Términos y Condiciones API de Pagos en Linea

¡Hola! Bold.Co S.A.S. identificada con NIT 901.281.572-4 ("Bold") te da la bienvenida a los términos y condiciones de nuestra API de Pagos en Línea (en adelante, los "T&C"). Al aceptar estos T&C, los Comercios podrán integrar directamente a sus sitios web o aplicaciones la funcionalidad de procesamiento de pagos ofrecida por Bold, permitiéndoles controlar completamente la experiencia de pago de sus clientes.

Pedimos leer cuidadosamente estos T&C y aceptarlos una vez se haya comprendido el contenido y estés de acuerdo con los mismos.

Antes de empezar, Bold solicita tener presente lo siguiente:

• Los T&C regulan únicamente lo relacionado con el servicio de API de Pagos en Línea. Sin embargo, el servicio de aceptación de medios de pago se encuentra regulado de forma general por: (i) T&C Generales; (ii) T&C Procesamiento de pagos. Te invitamos a leer también estos documentos, puesto que son igualmente aplicables y su contenido complementa lo establecido en estos T&C.
• A diferencia de otros métodos de integración donde Bold gestiona completamente la captura de datos sensibles de tarjetas, al utilizar la API de Pagos en Línea, el Comercio tiene la posibilidad de capturar directamente en su sitio web o aplicación los datos de las tarjetas de los compradores antes de transmitirlos a Bold. Esta modalidad implica una mayor responsabilidad por parte del Comercio en el manejo y protección de información sensible de pago.
• Bold actúa como intermediario entre el Comercio, los Adquirentes y las Franquicias para facilitar el procesamiento de Pagos Electrónicos a través de la API.
• Los términos que se encuentran en mayúscula y no están definidos expresamente en estos T&C, tendrán la definición asignada en los T&C Generales y en los T&C de Procesamiento de pagos.
• En caso de actuar en representación de una persona jurídica, el Comercio declara que el representante que acepta los T&C tiene plenas facultades para obligarla.

Con la finalidad de hacer más fácil la comprensión de estos T&C, Bold pone a disposición de los Comercios las siguientes definiciones relevantes:

API de Pagos en Línea: Es la Interfaz de Programación de Aplicaciones (“API”) de Bold que permite a los Comercios integrar directamente en sus sitios web o aplicaciones la funcionalidad de procesamiento de pagos ofrecida por Bold.

Aplicación: Es el sitio web, aplicación móvil u otra interfaz que el Comercio desarrolle, posea u opere para interactuar con la API de Pagos en Línea.

Claves de Acceso: Son las claves de seguridad confidenciales proporcionadas al Comercio por Bold para la utilización de la API de Pagos en Línea, tales como el nombre de Usuario del Comercio, su clave de acceso y la clave de identificación asignada automáticamente por Bold para la Aplicación.

Contenido de Bold: Es la información almacenada en las bases de datos de Bold, y que Bold, a su exclusiva discreción, pone a disposición de los Comercios a través de la API de Pagos en Línea.

Incidente de Seguridad: Se refiere a todo incumplimiento, irregularidad, apropiación de datos, y/o situación que implique o constituya un uso o alteración no autorizado de los datos, sistemas y/o servidores involucrados en la prestación del servicio de API de Pagos en Línea.

PCI DSS: Significa Payment Card Industry Data Security Standard, que es el estándar de seguridad de datos para la industria de tarjetas de pago, establecido por las principales Franquicias a nivel mundial.

Servicio de API de Pagos en Línea

Bold pone a disposición de los Comercios su API de Pagos en Línea para que puedan integrar directamente a sus sitios web o aplicaciones la funcionalidad de procesamiento de pagos, permitiéndoles controlar completamente la experiencia de pago de sus clientes. A través de esta API, los Comercios pueden:

• Capturar directamente en su sitio web o aplicación los datos de las tarjetas u otros medios de pago de sus clientes.
• Procesar Pagos Electrónicos a través de Bold, quien actúa como intermediario entre el Comercio, los Adquirentes y las Franquicias.
• Personalizar completamente la experiencia de pago según las necesidades específicas de su negocio.
• Acceder a las tecnologías más avanzadas en protección de fraude, como 3DS y las certificaciones PCI DSS.
• Ofrecer a sus clientes una variedad de métodos de pago, incluyendo tarjetas de crédito, débito, transferencias bancarias y efectivo.

