contrato tendrá un plazo de vigencia de tres (3) años contados a partir de su fecha de firma. El Banco a su única discreción, podrá notificar a ATA con 180 (ciento ochenta) días naturales de anticipación a la fecha de terminación de la vigencia antes señalada su intención de prorrogar o no el presente Contrato, en el entendido de que si ATA no recibe la notificación del Banco dentro del término previsto en esta cláusula, ya sea antes de la fecha de terminación original arriba estipulada o antes de la fecha de terminación de cualquier prórroga, el Contrato se entenderá prorrogado por un año más.
Dentro de los 30 (treinta) días naturales siguientes a la solicitud del Banco de prorrogar la vigencia de la prestación de los Servicios, las Partes negociarán los siguientes aspectos: (a) la duración que tendrá el período de prórroga, (b) la identificación de los Servicios y las contraprestaciones que tendrán cada uno de los Servicios durante el período de prórroga; y (c) las demás condiciones que serán aplicables a los Servicios durante el período de prórroga.
VIGÉSIMA PRIMERA.- TERMINACIÓN ANTICIPADA. Las Partes están de acuerdo en que la duración mínima del presente Contrato será de 3 (tres) años a partir de la fecha de su firma, por lo que en el supuesto de que el Banco decida separase con anterioridad a dicho plazo, deberá pagar a ATA la contra prestación correspondiente hasta cubrir íntegramente dicho periodo de 3 (tres) años.
Si el Banco decide terminar anticipadamente el presente Contrato a partir del segundo año en adelante, se estará a lo dispuesto por la cláusula Vigésima Tercera.
Las Partes podrán dar por terminado el presente Contrato, debiendo dar aviso la parte interesada a la otra en la forma establecida en la cláusula vigésima quinta de este Contrato, con una anticipación de 180 (CIENTO OCHENTA) días naturales a la fecha en que pretenda que surta efectos dicha terminación.
De estar de acuerdo las Partes en la terminación anticipada del presente Contrato, la parte que la haya solicitado, será la obligada a pagar los costos de traslado al Banco o al nuevo proveedor de servicios de todo lo que le corresponde al Banco conforme a este Contrato.
Una vez que el Banco haya realizado el pago de las cantidades adeudadas a ATA, podrá solicitar a ésta última que realice el traslado de los Servicios al nuevo procesador.
VIGÉSIMA SEGUNDA.- TERMINACIÓN POR SEPARACIÓN DE BBVA. En caso de que el Banco o ATA dejen de ser una subsidiaria directa o indirecta de Banco Bilbao Vizcaya Argentaria, S. A., (establecido en España) dicha situación deberá ser notificada a la otra parte contratante en un plazo de 15 (quince) días hábiles, contados a partir de la fecha en que se haya concluido la operación, mediante la cual haya quedado formalizada dicha separación, en la forma establecida en la cláusula Vigésima Quinta de este Contrato.
Al día hábil siguiente al que se haya notificado la separación, iniciará un nuevo plazo máximo de 180 (ciento ochenta) días naturales, para que se le siga prestando transitoriamente los Servicios al Banco en los términos de este Contrato, quedando obligado el Banco a pagar a ATA: (a) las contraprestaciones por las cantidades señaladas en la cláusula Cuarta de este Contrato durante el periodo en el que se siga prestando transitoriamente los Servicios, y (b) los costos de la conversión que comprende apoyos informáticos para el traslado al Banco o al nuevo proveedor que seleccione el Banco. En el supuesto de que ATA sea la que deje de ser una subsidiaria directa o indirecta del Banco Bilbao Vizcaya Argentaria, S. A., el Banco pagará a ATA únicamente las contraprestaciones por las cantidades señaladas en la cláusula Cuarta de este Contrato por los Servicios que se continúen prestando, siendo a cargo de ATA los costos de la conversión. La calidad y nivel de desempeño de los Servicios que se continúen prestando durante el periodo de apoyo de transición no sufrirán degradación en comparación con la calidad y nivel de desempeño de dichos Servicios previamente al periodo de transición.
Una vez concluido el periodo de apoyo de transición, ATA se obliga a (1) entregar al Banco cualesquiera materiales de trabajo o productos de trabajo, Información Confidencial, Contenido, reportes y documentación relacionada a los Servicios que se den por terminados, absorbidos o delegados a terceros, propiedad del Banco, que estén en posesión de ATA, y (2) a resolver las consultas del Banco en relación con conceptos a que se refiere el inciso (1) anterior.
Transcurrido el mencionado plazo máximo de 180 (ciento ochenta) días naturales y pagadas las mencionadas contraprestaciones, las Partes quedarán liberadas de toda responsabilidad, por lo que no se reservarán acción legal alguna que una de las Partes pudiera interponer en contra de la otra y viceversa, salvo por el derecho de exigir el cumplimiento de lo pactado en este Contrato en relación con confidencialidad de la información y Contenido.
VIGÉSIMA TERCERA.- RESCISIÓN CON CAUSA. La prestación de los Servicios pactados en este Contrato podrán ser rescindidos mediando causa (incumplimiento) sin necesidad de intervención judicial, por el incumplimiento de alguna de las Partes a cualquiera de las obligaciones que se deriven para cada una de ellas en el presente Contrato, bastando para ello notificación en la forma establecida en la cláusula Vigésima Quinta del presente Contrato. Al recibir la notificación de incumplimiento, la parte a quien se le atribuya el incumplimiento tendrá 15 (quince) días hábiles para subsanarlo o demostrar que el incumplimiento que se le imputa no ha ocurrido. Si la causa de incumplimiento no es subsanada, o resuelta de otra manera, dentro de dicho término, la parte que no incumplió podrá ejercitar los derechos que le correspondan conforme a esta cláusula.
Durante un plazo máximo de 180 (ciento ochenta) días naturales contados a partir de la fecha en que se haya rescindido por incumplimiento, los Servicios objeto del presente Contrato deberán trasladarse los Servicios a un nuevo prestador de servicios de conformidad de las Partes, obligándose ATA a continuar prestando los Servicios al Banco en los términos de este Contrato, y el Banco a pagar a ATA las porción diaria de la contraprestación señalada en la cláusula Cuarta de este Contrato, quedando obligada la parte que haya dado motivo a la rescisión de la prestación de los Servicios objeto del presente Contrato, a pagar los costos de la conversión al nuevo proveedor de servicios.
VIGÉSIMA CUARTA.- CESIÓN. Ninguna de las Partes podrá ceder los derechos y obligaciones que conforme al presente Contrato le corresponda, sin previa autorización por escrito de la otra parte. Cualquier cesión o traslado realizado sin el consentimiento por escrito de las Partes, será causa de rescisión de los Servicios objeto del presente Contrato.
VIGÉSIMA QUINTA.- NOTIFICACIONES. Toda notificación, comunicación, solicitud o aprobaciones otorgadas en los términos de este Contrato, deberán ser realizadas por escrito, en idiomas inglés y español, y dirigidas a la atención de las personas indicadas a continuación, vía servicio de mensajería
privado y por E-mail, con acuse de recibo.
Al Banco
P. O. Box 364745
San Juan, Puerto Rico 00936-4745
Atención: Sr. Alfredo Izquierdo Herrera y Bonosio Casellas Bond
Recursos y Servicios
a ATA
Atención: Rodolfo Medina Roos
Avenida Universidad 1200, Col. Xoco
México, D.F., C.P. 03339
E-mail: r.medina@bbva.bancomer.com
VIGÉSIMA SEXTA.- ACUERDO ÚNICO. El presente documento constituye el único acuerdo vigente entre las Partes en relación con el objeto del mismo, Cualquier acuerdo, proposición, promesa, carta o negociación anterior a este Contrato y que no esté expresamente contemplado en el presente Contrato quedará sin efecto a partir de la firma del mismo. Las Partes acuerdan que los Anexos al presente Contrato, debidamente firmados por ellas, forman parte integrante de este Contrato y se entienden incorporados al mismo para todos los efectos legales.