Para acceder al servicio, el Comercio deberá contar con una cuenta activa en Bold, tener habilitado el servicio de aceptación de medios de pago, solicitar las Claves de Acceso, implementar la integración según la documentación técnica y completar satisfactoriamente el proceso de certificación.

Soporte técnico y recursos disponibles

Bold pondrá a disposición del Comercio diversos recursos para facilitar la implementación y uso de la API, incluyendo:

• Documentación técnica detallada para desarrolladores.
• Videos tutoriales con explicaciones paso a paso.
• Bot de soporte disponible 24/7 para resolver inquietudes técnicas.
• Posibilidad de agendar sesiones con expertos técnicos (puede tener costo adicional).

Bold podrá modificar la API, sus bases de datos o cualquier aspecto del servicio en cualquier momento, lo que podría implicar que el Comercio deba realizar cambios a su implementación a su propio cargo para mantener la compatibilidad.

Proceso de certificación

Para garantizar la correcta implementación, el Comercio deberá completar un proceso de certificación que incluye:

1. Revisión técnica de la implementación verificando cumplimiento de especificaciones.
2. Pruebas de funcionamiento en ambiente de pruebas.
3. Validación de aspectos de seguridad, incluyendo requisitos PCI DSS.
4. Confirmación de la correcta configuración para el ambiente de producción.

Una vez certificada la implementación, el Comercio podrá comenzar a procesar pagos en producción. Bold podrá revocar la certificación si considera que la implementación ya no cumple con los requisitos establecidos o si identifica vulnerabilidades de seguridad.

Obligaciones generales de seguridad

Al utilizar la API de Pagos en Línea, el Comercio asume responsabilidades significativas en materia de seguridad debido a la naturaleza sensible de los datos que maneja. El Comercio debe implementar y mantener medidas técnicas y organizativas adecuadas para proteger la seguridad, integridad y confidencialidad de la información que procesa a través de la API, especialmente los datos de tarjetas de pago y la información personal de los tarjetahabientes.

El Comercio se compromete a implementar controles de seguridad que, como mínimo, deben incluir:

1. Protección de las redes mediante firewalls y controles de acceso adecuados.
2. Cifrado de la información sensible tanto en tránsito como en almacenamiento.
3. Gestión de vulnerabilidades mediante actualizaciones periódicas y parches de seguridad.
4. Control de acceso estricto basado en el principio de "necesidad de conocimiento".
5. Monitoreo de actividades en sus sistemas y redes para detectar comportamientos anómalos.
6. Políticas y procedimientos de seguridad documentados y actualizados.

Bold podrá, en cualquier momento, solicitar al Comercio información sobre sus medidas de seguridad implementadas para verificar el cumplimiento de estos requisitos.

Cumplimiento del estándar PCI DSS

El cumplimiento del Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es obligatorio para todos los Comercios que utilicen la API de Pagos en Línea de Bold y que capturen, procesen, transmitan o almacenen datos de tarjetas de pago.

El Comercio reconoce y acepta que:

1. Es el único y total responsable de asegurar y mantener el cumplimiento de todos los requisitos del estándar PCI DSS aplicables a su operación.
2. Debe validar su cumplimiento utilizando el Cuestionario de Autoevaluación (SAQ) tipo D para Comerciantes, disponible en el sitio web oficial del PCI Security Standards Council, cuando capture o procese datos de tarjetas en sus sistemas. En todo caso, el cuestionario deberá ser completado nuevamente de forma anual.
3. Según los niveles de transaccionalidad de los Comercios, Bold podrá exigir obtener una certificación formal PCI DSS y proporcionar evidencia de dicha certificación a Bold cuando sea solicitada.
4. Debe mantenerse actualizado sobre las modificaciones que el PCI Security Standards Council realice al estándar PCI DSS y adoptar oportunamente las medidas necesarias para mantener el cumplimiento.
5. El incumplimiento de estos requisitos puede resultar en multas impuestas por las Franquicias, suspensión del servicio, reclamaciones de terceros, daños reputacionales y otras responsabilidades legales y financieras.

Es importante aclarar que el resumen de requisitos PCI DSS mencionado en estos T&C es únicamente una guía de referencia general y no sustituye ni reemplaza el documento oficial SAQ D - Merchant publicado por el PCI Security Standards Council. El Comercio es responsable de obtener, leer y cumplir en su totalidad dicho documento oficial.

En caso de cualquier discrepancia entre estos T&C y el documento oficial del PCI Security Standards Council, prevalecerá siempre lo dispuesto en este último.