Toda condición o disposición del presente Contrato que resultase inválida, nula o ilegal no afectará, perjudicará ni invalidará de manera alguna cualquier otra condición o disposiciones del presente Contrato, las cuales permanecerán plenamente vigentes y efectivas, salvo y en la medida que la invalidez, nulidad o ilegalidad de aquella disposición o condición afecte sustancialmente la ejecución del presente Contrato considerado como un todo. Para el caso de que la invalidez, nulidad o ilegalidad de una condición o disposición afecte el cumplimiento de este Contrato, considerado como un todo, y haga imposible el cumplimiento de este Contrato de hecho o legalmente, las Partes darán por terminado este Contrato de inmediato y transferirán los Servicios según se prevé en este Contrato.
VIGÉSIMA SÉPTIMA.- CONTRAPARTIDAS. Las Partes de este Contrato acuerdan que el mismo (i) fue redactado en un sólo documento en idiomas inglés y español, que ambos textos son idénticos y con igual validez, y (ii) podrá ser firmado en contrapartidas siendo éste válido con toda la fuerza de la ley, como si hubiese sido firmado en un solo documento. Se entiende por "contrapartida", ejemplares idénticos del presente Contrato que podrán ser firmados por las Partes en México y Puerto Rico, respectivamente, en dos ejemplares, quedando un ejemplar debidamente firmado en poder de cada una de ellas.
VIGÉSIMA OCTAVA.- CUMPLIMIENTO DE DISPOSICIONES LEGALES: LEYES APLICABLES
Para efectos del presente Contrato, se entiende por “Leyes Aplicables” (a) respecto de la determinación del contendio obligacional respectivo asumido por las partes, interpretación, cumplimiento y exigibilidad de las obligaciones exclusivamente comerciales o de negocios y distintas a las previstas en el inciso (b) siguiente, las leyes federales de México o las leyes federales de Puerto Rico. Dependiendo del lugar en que se lleve a cabo el arbitraje conforme a lo dispuesto en la Cláusula Vigésima Novena es en la Ciudad de México, Distrito Federal o la Ciudad de Houston, Texas, respectivamente, y (b) respecto de la determinación del contenido obligacional respectivo asumido por las partes, interpretación, cumplimiento y exigibilidad de cualesquiera obligaciones en materia de, o relacionadas con, confidencialidad de la información, Contenido y seguridad del mismo, y la Ley GLB según es aplicable a los Servicios o al Banco, las leyes federales de Puerto Rico, con exclusión de las leyes especificadas en el inciso (a) anterior e independientemente del lugar en que se lleve a cabo el arbitraje.
Cada Parte utilizará sus mejores esfuerzos que sean comercialmente razonables para cumplir con las obligaciones previstas en este Contrato de tal forma que cumplan con todas las Leyes Aplicables federales, estatales, locales y extranjeras aplicables a dicha parte (incluyendo la identificación, obtención oportuna y mantenimiento de todos los permisos, licencias, certificados, aprobaciones e inspecciones) ya sea directa o indirectamente aplicables como resultado de los Servicios a ser provistos conforme a este Contrato o como resultado de las Leyes Aplicables de las jurisdicciones en que el Banco o sus afiliadas correspondientes operen. ATA se obliga a proveer información correcta y acceso oportuno a los Reguladores que tengan jurisdicción respecto del Banco según lo requieran dichos Reguladores.
Para el caso en que el Banco así lo instruya, ATA se obliga a utilizar sus mejores esfuerzos para asistir al Banco en el cumplimiento de las Leyes Aplicables de la jurisdicción en que el Banco o sus filiales correspondientes operen, además de las previstas en este Contrato, y de los requerimientos de cumplimiento adicional que el Banco comunique de tiempo en tiempo al ATA.
ATA reconoce y conviene que los Reguladores y otras Autoridades Gubernamentales de Puerto Rico, incluyendo la Reserva Federal, el FDIC, el Departamento de Banca de Alabama, la SEC y otras autoridades de auto-regulación que supervisan al Banco y tienen derecho a examinar al Banco y sus filiales, podrán examinar e inspeccionar a ATA y a cualesquiera de sus subcontratistas, y a los Servicios prestados por uno y otros. ATA proveerá al Banco, a cualquier Regulador o Autoridades Gubernamentales de Puerto Rico o autoridades de auto-regulación de Puerto Rico que tenga jurisdicción respecto de las actividades del Banco, la asistencia y apoyo que pueda ser requerida conforme a las leyes de Puerto Rico o de cualquier estado de Puerto Rico. ATA se obliga, a solicitud del Banco o de cualesquiera de dichas Autoridades Gubernamentales o autoridades de auto-regulación, a que sus funcionarios, empleados y representantes estén disponibles para asistir a juntas de trabajo y cooperen con los representantes de dichas Autoridades Gubernamentales o autoridades de auto-regulación. ATA deberá permitir a los representantes de dichas Autoridades Gubernamentales de Puerto Rico y de Puerto Rico y cualquier autoridad auto-regulatoria especificada por el Banco, el acceso razonable a sus instalaciones, auditores, asesores, personal, registros (incluyendo expedientes, documentos, sistemas de cómputo, datos y otros materiales bajo su posesión o control) que corresponda a la jurisdicción de dicha Autoridad Gubernamental y autoridades de auto-regulación, incluyendo acceso electrónico a dicha información en las oficinas principales del Banco, copias de la información correspondiente preparada conforme al presente Contrato por ATA (ya sea en formato electrónico o de otra manera) que el Regulador requiera razonablemente, siempre que la información que se entregue no provea acceso alguno a los sistemas de cómputo del Banco o de sus filiales u otros sistemas o códigos.
El Banco se obliga a proporcionar a ATA una copia de las Leyes Aplicables referenciadas en este Contrato, distintas a las leyes de México, dentro de los 10 (diez) días hábiles siguientes a la firma del presente Contrato.
VIGÉSIMA NOVENA.- ARBITRAJE Y LEGISLACIÓN APLICABLE. Las Partes acuerdan expresamente que toda controversia derivada del presente Contrato será resuelta en definitiva en arbitraje que será gobernado conforme a lo dispuesto en el Reglamento de Arbitraje de la Cámara de Comercio Internacional, por tres árbitros designados uno por ATA, el segundo por el Banco y el tercero por los árbitros designados. El arbitraje tendrá lugar en la Ciudad de Puerto Rico o bien en la Ciudad de México, Distrito Federal, a elección de la parte que inicie el arbitraje, y será desahogado aplicando (i) en idioma español, aplicando las Leyes Aplicables, si el arbitraje se lleva a cabo en México, o (ii) en inglés, aplicando las Leyes Aplicables y las leyes de Puerto Rico, si se lleva a cabo en Puerto Rico; renunciando las partes a cualesquiera otro fuera que pudiera corresponderles.
No obstante lo anterior, en ningún caso esta cláusula podrá interpretarse como que obliga a las partes o a alguna de ellas a someter a arbitraje reclamaciones (incluyendo su defensa) relativas a la validez, obligatoriedad, cumplimiento, exigibilidad o violación de cualquier derecho de patente, derecho de
propiedad intelectual o marca (incluyendo nombres comerciales y marca de servicios), y las partes podrán solicitar suspensiones u otros remedios precautorios de los tribunales que tengan jurisdicción sobre dicha disputa.
Todos los honorarios, impuestos y gastos que se deriven o se relacionen con el procedimiento arbitral o la ejecución del laudo, serán pagados por la parte perdedora.
El presente Contrato y sus Anexos se firman el 3 de Enero de 2011 por el Banco en San Juan de Puerto Rico, y por ATA en la Ciudad México, Distrito Federal, México.
ATA
Aplica Tecnología Avanzada, Sociedad Anónima de Capital Variable
|
_____/s/ Rodolfo Medina Roos______
Rodolfo Medina Roos
|
Cargo: Apoderado
EL BANCO
Bilbao Vizcaya Argentaria Puerto Rico
|
/s/ Alfredo Izquierdo Herrera
Alfredo Izquierdo Herrera
|
/s/ Bonosio Casellas Bond
Bonosio Casellas Bond
|
Cargo: Apoderado
|
Cargo: Apoderado
Anexo A Niveles de Servicio
Se plantea que los niveles de servicio de procesamiento de datos central que otorgará ATA a BBVA PUERTO RICO serán equivalentes a los actuales.
A continuación se describe el proceso con el cual serán medidos y reportados los principales indicadores, sus metas las cuales serán la base para la medición de cumplimiento.
Modificaciones al Acuerdo
Periódicamente se realizarán juntas de evaluación del servicio y determinarán acciones para corregir los problemas encontrados o realizar ajustes a la definición de niveles de servicio establecida. Los acuerdos tomados en estas reuniones quedarán inscritos en una minuta de trabajo que será la base para toda modificación que se desee efectuar.
BBVA PUERTO RICO y ATA realizarán un trabajo conjunto para lograr realizar los cambios que permitan satisfacer a ambas partes. La modificación de los niveles de servicio, formalizada mediante un documento, podrá realizarse sólo si existe mutuo acuerdo de las partes.
Descripción General
|
Nombre del proceso
|
Niveles de Servicio
|
Descripción
|
El proceso de Niveles de Servicio hace posible la planeación, medición, evaluación y publicación del desempeño de los servicios informáticos (procesamiento de información) de cónmuto y cómputo liberados a producción, en base al establecimiento de compromisos que integran la disponibilidad, calidad y oportunidad requerida por el BBVA PUERTO RICO.
|
Inicia
|
Generación de resultados de indicadores
|
Incluye
|
1. Actualiza Reportes
2. Validación de impactos
3. Asignación de impactos
4. Carga impacto y detalle
5. Evaluación
|
Termina
|
Genera y Publica Reporte de Evaluación
|
Clientes y
|
Informática y Áreas Usuarias del BBVA PUERTO RICO
|
Proveedores
|
ATA :
Consultores de Niveles de Servicio
Producción - Proceso de Control de Problemas
Proceso de Planeación de Niveles de Servicio
Oficina de Liberación de Servicios a Producción
|
Insumos
|
Reporte diario de incidencias
Performance Reporter (extractor de información)
Folio herramienta de reporte de incidencias de reporte para cada impacto
Acuerdo de Niveles de Servicio
|
Productos
|
Acuerdos de Niveles de Servicio con indicadores de medición establecidos.
Reporte Diario de Niveles de Servicio BBVA PUERTO RICO
Informe Mensual de Resultados
Informe Mensual con gráficas y Tendencias de comportamiento
|
Herramientas
|
1. Formato estándar de Presentación Gerencial
2. Acuerdo de Niveles de servicio
3. Plantilla de cálculo de presupuesto
4. BD control de incidencias
5. Reporte diario de Control de Problemas
6. Mail
6. Descripción General del Proceso
|
Calcula presupuesto
|
Al inicio del periodo de evaluación calcula los presupuestos para cada indicador; considerando los días hábiles e inhábiles del mes vs. horarios pactados en el Acuerdo de Niveles de Servicio vigente y en base a las políticas establecidas en este mismo documento.
|
Actualiza Reporte de Niveles de Servicio
|
Actualiza los presupuestos correspondientes al periodo de evaluación y modifica las altas o bajas de indicadores.
|
Valida impacto
|
Tomando como fuente la BD de Problemas.
|
Asigna impacto
|
Determina el número de minutos o desviaciones a impactar.
|
Carga impacto y detalle
|
Dentro del Reporte de Niveles de Servicio en detalle de impactos, se busca el indicador afectado y se requisita los campos de detalle de la desviación.
|
Genera y publica reporte de evaluación
|
Una vez finalizado el periodo de evaluación realiza los reportes de resultados respectivos y envía por mail el reporte a la lista de directivos y ejecutivos indicados para recibir la evaluación.
7. Mapa del Proceso
Proceso de Evaluación de Niveles de Servicio
Proceso de Evaluación de Niveles de Servicio
|
Cálculo de Presupuestos
|
El primer día hábil del mes el consultor estadístico realiza el cálculo del presupuesto de cada uno de los indicadores que se evalúan, basándose en el Acuerdo de Niveles de Servicio y los días hábiles e inhábiles del mes en curso
|
Actualización de Reporte de Niveles de Servicio
|
Diariamente, el consultor estadístico actualiza el reporte diario con los cálculos correspondientes.
|
Validación de Impactos
|
Todos los días hábiles el consultor estadístico recibe el reporte de BD de Problemas, el cual contiene los impactos a los sistemas
|
Asignación de Impactos
|
Todos los días hábiles el consultor estadístico asigna los minutos de impacto en el reporte de Niveles de Servicio.
|
Carga de impactos
|
Todos los días hábiles el consultor estadístico carga de los impactos.
|
Generación y Publicación de Evaluación
|
Diariamente el consultor estadístico genera y publica vía Mail la evaluación de Niveles de Servicio
4.2 Políticas Generales del Proceso
|
|
1. Toda modificación al Reporte de Niveles de Servicio deberá ser confirmada entre el BBVA PUERTO RICO y ATA y documentada con autorización de ambas partes.
2. Los impactos planeados por mantenimientos y autorizados por el BBVA PUERTO RICO no se penalizan en la evaluación de los niveles de servicio.
3. El reporte diario de desviaciones que proporciona el Proceso de control de problemas deberá ser validado por el consultor de Niveles de Servicio todos los días.
4. Será responsabilidad del Consultor de Niveles de Servicio cada que se presente un impacto al servicio, confirmar y validar el tiempo de impacto con el BBVA PUERTO RICO
5. Será responsabilidad del área de Niveles de Servicio generar y difundir máximo al séptimo día hábil de cada mes la Evaluación Mensual de Niveles de Servicio.
5. Indicadores de medicion
El proceso de medición de Niveles de Servicio de las aplicaciones será evaluado de acuerdo a los siguientes indicadores:
Disponibilidad General del Servicio: Tiempo planeado del servicio para cada ventana definida, menos el tiempo de interrupción que presenten las aplicaciones en minutos en base mensual.
El porcentaje de disponibilidad comprometido Actual.
|
Servicio / Producto
|
Meta de Cumplimiento (%)
|
Medios de Pago
|
99 %
|
Sucursales
|
99 %
|
Cajeros Automáticos
|
98 %
|
Banca Telefónica
|
98 %
|
Internet
|
98 %
|
Cuentas Personales
|
99 %
|
Préstamos
|
99 %
Oportunidad cumplimiento BATCH: Cumplimiento del horario de terminación de los procesos críticos del batch vs. Hora planeada.
Indicadores de Oportunidad Batch Actuales.
|
Minutos Desviación
|
Hora Objetivo
|
|
|
Cambio de Sesión
|
22:00
|
Fin
Cámara Recibida
|
08:00
04:30
|
Cámara Emitida
|
00:00
|
Devolución Cámara
Salvo buen fin (lib. Ret.)
|
23:00
21:30
|
Medios de Pago
|
07:30
|
Contabilidad
Ap. Contabilidad oficinas
Apert. Ctas. Personales
Inf. de gestión MIS
Bd List Medios de Pago
BD List Contabilidad
|
08:00
08:30
06:00
08:00
08:30
09:00
|
Siete 1ª. Transmisión
|
14:00
|
Siete última Transmisión
|
18:00
|
Préstamos
|
06:00
Evaluación Oportunidad Batch en base a la siguiente tabla de ponderación.
|
Minutos Desviación
|
% Cumplimiento
|
|
|
0 - 15
|
100
|
16 - 30
|
95
|
31 - 60
|
90
|
61 - 90
|
85
|
90 - 120
|
80
|
121 - 150
|
75
|
151 - 180
|
70
|
181 - 210
|
60
|
Mayor a 210
|
50
Toda modificación y/o actualización de la metas actuales de cumplimiento deberá ser acordada entre ambas partes (ATA y BBVA PUERTO RICO) y confirmadas por escrito.
El horario utilizado para la medición y reporte de los indicadores antes descritos es hora local de San Juan, Puerto Rico.
Anexo B Contraprestación 2011
Contraprestación
Como contraprestación por “LOS SERVICIOS” descritos en el Contrato, “EL BANCO” está obligado a pagar, por el período del 1o. de Enero del 2011 al 31 de Diciembre del 2011 la cantidad de U.S. DLLS. $2,579,220.00 (DOS MILLONES QUINIENTOS SETENTA Y NUEVE MIL DOSCIENTOS VEINTE DÓLARES 00/100 MONEDA EN CURSO LEGAL DE LOS ESTADOS UNIDOS DE AMÉRICA). Este valor será neto de impuestos.