Gestión de incidentes de seguridad

En caso de detectar un Incidente de Seguridad que afecte o pueda afectar los datos procesados a través de la API de Pagos en Línea, el Comercio debe:

1. Notificar a Bold inmediatamente y en un plazo máximo de 24 horas desde la detección del incidente, proporcionando todos los detalles disponibles sobre las circunstancias, el alcance y el impacto potencial del incidente.
2. Enviar a Bold, dentro de las 24 horas siguientes a la notificación inicial, copias de cualquier comunicación con autoridades regulatorias o gubernamentales relacionada con el incidente.
3. Implementar sin demora las medidas correctivas necesarias para contener y remediar el incidente, siguiendo las recomendaciones que Bold pueda proporcionar.
4. Documentar y comunicar a Bold el avance de las medidas implementadas, así como el análisis realizado para determinar el alcance exacto del incidente.
5. Reembolsar a Bold los costos razonables en que incurra para la implementación de medidas correctivas adicionales necesarias a raíz del incidente.

El Comercio no podrá emitir comunicados de prensa, notificar a los afectados ni realizar declaraciones públicas sobre el incidente sin la autorización previa y por escrito de Bold.

Bold se reserva el derecho de suspender o terminar inmediatamente la relación contractual en caso de un Incidente de Seguridad grave o si este genera publicidad negativa que afecte a Bold o a sus afiliadas.

Monitoreo y auditorías

Para asegurar el cumplimiento continuo de los requisitos de seguridad, Bold podrá:

1. Monitorear el uso que el Comercio haga de la API de Pagos en Línea y el funcionamiento de las Aplicaciones relacionadas.
2. Realizar auditorías periódicas, en forma aleatoria y sin notificación previa, de los sistemas e instalaciones del Comercio que interactúen con la API o procesen datos de tarjetas.
3. Solicitar documentación e información sobre los controles de seguridad implementados por el Comercio.

El Comercio se compromete a cooperar plenamente con estos procesos de monitoreo y auditoría, facilitando la información solicitada y permitiendo el acceso necesario para las revisiones.

Si Bold identifica inconvenientes o deficiencias durante una auditoría, el Comercio tendrá un plazo de 30 días para resolverlos. En caso de no hacerlo, Bold podrá suspender o discontinuar el acceso del Comercio a la API de Pagos en Línea sin necesidad de notificación previa.

Bold otorga al Comercio una licencia limitada, no exclusiva, personal, revocable y no transferible para usar la API únicamente para:

1. Facilitar el uso de los servicios de Bold.
2. Permitir a su Aplicación interactuar con el Contenido de Bold para facilitar el procesamiento de pagos.
3. Realizar copias intermedias del Contenido de Bold cuando sea estrictamente necesario.

Bold podrá limitar la cantidad de llamadas a la API y cobrar tarifas por exceder los límites establecidos.

El Comercio no podrá:

• Comercializar o sublicenciar la API a terceros.
• Distribuir el Contenido de Bold fuera de su Aplicación.
• Permitir vínculos a la API desde fuentes no autorizadas.
• Modificar, desensamblar o realizar ingeniería inversa a la API.
• Utilizar tecnologías automatizadas para acceder al Contenido de Bold.
• Crear aplicaciones que puedan violar estos T&C o leyes aplicables.
• Sobrecargar o interferir con los servicios de Bold.

Términos y condiciones para compradores

El Comercio deberá incluir en sus términos y condiciones cláusulas que:

• Informen que el pagador utiliza el sistema por su cuenta y riesgo.
• Aclaren que Bold no garantiza disponibilidad, seguridad, ni correcto procesamiento de transacciones.
• Eximan a Bold de responsabilidad por los bienes y servicios ofrecidos.
• Obtengan autorización del pagador para el tratamiento de sus datos personales.

Bold podrá solicitar modificaciones a estos términos, que el Comercio deberá implementar en un plazo de tres días hábiles. El Comercio deberá habilitar mecanismos para demostrar que informó a sus compradores sobre estas limitaciones.

Protección de datos personales

Al utilizar la API, el Comercio actúa como Responsable del Tratamiento de datos personales y Bold como Encargado. El Comercio deberá:

1. Solicitar autorizaciones para el procesamiento y compartición de datos.
2. Implementar medidas técnicas y organizativas para proteger la información.
3. Notificar a Bold cualquier incidente de privacidad y colaborar en su investigación.
4. Conservar datos solo durante el tiempo necesario para cumplir con las finalidades establecidas.
5. Notificar y colaborar con Bold ante requerimientos de autoridades.