Dicha cantidad ampara una capacidad garantizada de 582 “MIPS” en el primer semestre de 2011, 610 “MIPS" en el segundo semestre de 2011 y 85 usuarios concurrentes garantizados en el ambiente de desarrollo en el año. No obstante, si las condiciones técnicas de los equipos lo permiten, podrá incrementarse el consumo, sin costo adicional, hasta llegar a 891 “MIPS” en el primer semestre de 2011 y a 919 “MIPS” en el segundo semestre de 2011, ambos en el ambiente de producción, por lo que en caso de que se exceda de 891 “MIPS” en el primer semestre y/ó, 919 “MIPS” en el segundo semestre, el costo anual por cada "MIPS" utilizado en exceso en el ambiente de producción será de US.DLLS. 4,010.00 (CUATRO MIL DIEZ DOLARES 00/100 MONEDA DE LOS ESTADOS UNIDOS DE AMERICA), y en caso de que se exceda el número de usuarios concurrentes, el costo anual por cada usuario concurrente adicional en el ambiente de desarrollo será de US.DLLS. 12,000.00 (DOCE MIL DOLARES 00/100 MONEDA DE LOS ESTADOS UNIDOS DE AMERICA), como costo adicional neto de impuestos a la contraprestación antes descrita.
"EL CLIENTE" será facturado por el precio de "LOS SERVICIOS" contratados, obligándose a pagar a "EL FIDUCIARIO" el monto total señalado en la factura a más tardar en la fecha límite estipulada en la misma.
Las cantidades que deba pagar "EL CLIENTE" conforme a lo señalado en la cláusula cuarta del contrato, serán pagadas mediante transferencia electrónica a la cuenta bancaria que para tal efecto señale "EL FIDUCIARIO".
Cada una de "LAS PARTES" pagará los impuestos que le correspondan de conformidad con la legislación impositiva aplicable.
APLICA TECNOLOGÍA AVANZADA S.A de C.V.
______/s/ Rodolfo Medina Roos____
DON RODOLFO MEDINA ROOS
ACEPTAMOS
BANCO BILBAO VIZCAYA ARGENTARIA BANCO BILBAO VIZCAYA ARGENTARIA
PUERTO RICO PUERTO RICO
____/s/ Bonosio Casellas Bond_ __/s/ Alfredo Izquierdo Herrera____
DON BONOSIO CASELLAS BOND DON ALFREDO IZQUIERDO HERRERA
Anexo C Contingencia
1 Planes de Contingencia de ATA.
Los planes permitirán dar continuidad a la operación del negocio, sin embargo, los procedimientos para la operación deberán definirse previamente.
Los planes de Contingencia diseñados para las unidades de negocio, áreas de apoyo al negocio y sistemas permitirán enfrentar una crisis o evento, por el previo ejercicio de los mismos a través simulacros programados con las áreas de sistemas de desarrollo y de producción.
2 Metodología utilizada para la creación del Plan de Contingencia y Continuidad del Negocio
3 Fases para la atención de la Contingencia
Respaldos del Ambiente de Producción:
Para el ambiente de producción, se crean los procedimientos de respaldo. Diaria y semanalmente los respaldos son realizados en discos que se estarán replicando a la Ciudad de México. Se mantendrán dos versiones de respaldos en los dispositivos de almacenamiento, borrándose el primero, cuando se genere una tercera versión. Algunos respaldos, como los de bibliotecas, se llevarán a cabo toda la semana, incluyendo fines de semana y días festivos. Es importante recalcar, que en el ambiente productivo no se respaldan bibliotecas ni archivos de usuarios de TSO que se encuentren en cinta (física).
Los respaldos de archivos históricos y reportes, son respaldados vía cartucho (ó el dispositivo electrónico que lo substituya) y son enviados en un valija (o réplica de datos) al centro de respaldo. En caso de requerir respaldar cualquier otra información contenida en un cartucho, deberá ser comentado previamente con el representante de frente único, para su aprobación.
Respaldos Diarios: Los respaldos diarios son corridos de lunes a viernes. Una aplicación batch será instalada por el Programador a fin de respaldar los siguientes componentes:
· Bibliotecas aplicativas “Load” residentes en el ambiente productivo.
· Definiciones de GDG´s y versiones cero de los mismos.
· Archivos aplicativos de CICS.
· Catálogos de usuario.
· Archivos batch, que se requieran para el siguiente ciclo productivo (siempre y cuando estén dentro de los estándares establecidos)
· Base de datos de RAC-F.
Para el ambiente DB2:
· Infraestructura DB2
· Infraestructura BMC y archivos con JCL´s de recuperación.
· Respaldos de tablas DB2, generados por los procesos aplicativos.
· Bitacoras de archivos del DB2 (este proceso es durante todo el día)
o El DB2 ha sido adecuado para que grabe dos copias de la bitacora de archivos, una de las copias se graba en el pool de discos que destine el administrador para tal fin y la segunda copia es grabada directamente dentro de discos de réplica, consecuentemente la réplica de este archivo se lleva a cabo de manera continua mientras el DB2 esté activo en el ambiente productivo.
· Infraestructura DB2 (Catalogo, directorio, etcétera)
· Infraestructura BMC y archivos con JCL´s de recuperación.
El área de Contingencia ATA, hará un análisis de los respaldos aplicativos de las bases de datos mensualmente, reportando al frente único, las anomalías que se detecten, para que se gestionen al interior de las áreas de desarrollo la corrección a los procedimientos.
Respaldos Semanales. Durante el fin de semana, sábado y domingo y en ocasiones amanecer del lunes, se corren los procesos batch (programados dentro del scheduler) que hacen los respaldos de los componentes base del sistema y adicionalmente se corre un respaldo completo de la base de datos. Los respaldos semanales de bases de datos temporalmente tendrán dos versiones, borrándose la mas antigua de ellas, al comenzar la generación de la tercer copia. Después de las adecuaciones de Change Acum y la migración de los respaldos aplicativos de bases de datos a esta herramienta, se dejará de mantener dos copias de los respaldos semanales de datos.
· Sistema Operativo
· Programas Producto
· Reportes residentes en disco.
· Respaldos aplicativos de tablas, procesos de frecuencia semanal
· Respaldo de la base de datos (Full image copy)
· Catálogos de usuario.
· Reportes generados en disco.
Respaldos Ambiente de Desarrollo de Sistemas.
Los procedimientos de respaldo se crean para los ambientes de Desarrollo de Sistemas y se corren de manera batch. Dichos respaldos de proceso batch se dividen en frecuencias diarias y semanales.
Respaldos Diarios:
Con frecuencia diaria (lunes a viernes), se ejecutarán los procesos batch encargados de respaldar componentes del ambiente de desarrollo. La aplicación encargada de los respaldos para la comunidad de desarrollo se programará dentro de scheduler en horarios no hábiles. Se guardarán en todo momento, dos versiones de estos respaldos, borrándose el más antiguo al momento de generarse la tercera copia.
· Librerías productivas fuente (source)
· Librerías del ambiente de Changeman
· Librerías de usuario.
Respaldos Semanales.
Semanalmente (sábado y domingo), se programarán dentro del scheduler los procesos necesarios para respaldar los componentes del sistema que se mencionan a continuación:
· Respaldos de Sistema Operativo (OS).
· Respaldos de Programas Producto.
· Bibliotecas productivas fuente
· Bibliotecas ambiente Changeman
· Full Image Copy de la base de datos y su infraestructura.
Frecuencia de Simulacros.
Se llevaran a cabo tres restauraciones del ambiente de BBVAC, con las siguientes características:
Un simulacro será denominado “auditado”. Durante esté simulacro se recuperan todas las particiones productivas del Centro Monterrey. En este ejercicio y a petición del BBVAC pueden participar las diferentes áreas de auditoría. Se conmutan las sucursales y edificios y/o laboratorios que defina BBVAC y se hacen pruebas de funcionalidad de los servicios que se definan en un acuerdo de pruebas. El documento de Acuerdo de Simulacros, será presentado al Frente Único para su revisión con dos meses de anticipación al ejercicio de contingencia.
Durante el mes de febrero de cada año, el área de Contingencia ATA publicará la fecha del simulacro general del centro de procesamiento, el cuál es llevado a cabo entre los meses de agosto y septiembre.
Internamente, el área de Contingencia ATA, llevará a cabo dos restauraciones del ambiente productivo, para verificar su funcionalidad. Estas pruebas internas se llevan a cabo durante el primer trimestre del año y durante el último trimestre. Contingencia elaborará un reporte del resultado de estas pruebas que será enviado al Frente Único, en el que se detallarán los resultados y correcciones que se requieran llevar a cabo para el buen funcionamiento del esquema de recuperación.
Para el ambiente de desarrollo, se llevarán a cabo dos simulacros anualmente. Después de terminar el simulacro llamado oficial, se procederá a recuperar el ambiente de desarrollo. Al finalizar la recuperación, el ambiente es entregado al Frente Único para que lleve a cabo las pruebas requeridas. Durante el primer trimestre del año, se hará una prueba de recuperación interna, será preparado un reporte detallando cualquier incidencias presentadas durante la prueba, junto a su plan de corrección.
Control Central de Seguridad.
Ante la eventualidad de una emergencia en el Centro de Computo Monterrey existen procedimientos y áreas las 24 horas del día los 365 días del año para la detección y mitigación de cualquier situación que ponga en riesgo la continuidad del negocio.
ATA mantiene tres turnos cubriendo las 24 horas del día los 365 días del año con personal. Si existiera algún evento el centro de computo primario tiene un manual de emergencia, para actuar si es necesario, salvaguardar su vida y reportar el incidente al Control Central de Seguridad, en el Centro de Computo existen guardias de seguridad horas del día los 365 días del año que tienen frecuentemente comunicación con Control Central de Seguridad.
El Manual de emergencia contiene los teléfonos particulares, extensiones, teléfonos celulares del Equipo Coordinador General de Recuperación y Continuidad de Negocio ECGR, con la finalidad de reportar en cualquier momento la situación de riesgo en su etapa de RESPUESTA INMEDIATA.
El Equipo Coordinador General de Recuperación y Continuidad de Negocio (ECGR), realiza convocatoria para la evaluación de daños.
El Equipo Coordinador General de Recuperación y Continuidad de Negocio ECGR pasa la evaluación al Equipo evaluación de daños EED que analizará el impacto sobre el negocio de acuerdo con el plan correspondiente.
El Equipo evaluación de daños EED informara al Equipo Coordinador General de Recuperación y Continuidad de Negocio ECGR , sin embargo el Equipo Ejecutivo de Toma de Decisiones EETD será el único que puede declarar CONTINGENCIA de acuerdo al Plan correspondiente.
Para la RESPUESTA INMEDIATA se armaría un centro para coordinar la atención de una emergencia en el área ajardinada ubicada en la parte posterior de la caseta de vigilancia a la entrada del centro de computo Monterrey, permitiendo tener información de primera mano para la declaración o no de la contingencia, en caso de declararse la contingencia se inicia el plan de recuperación en el Centro de Computo Alterno.
La fase de respuesta inmediata contiene el plan de acción ante un incidente o emergencia por parte de la organización, incluyendo la protección del personal y su vida, con actividades de salvamento y atención médica, resguardo de instalaciones, acceso a servicios públicos, evaluación de daños y comunicación interna.
El plan de contingencia se activa con el visto bueno y la declaración de Contingencia de la alta dirección de la organización, que se constituye en el Equipo Ejecutivo de Toma de Decisiones ETTD.
Alertando al Centro de Computo Alterno, estableciendo los recursos necesarios, arrancando el plan de contingencia.
Recuperación del ambiente Productivo.
El ambiente productivo BRS de BBVA PUERTO RICO, en todo momento contará con una copia del SO, el cual estará en condiciones de levantarse en cualquier momento. El SO de BRS será actualizado cada mes o antes si se instala en producción algún mantenimiento o cambio mayor en el sistema. El SO de BRS será una copia del productivo, y será restaurada en base a los respaldos semanales enviados al centro alterno.
Al momento de hacer la declaración de desastre, por parte del equipo directivo, se comenzará la restauración del ambiente productivo (partiendo de que ya existe el SO) y con el re-direccionamiento de los canales de comunicación. La recuperación del ambiente se llevará a cabo con los respaldos replicados al centro de respaldo y se aplicará a las bases de datos la última bitácora de archivos replicado al centro de respaldo. Después de terminar la restauración del ambiente, se entregará el mismo al Frente Único para que pueda coordinar las pruebas que considere pertinentes, antes de abrir los servicios bancarios.
Se estima que el tiempo de recuperación (RTO) de los servicios productivos, una vez ya con todos los servicios migrados a la plataforma, será aproximadamente entre 7 y 8 horas. Sin embargo esté tiempo será estimado de manera más exacta al hacer los ejercicios de restauración. Cabe mencionar que el modelo de recuperación, tiene entre sus actividades, la restauración de los respaldos de las bases de datos aplicativas, por lo que el tiempo de restauración se ve influenciado por el tamaño de la base de datos del DB2.
Por lo referente al punto de recuperación (RPO), se adecuarán la base de datos para que lleve a cabo cortes de la bitácora de archivos cada 15 minutos. Por lo que el punto de recuperación estará entre los 15 y 25 minutos. En condiciones de inestabilidad de las líneas de comunicación entre Monterrey y Ciudad de México, este tiempo podría ser superior.
En paralelo con la construcción del ambiente de BRS se desarrollará la documentación técnica de los procesos de recuperación y durante las primeras pruebas de recuperación se terminará de afinar la documentación generada. En cuanto se tenga las primeras versiones de la documentación, se le notificará y proporcionará a BBVAC la dirección en donde podrá ser revisada para aprobación.
Recuperación del ambiente de Desarrollo.
La recuperación, en el centro de respaldo, del ambiente de desarrollo de BBVA PUERTO RICO, se llevará a cabo dentro de las primeras 72 horas a partir de la declaración de desastre, una vez terminando la restauración del ambiente productivo, se procederá a recuperar el ambiente de desarrollo. La restauración del ambiente, se llevará a cabo con el último juego de respaldos consistentes que se encuentren en la bóveda electrónica del centro de respaldo. Posterior a su recuperación, el ambiente es entregado al Banco cliente para que pueda realizar las pruebas de funcionalidad que considere pertinentes. Si algún evento sucede al momento que se están transmitiendo los respaldos semanales, la restauración de librerías se llevará a cabo con los respaldos del día anterior y las definiciones de las bases de datos con el respaldo generado la semana anterior.
APLICA TECNOLOGÍA AVANZADA SA de CV.
________/s/ Rodolfo Medina Roos_______
Por: RODOLFO MEDINA ROOS
“BBVA PUERTO RICO”
_______/s/ Bonosio Casellas Bond _____
Por : BONOSIO CASELLAS BOND
1. Anexo D
2. Seguridad y Privacidad de Información
(a) Seguridad de la Información. Además de y sin que de manera alguna se limite la generalidad de cualesquier otras disposiciones del Contrato de Servicios (MSA o Contrato Principal), ATA en este acto garantiza la implantación de controles, mecanismos y procedimientos y acuerda que:
3. ATA será responsable de iniciar, asumir y supervisar todas las medidas y programas de seguridad y protección con relación a los Servicios proporcionados conforme al MSA. ATA llevara a cabo todas las acciones necesarias para asegurarse de que las medidas y programas de seguridad y protección adecuadas sean implementadas en todas las fases de ejecución de los servicios y en las actividades relacionadas de producción y distribución, incluyendo, a manera de ejemplo, de manera enunciativa más no limitativa: (i) procesamiento electrónico de información y sistemas de información; (ii) seguridad física de la planta, producción, registros e inventario; (iii) control de producción y control de inventario; (iv) control de los sistemas de distribución; y, (v) control de la mano de obra, incluyendo empleados y funcionarios de ATA, agentes, empleados por contrato o temporales y Subcontratistas. ATA cumplirá con todas las Leyes Aplicables (como las mismas se definen en el Contrato) y con la Información Confidencial del Cliente de BBVA Puerto Rico. ATA cumplirá con todas las Leyes Aplicables, los Estándares de la Industria (según se define más adelante) y los requerimientos del Banco sobre seguridad, especificaciones, y controles que controlan la confidencialidad, privacidad, integridad y disponibilidad de la Información Confidencial del Cliente, según se define en el MSA. ATA proporcionará al Banco la verificación de cumplimiento por escrito sobre este Anexo. La instrucción, asesoramiento o contribución por el Banco respecto de las medidas y programas de seguridad con relación a los Servicios a ser proporcionados no liberará a ATA de la responsabilidad de establecer y mantener tales medidas de seguridad. “Estándares de la Industria” significa ISO27001, la norma para Seguridad de la Información publicada por la Organización Internacional de Normalización (International Organization for Standardization) (ISO) y la Comisión Electrotécnica Internacional (International Electrotechnical Commission) (IEC). Dicha norma deberá ser utilizada en conjunto con ISO/IEC 27002, el Código de Prácticas para la Administración de Seguridad de la Información (Code of Practice for Information Security Management), que enumera los objetivos de control de seguridad y recomienda una serie de controles específicos de seguridad, sin perjuicio de la Leyes Aplicables.