Bold podrá suspender el acceso a la API en caso de detectar incumplimientos a estas obligaciones.

Indemnidad y representación en reclamos

El Comercio mantendrá indemne a Bold por cualquier reclamo relacionado con:

1. El uso de la API por parte del Comercio.
2. El desarrollo y contenidos de las Aplicaciones.
3. Violaciones a derechos de terceros.
4. Incumplimiento de estos T&C.
5. Uso del Contenido de Bold.
6. Incidentes de seguridad originados en los sistemas del Comercio.

El Comercio faculta a Bold a intervenir y representarlo en dichos reclamos, pudiendo celebrar, en su nombre y representación, los acuerdos transaccionales que Bold considere oportunos y que tiendan a evitar mayores costos y/o evitar eventuales contingencias. El Comercio no podrá celebrar acuerdos sin el consentimiento previo de Bold.

Autorización de débito y costos

El Comercio autoriza a Bold a debitar de su Saldo de Ventas:

1. Las comisiones por el uso de la API según tarifas establecidas.
2. Tarifas adicionales por exceder límites de llamadas, en el caso de que Bold notifique en el futuro la existencia de un límite en el uso de estas.
3. Costos incurridos por Bold por medidas correctivas tras Incidentes de Seguridad.
4. Multas o penalidades impuestas a Bold por incumplimientos del Comercio.

Bold podrá modificar las tarifas notificando al Comercio con siete días de anticipación. Si el Comercio no acepta las nuevas tarifas, podrá terminar la relación sin penalidad.

Propiedad intelectual y confidencialidad

Bold mantiene todos los derechos de propiedad intelectual sobre la API, el Contenido de Bold y sus servicios. El Comercio conserva los derechos sobre su Aplicación.

Bold podrá otorgar al Comercio una licencia limitada para exhibir marcas de Bold, exclusivamente para identificar su participación como usuario de la API. El Comercio no podrá usar estas marcas de manera que genere confusión sobre su relación con Bold.

El Comercio no divulgará la Información Confidencial de Bold, que incluye la API, Contenido de Bold, Claves de Acceso y cualquier información recibida a través de la API. Esta obligación subsistirá por cinco años después de la terminación de estos T&C.

Limitación de responsabilidad

Salvo lo expresamente establecido en estos T&C, Bold no garantiza la disponibilidad, idoneidad o ausencia de errores de la API y servicios relacionados. Estos se proveen "en el estado en que se encuentren" y "según disponibilidad" .

Bold no será responsable por daños emergentes, directos, indirectos, lucro cesante o pérdida de chances derivados del uso de la API. El Comercio reconoce que estas limitaciones son razonables y constituyen un elemento esencial de la relación comercial.

Modificaciones y suspensión

Bold podrá modificar estos T&C notificando al Comercio con siete días de anticipación. Si el Comercio no está de acuerdo, podrá notificar su decisión de no seguir utilizando la API; de lo contrario, se entenderá que acepta las modificaciones.

Bold podrá suspender temporalmente el acceso a la API para mantenimiento, procurando dar aviso previo salvo casos de fuerza mayor.

Vigencia y terminación

Estos T&C tendrán vigencia indefinida desde su aceptación, pero podrán terminarse:

1. De común acuerdo entre las partes.

2. Por el Comercio cuando:

   • Rechace modificaciones a los T&C.
   • No acepte incrementos de tarifa
   • Lo desee, previa notificación a Bold.

3. Por Bold unilateralmente cuando:

   1. El Comercio incumpla estos T&C u otros documentos aplicables.
   2. El Comercio sea sospechoso de actividades ilícitas.
   3. El Comercio realice actividades fraudulentas o viole la seguridad de Bold.
   4. El Comercio incumpla requisitos de seguridad.
   5. Se produzca un Incidente de Seguridad imputable al Comercio.

En caso de terminación, el Comercio deberá dejar de usar la API, eliminar copias del Contenido de Bold, pagar tarifas pendientes y devolver información confidencial. Estas obligaciones subsistirán después de la terminación.

Los presentes T&C, junto con los T&C Generales y los T&C de Procesamiento de pagos, constituyen el acuerdo completo entre Bold y el Comercio respecto al uso de la API de Pagos en Línea.

En caso de conflicto entre estos documentos, prevalecerán estos T&C en lo referente específicamente al servicio de API de Pagos en Línea.