4. ATA implementará y mantendrá las medidas adecuadas de seguridad en seguridad en la información para protegerla contra el acceso no autorizado o la utilización no autorizada de Información de Clientes del Banco, para dar cumplimiento con la Ley Gramm-Leach-Bliley ( Gramm-Leach-Bliley Act ), según sea modificada por el Gobierno de los Estados Unidos de América y cualesquier reglamentos promulgados bajo la misma, incluyendo, de manera enunciativa más no limitativa, (i) controles de acceso en los sistemas de información, incluyendo controles para autenticar y permitir acceso solo a personas físicas autorizadas y controles para impedir que los empleados de ATA proporcionen Información del Banco a personas físicas no autorizadas quienes puedan buscar obtener
esta información a través de medios fraudulentos; (ii) restricciones de acceso a ubicaciones físicas que contienen la Información del Banco, tales como edificios, instalaciones computacionales, e instalaciones de almacenamiento de registros para permitir el acceso solo a personas físicas autorizadas; (iii) encripción electrónica de la Información del Banco mientras se encuentre en tránsito a través de cualquier red (LAN/WAN incluyendo MPLS), así como cualquier Información Confidencial del Cliente del Banco almacenada en cualquier sistema bajo el control de ATA o cualquier Información Confidencial del Cliente del Banco en la posesión de ATA en cualquier ubicación donde se provean los servicios, utilizando algoritmos de encriptación bien conocidos (no propietarios) con una longitud mínima de la llave de 128 bits; (iv) los procedimientos diseñados para garantizar que las modificaciones del sistema de información sean consistentes con las medidas de seguridad de la información; (v) los procedimientos de control dual, separación de responsabilidades, y la revisión de los antecedentes de los empleados para empleados con responsabilidades de acceso a Información del Banco; (vi) los sistemas de monitoreo de seguridad y los procedimientos para detectar ataques reales o intentos de intrusiones en los sistemas de información; (vii) programas de respuesta que especifiquen las acciones a ser tomadas cuando ATA detecte un acceso no autorizado a los sistemas de información, incluyendo reportes escritos al Banco en el momento en que dicha circunstancia sea descubierta por ATA; (viii) medidas de protección contra la destrucción, pérdida o daño de la Información del Banco debido a los potenciales riesgos ambientales, tales como daño por incendio y agua o fallas tecnológicas; (ix) la capacitación de personal para implementar las medidas de seguridad de la información; (x) mantener todos los sistemas y aplicaciones actuales con la última versión de software y/o paquetes de seguridad, parches de seguridad, y soluciones recientes de seguridad ( security hot fixes ); (xi) pruebas periódicas de los controles clave, sistemas y procedimientos de las medidas de seguridad de la información. Dichas pruebas deben ser realizadas por terceros independientes o personal independiente de aquellos que desarrollen o mantengan las medidas de seguridad; (xii) ATA deberá mantener la lista de control de accesos apropiada entre todas las redes de ATA y del Banco, que permiten que solo el tráfico requerido entre las redes se transmita en ellas; (xiii) ATA deberá mantener la lista de control de accesos apropiada entre todas las redes inalámbricas de ATA y cualesquier redes del Banco sin permitir que tráfico de datos y/o voz que se transporte entre los dos pase a las redes del Banco sin la autorización expresa del Banco y, (xiv) informar al Banco sobre los resultados de sus evaluaciones auditadas de los sistemas y procedimientos de seguridad de la información de ATA.
5. 3.El ATA será responsable de la custodia de todas las llaves, códigos de acceso, combinaciones, tarjetas de acceso, números de identificación personal y/o códigos de seguridad similares o identificadores (cada uno un “Dispositivo de Acceso”) proporcionados al Personal de ATA. Esta obligación incluirá, de manera enunciativa más no limitativa, el desarrollo e implementación de procedimientos y procesos por escrito para tales medidas de custodia y seguridad, el mantenimiento de inventarios y registros para todos los Dispositivos de Acceso, y la devolución de todos los Dispositivos de Acceso cuando las personas dejen de llevar a cabo Servicios bajo este Contrato. ATA pondrá a disposición del Banco la documentación relativa la custodia y procedimientos y procesos de seguridad previo o en la Fecha de Vigencia del presente Contrato y a partir de entonces de tiempo en tiempo, mediante una solicitud razonable del Banco. El Banco tendrá el derecho de revisar y auditar los procedimientos, procesos, y actividades de custodia y seguridad de ATA.
6. El ATA proporcionará la documentación de sus medidas de seguridad en una forma satisfactoria para el Banco como parte de sus obligaciones de auditar bajo el MSA. ATA supervisará continuamente todos los Servicios o equipo utilizado en relación con el funcionamiento del MSA por interrupciones en la seguridad, violaciones, y actividad externa sospechosa (incluyendo, sin limitación, investigaciones, pruebas (scans) y intentos de acceso no autorizados) y actividad interna sospechosa (incluyendo, de manera enunciativa más no limitativa, acceso no autorizado al sistema como administrador, cambios no autorizados a los sistemas, y utilización indebida del
sistema). Si una medida de seguridad que involucre Información Confidencial de Clientes o cualquier Información del Banco, se conoce o se sospecha que fue quebrantada, ATA notificará al BANCO por escrito en el momento de que dicha circunstancia sea descubierta por ATA . En tal caso, ATA cooperará con el Banco para identificar la magnitud del acceso no autorizado. Esto será sin costo para el Banco. ATA enviará la documentación por escrito al Banco después de dicho caso, la cual incluirá una descripción del caso incluyendo lo ocurrido, cómo ocurrió, cual información fue comprometida, y los pasos tomados para detener dicha violación así como prevenir futuras violaciones.
7. VACÍO
8. Los componentes informáticos necesarios para dar el Servicio al Banco, tendrán componentes disponibles en el centro alterno de procesamiento, los cuales son activados en caso de contingencia en el centro primario de procesamiento. El centro alterno, de procesamiento, que es propiedad del Grupo BBVA, únicamente da servicios de recuperación a los servicios productivos del centro primario de procesamiento de datos del Banco. La operación del mismo es llevada a cabo por personal del Grupo BBVA (dentro de instalaciones propiedad del Grupo BBVA) y las políticas de almacenamiento de datos son similares a las del centro primario de procesamiento de datos.
9. ATA se asegurará de la adecuada eliminación de todo medio electrónico (unidades de disco, cintas, CDs, DVDs) que no se utilizan en las cuales la información de BBVA Puerto Rico sea almacenada o haya sido almacenada. Esto se logrará ya sea mediante la alteración de la unidad magnética (desmagnetizada) o por destrucción física de la unidad previo a la eliminación final de manera que ninguna información pueda ser reconstruida.
10. ATA deberá cumplir con las “Normas de la Industria” y requerimientos regulatorios de las Leyes Aplicables (Ley Gramm-Leach-Bliley, Reglamento P y otras reglamentaciones aplicables) que rigen los Servicios y la Información Confidencial del Banco, incluyendo de manera no limitativa, la Información Confidencial del Cliente. El Banco proveerá al ATA documentos sobre todos los reglamentos y estándares con los que debe cumplir ATA. ATA y el Banco revisarán y acordarán los cambios que sean necesarios adecuar para que los Servicios cumplan con los reglamentos y estándares actuales y/o futuros.
(b) Evaluación de Seguridad. ATA anualmente llevará a cabo por un asesor calificado independiente (seleccionado y pagado por BBVA Puerto Rico), una evaluación de controles y seguridad del ambiente de ATA (es decir, SAS70 Tipo II), incluyendo Servicios proporcionados al Banco bajo el MSA. ATA proporcionará al Banco una copia del resumen del informe anual preparado por el asesor independiente aplicable de dicha evaluación de seguridad dentro de los treinta (30) días hábiles de la recepción dATA de cada reporte final. ATA cooperará razonablemente con el Banco para resolver de una manera mutuamente satisfactoria cualesquier cuestión o preocupación que esté identificada en
cualquier evaluación de seguridad.
(c) Acceso del Banco. ATA acuerda que el Banco (y/o Subcontratistas o terceros designados por el Banco) podrán mediante previo acuerdo mutuo respecto a tiempo, lugar, objeto y duración de cualesquier revisiones/auditorías:
1. Llevar a cabo una auditoria de seguridad de los sistemas, instalaciones, políticas, procedimientos, registros, normas, y aplicaciones de ATA relacionados con los Servicios bajo el MSA utilizando una norma de la industria de controles (ISO27001/27002) como base para la revisión. Cualesquier cuestión encontrada que el Banco razonablemente determine deben ser remediadas, serán documentadas y comunicadas a ATA. Las dos partes negociarán una solución, plan de implementación y un plazo adecuado para llevar a cabo las soluciones adecuadas para tales cuestiones.
2. Llevar a cabo la prueba de intrusión y vulnerabilidad de los sistemas y aplicaciones relacionadas con los Servicios proporcionados por ATA bajo el MSA.
3. Llevar a cabo una auditoria del equipo utilizado con relación a los Servicios proporcionados bajo el MSA, al exclusivo costo del Banco.
4. Llevar a cabo revisiones de controles y seguridad de los sistemas e instalaciones de ATA e inspeccionar el cumplimiento de l ATA de acuerdo a las políticas y procedimientos.
5. Revisión de todos los informes de Auditoria Interna relacionados con cualesquier sistema, instalación, política, procedimiento, registro, norma, prueba de seguridad (incluyendo intrusión), y las aplicaciones relacionadas con los Servicios proporcionados bajo el MSA.
(d) Revisión por Entidades Reguladoras. Sujeto a los términos y condiciones específicos establecidos en el Contrato y al cumplimiento de ATA con las Leyes Aplicables, ATA reconoce que el Banco está sujeto a revisión y auditoria por organismos regulatorios Federales y estatales. El Banco y ATA además reconocen que dichos organismos podrán requerir acceso a ubicaciones de servicios, con aviso previo a la autoridad mexicana Comisión Nacional Bancaria y de Valores CNBV, o podrán requerir que el Banco y/o dichas entidades tengan acceso a las ubicaciones de servicios, a efectos de revisar y auditar el desempeño de los Servicios del Contrato, cualquier Descripción de Servicios (SOW) o Anexo. ATA acuerda cooperar totalmente respecto de todas las auditorias y asimismo acuerda notificar al Banco tan pronto como sea posible de cualquier solicitud formal por cualquier organismo gubernamental para revisar los registros relacionados con el Banco o sus clientes, si ATA no tiene prohibido hacerlo por ley. El Banco y ATA acuerdan que este Anexo será considerado como modificado de tiempo en tiempo en la medida necesaria para cumplir con las Leyes Aplicables y/o requerimientos y directrices de seguridad de la información de reguladores que tengan jurisdicción sobre el Banco.
(e) Integridad de los Servicios. ATA llevara a cabo las medidas necesarias para que los Servicios no contengan programa de rutina, funcionalidades, código, o instrucciones algunas (incluyendo cualquier código o instrucciones proporcionadas por terceros) u otra característica no divulgada, incluyendo, de manera enunciativa más no limitativa, una bomba de tiempo, virus, software de bloqueo, rutina de desactivación remota, logística maliciosa, gusano, Caballo de Troya, bug, error, defecto o trap door, que es capaz de (o permitir a cualquier parte que no sea digna de confianza ser capaz de) acceder o modificar, borrar, dañar, deshabilitar, desactivar, interferir con o que de otra manera dañe los Servicios, cualesquier computador del Banco, redes, información u otra información electrónicamente almacenada, o programas o sistemas computacionales (conjuntamente los “procedimientos de desabilitación”). Si ATA incorpora en los Servicios programas o rutinas suministrados por otros vendedores, licenciantes, o contratistas, ATA obtendrá garantías comparables de otros proveedores o ATA adoptará las medidas adecuadas para asegurarse de que dichos programas y o rutinas estén libres de procedimientos de desabilitación. No obstante cualesquier otras limitaciones en este Anexo, ATA acuerda notificar al Banco inmediatamente al descubrimiento de cualesquier procedimientos de desabilitación que son o haya sospechas razonables de que estén incluidos en los Servicios, y si los procedimientos de desabilitación son descubiertos o haya sospecha razonable de que estén presentes en los Servicios, ATA acuerda tomar acción inmediata a
su propia costa, para identificar y erradicar (o permitir al Banco identificar y erradicar) dichos procedimientos de desabilitación y llevar a cabo cualquier recuperación necesaria (tal como lo convengan ATA y el Banco) para remediar cualquier impacto de dichos procedimientos de deshabilitación.
Las disposiciones de este Anexo D permanecerán en vigor durante la vigencia del MSA. Nada de lo previsto en este Anexo se entenderá que modifica o elimina las obligaciones de ATA de cumplir con las Leyes Aplicables de conformidad con lo pactado en el Contrato.
d
APLICA TECNOLOGÍA AVANZADA SA de CV.
___________/s/ Rodolfo Medina Roos__________
Por: RODOLFO MEDINA ROOS
“BBVA PUERTO RICO”
_________/s/ Bonosio Casellas Bond ________
Por : BONOSIO CASELLAS BOND
· ANEXO E: GESTIÓN DE CAMBIOS
EXHIBIT E: IMPLEMENTATION OF CHANGES
Servicios prestados por Calidad de Cómputo de ATA a “El Banco”.
Los servicios de procesamiento de datos que prestará ATA a “El Banco” incluyen los servicios de Gestión del Proceso de Cambios para definir, implementar, supervisar y medir las políticas y normas de la Aplicación de Cambios, y al mismo tiempo está a cargo de establecer, supervisor y gestionar los niveles de atención de las áreas técnicas internas para el cumplimiento de los niveles de atención comprometidos con las áreas usuarias de “El Banco”.
Servicios de Gestión de Cambios
1. Centro de Logística para la Recepción de Requerimientos (CLAR), es el único lugar de solicitudes para Requerimientos, Solicitudes y Cambios al Fiduciario
2. Plan de Gestión de Cambios Importantes
3. Ejecución de cambios a la aplicación efectuados a los ambientes de Desarrollo, Pruebas, Calidad y Producción.
4. Medición Continua del proceso de cambios.
5. Medición del líder que promueve el cambio con base en la calidad de la instalación.
6. Gestión de los Niveles de Atención ofrecidos por las áreas técnicas de ATA.
|
Nombre del Proceso
|
Administración y Gestión de Cambios
|
Objeto
|
ATA ofrece el servicio de Gestión de Cambios de la Infraestructura Central para los ambientes de Desarrollo, Pruebas, Calidad y Producción. Con ese fin suministrará a “El Banco” los procesos y soporte técnico necesarios que permitan registrar, revisar, autorizar y medir el proceso hasta su conclusión.
|
Alcance
|
La gestión de todas las solicitudes de cambios se consideran de acuerdo con lo siguiente:
1. Cambios a la Infraestructura Central (suministro de energía eléctrica, hardware central, software central, programas de productos, comunicaciones VTAM, CICS, DB2, etc.) en ambientes de Desarrollo, Pruebas, Calidad y Producción.
2. Cambios en la aplicación en ambiente de Desarrollo, Pruebas, Calidad y Producción.
|
Inicia
|
Cuando un líder promotor registra un cambio para su aprobación e instalación.
|
Incluye
|
1. Registro de la solicitud y requerimientos de cambios.
2. Priorización y agrupamiento de los cambios con base en una valuación y Autorización técnica.
3. Planeación, postergación o rechazo de cambios.
4. Supervisión de la instalación de los cambios (Resultados).
5. Cambio de Medición (Estadísticas).
|
Termina
|
Cuando se implementa el cambio o cuando éste es rechazado o reducido.
|
Productos
|
1. Calendario Maestro de Cambios Importantes.
2. Formas estándar para el Registro de Cambios.
3. Forma de aprobación de los usuarios de “El Banco”.
4. Instalación de Cambios en Aplicación
5. Herramienta Electrónica para gestión
|
Clientes
|
Producto
|
Proceso de destino
|
Rol
|
|
1 a 5
|
Administración y Gestión de Cambios
|
Diseño y Desarrollo (El Banco) y Diseño de Infraestructura (ATA)
|
Suministra
|
1. Solicitud de cambio al componente y los servicios.
|
Proveedores
|
Suministro
|
Proceso de origen
|
Rol
|
|
1
|
Administración y Gestión de Cambios
|
Diseño y Desarrollo (El Banco) y Diseño de Infraestructura (ATA)
Descripción Detallada del proceso
|
1. REGISTRO
|
Las áreas solicitantes de los servicios elaboran sus requerimientos de Instalación para los ambientes de Desarrollo, Pruebas, Calidad y Producción.
Necesita las formas correspondientes a cada requerimiento (Change Man, Ctrol-M, Ctrol-D, DB2, CICS, Mantenimiento a Infraestructura) mediante un instructivo de presentación y generación de un Plan de Instalación y Pruebas donde las actividades en el que se anotan los cambios y las personas encargadas de ellos.
Las áreas solicitantes envían a un Representante Local, mediante una comunicación electrónica(GDT Tool), su requerimiento del Cambio que va a instalarse, quien enviará, de acuerdo con su responsabilidad y autoridad y por los mismos medios, las solicitudes recibidas al Centro de Logística para Recepción de de los Requerimientos (CLAR).
*En caso de contingencia en la que GDT Tool no esté disponible, el único medio para cambios y requerimientos será el correo electrónico anotado a continuación:
cenreq@bbva.bancomer.com
Una vez que el requerimiento haya sido enviado a CLAR, se le notificará al Representante Local que aquél fue recibido, así como la fecha y hora de la instalación (dependiendo de la complejidad, impacto y riesgo, así como la fecha de negocios crítica)
|
2. EVALÚA Y AUTORIZA
|
CLAR distribuye los cambios y solicitudes a las áreas técnicas correspondientes (DB2, CICS, Control M, Control-D, etc.) para su preparación y ejecución, de acuerdo con el horario de atención de las áreas comprometidas.
Registra las solicitudes en el Registro de Cambios.
Notifica los cambios autorizados a las áreas Técnicas y de Producción mediante GDT Tool.
3. INSTALA Gestión de Cambios garantiza la instalación de los cambios en el ambiente de Desarrollo, Pruebas, Calidad y Producción.
Gestión de Cambios instala de acuerdo con el Registro de Cambios y el Plan del Calendario Diario cada uno de los cambios, apegándose a los procedimientos de cada herramienta y de cada área técnica (Change Man, Ctrol-M, Ctrol-D, DB2, CICS) a los ambientes solicitados.
Gestión de Cambios coordina la instalación de requerimientos en cumplimiento con los procesos de cambios que se tardan de 3 a 5 días hábiles, de acuerdo con la categoría definida con una liberación específica.
Para cambios de Emergencia, estos se deben reconocer mediante el proceso de gestión de incidentes.
En caso de cambios Urgentes (asuntos legales o comerciales) éstos deben ser notificados por “El Banco” con anticipación para reservar la fecha de instalación.
Gestión de Cambios aplicará los Procedimientos de reducción sólo en aquellos casos en que la instalación de un cambio provoque una falla o degradación de algún equipo o servicio en coordinación con el Representante local de “El Banco”.
CLAR notifica al Representante Local el estado final de los cambios instalados y devoluciones así como la incidencia presentada durante las instalaciones.
____________________________________________________
4. MIDE CLAR elabora estadísticas del desempeño del proceso mensualmente, evalúa cada cambio y emite una calificación para cada área técnica de ATA y para cada aplicación y también elabora opiniones para la solicitud afectad y para los contendientes en el proceso; en el mes en curso así como para el acumulado durante el año en curso.
Las estadísticas se publican en la intranet de ATA intranet y se distribuyen por correo electrónico.
____________________________________________________
Políticas de Proceso
· Todos los cambios al ambiente de Desarrollo, Pruebas, Calidad y Producción deben estar documentados de acuerdo con los formatos establecidos.
· Se debe establecer un plan maestro trimestral para los cambios, proyectos y liberaciones a realizarse, con el fin de contar con una guía y priorizar el proceso de cambios. Este plan debe ser actualizado en forma mensual.
· Todos los cambios deben ser autorizados en lo tocante al nivel de visibilidad, impacto y riesgo del cambio (A, B o C)
· Se debe establecer un calendario anual de liberaciones, mismo que considerará los días festivos de “El Banco”.
· Se deberá ejecutar conjuntamente un circuito de garantía de calidad para cada cambio o requerimiento, planeado para su instalación de acuerdo con el calendario establecido en los ambientes de Desarrollo, Pruebas, Calidad y Producción con el fin de mantener la consistencia en el entorno.
· El comité participante mínimo en el circuito de calidad para cambios de aplicación e infraestructura será para ATA: Gerencia de Producción, Producción Bases de Datos, Monitoreo CICS, Soporte Central Técnico, Telecomunicaciones, Gestión de Cambios y para el SPOC: Local responsable de proceso de gestión de cambios.
Roles Responsabilidades
A) RESPONSABILIDADES DE ATA
1. Calendarizar, en coordinación con “El Banco” la instalación de los cambios por ambiente
2. Evaluar el impacto y el riesgo de cada cambio aplicable por entorno
3. Instalar los cambios a la aplicación en los ambientes solicitados
4. Devolver los cambios de aplicación en los ambientes solicitados
5. Gestionar la herramienta de control de cambios GDT
6. Proporcionar soporte técnico para la herramienta de control de componentes y automatización para la instalación de cambios por Change man.
7. Efectuar a solicitud de “El Banco” los registros, descargas y cambios de los usuarios y las aplicaciones de GDT tool
8. Publicar regularmente el desempeño del proceso de acuerdo con cambios y requerimientos por cada área que resuelva
9. Mantener actualizadas las matrices de alerta y escalamiento para las áreas técnicas.
B) RESPONSABILIDAD DE LAS ÁREAS USUARIAS DENTRO DE “El Banco”
1. Solicitar el cambio de aplicación especificando el ambiente que será afectado
2. Validar el resultado de la instalación del cambio en el ambiente solicitado
3. Autorizar los cambios solicitados de acuerdo con el entorno que será afectado
Indicadores del Proceso
|
INDICADOR
|
DESCRIPCIÓN
|
MEDICIÓN
|
|
|
Efectividad de Gestión de Cambios.
|
Se define como el coeficiente entre los cambios planeados, los rechazados y los reducidos.
|
Mensual
Mediciones para monitorear el desempeño del Proceso.
__________________________________________
Mediciones de Eficacia Total Cambios Planeados
Total Cambios Rechazados
Total Cambios Reducidos
_______________________________________________
Mediciones de Eficacia Total cambios exitosos hechos por el líder promotor
__________________________________________
Mediciones de Cumplimiento Total cambios planeados vs. los no planeados
APLICA TECNOLOGÍA AVANZADA SA de CV
____________/s/ Rodolfo Medina Roos__________
Por : RODOLFO MEDINA ROOS
“BBVA PUERTO RICO”
__________/s/ Bonosio Casellas Bond ___________
Por : BONOSIO CASELLAS BOND